fbpx

INTRODUZIONE

Il presente Regolamento sulla privacy è uno strumento di applicazione del Decreto Legislativo 30 giugno 2003, n. 196 (il cosiddetto “Codice sulla privacy”) nell’ambito dell’organizzazione aziendale.

Come già nel 1995 (con la Direttiva 95/46) la Commissione europea si è attivata per una riforma che garantisse un quadro coerente e un sistema complessivamente armonizzato della disciplina all’interno dell’UE e, nel gennaio 2012, ha presentato ufficialmente il “pacchetto protezione dati”, l’insieme normativo che definisce un quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell’UE.

Dopo il lungo iter di approvazione, il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali 2016/679 e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.

Il Regolamento, vigente 20 giorni dopo la pubblicazione in GUUE, è divenuto definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del Regolamento.

Il Regolamento europeo, che mira principalmente ad adeguare le norme di protezione dati ai cambiamenti determinati dall’incessante evoluzione delle tecnologie, “porta grandi novità sul piano della tutela dei diritti e degli strumenti previsti per responsabilizzare maggiormente le imprese stabilendo, al contempo, significative semplificazioni“…soprattutto raggiunge l’ambizioso obiettivo di assicurare una disciplina uniforme ed armonizzata tra tutti gli Stati membri, eliminando definitivamente le numerose asimmetrie che si erano create nel tempo”, come spiega il Garante.

Il nuovo Regolamento europeo lascia gli Stati membri liberi di adattare, quando possibile, i principi e le disposizioni previste con quelli applicati nei singoli Stati e rinnova alla luce delle nuove istanze, soprattutto tecnologiche, i consolidati principi che avevano portato all’adozione della direttiva 95/46/UE e ne introduce di nuovi.

Il Regolamento Europeo sulla protezione dei dati nel seguito: GDPR) offre una maggiore tutela alle persone fisiche e rende le aziende più responsabili nell’uso dei dati personali, rappresenta lo sviluppo più importante di questo secolo nella legislazione alla protezione dei dati.

 

Il diritto alla privacy è un vero e proprio diritto inviolabile della persona che non si limita alla tutela della riservatezza o alla protezione dei dati, ma implica il pieno rispetto dei diritti e delle libertà fondamentali e della dignità.

Per questi motivi la cultura della privacy necessita di crescere e rafforzarsi, perché solo con la conoscenza minima dei principi fondamentali che stanno alla base della vigente normativa potranno essere adottati correttamente tutti gli adempimenti di legge, nel trattamento di dati di competenza, con la consapevolezza di non affrontare un inutile gravame, bensì di contribuire concretamente al miglioramento della qualità del rapporto con l’utenza.

 

 

OGGETTO

Il presente regolamento privacy (nel seguito: Regolamento) contiene le disposizioni in materia di riservatezza dei dati personali adottate da MAKAILE di Vommaro Lisa (di seguito anche “MAKAILE”) al fine di adeguare l’organizzazione interna a quanto stabilito dal GDPR.

 

FINALITÀ

La Società garantisce che il trattamento dei dati si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati.

La tutela dei predetti diritti e libertà è attuata cercando di dare, al contempo, pieno dispiegamento al principio di semplificazione, anche mediante la redazione del presente Regolamento che mira a proporre disposizioni precise, appropriate al contesto in cui devono operare, ma di facile comprensione.

 

 

SENSIBILIZZAZIONE

La Società promuove, al suo interno, ogni strumento di sensibilizzazione che possa consolidare una mentalità attenta al pieno rispetto della riservatezza e migliorare la qualità del servizio offerto.

A tal fine l’attività formativa / informativa è considerata uno strumento essenziale per la divulgazione dei criteri per una corretta applicazione della normativa in materia.

Per garantire la conoscenza capillare del presente Regolamento, al momento dell’ingresso in servizio è data a ogni dipendente una specifica comunicazione con i riferimenti normativi e i principi fondamentali della materia, esposti in maniera semplice, chiara, ma puntuale.

 

I DATI TRATTATI

Nell’esercizio delle sue funzioni la Società può trattare le seguenti categorie di dati:

  1. Dati personali comuni
  2. Dati particolari (ex dati sensibili)
  3. Dati giudiziari

Dato Personale: rappresenta qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

Dato Particolare: è il dato personale idoneo a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione ai partiti, sindacati associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale dell’interessato.

L’elenco è tassativamente formulato dal GDPR e non può essere ampliato anche di fronte al carattere di riservatezza o di particolare rilevanza che un soggetto, o il senso comune, può attribuire ad altre tipologie di dati (es. reddito).

Dato Giudiziario: è il dato personale idoneo a rivelare i provvedimenti giudiziari civili, penali ed amministrativi in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato (es.: provvedimenti di condanna definitivi, di proscioglimento, di non luogo a procedere per difetto di imputabilità, concernenti le pene, le misure di sicurezza, gli effetti penali della condanna, l’amnistia, l’indulto, la grazia, la dichiarazione di abitualità, di professionalità nel reato, di tendenza a delinquere, le pene accessorie, le misure alternative alla detenzione, la liberazione condizionale, ecc.).

Il trattamento dei dati particolari e, ancor più, dei dati giudiziari, è sottoposto ad una tutela particolarmente rigorosa che comporta l’adozione di specifiche misure di sicurezza.

 

 

LE BANCHE DATI

Per banca dati si intende qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti.

La Società, nell’esercizio delle sue funzioni istituzionali, utilizza:

  1. banche dati di tipo cartaceo;
  2. banche dati di tipo elettronico, utilizzabili con l’impiego di computer:

– collegati in rete locale;

– non collegati in rete locale;

– con collegamento ad internet.

 

 

PRINCIPIO DI NECESSITÀ NEL TRATTAMENTO DEI DATI

I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento

quando le finalità possono essere perseguite mediante dati anonimi o con l’uso di opportune modalità che permettano di identificare l’interessato solo in caso di necessità.

 

 

TITOLARE DEL TRATTAMENTO

Il Titolare del trattamento è MAKAILE di Vommaro Lisa.

 

 

RESPONSABILI DEL TRATTAMENTO

Il Titolare designa, quale Responsabile del trattamento, la Signora Lisa Vommaro.

Il Responsabile deve garantire:

– il tempestivo ed integrale rispetto dei doveri della Società previsti dal GDPR, compreso il profilo relativo alla sicurezza;

– l’osservanza delle disposizioni del presente Regolamento nonché delle specifiche istruzioni impartite dal Titolare;

– l’interazione con il Garante in caso di richiesta di informazioni od altri accertamenti;

– l’adozione di idonee misure per garantire, nell’organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalla normativa vigente e dal sistema di sicurezza aziendale in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza.

In particolare deve adottare tutte le misure specifiche previste dal presente Regolamento.

Il Responsabile del trattamento dei dati, in relazione all’attuazione delle misure di sicurezza, ha i seguenti compiti:

–  custodire le password per l’accesso ai dati da parte degli Incaricati;

–  verificare l’efficacia dei programmi di protezione ed antivirus nonché definire le misure di accesso ai locali e le misure di sicurezza contro il rischio di intrusione;

– garantire che tutte le misure di sicurezza riguardanti i dati della Società siano applicate all’interno della Società stessa ed all’esterno, qualora agli stessi vi sia accesso da parte di soggetti terzi quali Responsabili del trattamento;

–  informare il Titolare nella eventualità si siano rilevati dei rischi.

 

 

RESPONSABILE DEL PROTEZIONE DEI DATI (DATA PROTECTION OFFICER)

 

  1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogni qualvolta:
  2. a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

 

  1. b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

 

  1. c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

 

La nomina del DPO pertanto è adempimento obbligatorio quando il titolare del trattamento:

  1. a)  è autorità/organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
  2. b) effettua trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. c) effettua come attività principali trattamenti su larga scala di dati sensibili, genetici, biometrici, giudiziari.

Il DPO ha compiti di informazione, formazione, consulenza e sorveglianza dell’adempimento della disciplina ‘privacy’.

E’ anche l’interlocutore dell’autorità di controllo.

 

MAKAILE non tratta dati su larga scala, ma in ogni caso ha ritenuto di dotarsi di un DPO nella persona della Signora Lisa Vommaro.

 

 

DIRITTI DELL’INTERESSATO

L’interessato è il soggetto, persona fisica, alla quale si riferiscono i dati oggetto del trattamento.

La Società attua tutte le misure necessarie a facilitare l’esercizio dei diritti dell’interessato ai sensi dell’art.  13 GDPR.

A tal fine il GDPR prevede che l’interessato, con richiesta fatta senza formalità, ha diritto di ottenere:

  1. la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora

registrati;

  1. la comunicazione dei dati che lo riguardano in forma comprensibile (anche attraverso l’utilizzo di una grafia leggibile; in caso di comunicazione di codici o sigle sono forniti i parametri per la comprensione del relativo significato);
  2. l’indicazione:
  3. a) dell’origine dei dati personali;
  4. b) delle finalità e modalità del trattamento;
  5. c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
  6. d) degli estremi identificativi del Titolare e dei responsabili;
  7. e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati;
  8. l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;
  9. la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
  10. l’attestazione che le operazioni di cui ai punti 4 e 5 sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

L’interessato ha diritto di opporsi, in tutto o in parte, per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta.

Se la persona alla quale si riferiscono i dati è deceduta, i diritti summenzionati possono essere esercitati:

– da chi ha un interesse proprio;

– da chi agisce a tutela dell’interessato;

– da chi agisce per ragioni familiari meritevoli di protezione.

 

 

DIRITTO DI RETTIFICA

L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo.

Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

 

 

 

DIRITTO ALL’OBLIO O ALLA CANCELLAZIONE DEI DATI

L’interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il Titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

  1. a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
  2. b) l’interessato revoca il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico per il trattamento;
  3. c) l’interessato si oppone al trattamento;
  4. d) i dati personali sono stati trattati illecitamente;
  5. e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il Titolare del trattamento;
  6. f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.

Il Titolare del trattamento, se ha reso pubblici dati personali ed è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione, adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

Tali disposizioni non si applicano nella misura in cui il trattamento sia necessario:

  1. a) per l’esercizio del diritto alla libertà di espressione e di informazione;
  2. b) per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto

dell’Unione o dello Stato membro cui è soggetto il Titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il Titolare del trattamento;

  1. c) per motivi di interesse pubblico nel settore della sanità pubblica;
  2. d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
  3. e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

 

 

 

DIRITTO ALLA PORTABILITÀ DEI DATI

È opportuno sviluppare formati interoperabili che consentano la portabilità dei dati, a richiesta dell’interessato (attraverso un procedimento semplificato), vale a dire il diritto di trasferire i propri dati tra diversi sistemi elettronici senza che il Responsabile del trattamento possa impedirlo.

 

 

 

IL PRINCIPIO DELLA TRASPARENZA

Le informazioni e le comunicazioni relative al trattamento di tali dati personali devono essere facilmente accessibili e comprensibili e deve essere utilizzato un linguaggio semplice e chiaro.

Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del Titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano.

 

 

 

IL TRATTAMENTO DEI DATI

Con l’espressione “trattamento” deve intendersi qualunque operazione o complesso di operazioni, svolti con o senza l’ausilio di mezzi elettronici, concernenti:

  1. la raccolta dei dati;
  2. la registrazione dei dati, cioè il loro inserimento su supporti, automatizzati o manuali, al fine di rendere i dati disponibili per successivi trattamenti;
  3. l’organizzazione dei dati in senso stretto, cioè il processo di lavorazione che ne favorisca la fruibilità attraverso l’aggregazione o la disaggregazione, l’accorpamento, la catalogazione, ecc.;
  4. la conservazione dei dati alla quale la legge dedica particolari attenzioni sotto il profilo della sicurezza;
  5. la consultazione;
  6. l’elaborazione, ovvero le operazioni che attribuiscono significato ai dati in relazione allo scopo per i quali essi sono stati raccolti;
  7. la modificazione dei dati registrati in relazione a variazioni o a nuove acquisizioni;
  8. la selezione, l’estrazione, e il raffronto, ipotesi specifiche che rientrano nell’ipotesi più generale dell’elaborazione;
  9. l’utilizzo;
  10. l’interconnessione, ovvero la messa in relazione di banche dati diverse e distinte tra loro al fine di compiere ulteriori processi di elaborazione, selezione, estrazione o raffronto;
  11. il blocco, ovvero la conservazione dei dati con sospensione temporanea dei trattamenti;
  12. la comunicazione, ovvero la trasmissione dei dati ad uno o più soggetti determinati, in

qualunque forma, anche mediante messa a disposizione o consultazione; non è comunicazione la trasmissione dei dati allo stesso interessato, al Responsabile e agli Incaricati del trattamento;

  1. la diffusione, ovvero il dare conoscenza dei dati personali a soggetti indeterminati (es.:

pubblicazione all’albo, giornale, ecc.);

  1. la cancellazione;
  2. la distruzione.

 

 

PRINCIPI FONDAMENTALI DEL TRATTAMENTO DEI DATI

I dati personali oggetto del trattamento devono essere:

 trattati in modo lecito, corretto e trasparente nei confronti dell’interessato; raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;

 esatti, e se necessario, aggiornati;

 pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti;

 conservati in una forma che consenta l’identificazione dell’interessato per un periodo non superiore a quello necessario agli scopi per i quali sono stati raccolti.

 

 

 

NOTIFICAZIONE

La Società ha provveduto, nei termini di legge, alla comunicazione per via telematica al Garante per la protezione dei dati personali, della nomina del DPO ai sensi dell’art. 37 GDPR.

 

× Assistenza su WhatsApp