Privacy

MANUALE PRIVACY
REGOLAMENTO UE 2016/679 DEL PARLAMENTO EUROPEO

La società Ogs S.r.l. C.so M. Fanti, 38 41012 Carpi (MO) P.I. 03179590363, in qualità di Titolare del Trattamento dei dati in considerazione a quanto predisposto dal Regolamento Europeo EU 2016/679 riassume le procedure adottate in merito al trattamento dei dati e misure di sicurezza

PREMESSA

Il Titolare, per lo svolgimento dell’attività, detiene archivi elettronici e cartacei contenenti dati personali e adotta idonee e preventive misure di sicurezza, utili a prevenire i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità di raccolta.

Le banche dati sono suddivise sulla base dei compiti affidati ad ogni dipendente. Chi ha accesso ad una banca dati, non ha accesso alle altre che non gli competono. In allegato elenco banche dati.

Dati personali

  • Dipendenti e collaboratori
  • Richiedenti impiego
  • Clienti
  • Il sito internet www.ogssrl.it rispetta le norme di legge sia in tema di cookies e informativa che di eventuali form presenti

PRINCIPI E DEFINIZIONI UTILI

PRINCIPALI DEFINIZIONI NORMATIVE (ART. 4 REGOLAMENTO EUROPEO PROTEZIONE DEI DATI 2016/679)

dato personale
qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

trattamento
qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

limitazione di trattamento
il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;

profilazione
qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;

pseudonimizzazione
il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

archivio

qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

 titolare del trattamento

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

responsabile del trattamento

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

destinatario

la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

terzo

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile

consenso dell’interessato

qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

violazione dei dati personali
la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

dati genetici
i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;

dati biometrici
i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;

dati relativi alla salute
i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

stabilimento principale
a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;

rappresentante
la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;

impresa
la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica;

gruppo imprenditoriale
un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;

norme vincolanti d’impresa

le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune;

autorità di controllo

l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;

autorità di controllo interessata

un’autorità di controllo interessata dal trattamento di dati personali in quanto:
a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo;

b) gli interessati che risiedono nello Stato membro dell’autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure

c) un reclamo è stato proposto a tale autorità di controllo;

trattamento transfrontaliero

a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

obiezione pertinente e motivata

un’obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all’interno dell’Unione;

servizio della società dell’informazione

il servizio definito all’articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio (19);

organizzazione internazionale

un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

Altre Definizioni o specificazioni

Sub-responsabile del trattamento:

il soggetto (la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo) cui il Responsabile del trattamento ricorre per l’esecuzione di specifiche attività di trattamento di dati personali per conto di quest’ultimo. Il ricorso al Sub- responsabile deve essere preventivamente autorizzato per iscritto dal Titolare.

Garanzie per il trasferimento dei dati in un Paese extra UE:

Decisione di adeguatezza della Commissione europea, norme vincolanti d’impresa, clausole contrattuali standard, codice di condotta, meccanismo di certificazione, clausole ad hoc autorizzate dal Garante privacy. In via residuale e in mancanza di una decisione di adeguatezza ovvero delle altre citate garanzie, il trasferimento è ammesso, tra l’altro, se l’interessato vi abbia esplicitamente acconsentito oppure se lo stesso trasferimento sia necessario all’esecuzione di un contratto concluso con il titolare o a tra questi e un terzo a favore dell’interessato. Per maggiori informazioni sulle ulteriori condizioni per il trasferimento dei dati extra UE, v. art. 49 GDPR.


LA SICUREZZA DEI DATI (PRIVACY BY DESIGN e PRIVACY BY DEFAULT)

Alla luce dei rischi individuati, il Titolare si è posto come obiettivo quello di mettere in atto le misure tecniche ed organizzative necessarie per garantire un livello di sicurezza adeguato al rischio.
In particolare, il Titolare innanzitutto tratta i dati rispettando i principi esplicitamente indicati nell’art. 5 del Reg. 2016/679 ossia:

  • Liceità, correttezza, trasparenza: ogni trattamento è esplicitamente indicato nell’informativa;
  • Limitazione delle finalità: le finalità sono quelle di utilità sociale con attività prevalente nel settore della formazione;
  • Minimizzazione dei dati e, dove possibile, pseudonimizzazione: i dati trattati sono soltanto quelli necessari per l’erogazione del piano formativo;
  • Esattezza dei dati: i dati sono inseriti direttamente dall’azienda;
  • Integrità e riservatezza attraverso le misure adottate per la protezione dei dati stessi.

PROCEDURA DATA BREACH

In caso di incidente fisico-tecnico, tra le misure adottate, è presente quella di ripristinare tempestivamente la disponibilità e l’accesso dei dati stessi.
Alla luce dell’art. 33, il data breach, ossia la violazione di sicurezza che comporta la distruzione, perdita, divulgazione non autorizzata dei dati stessi, comporta un obbligo di notifica al Garante Privacy, al massimo entro 72 ore dalla scoperta di essa.

Quando la violazione è suscettibile di presentare un rischio elevato per le persone fisiche inoltre, il Titolare comunica la violazione anche all’interessato.
In allegato modulo segnalazione Gestione Data Breach (PRO0002).

DIRITTI DELL’INTERESSATO

L’interessato ha facoltà di chiedere al Titolare del trattamento l’accesso ai suoi dati personali e la rettifica. Lei può sempre richiedere specifica completa del trattamento e dei suoi diritti scrivendo ai contatti messi a disposizione dal Titolare ed indicati ad inizio informativa. È previsto che in caso di reclamo da parte di un interessato l’incaricato provveda immediatamente a dare seguito alla richiesta e ne dia tempestiva comunicazione a Ogs S.r.l.

DATI CARTACEI

Ogni incaricato è appositamente istruito in merito al trattamento di dati attraverso strumenti cartacei. La documentazione cartacea contenente dati personali deve essere posizionata in armadi dotati di serratura in caso di dati sensibili. Ogni volta che un soggetto autorizzato preleva documenti contenenti dati sensibili da tali archivi è tenuto ad averne la massima cura. Tutti i documenti contenenti dati personali o Aziendali che si ritiene debbano essere eliminati devono essere distrutti e non gettati semplicemente nei cestini.

CONCLUSIONI

Il presente documento scaturisce da un’analisi di valutazione dei rischi aziendali ed è prevista una procedura per testare, verificare e valutare regolarmente l’efficacia del sistema in questione per garantire sempre un più alto livello di sicurezza ed efficace attuazione delle misure tecniche ed organizzative.

Il Manuale è a disposizione presso il Titolare per qualsiasi dipendente o collaboratore voglia consultarlo e ognuno è tenuto, in base ai propri incarichi, al suo pieno rispetto.
Ogni anno, verrà rivisto e istruiti gli incaricati al trattamento per renderli edotti delle misure adottate per la sicurezza del trattamento dati e per la prevenzione dei rischi di anomalie al trattamento stesso.