Gestione dei dati personali

 

1. Introduzione

Lo scopo delle presenti linee guida è delineare gli standard di conformità, i processi, le funzioni e le misure di controllo al fine di garantire la conformità alla normativa applicabile in materia di protezione dei dati personali.

Le Linee guida sono state elaborate in conformità con i principi di protezione dei dati personali previsti nel Regolamento (UE) 2016/679 (“GDPR”) e con la normativa italiana in materia.

 

In particolare, le Linee guida hanno le seguenti finalità:

  • definire un adeguato modello di gestione dei dati personali durante il loro intero ciclo di vita;
  • stabilire una prassi chiara e completa per il trattamento dei dati personali;
  • definire la responsabilità di tutte le persone che si occupano del trattamento dei dati personali;
  • prevenire e mitigare i rischi (operativi, reputazionali e di conformità) relativi alla compromissione e alla violazione dei dati personali;
  • gestire adeguatamente l’accesso ai dati personali, la condivisione di essi e il loro eventuale trasferimento a terzi.

Al fine di conseguire gli obiettivi sopra definiti, si seguiranno i seguenti principi:

  • trattare i dati personali in modo lecito, corretto e trasparente (liceità, correttezza e trasparenza);
  • trattare i dati personali in modo compatibile con le finalità definite (limitazione delle finalità);
  • trattare i dati personali minimi necessari per le finalità definite (minimizzazione dei dati);
  • tenere i dati personali aggiornati (precisione);
  • conservare i dati personali per il tempo minimo necessario (limitazione di conservazione);
  • trattare i dati personali in modo da consentire efficacemente a qualsiasi persona fisica identificata o identificabile (‘Interessato‘) di esercitare i propri diritti (efficacia);
  • trattare i dati personali in modo da proteggere le informazioni (integrità e riservatezza);
  • consentire l’esercizio dei diritti in materia di dati personali a seguito di una richiesta dell’Interessato;
  • tenere conto della tutela della privacy e della protezione dei dati fin dalla fase di progettazione di tecnologie, sistemi e prassi (privacy by design) e trattare i dati personali nella misura necessaria e sufficiente per le finalità di volta in volta previstee per il periodo strettamente necessario a tali fini (privacy by default);
  • adottare un approccio basato sul rischio, tenendo conto di qualsiasi rischio possibile per i diritti e le libertà degli Interessati.

Modello di gestione dei dati personali

Il Modello disciplina i seguenti ambiti:

  • dati personali, gestiti e trattati quotidianamente;
  • canali di acquisizione dei dati, mediante i quali possono essere raccolti dati personali;
  • protezione dei dati personali,raccolti tramite i canali di acquisizione.

2.1. Dati personali

Il Modello contempla diversi tipi di dati personali, raccolti attraverso diverse tipologie di persone/società (per esempio: clienti, dipendenti e fornitori di servizi) o attraverso canali digitali (ad esempio: siti web) o fisici (per esempio: clienti diretti), che richiedono diversi livelli di protezione in base alla tipologia dei dati in questione.

Di seguito sono elencate le principali tipologie di dati personali:

a) Dati Comuni. Questa tipologia include fra l’altro:

  • le informazioni che possono essere utilizzate per identificare univocamente, contattare o localizzare una singola persona, quali il nome e il cognome, l’indirizzo dell’abitazione o altri indirizzi fisici, informazioni riguardanti l’età, il genere, l’e-mail, i numeri di telefono e fax, il numero di passaporto, la patente o il numero della carta d’identità, la firma, informazioni di fatturazione, il numero della polizza assicurativa, l’istruzione, l’occupazione, l’indirizzo di protocollo Internet (IP);
  • le informazioni finanziarie personali, che comprendono i dati del titolare di carte regolati da norme del settore delle carte di pagamento (PCI-DSS) e, ad esempio, dettagli riguardanti conti finanziari e carte di pagamento (numeri di carte di credito/debito, in combinazione con PIN e altri codici di accesso o meno) e altre informazioni personali similari;

b) Dati appartenenti a categorie particolari.Questa tipologia include informazioni che rivelino l’origine razziale o etnica, le convinzioni religiose o filosofiche, l’appartenenza sindacale, la salute, la vita sessuale, l’orientamento sessuale.

c) Dati personali dei minori. Il trattamento dei dati personali dei minori deve essere gestito con un approccio specifico conforme ai seguenti requisiti:

  • il consenso è fornito o autorizzato dal genitore o dal tutore del minore, salve le eccezioni normativamente previste;
  • le informazioni fornite a minori, genitori e tutori al fine di esprimere il consenso devono essere fornite in un linguaggio chiaro e adeguato al pubblico a cui sono destinate.

2.2. Canali di acquisizione dei dati

I dati personali possono essere raccolti anche attraverso canali digitali.

  • I canali digitali includono:
    • sito web;
    • posta elettronica;
    • social network.

3.  Valutazione d’impatto sulla protezione dei dati

Una valutazione d’impatto sulla protezione dei dati (‘DPIA‘) sarà condotta ogni qualvolta una tipologia di trattamento potrebbe presentare un rischio elevato per i diritti e le libertà di un Interessato, in particolare attraverso l’utilizzo di nuove tecnologie.

La DPIA deve essere condotta prima dell’esecuzione delle operazioni di trattamento, valutando se vi siano rischi che potrebbero inficiare la protezione dei dati personali coinvolti.

4.  Processo di tutela della privacy

Un processo efficace a tutela della privacy richiede una serie completa di regole e misure per la gestione delle informazioni personali come descritto di seguito.

 

Raccolta delle informazioni. I principi applicabili:

  • raccogliere o ottenere i dati personali solo in modo corretto, lecito e non ingannevole;
  • raccogliere esclusivamente i dati personali richiesti per legge o necessari per le finalitàprecedentemente comunicate all’Interessato;
  • indicare chiaramente alle persone quali informazioni personali sono obbligatorie e quali sono facoltative al momento della raccolta;
  • indicare chiaramente alla persona gli eventuali soggetti terzi, o categorie di soggetti terzi,con cui condividerà le informazioni personali;
  • ove richiesto dalla normativa applicabile, ottenere un consenso esplicito al trattamento di dati personali, rilasciato liberamente dagli Interessati;
  • attenersi alle disposizioni previste dalla legge nazionale o emanate dall’Autorità di controllo per quanto riguarda il trattamento di categorie particolari di dati (ad esempio, dati relativi alla salute).

Informativa sul trattamento dei dati personali

Si dovrà fornire agli Interessati un’informativa chiara e adeguata sul trattamento dei dati personali e sui diritti loro spettanti in relazione al trattamento. Tale informativa verrà consegnata:

  • al momento dell’ottenimento dei dati personali dall’Interessato o, qualora ciò non sia fattibile, senza ritardo;
  • al momento della registrazione o entro un periodo di tempo ragionevole successivo alla raccolta, tenendo conto delle specifiche circostanze in cui i dati vengono raccolti o altrimenti trattati.

L’informativa sulla privacy dovrà:

  • essere esplicita nella spiegazione delle modalità in cui i dati personali saranno resi accessibili, trattati, conservati e, se eventualmente trasferiti a soggetti terzi o in paesi terzi, la base giuridica di tale trasferimento;
  • indicare i destinatari, o le categorie di destinatari, a cui i dati personali saranno comunicati e la sede dei destinatari, se del caso;
  • specificare il periodo di conservazione dei dati personali o, qualora ciò non sia possibile, i criteri usati per determinare tale periodo;
  • informare l’Interessato dei suoi diritti (ad es. diritto d’accesso, diritto di cancellazione, diritto alla portabilità dei dati, ecc.), ivi compreso il diritto di presentare un reclamo presso un’autorità di controllo;
  • informare l’Interessato della base giuridica del trattamento e delle conseguenze del suo eventuale rifiuto di fornire le informazioni richieste;
  • ove applicabile, includere informazioni riguardanti l’esistenza di profilazione, o misure basate sulla profilazione, e gli effetti previsti sull’Interessato a seguito della sua profilazione;
  • informare gli Interessati delle modalità di contatto per qualsiasi domanda riguardante il trattamento dei dati.

Consenso degli Interessati

Nei casi in cui sia richiesto il consenso al trattamento dei dati personali, si deve dare agli Interessati la possibilità di esprimere detto consenso in modo esplicito e in maniera separata in relazione a ciascuna delle finalità del trattamento.

5. Accesso

Nel fornire ai propri dipendenti e collaboratori accesso ai dati personali raccolti, si deve garantire che:

  • sia completato un processo di designazione per tutti i soggetti che avranno la responsabilità deltrattamento dei dati;
  • siano condotte revisioni periodiche del controllo dell’accesso ai dati personali;
  • siano presenti controlli di autenticazione prima di consentire l’accesso ai dati personali.

5.1. Diritto di accesso degli Interessati

Si deve altresì garantire che gli Interessati abbiano un punto di contatto al fine di esercitare il loro diritto di accesso ai propri dati personali. Agli Interessati deve essere data la possibilità di correggere, modificare e cancellare i propri dati personali.

Si deve garantire l’accesso quanto meno alle seguenti informazioni:

  • le finalità del trattamento per ogni categoria di dati personali;
  • le categorie dei dati personali degli Interessati;
  • i destinatari ai quali i dati personali devono essere o sono stati divulgati, ivi compresi i destinatari in paesi terzi;
  • il periodo di conservazione dei dati personali o, qualora ciò non sia possibile, i criteri usati per determinare tale periodo.

5.2. Diritto alla portabilità dei dati

Al fine di assicurare il diritto alla portabilità dei dati, si devono soddisfare le richieste degli Interessati di ricevere i dati personali che li riguardano in un formato strutturato, di uso comune ed elettronico affinché possano essere facilmente trasmessi all’Interessato stesso o ad altro titolare del trattamento

6. Uso e trasferimento dei dati a terzi

Durante il trattamento dei dati personali, si devono soddisfare i seguenti requisiti:

  • l’uso di dati personali deve essere coerente con le finalità dichiarate per le quali sono stati raccolti;
  • ottenere il previo consenso da parte della persona fisica, nei casi in cui la base giuridica del trattamento sia rappresentata dal consenso;
  • l’Interessato ha diritto di revocare il proprio consenso o modificare i propri dati personali;

7. Sicurezza e protezione

Le misure di sicurezza e protezione devono definire come minimo:

  • azioni volte a garantire la riservatezza, l’integrità, la disponibilità e la resilienza continuative dei sistemi e dei servizi di trattamento dei dati personali;
  • azioni volte a includere il principio di protezione dei dati fin dalla progettazione e protezione per impostazione predefinita in qualsiasi politica, procedura e misura di sicurezza;
  • un processo volto a controllare, esaminare e valutare l’efficacia delle politiche, delle procedure e delle misure di sicurezza attuate al fine di garantire l’efficacia continuativa;
  • azioni volte a proteggere reti, sistemi, software che gestiscono i dati (ad esempio: cifratura);
  • azioni volte a garantire l’integrità fisica dei dati personali conformemente alla classificazione dei dati;
  • azioni volte a fare in modo che i soggetti terzi autorizzati rispettino gli stessi requisiti di sicurezza dei collaboratori interni;
  • precauzioni volte a proteggere i dati personali da perdita, uso improprio, accesso non autorizzato, divulgazione, alterazione e distruzione anche se non intenzionalmente.

In caso di violazione dei dati personali, verrà inviata una comunicazione all’Autorità di controllo competente e agli Interessati coinvolti in conformità a quanto previsto dalla normativa applicabile e dalla procedura interna adottata in merito.

8. Diritto di cancellazione (‘Diritto all’oblio’)

L’Interessato avrà il diritto di ottenere la cancellazione dei dati personali che lo riguardano senza indugio qualora:

  • i dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti o trattati;
  • l’Interessato revochi il consenso e non sussistea alcun motivo legittimo prevalente per procedere al trattamento;
  • l’Interessato si opponga al trattamento e non sussista alcun motivo legittimo prevalente per procedere al trattamento;
  • l’interessato si opponga al trattamento per finalità di marketing diretto;
  • i dati personali siano stati trattati in maniera illegittima;
  • i dati personali debbano essere cancellati ai sensi di una specifica previsione normativa.

9. Attuazione monitoraggio

 

9.1. Attività di controllo

La corretta attuazione del Modello includerà le attività di controllo volte a verificare (i) la gestione dei dati personali durante il loro intero ciclo di vita e (ii) la conformità alla normativa applicabile e alle politiche interne.