Politica Privacy 2020
Policy “Adempimenti privacy”
1. Scopo e campo di applicazione
Scopo della presente policy è descrivere i principi e criteri generali a cui si deve ispirare l’azienda in materia di privacy nonché le modalità gestionali ed operative relative agli adempimenti connessi alla tutela dei dati personali a cui devono attenersi tutti coloro che a vario titolo possono essere coinvolti in trattamenti di dati personali.
Principio fondamentale a cui l’ASD BACINO AGNO CHIAMPO (di seguito anche la “Società”) intende attenersi in tutte le proprie attività è il rispetto, completo, sin dall’origine e di default, dei criteri di tutela del trattamento dei dati personali relativi sia a tutto il personale e sia dei soggetti terzi che a vario titolo possono interagire con la Società, secondo quanto previsto dalla normativa vigente in materia di privacy. la Società si è riproposta pertanto di adottare quelle misure, normative, organizzative e tecniche, che appaiano idonee ad assicurare, tenuto conto del contesto in cui la Società opera, la compliance alle norme nazionali e comunitarie.
Ai fini del corretto espletamento degli adempimenti richiesti dal Regolamento UE 679/2016 “Regolamento generale sulla protezione dei dati” (di seguito anche “GDPR” o “Regolamento”) ha predisposto un modello organizzativo che prevede il coinvolgimento dei seguenti soggetti:
il Titolare del trattamento, in persona del legale rappresentante della Società, cui compete la responsabilità delle scelte e delle decisioni relative alle misure da attuare per garantire la conformità alla normativa nonché la responsabilità del controllo sulla loro efficacia e sul loro rispetto da parte degli operatori;
il Referente interno, dipendente dello studio a cui sono affidati i compiti: di curare sotto il profilo operativo l’attuazione ed il rispetto di tutti i principi, le norme e le disposizioni che sono state ritenute dal Titolare parte integrante di questa policy e del modello organizzativo interno; di verificare nel continuo che le istruzioni impartite dal Titolare siano conosciute, comprese ed eseguite; di relazionare al Titolare in merito al livello di conformità con la normativa privacy, evidenziando eventuali criticità o necessità di intervento;
gli Autorizzati al trattamento, ossia le persone fisiche incaricate per iscritto dal Titolare di compiere le operazioni di trattamento e che operano sotto la sua diretta autorità, attenendosi alle istruzioni agli stessi impartite;
i Responsabili del trattamento, che sono coloro (persona fisica o giuridica, autorità pubblica, servizio o altro organismo) che trattano dati personali per conto del titolare del trattamento: la Società, anche attraverso appositi contratti con gli outsourcer, nominati responsabili del trattamento, garantisce che i dati personali oggetto di trattamento siano dai medesimi trattati in conformità a quanto previsto dal Regolamento e dalla normativa nazionale.
2. Contenuto
Si precisa che nella presente policy per le definizioni si fa riferimento a quelle riportate all’art. 4 del Regolamento.
Nomina degli Incaricati
la Società, con apposite lettere di designazione ha nominato quali “Incaricati” al trattamento dei dati personali della Società stessa, i dipendenti che ricoprono le funzioni di: operation manager, limitatamente ai dati personali di pertinenza della relativa area di competenza e conformemente alle mansioni assegnate.
Agli incaricati sono state fornite istruzioni generali sul trattamento dei dati personali, che attengono ai seguenti principi:
i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (principio di minimizzazione);
esatti e, se necessario, aggiornati;
conservati in una forma che consenta l’identificazione dell’interessato per un arco di tempo necessario non superiore al conseguimento delle finalità per le quali sono trattati;
trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita o distruzione.
Sono state inoltre impartite ulteriori specifiche disposizioni:
dovere di procedere ad una classificazione dei dati, al fine di distinguere quelli “particolari” e “giudiziari”, per garantire la sicurezza dei quali occorrono maggiori cautele, rispetto a quanto è previsto per i dati di natura comune;
obbligo di custodire con cura i documenti (cartacei e/o digitali) contenenti dati personali, non consentendone l’accesso o la disponibilità a soggetti non autorizzati, provvedendo all’archiviazione osservando metodi sicuri (in armadi chiusi per i cartacei, per i digitali secondo le migliori procedure adottate in azienda atte a proteggere i sistemi informativi e i data base), vigilando anche sui supporti rimuovibili contenenti dati personali;
divieto di procedere alla comunicazione di dati a terzi se non per l’espletamento delle specifiche mansioni attribuite e comunque dietro apposita autorizzazione, garantendo il proprio impegno alla riservatezza in forza di specifici obblighi legali o contrattuali;
obbligo di segnalare immediatamente al Titolare del trattamento la violazione di dati personali di cui si sia venuti a conoscenza o di cui si abbia il sospetto;
dovere di aggiornarsi e di seguire con diligenza e consapevolezza le sessioni di formazione ed informazione stabilite dal Titolare sulla normativa in materia, sulle misure di sicurezza e sui rischi esistenti.
Coloro che sono preposti alla custodia dei dati personali dei lavoratori, sono stati specificamente incaricati di tale trattamento, dopo essere stati edotti delle peculiari cautele da adottare nel trattamento dei dati personali, anche di natura particolare, dei dipendenti.
In dettaglio il Titolare del trattamento ha disposto che:
i. i dati di natura “sensibile” dei lavoratori devono essere conservati separatamente da ogni altro dato personale dell’interessato, anche nel caso del fascicolo personale cartaceo;
ii. gli incaricati sono stati richiamati alla scrupolosa osservanza del segreto d’ufficio;
iii. devono essere attuate modalità di trasmissione elettronica di dati personali dei lavoratori tali da assicurare che gli stessi non possano essere acquisiti o riprodotti da soggetti non autorizzati (es: invio delle buste paga da parte del consulente del lavoro con file apribile con password);
iv. le comunicazioni personali riferibili esclusivamente a singoli lavoratori devono essere trasmesse con modalità che escludano che terzi ne vengano a conoscenza.
Le lettere di designazione degli incaricati vengono raccolte in modo ordinato e periodicamente, con cadenza almeno annuale, si procede a verificare l’ambito dei dati cui gli incaricati sono autorizzati ad accedere e dei trattamenti che sono autorizzati a porre in essere, per valutare la sussistenza delle condizioni che giustificano tali autorizzazioni. In caso di modifica della struttura organizzativa o di ampliamenti dell’organico vengono analizzate le posizioni al fine di individuare quelle che comportano trattamenti di dati personali e se del caso si effettuano nuove nomine di incaricato.
Nomina dei Responsabili del trattamento
La Società ha provveduto alla nomina, ai sensi dell’art. 28 del Regolamento UE 679/2016 dei Responsabili del trattamento, individuando come tali quei soggetti “esterni”, siano essi società o imprese individuali, che prestano servizi a ASD BACINO AGNO CHIAMPO e che, in ragione della particolare natura e caratteristiche del servizio prestato, trattano dati personali per conto del Titolare del trattamento. A tale scopo è stato predisposto un format di nomina, secondo le prescrizioni del Regolamento, da utilizzarsi per tutti i soggetti che, ad esito della verifica circa la loro idoneità a garantire in modo sufficiente la conformità del loro sistema organizzativo e informatico alle previsioni del GDPR, dovessero essere considerati Responsabili del trattamento. La nomina deve essere accettata dal Responsabile per costituire un valido atto giuridico.
I nominativi dei Responsabili del trattamento dei dati, quali individuati e nominati alla data dell’approvazione della policy, sono stati inseriti in un apposito elenco da aggiornare di volta in volta, conservato e a disposizione degli interessati presso la sede della Società.
Nomina degli Amministratori di sistema
La Società ha provveduto ad individuare l’Amministratore di Sistema, designato dal Titolare per iscritto con elencazione analitica degli ambiti di operatività consentita in base al profilo di autorizzazione assegnato.
A tale soggetto, incaricato della gestione e manutenzione del sistema informativo viene prescritto in ogni caso di non effettuare alcun trattamento sui dati personali contenuti negli strumenti elettronici, fatta unicamente eccezione per i trattamenti di carattere temporaneo strettamente necessari per effettuare la gestione o manutenzione del sistema.
Informativa agli interessati
Ai sensi dell’art. 13 del Regolamento UE 679/2016, i soggetti ai quali la Società in relazione allo svolgimento dell’attività tipica, deve rendere l’informativa sono i seguenti:
i dipendenti, i collaboratori e i candidati all’assunzione;
i clienti persone fisiche o le persone fisiche all’interno di clienti persone giuridiche con cui si hanno contatti e di cui si trattano dati personali;
i fornitori persone fisiche o loro dipendenti di cui si trattano i dati.
I testi delle informative, diverse in relazione alle differenti finalità del trattamento per le quali i dati sono raccolti, sono stati predisposti con l’ausilio di un consulente e verranno modificati, su disposizione del Titolare del trattamento, qualora mutassero le finalità della raccolta.
In relazione alle caratteristiche dell’attività della Società, che ha i primi contatti con i propri clienti generalmente via e-mail, poiché l’obbligo di rendere l’informativa deve essere assolto al momento della raccolta dei dati degli interessati, è stata predisposta un’informativa sintetica, da apporre quale seguito necessario della firma nelle mail degli incaricati, che rinvia all’informativa completa messa a disposizione degli interessati
Qualora venisse avanzata richiesta di avere via mail il testo dell’informativa, gli incaricati sono tenuti a provvedere immediatamente. A consulenti e fornitori, qualora non fossero già intercorse comunicazioni mail, l’informativa è resa al momento della stipula del contratto di fornitura di beni o servizi.
Ai dipendenti e collaboratori l’informativa è fornita all’atto dell’assunzione, ai candidati al primo colloquio di lavoro.
Il soggetto che raccoglie dati dall’interessato è tenuto a verificare scrupolosamente la corrispondenza dei dati forniti da quest’ultimo con quelli eventualmente già registrati negli archivi la Società e a provvedere al loro tempestivo aggiornamento in caso di modifiche intervenute.
Qualora i dati personali degli interessati non siano stati acquisti direttamente presso gli stessi, ma presso soggetti terzi, occorrerà inviare, al più tardi entro 30 giorni dall’acquisizione dei dati, l’informativa integrata con i dati ulteriori richiesti dall’art. 14 del GDPR (art. 14 lettera f): la fonte da cui hanno origine i dati personali).
Conservazione dei dati
I dati personali saranno conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti.
I dati che devono essere archiviati per obbligo di legge verranno cancellati soltanto successivamente al termine previsto dalla normativa di riferimento.
I dati relativi a contratti o rapporti di lavoro vengono conservati per un periodo di 10 anni successivo alla fine del contratto o del rapporto, in relazione alle norme di legge in tema di prescrizione, per consentire a ASD BACINO AGNO CHIAMPO la difesa dei propri diritti.
Per quanto concerne i restanti dati, come a titolo esemplificativo ma non esaustivo, i curricula dei candidati all’assunzione, vengono cancellati nel termine di 12 mesi dalla data di inizio del trattamento.
Diritti dell’interessato
Ai sensi dell’art. 12 del Regolamento la Società deve porre in atto misure volte ad agevolare l’esercizio dei diritti di cui agli articoli da 15 a 22 da parte dell’interessato, e quindi del diritto di accesso, di rettifica, diritto alla cancellazione, alla limitazione del trattamento, alla portabilità del dato, diritto di opposizione, diritto di non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato.
Pertanto l’interessato può proporre le relative istanze senza formalità al Titolare del trattamento, anche per il tramite degli incaricati del trattamento. La richiesta può essere inoltrata dall’interessato mediante lettera raccomandata o posta elettronica.
Il Titolare del trattamento deve fornire all’interessato le informazioni in merito alla richiesta entro un mese dal ricevimento della richiesta stessa o, se ne ricorrono le circostanze, nel maggior termine previsto dall’art. 12, comma 3 del Regolamento. Pertanto chiunque riceva la richiesta deve immediatamente informare il Referente interno il quale provvede ad istruire la pratica ed il riscontro all’interessato. Qualora manchino uno o più elementi nella richiesta contatta l’interessato (per iscritto o telefonicamente), al fine di completarla e renderla ammissibile. Se del caso individua l’eventuale competente Responsabile incaricato del trattamento e chiede la sua assistenza ai sensi di quanto previsto nell’atto di nomina a Responsabile.
Il Referente dà seguito alle richieste dall’interessato e predispone apposita risposta in cui è confermato l’accoglimento dell’istanza ed il tipo di operazioni effettuate sui dati personali. La lettera è sottoposta alla firma del Titolare del Trattamento o inviata tramite PEC.
Se non ottempera alla richiesta dell’interessato, la Società informa l’interessato, tramite raccomandata con ricevuta di ritorno o PEC, dei motivi sottostanti all’inottemperanza nonché della possibilità per l’interessato di proporre reclamo al Garante oppure avanti l’autorità giudiziaria.
Misure di sicurezza
Protezione di aree e locali. I locali in cui sono conservati i dati personali trattati sono accessibili solo ai soggetti che vi svolgono stabilmente l’attività lavorativa. L’eventuale accesso di terzi (clienti, fornitori, personale che svolge interventi di manutenzione, ecc.) avviene sempre durante l’orario di apertura degli uffici e sotto il controllo diretto di uno degli incaricati. Le porte di accesso delle stanze delle postazioni di lavoro, gli armadi, i cassetti in cui sono conservati i dati personali, sia quelli trattati su supporto cartaceo che quelli trattati su supporto informatico, sono dotati di serrature. Le chiavi di stanze e contenitori chiusi vengono idoneamente custodite
Gli uffici sono dotati di estintori regolarmente controllati, al fine di contrastare inizi di incendi.
Utilizzo dei Personal Computer Il Personal Computer affidato al dipendente è uno strumento di lavoro. Ogni utilizzo non inerente all’attività lavorativa può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza.
L’accesso al PC è protetto da password che deve essere custodita dall’incaricato con la massima diligenza e non divulgata. L’incaricato ha l’obbligo di non lasciare incustodito e accessibile lo strumento elettronico, durante una sessione di trattamento, neppure in ipotesi di breve assenza. Non è consentito installare autonomamente programmi provenienti dall’esterno salvo previa autorizzazione del Titolare, in quanto sussiste il grave pericolo di apportare virus informatici e di alterare la stabilità delle applicazioni dell’elaboratore. Non è consentito l’uso di programmi diversi da quelli distribuiti ed installati ufficialmente dall’azienda. L’inosservanza di questa disposizione, infatti, oltre ad esporre la Società al rischio di gravi responsabilità civili ed anche penali in caso di violazione della normativa a tutela dei diritti d’autore sul software (D. Lgs. 518/92 sulla tutela giuridica del software e L. 248/2000 nuove norme di tutela del diritto d’autore) può causare danneggiamenti del sistema per incompatibilità con il software esistente.
Ogni utente deve prestare la massima attenzione ai supporti di origine esterna, avvertendo immediatamente il Referente interno nel caso in cui vengano rilevati virus, in quanto potrebbero causare la perdita o distruzione o alterazione di dati personali.
Nell’ipotesi di interventi di manutenzione o di riparazione dell’elaboratore in dotazione, come la sostituzione del disco fisso, i dati stessi devono essere preventivamente cancellati dall’utente in modo che risulti tecnicamente impossibile il recupero dei dati stessi.
Utilizzo Cellulare
Il cellulare aziendale è uno strumento di lavoro. Ogni utilizzo non inerente all’attività lavorativa può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza.
L’accesso al cellulare è protetto tramite sistema biometrico e da codice di accesso che deve essere custodito dall’incaricato con la massima diligenza e non divulgato. L’incaricato ha l’obbligo di non lasciare incustodito e accessibile lo strumento elettronico, durante una sessione di trattamento, neppure in ipotesi di breve assenza
Autenticazione informatica e gestione delle password. Non è ammesso che due o più incaricati possano accedere agli strumenti elettronici utilizzando le medesime credenziali. E’ inoltre prevista la disattivazione delle credenziali di autenticazione: immediatamente, nel caso in cui l’incaricato perda la posizione che gli consentiva di accedere allo strumento; in ogni caso di lunga assenza, entro sei mesi di mancato utilizzo. Le password di ingresso alla rete, di accesso ai programmi e dello screen saver, sono previste ed attribuite dall’amministratore di sistema. È necessario procedere alla modifica della password a cura dell’incaricato del trattamento al primo utilizzo e, successivamente, almeno ogni tre mesi. Le password sono composte da almeno otto caratteri, non contengono la user-id, e soddisfano almeno 3 di queste condizioni: contenere almeno un carattere maiuscolo; contenere almeno un carattere minuscolo; contenere almeno un numero; contenere almeno un carattere speciale. Gli incaricati nell’elaborazione delle password devono seguire l’accorgimento che le stesse non contengano riferimenti agevolmente riconducibili all’utente medesimo.
Credenziali di autorizzazione. In relazione alle limitate dimensioni della struttura del titolare, tenuto conto che gli incaricati trattano, per la maggior parte, i medesimi dati, non sono stati previsti profili di autorizzazione distinti, salvo che per l’incaricato che tratta i dati del personale.
Protezione di server e computer e Backup dei dati. E’ previsto un sistema di backup dei dati presenti sul database in hosting su più sistemi di salvataggio in cloud al fine di garantire la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico.
Videosorveglianza. È presente un sistema di videosorveglianza presso il che protegge gli accessi e il perimetro di pertinenza della struttura. Tutto il personale sarà messo a conoscenza dell’installazione del sistema di videosorveglianza, a mezzo di un documento scritto.
Formazione
Sono considerati necessari interventi formativi degli incaricati del trattamento, finalizzati a renderli edotti dei seguenti aspetti: 1) profili della disciplina sulla protezione dei dati personali, che appaiono più rilevanti per l’attività svolta dagli incaricati, e delle conseguenti responsabilità che ne derivano; 2) rischi che incombono sui dati; 3) misure disponibili per prevenire eventi dannosi; 4) conoscenza delle misure di sicurezza adottate dal Titolare.
la Società programma corsi periodici di formazione per il personale, differenziati in relazione anche all’ambito di trattamenti per i quali i dipendenti sono nominati incaricati, ai quali le risorse sono tenute a partecipare. Tali interventi formativi sono previsti in particolare:
• al momento dell’ingresso in servizio o della nomina ad incaricato del trattamento;
• in occasione di cambiamenti di mansioni, che implichino modifiche rilevanti rispetto al trattamento di dati personali;
• in occasione della introduzione di nuovi significativi strumenti, che implichino modifiche rilevanti nel trattamento di dati personali.
Data Breach
Ai sensi dell’articolo 33 del Regolamento, la Società deve porre in essere precisi adempimenti nel caso in cui vi sia una violazione dei dati personali dalla stessa trattati.
La normativa prevede che il Titolare del trattamento, una volta venuto a conoscenza di una violazione di dati personali oggetto di trattamento, deve tempestivamente e ove possibile entro 72 ore, informare il Garante della privacy, attraverso l’invio di una raccomandata con ricevuta di ritorno o un messaggio di posta elettronica certificata, della violazione avvenuta.
La comunicazione inviata deve contenere almeno le informazioni previste dall’art. 33, comma 3 e quindi:
descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
comunicare il nome e i dati di contatto del responsabile della protezione dei dati, se nominato, o di altro punto di contatto presso cui ottenere più informazioni;
descrivere le probabili conseguenze della violazione dei dati personali;
descrivere le misure adottate o di cui si propone l’adozione da parte del Titolare per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare possibili effetti negativi.
Pertanto, chiunque all’interno della Società abbia notizia o anche solo il sospetto che vi sia stata una violazione di dati personali deve immediatamente informare il Referente interno, il quale provvede ad indire una riunione a cui vengono invitati a partecipare, oltre al Referente interno, il legale rappresentante della Società il consulente IT, il soggetto che ha riscontrato la violazione, l’eventuale diverso incaricato nella cui area di competenza si è verificato il fatto, l’eventuale Responsabile del trattamento che, in ragione del trattamento di dati personali effettuati per conto del Titolare, abbia informazioni a riguardo.
Assunte tutte le informazioni necessarie, e valutata la situazione quale risultante dall’analisi svolta, di cui viene redatto sintetico verbale, il Titolare del trattamento decide se si debba inoltrare la notifica al Garante privacy, tenuto conto che ai sensi dell’art. 33, comma 1, l’obbligo di non inoltrare la notifica al Garante privacy sussiste qualora “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.
Qualora il Titolare ritenga che la violazione possa comportare gravi rischi per i diritti e le libertà delle persone fisiche, oltre a disporre la notifica al Garante Privacy deve altresì comunicare, senza ingiustificato ritardo, la violazione all’interessato, in conformità alle disposizioni dell’art. 34 del Regolamento, che prevede anche i casi di esenzione.
Le eventuali notifiche e comunicazioni intercorse devono essere appositamente archiviate a cura del Referente interno. Inoltre lo stesso, ha il compito di documentare e archiviare in un apposito registro qualsiasi violazione dei dati personali (anche se non hanno dato origine a nessuna notifica) indicando le relative circostanze, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
Valutazione d’impatto sulla protezione dei dati
Ai sensi dell’articolo 35 del Regolamento, la Società, qualora un tipo di trattamento “allorché prevede in particolare l’uso di nuove tecnologie, considerata la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” prima di poter effettuare il trattamento dei dati, deve effettuare una valutazione d’impatto sulla protezione dei dati (DPIA). Pertanto in occasione di ogni nuovo trattamento, il Titolare del trattamento, effettua le sue valutazioni secondo questo schema
Laddove ritenuta necessaria la DPIA dovrà essere effettuata dal Titolare del trattamento con l’ausilio del software open source in lingua italiana “PIA – Privacy Impact Assessment” rilasciato dall’autorità garante francese, la cui versione italiana è stata fatta in collaborazione con il Garante della privacy italiano, e scaricabile all’indirizzo:
https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
L’utilizzo di tale software non deve essere considerato come uno schema assoluto e se del caso dovrà essere integrato in ragione delle tipologie di trattamento esaminate.
Se l’esito della valutazione d’impatto sulla protezione dei dati dovesse fare emergere un rischio elevato, in assenza di misure adottate dalla Società per attenuare tale rischio, allora il Titolare del trattamento consulta il Garante della Privacy, fornendo le informazioni di cui all’art. 36, comma 3, del GDPR. In caso di risposta positiva da parte del Garante il Titolare del trattamento procede ad autorizzare il trattamento dei dati. In caso di parere negativo, invece, si astiene dal trattamento o pone in essere gli accorgimenti o le misure richieste dal Garante stesso.
Registro delle attività di trattamento
Studio, pur non trovandosi in una delle condizioni che lo rendono obbligatorio, ha deciso di istituire ai sensi dell’articolo 30 del Regolamento un Registro dei trattamenti. Tale registro viene tenuto in forma scritta, in formato elettronico. Il Referente interno è responsabile dalla corretta tenuta e alimentazione del registro secondo le disposizioni contenute all’articolo 30, comma 1, del Regolamento.
In particolare nel registro andranno inserite almeno le seguenti informazioni:
il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
le finalità del trattamento;
una descrizione delle categorie di interessati e delle categorie personali di dati;
le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 del GDPR, la documentazione delle garanzie adeguate;
ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1, del GDPR.
Il registro deve essere alimentato: 1) al momento della sua instaurazione; 2) alla eventuale variazione dei campi del registro; 3) alla definizione di nuove tipologie di trattamento.
Data Protection Officer
La nomina del Data Protection Officer (DPO) è prevista dall’art. 37 del GDPR quale obbligo, oltre che per le autorità pubbliche od organismi pubblici, per i Titolari che effettuino trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala ovvero trattino, sempre su larga scala, categorie particolari di dati personali (previsti agli artt. 9 e 10 del Regolamento, cioè i “dati particolari”, e i dati c.d. “di carattere giudiziario”). Ad oggi il Titolare del trattamento ha ritenuto di non rientrare in alcuno dei casi previsti e pertanto ha stabilito di non nominare un Responsabile della Protezione dei dati, riservandosi di rivedere tale scelta qualora dovessero mutare le situazioni di fatto che hanno condotto a tale decisione.
Qualora in futuro si ritenesse di dover effettuare tale nomina, la Società effettuerà le valutazioni e le analisi per individuare un soggetto avente tutte le caratteristiche richieste dall’art. 37, comma 5, del GDPR.
Presidi da attuare in occasione di eventuali ispezioni, verifiche o accertamenti.
Nel caso in cui la Società sia oggetto di ispezione, di verifica o di richiesta di accertamento da parte del Garante della Privacy, si specificano, quali ulteriori e specifici presidi di controllo, le seguenti modalità:
a) il soggetto incaricato di intrattenere rapporti con il Garante della Privacy o suoi delegati è il Titolare del trattamento dei dati, in persona del legale rappresentante dello studio, il quale può farsi supportare dal Referente interno, ed eventualmente anche da un consulente esterno;
b) deve essere fornita da parte di tutta la struttura aziendale la massima e trasparente collaborazione agli ispettori e deve essere tenuta evidenza degli incontri avvenuti con il Garante o con suoi delegati, delle richieste dagli stessi ricevute e della documentazione consegnata;
Il presente documento viene sottoscritto dal Titolare del trattamento, in persona del legale rappresentante, e conservato in originale presso la sede della Società medesima, unitamente alle nomine con istruzioni firmate per accettazione dai destinatari, per essere esibito in caso di controlli.
Alla presente policy saranno via via uniti i documenti che costituiscono e/o costituiranno in futuro integrazione ed aggiornamento del presente atto, necessari a dimostrare la conformità alle norme e, inoltre, per garantire la protezione dei dati sin dalla fase di ideazione e progettazione di un trattamento, in un’ottica di rispetto dei principi di “privacy by design” e “privacy by default”, e per assicurare che, attraverso un monitoraggio puntuale, le disposizioni interne siano sempre adeguate alle norme in vigore e/o ai cambiamenti nell’organizzazione della Società o della sua operatività.
Una copia della presente policy potrà essere consegnata:
• ai responsabili esterni del trattamento dei dati personali
• a chiunque ne faccia richiesta, in relazione all’instaurarsi di un rapporto che implichi un trattamento congiunto di dati personali.