Policy Tailor Music

POLITICA DI SICUREZZA E PROCEDURE PER LA PROTEZIONE DEI DATI PERSONALI

Sommario

1.POLITICA E PROCEDURE PER LA SICUREZZA 6

2.DEFINIZIONI 6

3.PRINCIPI GENERALI PER IL TRATTAMENTO DEI DATI 10

4.DIRITTI DEGLI INTERESSATI 11

4.1TRASPARENZA 11

4.2INFORMATIVA 12

4.3DIRITTO DI ACCESSO 14

4.4DIRITTO DI RETTIFICA 15

4.5DIRITTO DI CANCELLAZIONE (cd. Diritto all’oblio) 15

4.6DIRITTO DI LIMITAZIONE DEL TRATTAMENTO 16

4.7DIRITTO ALLA PORTABILITA’ DEI DATI 16

4.8DIRITTO DI OPPOSIZIONE 17

4.9DIRITTO DI CASO DI PROCESSI AUTOMATIZZATI E PROFILAZIONE 17

5.PROCEDURE 17

5.1RUOLI, RESPONSABILITA’ E RISERVATEZZA 17

5.2RESPONSABILI DEL TRATTAMENTO 18

Il Titolare che si avvale di un soggetto esterno per effettuare trattamenti di dati personali in suo conto, deve formalmente nominarlo “Responsabile esterno del trattamento” (di seguito il Responsabile). 18

L’atto di nomina è un atto giuridico in forma scritta che deve specificare quanto segue: 18

a)finalità del trattamento 18

b)tipologia di dati trattati 18

c)modalità del trattamento 18

d)categorie di Destinatari 18

e)dovere di informazione tempestiva al Titolare nel caso di Data Breach 18

f)dovere di adozione di misure adeguate di sicurezza 18

g)diritto del titolare di effettuare audit sul corretto trattamento dei dati affidati al Responsabile 18

h)dovere di riservatezza sui dati trattati da parte del Responsabile e suoi collaboratori 18

L’atto di nomina sottoscritto dal Titolare e dal Responsabile deve essere conservato nell’archivio dedicato agli adempimenti sul trattamento dei dati. 18

5.3PROCEDURA DI GESTIONE DEL DIRITTO DI ACCESSO 18

5.4PROCEDURA IN CASO DI NUOVO TRATTAMENTO 19

Nel caso di un nuovo trattamento, in base al principio di privacy by design, il Titolare del trattamento dovrà: 19

a)prima di iniziarlo: effettuare una valutazione del trattamento dei dati che intende avviare ed individuare tutte le misure adeguate affinché tale trattamento avvenga nel rispetto dei principi stabiliti dal GDPR; 20

b)verificare se il tipo di trattamento rientra nei casi per cui è obbligatoria una valutazione dell’impatto (DPIA) ai sensi dell’art. 35 del GDPR; in caso positivo, dovrà procedere ad effettuare la valutazione di impatto ed attenersi alle prescrizioni di cui all’art. 36 del GDPR per la consultazione preventiva del Garante, nel caso in cui l’esito della DPIA indichi che il trattamento presenterebbe un rischio elevato, in assenza di misure adottate dal titolare del trattamento per attenuare il rischio. 20

c)Terminata la procedura di analisi e verifica con esito favorevole, procedere alla formazione degli Incaricati interessati a gestire il trattamento; 20

d)Si può dare inizio al trattamento 20

5.5PROCEDURA IN CASO DI VIOLAZIONE DEI DATI PERSONALI (DATA BREACH) 20

Cosa si intende per “DATA BREACH”. Con Data Breach si intende, ai sensi dell’art. 4(12) del Regolamento UE 2016/679, la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. A mero titolo d’esempio costituisce data breach lo smarrimento di documenti cartacei, il furto di un computer o di una chiave USB aziendale o l’attacco da parte di un virus. 20

Cosa prescrive il Regolamento UE 2016/196? Il Regolamento UE 2016/679 prevedere che il Titolare del trattamento deve provvedere ad effettuare: 20

a)una notifica all’Autorità Garante, entro 72 ore dal momento in cui è venuto a conoscenza della violazione, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche (art. 33); 20

b)una comunicazione agli interessati se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. 20

In entrambi i casi, si tratta quindi di comunicazioni necessarie solo in determinati casi, da valutare attentamente con il Registro dei Trattamenti. 20

Come posso riconoscere se la notifica al Garante è necessaria o meno? La notifica al Garante deve essere effettuata in presenza di un rischio, indipendentemente dalla gravità del rischio. È improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche (c.d. Interessati) se il Titolare ha attuato adeguate misure di sicurezza, destinate a rendere i dati personali incomprensibili, come la cifratura o l’anonimizzatine del dato. 20

Come posso riconoscere se la comunicazione agli Interessati è necessaria o meno? La comunicazione agli Interessati deve essere effettuata in presenza di un elevato rischio: in questo caso è richiesta anche la valutazione della gravità del rischio. 20

L’art. 34 del Regolamento distingue due ipotesi in cui la comunicazione non è necessaria: 20

a)quando le misure messe in atto preventivamente (ad esempio, la cifratura) o successivamente alla violazione, sono idonee a scongiurare il rischio elevato; 21

b)quando la comunicazione agli Interessati richiede uno sforzo sproporzionato da parte del Titolare. In questo caso, il Titolare effettua una comunicazione pubblica. 21

Qual è il contenuto della notifica? Nella notifica al Garante, il Titolare deve, come previsto dall’33 del Regolamento, comma 3: 21

a)descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di Interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; 21

b)comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; 21

c)descrivere le probabili conseguenze della violazione dei dati personali; 21

d)descrivere le misure adottate o di cui si propone l’adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. 21

La notifica va trasmessa al Garante inviandola all’indirizzo protocollo@pec.gpdp.it 21

La comunicazione agli Interessati, deve descrivere la natura della violazione in un linguaggio semplice e chiaro e deve contenere almeno i punti di cui alle lettere b), c) e d). 21

In caso di Data Breach la procedura da seguire è la seguente: 21

1)Chiunque, all’interno della struttura nonché i fornitori in outsourcing (cd. Responsabili ex art. 28 del Regolamento) abbia notizia di una violazione è tenuto a segnalarlo senza indugio al Titolare perché prenda le necessarie misure. 21

2)Il Titolare o il suo delegato, devono informare dell’avvenuta violazione il Responsabile della Protezione dei dati (DPO), se presente. 21

3)Il Titolare o il suo delegato devono valutare senza indugio: 21

a)la categoria di Interessati e il loro numero (anche approssimativo); 21

b)la tipologia di dato violato; 21

c)la tipologia di violazione; 21

d)una ricognizione delle misure di sicurezza applicate. 21

Sulla base di tali informazioni, il Titolare deve compiere una valutazione circa i rischi per i diritti e le libertà degli Interessati. 21

Per la rilevazione della violazione utilizzare la scheda 1. 21

4)Nel caso in cui la valutazione di cui al punto 3 rilevi un rischio per i diritti e le libertà delle persone fisiche, è necessario procedere alla notifica al Garante ai sensi dell’art. 33 GDPR. 21

La notifica deve essere trasmessa entro il termine di 72 ore dalla scoperta dell’evento. In caso di superamento del termine è necessario motivare il ritardo. 22

La notifica e gli eventuali allegati devono essere trasmessi via pec al seguente indirizzo: protocollo@pec.gpdp.it. 22

Ogni notifica deve essere registrata con un numero di protocollo interno da riportare nell’apposito Registro delle violazioni. 22

Per la notifica al Garante utilizzare la scheda 2, come ultimo da Provvedimento del Garante del 30 luglio 2019 n. 9126951. 22

5)Nel caso in cui la valutazione di cui al punto 3 rilevi un rischio per i diritti e le libertà delle persone fisiche, il Titolare o il suo delegato devono attuare tutte le misure ritenute opportune al fine di limitare gli effetti della violazione ed evitare più gravi conseguenze. 22

A tal fine il Titolare o il suo delegato devono contattare i soggetti, interni o esterni, in grado di predisporre adeguate misure, tecniche ed organizzative, a seconda della tipologia di violazione. 22

6)Nel caso in cui la valutazione di cui al punto 3 rilevi un rischio “elevato” per i diritti e le libertà delle persone fisiche, il Titolare deve altresì procedere ad effettuare la comunicazione della violazione agli Interessati: la stessa verrà effettuata per iscritto (via posta ordinaria o via mail) agli Interessati e deve contenere la descrizione dell’evento nonché: 22

il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; 22

le probabili conseguenze della violazione dei dati personali; 22

le misure adottate o di cui si propone l’adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. 22

Nel caso in cui la comunicazione venga inviata via mail e a più destinatari, è necessario utilizzare le impostazioni che consentano di nascondere l’elenco completo dei destinatari al soggetto ricevente. 22

Non occorre procedere alla comunicazione di cui al punto 6 qualora il Titolare abbia, alternativamente: 22

preventivamente messo in atto delle misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; 22

successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati; 22

la comunicazione richieda sforzi sproporzionati: in tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. 22

7)Ogni violazione di cui si abbia notizia, indipendentemente dalla gravità e dall’avvenuta notifica all’Autorità Garante, deve essere annotata nell’apposito “Registro delle violazioni” da parte del Titolare o da un suo delegato. 23

Ai fini della tenuta del Registro, è opportuno allegare allo stesso anche le schede di cui al punto 3 e le copie delle comunicazioni effettuate, attribuendo ad ognuna un numero progressivo interno da riportare nel Registro. 23

Per il Registro delle violazioni utilizzare la scheda 3. 23

8)In ogni caso, dopo la violazione devono essere approntati modelli organizzativi, procedure o misure di sicurezza in modo da evitare il successivo verificarsi della stessa violazione. 23

A titolo d’esempio: 23

a) in caso di accesso illecito ai dati in formato elettronico, si consiglia di cambiare le password esistenti e di installare/aggiornare il firewall; 23

b)in caso di accesso illecito ai dati in formato cartaceo, si consiglia di sostituire le serrature dei locali e/o degli armadi. 23

È opportuno tenere traccia degli aggiornamenti e delle modifiche delle misure di sicurezza. 23

5.6CONTROLLO ACCESSI E AUTENTICAZIONE 23

5.7ISTRUZIONI DI UTILIZZO DEGLI STRUMENTI INFORMATICI AZIENDALI 25

5.8ISTRUZIONI PER IL TRATTAMENTO DEI DATI IN FORMATO CARTACEO 30

5.9FORMAZIONE 32

6.CONTROLLI E SANZIONI DISCIPLINARI 32

POLITICA E PROCEDURE PER LA SICUREZZA
Il presente documento rappresenta la Politica di Sicurezza (o anche “Policy”) e le procedure applicabili al trattamento dei dati personali effettuato dal Titolare del Trattamento nel rispetto del Regolamento (UE) 2016/679 sulla protezione dei dati, anche noto come General Data Protection Regulation (di seguito denominato “Regolamento” o alternativamente “GDPR”).

Il patrimonio informativo da tutelare è costituito dall’insieme delle informazioni trattate all’interno delle procedure aziendali, rispetto alle quali il Titolare assicura l’accesso solo a chi è autorizzato, l’integrità e la protezione.

La mancanza di adeguati livelli di sicurezza può infatti comportare il danneggiamento dell’immagine aziendale, la mancata soddisfazione del Cliente, il rischio di incorrere in sanzioni legate alla violazione delle leggi vigenti nonché danni di natura economica e finanziaria.

Il Titolare ha istituito e mantiene aggiornato un registro delle attività di trattamento.

Il Titolare, inoltre, identifica tutte le esigenze di sicurezza tramite una analisi dei rischi sulla protezione dei dati che consente di acquisire consapevolezza sul livello di esposizione a minacce dei propri sistemi di gestione dei dati. L’analisi del rischio permette di valutare le potenziali conseguenze e i danni che possono derivare dalla mancata applicazione di misure di sicurezza e quale sia la realistica probabilità di attuazione delle minacce identificate. I risultati di questa valutazione determinano le azioni necessarie per individuare le corrette e adeguate misure di sicurezza ed i meccanismi per garantire la protezione dei dati personali.

Il Titolare definisce quindi le procedure e/o istruzioni necessarie per la protezione dei dati personali.

 

 

DEFINIZIONI
Al fine del trattamento dei dati personali si fa riferimento alle definizioni di cui all’art. 4 del Regolamento (UE) 2016/679 (GDPR) e all’art. 4 del D.Lgs. 196/2003 ove compatibili, in particolare:

Archivio: (art. 4 GDPR) qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

Autorità di controllo: (art. 4 GDPR) l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51 del GDPR;

Autorità di controllo interessata: (art. 4 GDPR) un’autorità di controllo interessata dal trattamento di dati personali in quanto:

a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo;

b) gli interessati che risiedono nello Stato membro dell’autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure

c) un reclamo è stato proposto a tale autorità di controllo;

Consenso dell’interessato: (art. 4 GDPR) qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

Dato personale: (art. 4 GDPR) qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

Dati biometrici: (art. 4 GDPR) i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;

Dati genetici: (art. 4 GDPR) i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;

Dati relativi alla salute: (art. 4 GDPR) i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

Dati particolari (sensibili): (art. 9 GDPR) i dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, i dati biometrici intesi ad identificare in modo univoco una persona fisica, i dati relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona.

Destinatario: (art. 4 GDPR) la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

Gruppo imprenditoriale: (art. 4 GDPR) un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;

Impresa: (art. 4 GDPR) la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica;

Incaricato (o Soggetto Autorizzato): (art. 4 D.Lgs. 196/2003) persona fisica autorizzata a compiere operazioni di trattamento dei dati dal Titolare del Trattamento o dal Responsabile del Trattamento;

Limitazione di trattamento: (art. 4 GDPR) il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;

Norme vincolanti d’impresa: (art. 4 GDPR) le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune;

Obiezione pertinente e motivata: (art. 4 GDPR) un’obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all’interno dell’Unione;

Organizzazione internazionale: (art. 4 GDPR) un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

Profilazione: (art. 4 GDPR) qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;

Pseudonimizzazione: (art. 4 GDPR) il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

Rappresentante: (art. 4 GDPR) la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27 del GDPR, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;

Responsabile del trattamento: (art. 4 GDPR) la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

Servizio della società dell’informazione: (art. 4 GDPR) il servizio definito all’articolo 1, paragrafo 1, lettera b) della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio, ossia un qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi.

Stabilimento principale: (art. 4 GDPR)

a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;

Terzo: (art. 4 GDPR) la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;

Titolare del trattamento: (art. 4 GDPR) la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

Trattamento: (art. 4 GDPR) qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

raccolta: operazione o complesso di operazioni con le quali si acquisiscono dati personali;
registrazione: trascrizione e allocazione del dato personale su un supporto elettronico e/o cartaceo;
organizzazione: attività di preparazione, programmazione, pianificazione, progettazione, sistemazione, impostazione, coordinamento;
strutturazione: dare ordine, articolare una procedura, organizzare un sistema di condivisione di dati personali;
adattamento: organizzare e rendere i dati utili al perseguimento di una determinata finalità;
modifica: apportare cambiamenti o modifiche ai dati personali;
estrazione: attività di ispezione e analisi sui dati acquisiti;
consultazione: esamina dei dati;
uso: utilizzare, adoperare, impiegare i dati per il perseguimento di un dato risultato consentito;
comunicazione: il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
diffusione: il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
raffronto: paragonare, comparare, mettere a confronto i dati personali;
interconnessione: impostare un collegamento tra dati;
limitazione: contenere, circoscrivere, inibire a terzi il trattamento di dati personali;
cancellazione: rendere illeggibili i dati personali;
distruzione: rimuovere, rendere del tutto irrecuperabile un dato personale.
Trattamento transfrontaliero: (art. 4 GDPR)

a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure

b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

Violazione dei dati personali: (art. 4 GDPR) la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

 

 

PRINCIPI GENERALI PER IL TRATTAMENTO DEI DATI
I principi generali applicabili al trattamento dei dati personali ai sensi dell’art. 5 del GDPR sono:

Liceità, correttezza e trasparenza: il trattamento deve essere lecito e corretto, adottando modalità trasparenti affinché le informazioni e le comunicazioni relative al
trattamento siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro.

Limitazione delle finalità: i dati devono essere raccolti per finalità determinate, esplicite e legittime e trattati in conformità;
Minimizzazione dei dati: i dati devono essere adeguati, pertinenti e limitati a quanto necessario per le finalità per cui sono trattati;
Esattezza: i dati devono essere esatti e, se necessario, aggiornati adottando tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
Limitazione della conservazione: i dati devono essere conservati per un tempo adeguato rispetto alla finalità perseguita;
Integrità e riservatezza: I dati personali devono essere trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento;
Responsabilizzazione (accountability): il Titolare, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato in conformità della normativa vigente e dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Tali misure includono l’attuazione di politiche adeguate in materia di protezione dei dati e sono riesaminate e aggiornate qualora necessario.
Privacy by default: Il Titolare, per impostazione predefinita, deve adottare le misure tecniche e organizzative funzionali a garantire che siano trattati solo i dati strettamente necessari per ogni specifica finalità del trattamento e ciò al momento di determinare le finalità e i mezzi del trattamento e all’atto del trattamento stesso, tenuto conto dell’evoluzione tecnica e dei costi di attuazione.
In particolare, se all’interessato è lasciata facoltà di scelta relativamente al trattamento dei dati personali, il Titolare garantisce che siano trattati, di default, solo i dati personali necessari per ciascuna finalità specifica del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non vadano oltre il minimo necessario per le finalità perseguite e che non siano resi accessibili dati personali a un numero indefinito di persone, consentendo agli interessati di controllare la distribuzione i propri dati personali.

Privacy by design: Tale principio implica di configurare il trattamento prevedendo sin dall’inizio (by design) le garanzie indispensabili al fine di soddisfare i requisiti del regolamento e tutelare gli interessati; tutto questo deve avvenire prima di procedere al trattamento dei dati vero e proprio, e richiede un’analisi preventiva e un impegno applicativo da parte del Titolare, che si sostanza in una serie di attività specifiche e dimostrabili.

 

DIRITTI DEGLI INTERESSATI

 

TRASPARENZA

 

Il titolare del trattamento adotta misure appropriate per fornire all’Interessato tutte le informazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’Interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’Interessato.

Il Titolare agevola l’esercizio dei diritti dell’Interessato e non può rifiutare di soddisfare la richiesta di quest’ultimo al fine di esercitare i suoi diritti, salvo che il titolare del trattamento dimostri che non è in grado di identificare l’Interessato.

Il Titolare del trattamento fornisce all’Interessato le informazioni relative all’azione intrapresa riguardo a una richiesta di accesso, senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il Titolare informa l’Interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’Interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato.

Se non ottempera alla richiesta dell’Interessato, il Titolare lo informa senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.

Le informazioni fornite ai sensi degli articoli 13 e 14 GDPR ed eventuali comunicazioni e azioni intraprese ai sensi degli articoli da 15 a 22 e dell’articolo 34 sono gratuite. Se le richieste dell’Interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può:

addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta; oppure
rifiutare di soddisfare la richiesta.
Incombe al Titolare l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.

Qualora il titolare del trattamento nutra ragionevoli dubbi circa l’identità della persona fisica che presenta la richiesta, può richiedere ulteriori informazioni necessarie per confermare l’identità dell’interessato.

 

 

INFORMATIVA
Le informazioni da fornire agli Interessati sono disciplinate dagli artt. 13 e 14 del GPDR. In particolare, nel caso di raccolta presso l’interessato di dati che lo riguardano, il Titolare del Trattamento fornisce all’Interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

l’identità e i dati di contatto del titolare del trattamento e del suo rappresentante, qualora presente;
i dati di contatto del responsabile della protezione dei dati (DPO), se nominato;
le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
ove applicabile, l’intenzione del Titolare di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili;
il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
l’esistenza del diritto dell’Interessato di chiedere al Titolare l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
il diritto di proporre reclamo a un’Autorità di Controllo;
se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
l’esistenza di un processo decisionale automatizzato, compresa la profilazione e, in tali casi, le informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Qualora il Titolare del Trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’Interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente.

Qualora i dati non siano stati ottenuti presso l’interessato, il Titolare del Trattamento fornisce all’interessato le seguenti informazioni, oltre ai dati di cui alle precedenti lettere a) – l), il Titolare deve indicare la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico.

Il Titolare fornisce tali informazioni:

entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati;
nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato; oppure
nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.
Le disposizioni che precedono non si applicano se e nella misura in cui:

l’interessato dispone già delle informazioni;
comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all’articolo 89, paragrafo 1, o nella misura in cui l’obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo pubbliche le informazioni;
l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato; oppure
qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge.
Le informative agli Interessati sono riportate nell’apposita Sezione degli Allegati al presente Manuale.

 

DIRITTO DI ACCESSO
L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

le finalità del trattamento;
le categorie di dati personali in questione;
i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
il diritto di proporre reclamo a un’autorità di controllo;
qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
l’esistenza di un processo decisionale automatizzato, compresa la profilazione, con informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 GDPR relative al trasferimento.

Il Titolare fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’Interessato, il Titolare può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’Interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.

Il diritto di ottenere una copia non deve ledere i diritti e le libertà altrui.

 

DIRITTO DI RETTIFICA
L’Interessato ha il diritto di ottenere dal Titolare la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’Interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

 

DIRITTO DI CANCELLAZIONE (cd. Diritto all’oblio)
L’Interessato ha il diritto di ottenere dal Titolare la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il Titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
l’Interessato revoca il consenso e se non sussiste altro fondamento giuridico per il trattamento;
l’Interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
i dati personali sono stati trattati illecitamente;
i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il Titolare del trattamento;
i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione;
Il Titolare, se ha reso pubblici dati personali ed è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione, adotta le misure ragionevoli per informare i Titolari del trattamento che stanno trattando i dati personali della richiesta dell’Interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

Quanto sopra non si applica nella misura in cui il trattamento sia necessario:

per l’esercizio del diritto alla libertà di espressione e di informazione;
per l’adempimento di un obbligo giuridico o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il Titolare;
per motivi di interesse pubblico nel settore della sanità pubblica;
a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, nella misura in cui il diritto di cancellazione rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento;
per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

 

DIRITTO DI LIMITAZIONE DEL TRATTAMENTO

 

L’Interessato ha il diritto di ottenere dal Titolare la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

l’Interessato contesta l’esattezza dei dati personali, per il periodo necessario al Titolare per verificare l’esattezza di tali dati personali;
il trattamento è illecito e l’Interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
benché il Titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’Interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
l’Interessato si è opposto al trattamento, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del Titolare rispetto a quelli dell’Interessato.
Se il trattamento viene limitato, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’Interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro.

L’interessato che ha ottenuto la limitazione del trattamento è informato dal Titolare prima che la limitazione sia revocata.

 

 

DIRITTO ALLA PORTABILITA’ DEI DATI
L’Interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti al Titolare e ha il diritto di trasmettere tali dati a un altro Titolare del trattamento senza impedimenti, qualora:

il trattamento si basi sul consenso o su un contratto;
il trattamento sia effettuato con mezzi automatizzati.
Nell’esercitare i propri diritti relativamente alla portabilità dei dati, l’Interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un Titolare all’altro, se tecnicamente fattibile.

Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare del trattamento.

Il diritto alla portabilità non deve ledere i diritti e le libertà altrui.

 

DIRITTO DI OPPOSIZIONE
L’Interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano. Il Titolare si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’Interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Qualora i dati personali siano trattati per finalità di marketing diretto, l’Interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.

Qualora l’interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento per tali finalità.

 

DIRITTO DI CASO DI PROCESSI AUTOMATIZZATI E PROFILAZIONE
L’Interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

Ciò non si applica nel caso in cui la decisione:

sia necessaria per la conclusione o l’esecuzione di un contratto tra l’Interessato e un titolare del trattamento;
sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il Titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’Interessato;
si basi sul consenso esplicito dell’Interessato.

 

PROCEDURE

 

RUOLI, RESPONSABILITA’ E RISERVATEZZA
Il Titolare definisce e assegna i ruoli e le responsabilità relativi al trattamento dei dati personali.

I Soggetti Autorizzati vengono nominati per iscritto utilizzando l’apposito modulo, contenente anche le istruzioni impartite per il trattamento.

Nel caso di riorganizzazioni interne o cessazioni e cambio di impiego, il Titolare deve provvedere ad aggiornare l’elenco dei Soggetti Autorizzati nel Registro dei Trattamenti.

Il Titolare può nominare anche un Referente Privacy all’interno della propria organizzazione, con il compito di coadiuvare il Titolare nella gestione degli adempimenti sul trattamento dei dati.

Il Titolare prevede che tutti i Dipendenti e, in modo particolare, Soggetti Autorizzati al trattamento ed i Responsabili Esterni del Trattamento sottoscrivano uno specifico impegno di riservatezza e non divulgazione.

Tale clausola è automaticamente inserita nell’atto di nomina a Soggetto Autorizzato al trattamento o a Responsabile esterno del trattamento.

 

RESPONSABILI DEL TRATTAMENTO
Il Titolare che si avvale di un soggetto esterno per effettuare trattamenti di dati personali in suo conto, deve formalmente nominarlo “Responsabile esterno del trattamento” (di seguito il Responsabile).

L’atto di nomina è un atto giuridico in forma scritta che deve specificare quanto segue:

finalità del trattamento
tipologia di dati trattati
modalità del trattamento
categorie di Destinatari
dovere di informazione tempestiva al Titolare nel caso di Data Breach
dovere di adozione di misure adeguate di sicurezza
diritto del titolare di effettuare audit sul corretto trattamento dei dati affidati al Responsabile
dovere di riservatezza sui dati trattati da parte del Responsabile e suoi collaboratori
L’atto di nomina sottoscritto dal Titolare e dal Responsabile deve essere conservato nell’archivio dedicato agli adempimenti sul trattamento dei dati.

 

PROCEDURA DI GESTIONE DEL DIRITTO DI ACCESSO
L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

le finalità del trattamento;
le categorie di dati personali in questione;
i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
il diritto di proporre reclamo a un’autorità di controllo;
qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
l’esistenza di un processo decisionale automatizzato, compresa la profilazione, con informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 GDPR relative al trasferimento.

Il Titolare del trattamento fornisce all’Interessato le informazioni relative all’azione intrapresa riguardo a una richiesta di accesso, senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il Titolare informa l’Interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’Interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato.

Se non ottempera alla richiesta dell’Interessato, il Titolare lo informa senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.

Le informazioni fornite sono gratuite. Se le richieste dell’Interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può:

addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta; oppure
rifiutare di soddisfare la richiesta.
Incombe al Titolare l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.

Qualora il titolare del trattamento nutra ragionevoli dubbi circa l’identità della persona fisica che presenta la richiesta, può richiedere ulteriori informazioni necessarie per confermare l’identità dell’interessato.

 

PROCEDURA IN CASO DI NUOVO TRATTAMENTO
Nel caso di un nuovo trattamento, in base al principio di privacy by design, il Titolare del trattamento dovrà:

prima di iniziarlo: effettuare una valutazione del trattamento dei dati che intende avviare ed individuare tutte le misure adeguate affinché tale trattamento avvenga nel rispetto dei principi stabiliti dal GDPR;
verificare se il tipo di trattamento rientra nei casi per cui è obbligatoria una valutazione dell’impatto (DPIA) ai sensi dell’art. 35 del GDPR; in caso positivo, dovrà procedere ad effettuare la valutazione di impatto ed attenersi alle prescrizioni di cui all’art. 36 del GDPR per la consultazione preventiva del Garante, nel caso in cui l’esito della DPIA indichi che il trattamento presenterebbe un rischio elevato, in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.
Terminata la procedura di analisi e verifica con esito favorevole, procedere alla formazione degli Incaricati interessati a gestire il trattamento;
Si può dare inizio al trattamento

 

PROCEDURA IN CASO DI VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)
Cosa si intende per “DATA BREACH”. Con Data Breach si intende, ai sensi dell’art. 4(12) del Regolamento UE 2016/679, la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. A mero titolo d’esempio costituisce data breach lo smarrimento di documenti cartacei, il furto di un computer o di una chiave USB aziendale o l’attacco da parte di un virus.

Cosa prescrive il Regolamento UE 2016/196? Il Regolamento UE 2016/679 prevedere che il Titolare del trattamento deve provvedere ad effettuare:

una notifica all’Autorità Garante, entro 72 ore dal momento in cui è venuto a conoscenza della violazione, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche (art. 33);
una comunicazione agli interessati se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
In entrambi i casi, si tratta quindi di comunicazioni necessarie solo in determinati casi, da valutare attentamente con il Registro dei Trattamenti.

Come posso riconoscere se la notifica al Garante è necessaria o meno? La notifica al Garante deve essere effettuata in presenza di un rischio, indipendentemente dalla gravità del rischio. È improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche (c.d. Interessati) se il Titolare ha attuato adeguate misure di sicurezza, destinate a rendere i dati personali incomprensibili, come la cifratura o l’anonimizzatine del dato.

Come posso riconoscere se la comunicazione agli Interessati è necessaria o meno? La comunicazione agli Interessati deve essere effettuata in presenza di un elevato rischio: in questo caso è richiesta anche la valutazione della gravità del rischio.

L’art. 34 del Regolamento distingue due ipotesi in cui la comunicazione non è necessaria:

quando le misure messe in atto preventivamente (ad esempio, la cifratura) o successivamente alla violazione, sono idonee a scongiurare il rischio elevato;
quando la comunicazione agli Interessati richiede uno sforzo sproporzionato da parte del Titolare. In questo caso, il Titolare effettua una comunicazione pubblica.
Qual è il contenuto della notifica? Nella notifica al Garante, il Titolare deve, come previsto dall’33 del Regolamento, comma 3:

descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di Interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
descrivere le probabili conseguenze della violazione dei dati personali;
descrivere le misure adottate o di cui si propone l’adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
La notifica va trasmessa al Garante inviandola all’indirizzo protocollo@pec.gpdp.it

La comunicazione agli Interessati, deve descrivere la natura della violazione in un linguaggio semplice e chiaro e deve contenere almeno i punti di cui alle lettere b), c) e d).

In caso di Data Breach la procedura da seguire è la seguente:

Chiunque, all’interno della struttura nonché i fornitori in outsourcing (cd. Responsabili ex art. 28 del Regolamento) abbia notizia di una violazione è tenuto a segnalarlo senza indugio al Titolare perché prenda le necessarie misure.
Il Titolare o il suo delegato, devono informare dell’avvenuta violazione il Responsabile della Protezione dei dati (DPO), se presente.

 

Il Titolare o il suo delegato devono valutare senza indugio:
la categoria di Interessati e il loro numero (anche approssimativo);
la tipologia di dato violato;
la tipologia di violazione;
una ricognizione delle misure di sicurezza applicate.
Sulla base di tali informazioni, il Titolare deve compiere una valutazione circa i rischi per i diritti e le libertà degli Interessati.

Per la rilevazione della violazione utilizzare la scheda 1.

Nel caso in cui la valutazione di cui al punto 3 rilevi un rischio per i diritti e le libertà delle persone fisiche, è necessario procedere alla notifica al Garante ai sensi dell’art. 33 GDPR.
La notifica deve essere trasmessa entro il termine di 72 ore dalla scoperta dell’evento. In caso di superamento del termine è necessario motivare il ritardo.

La notifica e gli eventuali allegati devono essere trasmessi via pec al seguente indirizzo: protocollo@pec.gpdp.it.

Ogni notifica deve essere registrata con un numero di protocollo interno da riportare nell’apposito Registro delle violazioni.

Per la notifica al Garante utilizzare la scheda 2, come ultimo da Provvedimento del Garante del 30 luglio 2019 n. 9126951.

Nel caso in cui la valutazione di cui al punto 3 rilevi un rischio per i diritti e le libertà delle persone fisiche, il Titolare o il suo delegato devono attuare tutte le misure ritenute opportune al fine di limitare gli effetti della violazione ed evitare più gravi conseguenze.
A tal fine il Titolare o il suo delegato devono contattare i soggetti, interni o esterni, in grado di predisporre adeguate misure, tecniche ed organizzative, a seconda della tipologia di violazione.

Nel caso in cui la valutazione di cui al punto 3 rilevi un rischio “elevato” per i diritti e le libertà delle persone fisiche, il Titolare deve altresì procedere ad effettuare la comunicazione della violazione agli Interessati: la stessa verrà effettuata per iscritto (via posta ordinaria o via mail) agli Interessati e deve contenere la descrizione dell’evento nonché:
il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
le probabili conseguenze della violazione dei dati personali;
le misure adottate o di cui si propone l’adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Nel caso in cui la comunicazione venga inviata via mail e a più destinatari, è necessario utilizzare le impostazioni che consentano di nascondere l’elenco completo dei destinatari al soggetto ricevente.

Non occorre procedere alla comunicazione di cui al punto 6 qualora il Titolare abbia, alternativamente:

preventivamente messo in atto delle misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
la comunicazione richieda sforzi sproporzionati: in tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
Ogni violazione di cui si abbia notizia, indipendentemente dalla gravità e dall’avvenuta notifica all’Autorità Garante, deve essere annotata nell’apposito “Registro delle violazioni” da parte del Titolare o da un suo delegato.
Ai fini della tenuta del Registro, è opportuno allegare allo stesso anche le schede di cui al punto 3 e le copie delle comunicazioni effettuate, attribuendo ad ognuna un numero progressivo interno da riportare nel Registro.

Per il Registro delle violazioni utilizzare la scheda 3.

In ogni caso, dopo la violazione devono essere approntati modelli organizzativi, procedure o misure di sicurezza in modo da evitare il successivo verificarsi della stessa violazione.
A titolo d’esempio:

in caso di accesso illecito ai dati in formato elettronico, si consiglia di cambiare le password esistenti e di installare/aggiornare il firewall;
in caso di accesso illecito ai dati in formato cartaceo, si consiglia di sostituire le serrature dei locali e/o degli armadi.
È opportuno tenere traccia degli aggiornamenti e delle modifiche delle misure di sicurezza.

 

CONTROLLO ACCESSI E AUTENTICAZIONE
Il Titolare deve implementare un sistema di controllo accessi applicabile a tutti gli Utenti che accedono al sistema IT. Il sistema deve consentire la creazione, l’approvazione, la revisione e l’eliminazione degli account Utente.

L’uso di account Utente comuni deve essere evitato. Ove ciò non sia possibile, è necessario garantire che tutti gli Utenti dell’account comune abbiano gli stessi ruoli e responsabilità.

L’accesso al sistema IT deve avvenire attraverso un meccanismo di autenticazione utilizzando quantomeno una combinazione di nome utente / password.

Lo Username viene assegnato, salvo diverso avviso, esclusivamente dall’Amministratore di Sistema (se nominato) o dal Titolare (o suo delegato).

La password viene gestita, dopo la sua prima assegnazione, esclusivamente dall’Utente, con l’eccezione dei casi in cui ricorrano necessità di carattere tecnico-organizzative. Il codice identificativo, una volta assegnato ad un utente, non potrà più essere riassegnato ad altri soggetti, nemmeno in tempi successivi, proprio per poter garantire un’archiviazione e storicizzazione delle utenze.

Le credenziali di accesso non utilizzate da almeno 6 (sei) mesi dovranno essere disattivate (a meno che non siano state preventivamente autorizzate quali credenziali per soli scopi di gestione tecnica, che prevedono pertanto periodi di inattività anche più lunghi del semestre). Le credenziali devono essere disattivate anche quando l’Utente perde il ruolo, la mansione e le qualità che gli consentono di utilizzarle (es. cessazione del rapporto di lavoro, trasferimento, demansionamento, licenziamento, sostituzione, ecc.).

Laddove vi sia la ragionevole certezza che l’utenza sia stata utilizzata da persona diversa dal titolare, la stessa dovrà essere cambiata immediatamente dall’Utente. In caso di inerzia, tale cambio verrà disposto direttamente dall’Amministratore di Sistema (se nominato) o dal Titolare del trattamento. Le password di default – come quelle create per i nuovi utenti o assegnate dopo una reimpostazione della password – devono poter essere cambiate dall’Utente al primo accesso. Se tecnicamente possibile, tale cambio password deve essere imposto all’Utente dal sistema.

Gli Utenti si impegnano a rispettare i criteri di creazione, conservazione e gestione delle credenziali di accesso di seguito indicati.

Gli Utenti, una volta in possesso delle credenziali, devono cambiare la password al primo accesso rispettando i criteri di seguito descritti, evitando combinazioni facili da identificare. Devono scegliere password univoche, che abbiano un senso solo per l’utente che le sceglie, evitando di usare la stessa password per altre utenze.

Ogni Utente è responsabile di tutte le azioni e le funzioni svolte dal suo account. Qualora vi sia la ragionevole certezza che le credenziali assegnate siano state utilizzate da terzi, l’Utente dovrà cambiare immediatamente la password e segnalarlo al Titolare o all’Amministratore di sistema (se nominato).

Qualora l’Utenza venga bloccata a seguito della scadenza della password oppure sia necessario modificare la password perché dimenticata ovvero a fronte di qualsiasi altra motivazione, l’Utente deve contattare l’Amministratore di Sistema (se nominato) o il Titolare.

La password di ogni Soggetto Autorizzato deve possedere le seguenti caratteristiche:

essere composta da almeno 8 caratteri
contenere caratteri alfanumerici, lettere maiuscole e minuscole e caratteri speciali
essere sempre diversa
non presentare una sequenza di caratteri identici o gruppi di caratteri ripetuti
non essere assegnata ad altri Incaricati, neppure in tempi diversi
essere segreta e concessa in uso esclusivo all’Utente
La password deve essere modificata dall’Incaricato al primo utilizzo e successivamente almeno ogni 3 mesi (in caso di trattamento di dati particolari/sensibili) oppure ogni 6 mesi (in caso di trattamento di dati comuni).

Ove tecnicamente possibile, i requisiti di cui sopra devono essere imposti da meccanismi automatici del sistema. Per motivate necessità di urgente accesso alle informazioni, in caso di impedimento del titolare delle credenziali, la password può essere annullata e sostituita dall’Amministratori di Sistema (se nominato) o dal Titolare con una nuova password provvisoria, che dovrà poi essere consegnata all’Utente, il quale dovrà modificarla al primo accesso.

Ogni Soggetto Autorizzato deve rispettare inoltre le seguenti prescrizioni:

non comunicare a nessuno le proprie credenziali di accesso;
non lasciare incustodito e accessibile la postazione PC durante una sessione di trattamento. In caso di assenza prolungata è necessario chiudere le applicazioni aperte e disattivare l’accesso con codice;
non annotare la password da nessuna parte che possa essere letta facilmente, soprattutto vicino al computer. L’unico affidabile dispositivo di registrazione è la memoria. In caso di necessità di conservare traccia delle password per scritto, conservare tale nota in modo sicuro e riservato;
immettere la password senza che nessuno possa osservare i caratteri che si stanno digitando;
non usare password basate su nomi di persone, date di nascita, animali, oggetti o parole ricavabili dal dizionario (anche straniere) o che si riferiscano ad informazioni personali;
prestare attenzione a fornire le proprie credenziali di accesso, a rispondere ad e-mail sospette e/o a cliccare sui link durante la navigazione web (o nella mail) al fine di contrastare possibili frodi informatiche (come il phishing, lo spear phishing, il furto d’identità, ecc.);
non memorizzare la password in funzioni di log-in automatico, in un tasto funzionale o nel browser utilizzato per la navigazione in internet
Il sistema di controllo degli accessi deve rilevare e non consentire l’utilizzo di password che non rispettano un certo livello di complessità (configurabile) e prevedere il numero di tentativi di accesso non riusciti accettabili.

 

 

ISTRUZIONI DI UTILIZZO DEGLI STRUMENTI INFORMATICI AZIENDALI
Utilizzo della rete e del personal computer

L’utilizzo di tutti gli strumenti informatici del Titolare deve avvenire osservando regole di buona diligenza e prudenza, con senso di responsabilità e seguendo le istruzioni impartite dal Titolare stesso e/o dalle persone da lui delegate.

L’uso degli strumenti informatici aziendali (PC, attrezzatura informatica, notebook, accesso alla rete internet, telefoni mobili, ecc.) è consentito unicamente agli Incaricati autorizzati. Ogni utilizzo dei predetti beni non inerente all’attività lavorativa è tassativamente vietato.

Le unità di rete sono aree di condivisione di dati ed informazioni strettamente legati all’attività lavorativa. I file ivi dislocati devono avere attinenza con le attività svolte da ciascun Incaricato e qualunque file che non sia legato all’attività lavorativa non può esservi dislocato, nemmeno per brevi periodi. Le cartelle Utenti presenti nel PC o nel/i server (qualora presenti) sono aree di condivisione di informazioni strettamente lavorative e non possono in alcun modo essere utilizzate per scopi diversi.

Ogni Incaricato è responsabile per l’uso riferito alle proprie credenziali ed è personalmente tenuto a conformarsi a modalità di utilizzo atte ad impedire accessi da parte di terzi non autorizzati. Non è ammessa la comunicazione delle proprie credenziali a terzi.

Per evitare il pericolo di introdurre virus informatici o di alterare la stabilità delle applicazioni e/o dei dati è vietato scaricare e/o installare programmi, salva espressa autorizzazione da parte del Titolare o dell’Amministratore di sistema (qualora designato).

Non è consentito modificare le configurazioni del proprio PC. Il Personal Computer deve essere spento ogni sera prima di lasciare gli uffici o in caso di assenze prolungate dall’ufficio o in caso di suo inutilizzo. In ogni caso, lasciare un elaboratore incustodito connesso alla rete può essere causa di utilizzo da parte di terzi, senza che vi sia la possibilità di provarne in seguito l’indebito uso.

Non è consentito scaricare file contenuti in supporti magnetici/ottici non aventi alcuna attinenza con la propria prestazione lavorativa.

Qualora un Incaricato dovesse riscontrare malfunzionamenti, guasti o situazioni di rischio per la sicurezza o l’integrità del sistema causati da comportamento doloso o comunque non conforme alle istruzioni e disposizioni, deve darne immediata comunicazione al Titolare o all’Amministratore di Sistema (qualora designato). Salvo preventiva ed espressa autorizzazione non è consentito eseguire operazioni di manutenzione ordinaria o straordinaria autonomamente.

Non è consentito archiviare sul proprio PC, sul server o su qualunque altra area condivisa, file e dati non inerenti alla propria attività lavorativa.

E’ vietato l’uso masterizzatori o altri supporti di registrazione di dati (ad es. dischi fissi esterni, Pen-drive USB, ecc.) per registrare dati, salvi i casi direttamente autorizzati.

Il Titolare del trattamento si riserva la facoltà di procedere alla rimozione di ogni applicazione o file ritenuti pericolosi per la sicurezza del sistema, non attinenti all’attività lavorativa o acquisiti ed installati in violazione delle presenti istruzioni, sia sui PC degli Incaricati sia sulle unità di rete.

L’utente deve limitare le stampe dei dati solo a quelle strettamente necessarie, ritirandole prontamente dai vassoi delle stampanti comuni, qualora queste ultime siano presenti.

E’ fatto divieto di accedere contemporaneamente con lo stesso account da più PC.

Agli Incaricati è fatto espresso divieto di influenzare negativamente la regolare operatività della rete, interferire con la connettività altrui o con il funzionamento del sistema e quindi di:

utilizzare qualunque tipo di sistema informatico o elettronico per controllare le attività di altri Incaricati;
copiare o cancellare files e software di altri Incaricati;
utilizzare software rivolti alla violazione della sicurezza del sistema e della privacy;
sostituirsi a qualcuno nell’uso dei sistemi, cercare di catturare password altrui e/o forzare password o comunicazioni criptate; modificare le configurazioni impostate dal Titolare, da un suo delegato o dall’Amministratore di sistema (qualora designato);
limitare o negare l’accesso al sistema a Incaricati autorizzati;
effettuare trasferimenti non autorizzati di dati personali e/o informazioni;
distruggere o alterare dati altrui;
collegare in rete personal computer non di proprietà del Titolare.
Su ogni postazione deve essere configurato il blocco del computer per inattività in automatico, con riattivazione di sblocco Ctrl + Alt + Canc e inserimento della password.

L’operatore, ogni qualvolta deve allontanarsi dalla postazione, deve provvedere comunque a bloccare il computer tenendo premuti i tasti WINDOWS+L

Su ogni monitor deve essere installata una speciale pellicola-filtro idonea a proteggere da osservatori indiscreti le informazioni riservate e private visualizzate sullo schermo.

 

Utilizzo di dispositivi portatili

L’Incaricato al quale venga assegnato un Notebook o Tablet ne è responsabile e dovrà custodirlo con la dovuta diligenza sia durante l’utilizzo nel luogo di lavoro.

In caso di utilizzo all’esterno del luogo di lavoro, i Notebook dovranno essere custoditi con attenzione e conservati in luogo sicuro. I dispositivi portatili potrebbero essere dotati della funzione di localizzazione geografica. Tale funzionalità deve essere disattivata dall’Incaricato, salvo che tale funzione sia ritenuta necessaria dal Titolare per un migliore e/o più sicuro svolgimento dell’attività dell’Incaricato.

Ai dispositivi portatili si applicano le regole sopra indicate per i PC connessi in rete, con particolare attenzione alle disposizioni concernenti i profili di accesso (password).

Sui dispositivi portatili devono essere conservati solo i file strettamente necessari all’attività lavorativa, rimuovendo comunque, prima della restituzione, quelli elaborati ed ivi salvati.

I dispositivi portatili devono essere periodicamente aggiornati.

E’ fatto divieto di utilizzare abbonamenti Internet privati per collegarsi alla rete.

 

Utilizzo della rete internet

L’accesso alla rete Internet può essere effettuato da qualsiasi Incaricato che sia autenticato (credenziali di accesso) su una qualsiasi postazione di lavoro connessa. Il PC assegnato al singolo incaricato ed abilitato alla navigazione in Internet costituisce uno strumento aziendale utilizzabile esclusivamente per lo svolgimento della propria attività lavorativa. È quindi assolutamente proibita la navigazione in Internet per motivi diversi da quelli strettamente legati all’attività lavorativa.

L’Incaricato deve ricordare che Internet è uno strumento di lavoro e quindi che è possibile che il Titolare, per ridurre i casi di utilizzo improprio (ad esempio visione di siti non correlati all’attività lavorativa, download di file e software, uso della rete per finalità completamente estranee alla propria mansione, utilizzo di Chat e/o Social Network ecc.), può adottare misure atte ad evitare l’esercizio di un controllo a posteriori dei lavoratori. Fra queste misure si possono enumerare l’individuazione di cd. white list (composte da soli siti istituzionali, rispetto ai quali la navigazione è correlata e funzionale allo svolgimento della prestazione lavorativa) o cd. black list (composte da tutti quei siti che, oltre a non avere attinenza con il lavoro, presentano contenuti non in linea con le politiche di gestione adottate dal titolare) ovvero tramite l’impostazione di filtri sul firewall.

E’ vietato il download di software gratuiti (freeware) e shareware nonché di file video o musicali prelevati da siti Internet, salvi i casi direttamente autorizzati dal Titolare.

E’ vietata ogni forma di registrazione a siti, newsletter, blog e quant’altro assimilabile, salvi i casi direttamente autorizzati dal titolare. È vietata la partecipazione a forum, l’utilizzo di chat line, di bacheche elettroniche e le registrazioni in guest books anche utilizzando pseudonimi (o cd. nicknames) salvi i casi direttamente autorizzati dal Titolare.

È vietata l’effettuazione di ogni genere di transazione finanziaria ivi comprese le operazioni di remote banking, acquisti on-line e simili salvi i casi direttamente autorizzati dal Titolare.

Non è consentito accedere ed utilizzare la rete internet in modo difforme da quanto previsto dal presente Manuale e, ovviamente, dalle leggi penali, civili ed amministrative in materia. In ogni caso, ogni Incaricato è direttamente responsabile dell’uso del servizio di accesso ad Internet, dei siti ai quali accede, delle informazioni che immette e riceve.

Qualora un Incaricato dovesse riscontrare malfunzionamenti, guasti o situazioni di rischio per la sicurezza o l’integrità del sistema causati da comportamento doloso o comunque non conforme alle istruzioni e disposizioni è tenuto a darne immediata comunicazione al Titolare.

Gli eventuali controlli, compiuti dal titolare per il tramite di personale incaricato, potranno avvenire mediante un sistema di analisi dei contenuti (Proxy server) o mediante file di log della navigazione svolta. Il controllo sui file di log non è continuativo ed i file stessi vengono conservati non oltre un mese, ossia il tempo indispensabile per il corretto perseguimento delle finalità organizzative e di sicurezza del titolare.

Utilizzo della posta elettronica

Il sistema di posta elettronica attivato sulla rete aziendale è da intendersi quale strumento di lavoro e come tale deve essere utilizzato.

Il Titolare decide a quali Incaricati assegnare uno specifico account di posta elettronica e a quali Incaricati è consentito accedere agli account di posta elettronica aziendali (ad esempio, info@…, amministrazione@… ecc.)

L’accesso al sistema di posta elettronica è protetto dalla richiesta di autenticazione.

Le disposizioni di seguito riportate sono impartite al fine di garantire un corretto utilizzo dello strumento di posta elettronica:

all’Incaricato non è consentito servirsi dell’account fornito dal Titolare per l’invio di mail non connesse con l’attività e la mansione svolta (ad esempio mail a contenuto privato, giochi, appelli, petizioni, catene di S. Antonio, ecc.);
si deve evitare di allegare al testo delle comunicazioni materiale potenzialmente insicuro o file di dimensioni eccessive. In quest’ultimo caso si dovranno utilizzare formati compressi (zip, rar, ecc.);
nel caso di mittenti sconosciuti o di messaggi dall’oggetto insolito, è consigliata l’eliminazione senza l’apertura del messaggio. Lo stesso vale nel caso di messaggi provenienti da mittenti conosciuti che tuttavia presentano allegati con particolari estensioni (es: .exe, .scr, .pif., .bat);
nel caso in cui si debba inviare un documento all’esterno, è preferibile utilizzare un formato protetto da scrittura (es: Acrobat);
si deve evitare l’invio di mail che contengano categorie particolari di dati personali; qualora ciò sia necessario per determinate esigenze, questi devono essere inviati comunicando al richiedente un codice identificativo per ogni soggetto e trasmettendo separatamente il documento privo del nominativo dell’interessato e crittografando i file con password che dovrà essere comunicata al destinatario del messaggio per altro mezzo;
qualora il messaggio debba essere inviato a più soggetti, gli indirizzi vanno inseriti solo nel campo “CCn” per tutelare la riservatezza dei medesimi, che ricevono il messaggio conoscendo solamente il mittente;
prevedere, in caso di assenza prolungata dell’Incaricato (es: ferie), l’invio di messaggi di risposta automatica che indichino la durata dell’assenza ed il nominativo del soggetto al quale è possibile rivolgersi;
l’iscrizione a mailing list o newsletter è concessa solo per motivi strettamente professionali: prima di iscriversi è necessario verificare l’affidabilità ed ottenere l’autorizzazione del titolare;
l’intestatario dell’account ha facoltà di delegare ad altri il diritto d’accesso allo strumento in caso di assenza prolungata ai fini di garantire la continuità nell’attività lavorativa. Il fiduciario dovrà essere scelto e nominato fra i colleghi e, qualora dovesse accedere alla casella di posta della persona assente, non potrà comunque considerare i messaggi che presentino contenuto non attinente alle motivazioni per cui si effettua l’accesso;
il Titolare, l’Amministratore di sistema (qualora designato) o chi da essi incaricato, può avere accesso all’account a seguito del riscontro di situazioni che abbiano pregiudicato il funzionamento del sistema.
La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili e soprattutto allegati ingombranti.

I documenti inerenti il know-how aziendale tecnico o commerciale protetto non possono essere comunicati all’esterno senza la preventiva autorizzazione del Titolare.

 

Protezione antivirus

L’Incaricato deve tenere comportamenti tali da ridurre il rischio di attacco al sistema informatico del Titolare mediante virus o mediante ogni altro software aggressivo.

Qualora il software antivirus rilevi la presenza di un virus, l’Incaricato dovrà immediatamente:

sospendere ogni elaborazione in corso senza spegnere il computer;
segnalare l’accaduto al Titolare o all’Amministratore di sistema (qualora designato)
Non è consentito l’utilizzo di cd/dvd rom, cd/dvd riscrivibili, nastri magnetici, Pen-drive per porte USB di provenienza ignota, non verificata e/o non autorizzata.

In caso di utilizzo autorizzato dei suddetti dispositivi, si dovrà procedere alla verifica degli stessi e nel caso in cui vengano rilevate anomalie dovrà essere tempestivamente informato il titolare o l’Amministratore di sistema (qualora designato).

 

Interruzione d’ufficio del servizio

Il Titolare si riserva di sospendere temporaneamente il servizio di accesso ad Internet e alla posta elettronica nei seguenti casi:

qualora l’Incaricato non sia più dipendente o collaboratore del Titolare;
qualora si accerti un uso non corretto del servizio e degli strumenti informatici messi a disposizione;
in caso di manomissioni e/o interventi impropri su hardware/software;
in caso di diffusione o di comunicazione imputabile direttamente o indirettamente all’Incaricato relativamente a profili d’accesso o altre informazioni tecniche riservate;
accesso a directory/file/siti non rientranti fra quelli per cui l’Incaricato abbia autorizzazione.

 

Utilizzo del telefono

Il telefono è uno strumento di lavoro e come tale deve esser utilizzato. Ne viene concesso l’uso esclusivamente per lo svolgimento dell’attività lavorativa, non essendo quindi consentite comunicazioni a carattere personale o comunque non strettamente inerenti l’attività lavorativa stessa. La ricezione o l’effettuazione di telefonate personali è consentita solo nel caso di comprovata necessità ed urgenza.

I telefoni cellulari o gli smartphone affidati agli Incaricati per rendere la prestazione lavorativa sono strumenti di lavoro. Ne viene concesso l’uso esclusivamente per lo svolgimento dell’attività lavorativa. Gli Incaricati cui è assegnato un cellulare o uno smartphone aziendale sono responsabili del suo utilizzo e della sua custodia. Al cellulare aziendale e allo smartphone si applicano le medesime regole sopra previste per l’utilizzo del telefono aziendale: in particolare è vietato l’utilizzo del telefono cellulare o dello smartphone messo a disposizione per inviare o ricevere SMS o MMS di natura personale o comunque non pertinenti rispetto allo svolgimento dell’attività lavorativa.

I cellulari e gli smartphone potrebbero essere dotati della funzionalità di localizzazione geografica. Tale funzione deve essere disattivata, salvo che tale funzione sia ritenuta necessaria dal Titolare per un migliore e/o più sicuro svolgimento dell’attività dell’Incaricato.

E’ vietato effettuare il cd. Jailbreak del dispositivo e più in generale qualsiasi procedura di sblocco del device aziendale assegnato, ad esempio, per installare/utilizzare applicazioni non autorizzate.

 

ISTRUZIONI PER IL TRATTAMENTO DEI DATI IN FORMATO CARTACEO
I documenti e tutti supporti cartacei una volta terminato il ciclo lavorativo, sono ordinatamente raccolti in apposite cartelle, schedari, archivi, situati in armadi e locali ad accesso consentito solo al personale autorizzato e debitamente chiusi a chiave.

I supporti cartacei, ivi inclusi quelli contenenti dati particolari (sensibili), vengono ordinatamente raccolti in cartelle, per essere archiviati una volta terminato il ciclo lavorativo, come segue:

in archivio dati di natura comune relative a clienti e fornitori
in archivio di cartelle relative ai Dipendenti ed agli Interessati di cui si trattano dati particolari, in armadi/schedari/locali chiusi a chiave ed accessibili solo al personale autorizzato.
I documenti contenenti dati personali trattati senza l’ausilio di strumenti elettronici non devono essere portati al di fuori dei locali individuati per la loro conservazione se non in casi del tutto eccezionali, e nel caso questo avvenga, l’asportazione deve essere ridotta al tempo minimo necessario per effettuare le operazioni di trattamento.

Per tutto il periodo in cui i documenti contenenti dati personali trattati senza l’ausilio di strumenti elettronici sono al di fuori dei locali individuati per la loro conservazione, l’Incaricato del trattamento non dovrà lasciarli mai incustoditi o abbandonati.

L’Incaricato del trattamento deve inoltre controllare che i documenti contenenti dati personali, composti da numerose pagine o più raccoglitori, siano sempre completi e integri.

Al termine dell’orario di lavoro, l’Incaricato del trattamento deve riportare tutti i documenti contenenti dati personali, nei locali individuati per la loro conservazione.

I documenti contenenti dati personali trattati senza l’ausilio di strumenti elettronici non devono essere mai lasciati incustoditi sul tavolo durante l’orario di lavoro.

Si deve adottare ogni cautela affinché ogni persona non autorizzata, possa venire a conoscenza del contenuto di documenti contenenti dati personali trattati senza l’ausilio di strumenti elettronici.

Per evitare il rischio di diffusione dei dati personali trattati senza l’ausilio di strumenti elettronici, si deve limitare l’utilizzo di copie fotostatiche.

Particolare cautela deve essere adottata quando i documenti sono consegnati in originale a un altro incaricato debitamente autorizzato;

Documenti contenenti dati personali sensibili o dati che, per una qualunque ragione siano stati indicati come meritevoli di particolare attenzione, devono essere custoditi con molta cura.

E’ inoltre tassativamente proibito utilizzare copie fotostatiche di documenti (anche se non perfettamente riuscite) all’esterno del posto di lavoro, né tantomeno si possono utilizzare come carta per appunti.

Quando i documenti devono essere portati al di fuori dei locali individuati per la loro conservazione o addirittura all’esterno del luogo di lavoro, l’Incaricato del trattamento deve tenere sempre con sé la cartella o la borsa, nella quale i documenti sono contenuti.

L’incaricato del trattamento deve inoltre evitare che un soggetto terzo non autorizzato al trattamento possa esaminare, anche solo la copertina del documento in questione.

E’ proibito discutere, comunicare o comunque trattare dati personali per telefono, se non si è certi che il destinatario sia un incaricato autorizzato a potere trattare i dati in questione.

Si raccomanda vivamente di non parlare mai ad alta voce, trattando dati personali per telefono, soprattutto utilizzando apparati cellulari, in presenza di terzi non autorizzati, per evitare che i dati personali possano essere conosciuti da terzi non autorizzati, anche accidentalmente.

Queste precauzioni diventano particolarmente importanti, quando il telefono è utilizzato in luogo pubblico od aperto al pubblico.

I documenti ed i supporti cartacei da eliminare vengono triturati utilizzando apposito macchinario distruggi-carta, in modo da non essere leggibili.

E’ vietato:

effettuare copie fotostatiche o di qualsiasi altra natura, non autorizzate dal Titolare del trattamento, di stampe, tabulati, elenchi, rubriche e di ogni altro materiale riguardante i dati oggetto del trattamento;
sottrarre, cancellare, distruggere senza l’autorizzazione del Titolare del trattamento, stampe, tabulati, elenchi, rubriche e ogni altro materiale riguardante i dati oggetto del trattamento.
consegnare a persone non autorizzate dal Titolare del trattamento, stampe, tabulati, elenchi, rubriche e di ogni altro materiale riguardante i dati oggetto del trattamento.

 

FORMAZIONE
Il Titolare provvede affinché tutti i Dipendenti siano adeguatamente informati sui controlli di sicurezza del sistema informatico relativi al loro lavoro quotidiano. I Dipendenti coinvolti nel trattamento dei dati personali sono adeguatamente informati e formati sul corretto trattamento dei dati personali.

Nel caso di novità normative, modificazioni delle misure tecniche/organizzative o introduzione di nuovi trattamenti, il Titolare provvedere ad aggiornare tempestivamente i Soggetti Autorizzati al trattamento specificamente coinvolti.

La formazione periodica effettuata viene documentata.

 

CONTROLLI E SANZIONI DISCIPLINARI

Sono interdetti al datore di lavoro controlli del personale dipendente effettuati in maniera diretta, prolungata, costante o indiscriminata (art. 4, Statuto dei lavoratori, l. 300/1970). Ciò premesso, oltre che per motivi di sicurezza del sistema informatico, anche per motivi tecnici e/o manutentivi (ad esempio, aggiornamento/sostituzione/implementazione di programmi, manutenzione hardware, etc.) o per finalità di controllo e programmazione dei costi aziendali (ad esempio, verifica costi di connessione a internet, traffico telefonico, etc.), comunque estranei a qualsiasi finalità di controllo diretto dell’attività lavorativa, è facoltà del titolare tramite gli addetti alla manutenzione, accedere direttamente, nel rispetto della normativa sulla privacy, a tutti gli strumenti informatici aziendali e ai documenti ivi contenuti, nonché ai tabulati del traffico telefonico.

Il Titolare può avvalersi di sistemi controllo relativi al corretto utilizzo degli strumenti informatici messi a disposizione dei propri collaboratori e dipendenti che consentano indirettamente un controllo a distanza sull’effettivo adempimento della prestazione lavorativa: tali controlli saranno effettuati qualora le misure minime preventivamente esposte non siano state sufficienti per evitare comportamenti anomali.

I controlli saranno svolti con gradualità, secondo i principi di pertinenza e non eccedenza.

Di seguito si espongono le modalità di esercizio di tali controlli: in prima battuta si effettuerà un controllo preliminare su dati anonimi ed aggregati; si procederà pertanto con verifiche di ufficio o gruppo di lavoro, in modo da individuare l’area da richiamare all’osservanza delle regole prestabilite.

Il controllo anonimo può dare atto ad un avviso di rilevazione di un utilizzo inadeguato degli strumenti aziendali; contestualmente si diramerà una nota di richiamo invitando tutti i dipendenti e collaboratori ad attenersi ai compiti e alle mansioni impartite tenuto conto del dovere di conformarsi alle presenti regole.

Se si dovesse ripetere l’anomalia sarà facoltà della società procedere con controlli mirati, anche su base individuale, e successivamente, in caso di infrazioni, adottare sanzioni disciplinari.

L’adozione delle sanzioni disciplinari avverrà a norma dell’art. 2106 c.c. del codice civile, dell’art. 7 dello statuto dei lavoratori (legge 300/1970), del CCNL e del relativo codice disciplinare vigente.

I dati contenuti nei file di log, relativi agli accessi ad Internet e al traffico telematico, possono essere conservati per il tempo strettamente necessario al perseguimento di finalità organizzative, produttive e di sicurezza. I file di log potranno essere utilizzati in tali casi:

a) produzione di report statistici che presentino i dati relativi alla navigazione in forma aggregata e anonima;

b) per l’analisi dei problemi riscontrati nel sistema e soluzione dei medesimi, estraendo i dati in modo aggregato e in forma anonima.

Oltre al rispetto del presente regolamento è fatto obbligo di attenersi scrupolosamente alle disposizioni in materia di trattamento dati personali e alle relative misure di sicurezza, come indicate nella lettera di designazione di incaricato del trattamento e nel materiale formativo messo a disposizione di ciascun collaboratore e dipendente osservando con attenzione le prescrizioni del Reg. UE 2016/679.

Ciascun incaricato assume la piena responsabilità nel merito dell’osservanza del modello organizzativo, delle misure di sicurezza, delle indicazioni fornite dall’amministratore di sistema o dal responsabile per la protezione dei dati, se designato.

Ciascun incaricato è tenuto a mantenere un costante flusso informativo con il responsabile per la protezione dei dati personali, segnalando a quest’ultimo ogni eventuale criticità o violazione sul sistema di sicurezza adottato

L’utilizzo non corretto degli strumenti informatici potrebbe esporre l’organizzazione ad aumentare il proprio livello di rischio in merito a minacce, accessi non autorizzati alle informazioni, furti e divulgazioni di informazioni di tipo riservato. Il presente Manuale è adottato per assicurare il corretto impiego ed utilizzo degli strumenti informatici, quali personal computer fissi e portatili, dispositivi mobili, posta elettronica, internet da parte degli incaricati. Le informazioni qui contenute fanno riferimento alle indicazioni del provvedimento generale del Garante per la protezione dei dati personali di data 1 marzo 2007, n. 13 (“Lavoro: le linee guida del Garante per posta elettronica e internet”, G.U. n. 58 del 10 marzo 2007) ed è stato redatto tenendo conto gli obblighi di “adeguata informazione” nonché delle indicazioni del regolamento UE n. 2016/679 che costituiscono parte integrante dell’informativa rilasciata agli incaricati.