Modello Organizzativo Privacy (MOP)
Regolamento (UE) 2016/679
“Regolamento in materia di protezione dei dati personali”
(GDPR, General Data Protection Regulation)
INFORMATIVA GENERALE
Introduzione
Premesse
II. Obiettivi del Modello Organizzativo Privacy
III. Quadro Normativo di Riferimento
IV. Fonti Nazionali
V. Il Regolamento (UE) 2016/679 – GDPR
VI. Ambito di Applicazione del Regolamento (UE) 2016/679 – GDPR
VII. Le principali definizioni ai sensi del Regolamento (UE) 2016/679 – GDPR
VIII. Principi Generali adottati dalla Società
1. I Soggetti
2. Finalità di Trattamento
3. Misure Sicurezza
4. Conservazione dei Dati – Accesso e Cancellazione
5. Piano Formativo
6. Diritti dell’interessato
7. Processo di Gestione della Violazione dei Dati
8. L’utilizzo delle Risorse Informatiche e di Comunicazione
9. Aggiornamento – Revisione – Integrazione
INTRODUZIONE
La protezione dei dati personali trattati all’interno della società InRete Digital S.r.l. è un impegno di fondamentale importanza. L’entrata in vigore del Regolamento (UE) 2016/679 “Regolamento in materia di protezione dei dati personali” (RGPD, in inglese GDPR, General Data Protection Regulation), cui il D.Lgs. 30 giugno 2003, n. 196 (Codice Privacy) è stato adeguato dal D.Lgs. 10 agosto 2018, n. 101, ha fornito l’occasione implementare ulteriormente l’attenzione della società ai principi di trasparenza e tutela dei dati personali, nel rispetto dei diritti e delle libertà fondamentali di tutti gli interessati, siano essi dipendenti, collaboratori, contribuenti, utenti o fornitori. InRete Digital S.r.l. ha quindi predisposto un “Modello Organizzativo Privacy” (MOP) che qui si descrive nelle sue linee generali, finalizzato ad analizzare tutti i trattamenti di dati, organizzarli in modo funzionale e gestirli in sicurezza e trasparenza.
* * * *
PREMESSE
I. Modello Organizzativo Privacy (MOP)
Il presente documento è stato redatto in base alle disposizioni legislative ed ai principi sanciti nel Regolamento (EU) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Esso deve essere considerato parte integrante della politica di privacy e di sicurezza delle informazioni di InRete Digital S.r.l., insieme alle procedure, istruzioni, lettere di incarico e a tutti gli altri documenti aziendali che recano indicazioni in materia di trattamento
dei dati personali.
Con l’adozione di questo documento si intende richiamare tutte le risorse operanti all’interno dell’azienda al rispetto della normativa sulla sicurezza dei dati personali, con espressa attenzione all’impiego delle risorse informatiche.
Periodicamente, il MOP viene aggiornato in relazione all’evoluzione della disciplina, nazionale e sovranazionale, ovvero di modifiche gestionali e/o organizzative che impattino su di esso.
Questo documento è vincolante per il personale dell’azienda, sia dipendente sia collaboratore.
Si precisa che la commissione di illeciti rientranti nella nozione di “cybercrime” può comportare, oltre alla responsabilità penale personale, anche la responsabilità di InRete Digital S.r.l., che pertanto, di ciò consapevole, attuerà, in conformità alle proprie politiche ed alle norme e prassi applicabili nel settore (Regolamento UE 2016/679 – GDPR e prescrizioni del Garante per il trattamento dei dati personali, e D.lgs. 231/2001) tutte le precauzioni reputate opportune per evitare la commissione di reati informatici o limitarne le conseguenze.
A titolo meramente esemplificativo, tra i citati reati informatici l’ordinamento annovera i seguenti:
• falsità in un documento informatico pubblico o avente efficacia probatoria (art. 491-bis Codice Penale);
• accesso abusivo ad un sistema informatico o telematico (art. 615-ter Codice Penale);
• detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater Codice Penale);
• diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies Codice Penale); intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater Codice Penale);
• installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 615-quinquies Codice Penale);
• danneggiamento di informazioni, dati e programmi informatici (art. 635-bis Codice Penale);
• danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter Codice Penale);
• danneggiamento di sistemi informatici o telematici (art. 635-quater Codice Penale).
II. OBIETTIVI DEL MODELLO ORGANIZZATIVO PRIVACY
Poiché i predetti principi si innestano su un altro principio cardine e altrettanto innovativo del Regolamento europeo, ovverosia il principio di accountability o di “rendicontazione” (“responsabilizzazione” nella versione italiana del Regolamento), in virtù del quale il Titolare del trattamento è chiamato a mettere in atto misure tecniche e organizzative adeguate non solo a garantire che il trattamento sia effettuato in conformità alle disposizioni del Regolamento, ma altresì a consentire allo stesso Titolare di dimostrare tale conformità (cfr. art. 24, par. 1, del GDPR). InRete Digital S.r.l. ha intrapreso un progetto di analisi dei dati personali trattati e dei propri strumenti organizzativi, di gestione e di controllo volto a verificare la rispondenza dei principi comportamentali, delle procedure e/o delle prassi organizzative in essere ai principi, regole e finalità dettati dal Regolamento UE e, ove necessario, ad integrare le misure di sicurezza organizzative e tecniche per assicurarne l’adeguatezza, tenuto conto del contesto di riferimento.
Attraverso tale percorso, InRete Digital S.r.l. intende quindi:
• garantire l’osservanza dei principi e delle disposizioni del Regolamento UE e della normativa nazionale di adeguamento attraverso la progressiva implementazione di un sistema strutturato ed organico di procedure e di attività di controllo volto a prevenire e/o presidiare eventuali rischi di violazione dei dati personali;
• governare in tal modo ogni aspetto dei processi legati al trattamento di dati personali in conformità alla disciplina applicabile;
• creare al proprio interno una cultura della prevenzione del rischio privacy e del controllo dei dati personali trattati nell’ambito del raggiungimento degli obiettivi aziendali, anche attraverso l’implementazione di un sistema di monitoraggio costante dell’attività aziendale che sia in grado di prevenire la commissione di illeciti in materia
di privacy e/o di scongiurare la eventuale reiterazione di condotte inosservanti della normativa di settore;
• affermare e diffondere una cultura d’impresa improntata alla legalità, con espressa riprovazione di qualsivoglia comportamento contrario al GDPR, alla normativa nazionale in materia di protezione dei dati personali.
A tal fine, il presente Modello organizzativo privacy enuclea i principi comportamentali e indica le misure necessarie per assicurare che i processi aziendali che implichino un trattamento di dati personali siano gestiti in modo tale da intercettare e tempestivamente governare eventuali situazioni di rischio per la privacy degli interessati e, in ogni caso, garantire il puntuale e costante rispetto della disciplina europea e nazionale di riferimento.
III. QUADRO NORMATIVO DI RIFERIMENTO
Di seguito sono elencate le principali fonti normative internazionali e comunitarie in materia di tutela della riservatezza e di protezione dei dati personali, le principali Linee guida del Gruppo di lavoro-Articolo 29 sul GDPR – fatte proprie dall’European Data Protection Board (“EDPB”) con l’Endorsement n. 1/2018 – e le prime Linee guida dell’EDPB medesimo:
• Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali – art. 8, “Diritto al rispetto della vita privata e familiare”;
• Carta dei Diritti Fondamentali dell’Unione Europea (cd. Carta Europea di Nizza del 2001) – art. 8, “Protezione dei dati di carattere personale”;
• Trattato di Lisbona;
• Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche);
• Direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009, recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori;
• Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio;
• Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati – GDPR);
• Linee guida sul consenso ai sensi del Regolamento 2016/679, WP259 rev. 01;
• Linee guida sulla trasparenza ai sensi del Regolamento 2016/679, WP260 rev. 01;
• Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del Regolamento 2016/679, WP251 rev. 01;
• Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento 2016/679, WP250 rev. 01;
• Linee guida sul diritto alla portabilità dei dati, WP242 rev. 01;
• Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del Regolamento (UE) 2016/679, WP248 rev. 01;
• Linee guida sui responsabili della protezione dei dati, WP243 rev. 01;
• Linee guida per l’individuazione dell’autorità di controllo capofila in relazione a uno specifico titolare del trattamento o responsabile del trattamento, WP244 rev. 01;
• Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679, WP253;
• EDPB Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679 – version for public consultation;
• EDPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679.
• EDPB Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – version for public consultation;
. DIRETTIVA (UE) 2019/770 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 20 maggio 2019 relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali;
. Linee guida dei Garanti Europei su varie materie della protezione dei dati personali – l Comitato europeo per la protezione dei dati-European Data Protection Board – EDPB (già WP29);
. 23esima sessione plenaria (EDPB) – Linee-guida sul trattamento di dati relativi alla salute per finalità di ricerca e Linee-guida sulla geolocalizzazione e altri strumenti di tracciamento, nel contesto dell’emergenza legata al COVID-19;
. Linee guida in materia di notifica delle violazioni di dati personali (data breach notification) – WP250, definite in base alle previsioni del Regolamento (UE) 2016/679;
. Il comitato europeo per la protezione dei dati e il Garante europeo per la protezione dei dati adottano pareri congiunti su nuove clausole contrattuali tipo 15 gennaio 2021;
. White Paper on Artificial Intelligence: a European approach to excellence and trust (19 febbraio 2020).
. Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO sui principi etici per lo sviluppo, la diffusione e l’utilizzo dell’intelligenza artificiale, della robotica e delle tecnologie correlate 20 ottobre 2020;
Quanto precede, fatti salvi gli ulteriori aggiornamenti e disposizioni normative, regolamentari e determinazioni delle Autorità preposte eventualmente sopravvenute, è da intendersi qui richiamato.
IV. FONTI NAZIONALI
Di seguito sono elencate le principali fonti normative nazionali in materia di protezione dei dati personali e i principali provvedimenti del Garante per la protezione dei dati personali, da considerare applicabili in quanto compatibili con il GDPR e con la disciplina nazionale di adeguamento:
• D.Lgs. 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”;
• Legge 25 ottobre 2017, n. 163, recante delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016-2017;
• D.Lgs. 18 maggio 2018, n. 51, recante attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o
esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio;
• Autorizzazione generale n. 1/2016 al trattamento dei dati sensibili nei rapporti di lavoro.
• Autorizzazione generale n. 2/2016 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale;
Autorizzazione generale n. 7/2016 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici -;
• Individuazione delle modalità semplificate per l´informativa e l´acquisizione del consenso per l´uso dei cookie – 8 maggio 2014;
• Provvedimento in materia di videosorveglianza – 8 aprile 2010;
• Linee guida per posta elettronica e internet”, adottate con provvedimento n. 1° marzo 2007.
. Provvedimento 5 giugno 2019 recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101;
. Linee guida in materia di trattamento di dati personali nella riproduzione di provvedimenti giurisdizionali per finalità di informazione giuridica – 2 dicembre 2010;
. Parere del Garante n. 247 del 24 giugno 2021 su uno schema di regolamento recante l’individuazione dei trattamenti di dati personali relativi a condanne penali e reati e delle relative garanzie appropriate ai sensi dell’articolo 2- octies, comma 2, del Codice – 24 giugno 2021;
. GreenPass: Provvedimenti del Garante, comunicati stampa e documenti;
. GreenPass: il Garante risponde ad alcuni quesiti Parere sul DPCM di attuazione della piattaforma nazionale DGC per l’emissione, il rilascio e la verifica del Green Pass – 9 giugno 2021 [9668064]
. Parere sullo schema di decreto concernente Misure recanti modifiche ed integrazioni alle disposizioni attuative dell’articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, recante “Misure urgenti per la graduale ripresa
delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19” – 31 agosto 2021. Registro dei provvedimenti n. 306 del 31 agosto 2021
. Parere sullo schema di Dpcm che introduce nuove modalità di verifica del green pass in ambito lavorativo pubblico e privato 11 ottobre 2021
V. IL REGOLAMENTO (UE) 2016/679 – GDPR
Il GDPR rappresenta la normativa di riforma della legislazione europea in materia di protezione dei dati personali.
Pubblicato nella Gazzetta Ufficiale europea del 4 maggio 2016 ed entrato in vigore il successivo 24 maggio 2016, esso è divenuto definitivamente applicabile a far data dal 25 maggio 2018.
Attraverso la definitiva armonizzazione della disciplina in materia di protezione dei dati personali all’interno dell’Unione Europea, il citato Regolamento – come è dato leggere nei relativi Considerando – «è inteso a contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche», tenuto conto altresì che «la compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri, può ostacolare la libera circolazione dei dati personali all’interno dell’Unione».
In particolare, il Regolamento pone l’accento sulla responsabilizzazione del titolare del trattamento, tenuto nell’ambito della cornice normativa di riferimento, all’adozione di comportamenti proattivi a tutela dei dati personali e chiamato, al contempo, a dimostrare il rispetto delle previsioni normative in materia (cd. “principio di accountability”).
In ciò si evidenzia la diversità di approccio che connota la recente disciplina europea di riforma della previgente direttiva 95/46/CE. Essa, a differenza del passato, demanda ai titolari del trattamento il compito di:
• valutare i rischi connessi al trattamento dei dati personali, vale a dire di valutarne l’eventuale impatto negativo sulle libertà e i diritti degli interessati, ed adottare le misure adeguate a mitigarli;
• progettare eventuali nuovi prodotti e servizi, che implichino un trattamento di dati personali, prevedendo e configurando sin dall’inizio modalità e garanzie a tutela dei dati medesimi e, dunque, dei diritti degli interessati (cd. “principio di privacy by design”);
• mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento (cd. “principio di privacy by default”).
Un approccio di tipo risk based – quale quello abbracciato dal GDPR – ha l’evidente implicazione di pretendere – da parte del titolare del trattamento – comportamenti che possono andare ben oltre il mero ossequio delle puntuali previsioni normative; d’altra parte, esso consente una modulabilità delle azioni da intraprendere a seconda, tra l’altro, della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, così come anche dei
rischi costituiti dal trattamento, aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.
In data 19 settembre 2018 è entrato in vigore – in Italia – il D.Lgs. 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla
protezione dei dati)”.
Il citato Decreto n. 101 del 2018 ha modificato il D.Lgs. n. 196 del 2003 (cd. Codice privacy), in particolare abrogando le previgenti disposizioni sui principi, basi giuridiche del trattamento, informativa e consenso, da intendersi sostituite dalle corrispondenti previsioni del GDPR. Esso inoltre ha introdotto previsioni di maggiore dettaglio in relazione a taluni profili, come, ad esempio, in relazione al trattamento dei dati appartenenti a categorie particolari e dei dati relativi a condanne penali e reati e ridisegnato il perimetro delle condotte penalmente rilevanti.
Va infine dato conto di quelle previsioni del D.Lgs. n. 101 del 2018 le quali non hanno modificato il D.Lgs. n. 196 del 2003, ma disciplinano il cd. regime transitorio (cfr. CAPO VI – artt. 18-27 del D.Lgs. n. 101 del 2018).
Tra di esse, si segnalano in particolare:
• l’art. 21, commi 1, 2 e 3, che prevede che «1. Il Garante per la protezione dei dati personali, con provvedimento di carattere generale da porre in consultazione pubblica entro novanta giorni dalla data di entrata in vigore del presente decreto, individua le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b) e 4, nonché al Capo IX del regolamento (UE) 2016/679, che risultano compatibili con le disposizioni del medesimo regolamento e del presente
decreto e, ove occorra, provvede al loro aggiornamento. Il provvedimento di cui al presente comma è adottato entro sessanta giorni dall’esito del procedimento di consultazione pubblica. 2. Le autorizzazioni generali sottoposte a verifica a norma del comma 1 che sono state ritenute incompatibili con le disposizioni del Regolamento (UE) 2016/679 cessano di produrre effetti dal momento della pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del provvedimento di cui al comma 1. 3.
Le autorizzazioni generali del Garante per la protezione dei dati personali adottate prima della data di entrata in vigore del presente decreto e relative a trattamenti diversi da quelli indicati al comma 1 cessano di produrre effetti alla predetta data»;
• L’art. 22, comma 4, che stabilisce che «4. A decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni del presente decreto».
Considerato che il predetto D.Lgs. n. 101 del 2018 costituisce la normativa nazionale di adeguamento dell’ordinamento nazionale alle disposizioni del GDPR, il quale continua a rappresentare la base della vigente disciplina in materia di protezione di dati personali, nel prosieguo del presente Modello si farà principalmente riferimento alle disposizioni della citata normativa europea.
VI. AMBITO DI APPLICAZIONE DEL REGOLAMENTO (UE) 2016/679 – GDPR
Per quanto attiene all’ambito di applicazione materiale del GDPR, esso si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
Per quanto attiene all’ambito di applicazione territoriale del GDPR, esso si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.
Inoltre, con scelta innovativa, il legislatore europeo ha stabilito che il GDPR si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
b) il monitoraggio del loro comportamento, nella misura in cui tale monitoraggio ha luogo all’interno dell’Unione.
InRete Digital S.r.l. stabilite nel territorio dell’Unione sono tenute al rispetto dei principi e delle disposizioni del GDPR. Esse, pertanto, nelle attività di trattamento di dati personali, osservano le previsioni del citato Regolamento e della normativa nazionale locale di adeguamento.
VIII. PRINCIPI GENERALI ADOTTATI DALLA SOCIETÀ
InRete Digital S.r.l. è tenuta a garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali.
Obblighi di sicurezza
InRete Digital S.r.l. è tenuta a garantire che i dati personali oggetto di trattamento siano custoditi e controllati, anche in relazione alle conoscenze acquisite in base allo stato dell’arte e all’avanzamento tecnologico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Misure di Sicurezza Idonee
InRete Digital S.r.l. è tenuta ad adottare un complesso di misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza, per assicurare un livello idoneo di protezione dei dati personali, sia nel caso di trattamenti con strumenti elettronici, che per trattamenti senza l’ausilio di strumenti elettronici.
Dati Generali
Titolare del trattamento
InRete Digital S.r.l., nello svolgimento delle attività che comportano il trattamento di dati personali, agisce come Titolare del trattamento.
Nello specifico, l’elenco dei trattamenti di dati personali effettuati dalla Società in qualità di Titolare del trattamento sono elencati infra.
La Società, quale Titolare del trattamento, opera osservando quanto stabilito nel presente Modello e, in ogni caso, nel rispetto delle previsioni del GDPR e della normativa nazionale di adeguamento al duplice fine di garantire la protezione dei dati personali oggetto di trattamento e di essere in grado di dimostrare che quest’ultimo sia effettuato conformemente alla disciplina di settore.
* * * *
1. I SOGGETTI
– TITOLARE DEL TRATTAMENTO
Il Titolare del trattamento è:
INRETE DIGITAL S.R.L.
C.F. e P. Iva 11202480965
con sede legale in Milano, via Gustavo Fara n. 35 – cap 20124
tel. n. +39 02 5251 3251
e.mail: info@inretedigital.it – PEC: inretedigital@pec.it
Le informazioni sono rese anche ai sensi dell’art. 7 del D.Lgs. 70/2003 “Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico”.
– RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI (DPO) – (Art. 37 par. 1 lett. a) Reg. UE 679/16)
Il Titolare ha ritenuto necessario nominare il Responsabile della protezione dei dati personali (RPD, o in inglese DPO “Data Protection Officer”) ai sensi dell’art. 37, par. 1, lett. a) del Reg. (UE) 2016/679 (“trattamento effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”), che agisce in sinergia con il team “privacy” interno, un organismo formato da competenza giuridiche, organizzative ed informatiche.
Il DPO è Teobaldo Semoli,
C.F. SMLTLD86R06B729N
residente in Milano 201245. , via Luigi Settembrini n. 38.
mail: teobaldo.semoli@inretedigital.it;
Il DPO potrà essere contattato per qualsiasi esigenza correlata al trattamento di dati personali degli
interessati.
– INCARICATI DEL TRATTAMENTO
Il “Modello Organizzativo Privacy” (MOP) prevede che ciascun dipendente/collaboratore del Titolare tratti solamente i dati indispensabili per svolgere le proprie mansioni, in funzione dell’organizzazione interna e soprattutto delle finalità indicate e proposte all’interessato (principio cd di “limitazione della finalità e minimizzazione dei dati”, art. 5, par. 1, lett. b) e c) del Reg. (UE) 2016/679.
Pertanto è stata predisposta una segmentazione dei trattamenti, per aree omogenee di “Incaricati del trattamento”, vincolandolo i dipendenti/collaboratori preposti a ciascuna area ad un ambito specifico di trattamento.
A tal fine, anche il sistema informativo è costituito a “compartimenti stagni”. Il dipendente/collaboratore potrà accedere dalla propria postazione informatica solo ai dati indispensabili per svolgere le proprie mansioni.
La designazione alle specifiche aree di trattamento avviene per il tramite del Responsabile del progetto, che provvederà ad informare il Titolare del trattamento, il quale conferirà l’autorizzazione in merito agli addetti preposti all’area medesima. Il dipendente/collaboratore ha altresì ricevuto un regolamento interno sull’uso degli strumenti informatici e delle regole di condotta, anche etiche, su tutte le informazioni alle quali accede in virtù della sua specifica mansione.
Per garantire in maniera efficace l’adeguamento ai principi in materia di trattamento dei dati personali, il Titolare eroga frequentemente aggiornamenti e indicazioni in materia ai propri dipendenti/collaboratori che, in virtù delle proprie mansioni, svolgono trattamenti di dati personali.
– AMMINISTRATORI DI SISTEMA (INTERNI ED ESTERNI)
Il Titolare utilizza sistemi informatici evoluti per gestire e organizzare la propria attività. Per tale ragione, da sempre, l’attenzione alla costruzione dei software e l’utilizzo e sicurezza dei dati sono alla base dell’attività prevalente del Titolare. I soggetti con privilegi di “Amministratore” interni alla società sono specificatamente nominati e formati. Anche le Società esterne specializzate che accedono ai dati trattati sono specificatamente nominate Responsabili Esterni o Amministratori di Sistema Esterni ai sensi dell’art. 28 del Reg. (UE) 2016/679.
I fornitori di servizi informatici esterni sono scelti con particolare attenzione alla professionalità non solo tecnica ma anche del rispetto e della protezione dei dati, privilegiando società certificate ISO 27001.
– RESPONSABILE DEL TRATTAMENTO DEI DATI INTERNO si intende la persona che tratta dati personali per conto del titolare del trattamento.
– RESPONSABILI ESTERNI DEL TRATTAMENTO – (Art. 28 Reg. UE 679/16)
In linea di principio il Titolare gestisce internamente quasi tutte le attività di trattamento. I casi di affidamento in outsourcing a terzi di alcune attività che implicano un trattamento di dati sono opportunamente segnalate all’interno delle singole informative. In questi casi il rapporto con il soggetto terzo è disciplinato con contratto di nomina a “Responsabile Esterno del Trattamento” ai sensi dell’art. 28 del Reg. (UE) 2016/679.
– SOGGETTI INTERESSATI
Candidati: soggetti di cui i dati personali vengono trattati nel processo di ricerca e selezione del personale, dal momento dello screening dei curricula;
Dipendenti; soggetti in possesso di un contratto di lavoro (a tempo determinato o a tempo indeterminato) o di stage
Clienti/Fornitori: soggetti appartenenti a società terze aventi rapporti contrattuali con InRete Digital;
Collaboratori: soggetti legati alla società tramite un contratto di collaborazione, tra cui i consulenti esterni.
2. FINALITÀ DI TRATTAMENTO
InRete Digital S.r.l. è società che svolge attività di comunicazione web e digital marketing.
Al fine di perseguire le finalità connesse con l’attività svolta, tratta dati personali, esclusivamente “comuni” – per categorie di interessati quali di fornitori, clienti e dipendenti.
Ciò premesso, i trattamenti effettuati, sia con strumenti elettronici che manualmente, attengono in generale alle seguenti finalità di carattere gestionale:
• trattamento giuridico ed economico del personale, sua selezione e organizzazione delle attività, adempimenti previdenziali ed assistenziali, adempimenti connessi con l’iscrizione a sindacati da parte dei dipendenti;
• adempimenti di obblighi fiscali e contabili, nonché adempimenti in osservanza di altre norme, regolamenti o normativa comunitaria;
• gestione della clientela e dei fornitori (contratti, ordini, pagamenti e incassi, spedizioni e ricezione merci, verifica solvibilità e affidabilità finanziaria);
• gestione del patrimonio mobiliare ed immobiliare;
• gestione del contenzioso;
• tutela del legittimo interesse del titolare del trattamento.
Le finalità specifiche di trattamento dei dati da parte di InRete Digital S.r.l. sono dettagliate nell’apposita informativa ex art. 13 Reg.to EU n. 679/’16 che la Società ha inoltrato ai propri stakeholders, clienti, fornitori, dipendenti ecc., e pubblicato sul proprio sito web www.inretedigital.it cui si rinvia a far parte integrante del presente Modello.
3. MISURE DI SICUREZZA
Al fine di garantire l’integrità dei dati contro i rischi di distruzione o perdita, il Titolare del trattamento ha valutato, con il supporto tecnico della funzione ICT, la periodicità con cui debbono essere effettuate le copie di sicurezza delle banche di dati trattati.
In ogni caso viene disposto un back-up almeno giornaliero, come prescritto dalla normativa vigente. I criteri sono stati definiti anche in relazione al tipo di rischio potenziale e in base al livello di tecnologia utilizzata, secondo le modalità stabilite dalla procedura in allegato.
Al fine di garantire l’integrità dei dati contro i rischi di distruzione o perdita di dati a causa di virus informatici, il Titolare del trattamento ha stabilito con il supporto tecnico della funzione ICT gli strumenti di prevenzione e le norme di utilizzo dei sistemi da adottare.
La soluzione adottata garantisce un aggiornamento costante e rapido della base dati che consente l’identificazione di virus e malware.
Viene inoltre effettuato un regolare aggiornamento di tutte le soluzioni software adottate, in particolar modo per tutti gli aggiornamenti legati alla sicurezza.
I criteri sono stati definiti anche in relazione al tipo di rischio potenziale e in base al livello di tecnologia utilizzata.
Nel caso in cui su uno o più sistemi si dovesse verificare perdita di informazioni o danni a causa di contagio da virus informatici si provvede a:
• Isolare il sistema
• Verificare se ci sono altri sistemi infettati con lo stesso virus informatico
• Bonificare il sistema infetto
• Valutare la necessità di ripristinare i dati dal back up più recente.
• Dell’incidente viene tenuta traccia in un apposito registro
• Tentativi invece di attacco che siano stati intercettati dai nostri sistemi di protezione vengono automaticamente tracciati nel log dei sistemi stessi.
È fatto divieto a chiunque di:
• Effettuare copie su supporti magnetici o trasmissioni non autorizzate dal Titolare del trattamento dei dati di dati oggetto del trattamento.
• Effettuare copie fotostatiche o di qualsiasi altra natura, non autorizzate dal Titolare del trattamento dei dati, di stampe, tabulati, elenchi, rubriche e di ogni altro materiale riguardante i dati oggetto del trattamento.
• Sottrarre, cancellare, distruggere senza l’autorizzazione del Titolare del trattamento dei dati stampe, tabulati, elenchi, rubriche e ogni altro materiale riguardante i dati oggetto del trattamento.
• Consegnare a persone non autorizzate dal Titolare del trattamento dei dati stampe, tabulati, elenchi, rubriche e di ogni altro materiale riguardante i dati oggetto del trattamento.
Per controllare l’accesso ai locali ove avviene il trattamento, il Titolare del trattamento redige ed aggiorna l’elenco degli uffici in cui viene effettuato il trattamento dei dati, nominando un apposito Incaricato, con il compito di controllare direttamente i sistemi, le apparecchiature, o i registri di accesso ai locali allo scopo di impedire intrusioni o danneggiamenti.
Il Titolare del trattamento dati ha anche definito le modalità di accesso ai locali in cui sono presenti sistemi o apparecchiature di gestione e memorizzazione dei dati trattati e che sono i seguenti:
Sala Server 1 (principale): la sala (ubicata al 1° piano della palazzina 1) è sistematicamente chiusa con una elettro serratura e dotata di sistema di controllo degli accessi con registrazione dell’ora di entrata e del codice dell’operatore che accede. La lista delle persone autorizzate ad accedervi è gestita e mantenuta dall’Ufficio Personale. La sala è inoltre attrezzata con:
• Rilevatori di fumo
• Impianto Antincendio automatico a gas inerte
• Sistema di allarme antifurto
• Sistema di climatizzazione a Rack
• Alimentazione elettrica ridondata
• UPS asservito a gruppo di continuità
Sala Server 2: la sala (ubicata al piano 2 della palazzina 2) è sistematicamente chiusa con una elettro serratura e dotata di sistema di controllo degli accessi con registrazione dell’ora di entrata e del codice dell’operatore che accede. La lista delle persone autorizzate ad accedervi è gestita e mantenuta dall’Ufficio Personale. La sala è inoltre attrezzata con:
• Rilevatori di fumo
• Estintori
• Sistema di allarme antifurto
• Sistema di climatizzazione
• Alimentazione elettrica ridondata
• UPS asservito a gruppo di continuità
Come già precedentemente detto, al Titolare del trattamento dati è affidato il compito di individuare gli Incaricati del trattamento, predisponendo apposito elenco ed aggiornandolo in funzione delle autorizzazioni rilasciate e delle nomine conferite, secondo quanto previsto dalla Procedura Gestione account, che disciplina le ipotesi di dimissioni, e i casi di gestione dei Permessi di accesso con l’indicazione, per ogni banca di dati, dei tipi di permesso e loro modifiche e/o variazioni per ogni Incaricato del trattamento autorizzato.
Gli Incaricati preposti all’area dei sistemi informativi devono verificare costantemente tramite appositi tool di monitoraggio la funzionalità dei sistemi con cui vengono trattati i dati.
La verifica ha lo scopo di controllare l’affidabilità dei sistemi, per quanto riguarda:
• La sicurezza dei dati trattati
• Il rischio di distruzione o di perdita
• Il rischio di accesso non autorizzato o non consentito
• Il loro adeguato funzionamento anche in relazione all’evoluzione tecnologica.
Nel caso in cui esistano rischi evidenti, l’Amministratore di sistema deve informarne il Titolare del trattamento perché siano presi gli opportuni provvedimenti allo scopo di assicurare il corretto trattamento dei dati in conformità alle norme in vigore.
Sono previste anche preventive misure di sicurezza qualora siano necessari interventi di manutenzione
Per scongiurare il caso di distruzione o danneggiamento, il Responsabile della funzione privacy, avvalendosi dei competenti Amministratori di sistema, vigila sulla corretta gestione dei media destinati alla conservazione dei back-up.
Il processo di backup viene schedulato sulla base di un piano concordato con il Titolare del trattamento che identifica le banche dati, gli archivi e i dati da copiare e i tempi nei quali effettuare l’operazione per non danneggiare l’operatività dei sistemi.
L’accesso ai supporti utilizzati per il back-up dei dati è controllato.
Trattamenti affidati all’esterno
Il Titolare del trattamento relativamente ad alcuni trattamenti di dati, ha affidato la loro gestione a soggetti esterni designandoli formalmente con apposita lettera di nomina. In particolare, il Titolare del trattamento può decidere di affidare il trattamento dei dati in tutto o in parte a soggetti terzi, in outsourcing, nominandoli Responsabili esterni del trattamento, ai sensi dell’art. 28 GDPR. In questo caso sono specificati nell’atto di nomina i soggetti interessati e i luoghi dove fisicamente avviene il trattamento dei dati stessi.
Nel caso i soggetti terzi che operano in outsourcing non vengano nominati espressamente come Responsabili esterni del trattamento, essi devono intendersi autonomi Titolari del trattamento e quindi soggetti ai relativi obblighi, e pertanto rispondono direttamente ed in via esclusiva per le eventuali violazioni di legge.
Al fine di garantire la sicurezza delle trasmissioni dei dati tra le sedi dislocate nel territorio ed eventualmente verso terzi (responsabili o autonomi titolari del trattamento), attraverso l’utilizzo di apparecchi di trasmissione dati, quali “Modem” e “Router”, il Responsabile del trattamento dei dati stabilisce, con il supporto tecnico della Funzione ICT, le misure tecniche da adottare in rapporto al rischio di intercettazione o di intrusione o di hacker su ogni sistema collegato in rete pubblica.
I criteri sono definiti anche in relazione al tipo di rischio potenziale e in base al livello di tecnologia utilizzata.
In particolare per ogni sistema interessato sono definite le seguenti specifiche:
• Le misure applicate per evitare intrusioni
• Le misure applicate per evitare contagi da virus informatici
Di seguito sono sintetizzati i criteri e gli impegni assunti dalle parti esterne all’organizzazione, per l’adozione delle misure di sicurezza, affinché venga garantito un adeguato trattamento.
È sempre fatto salvo il diritto del Titolare del trattamento a audit di verifica dell’effettività ed adeguatezza delle misure organizzative e tecnologiche richieste ai responsabili esterni del trattamento dei dati.
4. CONSERVAZIONE DEI DATI – ACCESSO E CANCELLAZIONE
InRete Digital S.r.l. ha predisposto un’apposita procedura di esercizio dei diritti degli interessati, corredata di idonea modulistica, adottandola e diffondendola mediante apposita comunicazione a terzi:
La Procedura di esercizio dei diritti degli interessati comprende i moduli ad essa allegati di: richiesta di esercizio dei diritti; modello di risposta in accettazione alla richiesta di esercizio suddetta; modello di diniego; modulo da inviare all’interessato che abbia richiesto in modo incompleto l’esercizio dei propri diritti in materia di trattamento dei dati e modello di risposta da trasmettere in caso di impossibilità di evasione della richiesta.
In particolare, gli interessati possano richiedere la cancellazione senza ingiustificato ritardo dei dati personali o limitazione del trattamento dei dati personali che li riguardano per i seguenti motivi:
• perché i dati non sono più necessari per la finalità per i quali erano stati raccolti;
• perché l’interessato ha revocato il consenso al trattamento dei dati,
• perché l’interessato si oppone al trattamento;
• perché i dati sono trattati illecitamente.
InRete Digital S.r.l. ha previsto quindi che nei casi sopra citati il termine ultimo per la cancellazione sia di massimo 7 gg.
Si dettaglia infra la procedura adottata da InRete Digital S.r.l per l’esercizio dei diritti dell’interessato e relativa modulistica.
Su tali procedure è stata svolta la formazione all’interno dell’organizzazione del titolare, come infra dettagliato.
Come già specificato, tutti i dati trattati sono accessibili al solo personale debitamente formato e autorizzato e vengono gestiti elettronicamente. Il Titolare del trattamento dei dati ha istruito il personale di riferimento sulla comunicazione immediata dei dati qualora ne venga fatta la richiesta da un interessato.
In tal senso viene consentito agli interessati di accedere ai propri dati per:
• Modificarli nel caso divengano inesatti;
• Integrarli anche con dichiarazione integrativa;
• Richiederne la cancellazione;
Accesso ai dati personali: l’accesso ai dati personali è libero per gli autorizzati al trattamento dei dati.
Conservazione dei dati: Il GDPR, include la “limitazione della conservazione” tra i principi fondamentali per il trattamento dei dati personali.
I dati personali “[…] devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, GDPR, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato” (art. 5, comma 1, lettera e), GDPR).
Limitare la conservazione dei dati personali al minimo periodo necessario permette di ridurre il rischio che questi diventino inaccurati, obsoleti o irrilevanti. Per questo motivo, il Titolare è tenuto a prevedere un tempo massimo di conservazione adeguato e limitato alle finalità del trattamento stesso.
La limitazione della conservazione è anche strettamente collegata al principio di minimizzazione del trattamento dei dati personali, che stabilisce che i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, comma 1, lettera c), GDPR) ed al principio dell’esattezza, ai sensi del quale i dati devono essere esatti, aggiornati e devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (art 5, comma 1, lettera d), GDPR).
In ogni caso, InRete Digital S.r.l., come da procedura di cui infra, conserverà i dati degli interessati in una forma che consenta l’identificazione degli stessi per un arco temporale non superiore al conseguimento delle finalità per le quali sono stati raccolti.
InRete Digital S.r.l. ha adottato le procedure e policy necessarie per rispondere adeguatamente ai requisiti resi obbligatori dal contesto giuridico, tra i quali:
• prevedere, coerentemente alle previsioni dell’art. 13, comma 2, lettera a) GDPR, l’obbligo di informare il soggetto interessato in merito al periodo di conservazione dei dati personali oppure, se non è possibile, circa i criteri utilizzati per determinare tale periodo;
• permettere al Titolare del trattamento di comprovare il rispetto del principio della “limitazione della conservazione”, come previsto dall’art. 5 cit., comma 1, lettera e) GDPR ed il rispetto del principio della “responsabilizzazione” (art. 5, comma 2, GDPR).
In particolare, tenendo in considerazione il contesto normativo vigente e le peculiarità dei trattamenti effettuati, la policy di data retention ha i seguenti obiettivi:
• individuare i criteri per l’identificazione dei periodi di conservazione dei dati personali nell’ambito dei trattamenti effettuati, sia con l’ausilio di strumenti elettronici che senza l’ausilio degli stessi;
• definire la durata dei periodi di conservazione dei dati personali trattati nello svolgimento delle attività da parte del Titolare del trattamento;
• fornire i requisiti operativi da implementare nei vari processi al fine di garantire l’applicazione della presente policy da parte degli incaricati del trattamento.
Si precisa che i dati strettamente necessari per gli adempimenti fiscali, contabili e per la gestione del rapporto di lavoro, venuta meno la finalità per la quale erano stati raccolti, verranno comunque conservati per un periodo almeno pari a 10 anni e comunque secondo disposizioni di cui all’art. 22 del DPR n. 600/1973.
Soggetti interessati
In particolare, InRete Digital S.r.l. ha individuato quali soggetti Interessati:
Candidati: soggetti di cui i dati personali vengono trattati nel processo di ricerca e selezione del personale, dal momento dello screening dei curricula;
Dipendenti; soggetti in possesso di un contratto di lavoro (a tempo determinato o a tempo indeterminato) o di stage
Clienti/Fornitori: soggetti appartenenti a società terze aventi rapporti contrattuali con InRete Digital;
Collaboratori: soggetti legati alla società tramite un contratto di collaborazione, tra cui i consulenti esterni.
Per il computo del periodo di conservazione dei dati e per supplire alle carenze e alle lacune normative in materia, uno dei criteri ulteriori utilizzati è rappresentato dall’estensione analogica delle tempistiche di conservazione, atta a disciplinare casi equipollenti e non regolamentati applicando norme previste per fattispecie similari.
I tempi previsti sono riferibili sia a documenti su supporto tradizionale sia a quelli elettronici.
Il periodo temporale massimo indicato deve ritenersi applicabile a tutta la documentazione prodotta a seguito del conferimento dei dati personali e conservata nei luoghi di pertinenza (in caso di conservazione cartacea) o nei server o strumenti informatici (in caso di dati su supporto elettronico) il cui accesso è ammesso solo il personale autorizzato dal Titolare del trattamento (incaricati o responsabili).
Specifiche tempistiche di conservazione
A seguire, sono specificati i criteri per la conservazione dei dati personali con riferimento alle categorie precedentemente elencate e alle relative tempistiche individuate.
Candidati: i dati personali dei candidati non selezionati sono conservati per il periodo strettamente necessario al perseguimento delle finalità di selezione e assunzione del personale.
La società informa il candidato che, per l’utilizzo dei suoi dati personali, l’aspirante candidato deve provvedere all’aggiornamento della candidatura entro 45 giorni; in difetto (trascorsi i 45 giorni), si procederà procedere alla cancellazione dei dati.
In particolare, dopo 6 mesi dall’inizio del trattamento, ossia dallo screening dei curricula, dovranno essere cancellati i dati dei candidati in relazione ai quali non vi sia stato alcun evento per l’intero periodo di conservazione previsto (e.g. modifica di dati personali, fissazione di un colloquio).
Dipendenti: I dati personali riguardanti i dipendenti di InRete Digital S.r.l. vengono conservati per la gestione del rapporto di lavoro e per l’adempimento agli obblighi di legge. Gli stessi dati devono essere conservati successivamente al termine del contratto di lavoro al fine di dare corso a richieste di tutela di diritti ed interessi, ad eccezione di particolari trattamenti che possono presentare tempi più stringenti come i dati di formazione e valutazione.
Fornitori: i dati personali riguardanti i fornitori di InRete Digital S.r.l. devono essere
conservati per la gestione del rapporto e per l’adempimento agli obblighi di legge. Gli stessi dati devono essere conservati 11 anni successivamente al termine del contratto al fine di dare corso a richieste di tutela di diritti ed interessi.
Collaboratori: i dati personali riguardanti i collaboratori di InRete Digital S.r.l. devono essere conservati per la gestione del rapporto di collaborazione e per l’adempimento agli obblighi di legge. Gli stessi dati devono essere conservati a tempo indeterminato successivamente al termine del contratto di collaborazione al fine di dare corso a richieste di tutela di diritti ed interessi.
Log Amministratori di sistema: i log di accesso ai sistemi informativi saranno conservati per un periodo di almeno 3/6 mesi al fine di consentire verifiche a posteriori, come consentito dal Provvedimento del Garante in materia (punto 4. 5 del Provv. 27 novembre 2008).
Clienti: le tempistiche di conservazione a partire dalla chiusura del rapporto dipendono dalle politiche del Titolare dei dati o dalle intese contrattuali e possono basarsi su:
• l’art. 2220 Codice Civile, ai sensi del quale le scritture contabili e i documenti a supporto devono essere conservati per 11 anni dalla data dell’ultima registrazione;
• specifici consensi per attività di marketing, in riferimento alle quali i dati verranno conservati fino alla revoca del consenso, e per un periodo massimo di 2 anni, al termine del quale sarà verificata l’attualità del consenso mediante una comunicazione diretta.
5. PIANO FORMATIVO
La società InRete Digital S.r.l. prevede per ogni nuova risorsa da inserire in organico un modulo dedicato al tema della protezione dei dati personali all’interno del programma di formazione iniziale.
Verrà inoltre programmata un’azione formativa sulle modalità di gestione del sistema informatico e, se necessario in base alla valutazione iniziale delle competenze informatiche della nuova risorsa, un’ulteriore azione formativa relativa al software applicato.
In osservanza alle disposizioni dell’art. 28 e art. 32 comma 4 del GDPR, tutti i soggetti addetti al trattamento dei dati personali devono essere in grado di fornire al Titolare garanzie professionali sufficienti che soddisfino i requisiti di formazione e competenza richiesti dalla natura dell’incarico.
A tal proposito gli interventi formativi rivolti agli addetti dei trattamenti hanno la finalità di rendere loro edotti:
1. sulla segretezza della componente riservata della credenziale e sulla diligente custodia dei dispositivi in possesso ed uso esclusivo dell’addetto;
2. sulla custodia e l’accessibilità dello strumento elettronico durante il trattamento dei dati;
3. sul controllo e sulla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali;
4. sul controllo e sulla custodia degli atti e i documenti contenenti dati personali sensibili o giudiziari a loro affidati per lo svolgimento dei relativi compiti fino alla restituzione al termine delle operazioni in maniera che ad essi non accedano persone prive di autorizzazione;
5. sulle procedure aziendali da applicare per la sicurezza e la protezione dei dati, quali ad esempio il cambio delle password, il salvataggio dei dati, aggiornamenti di antivirus e tutto quanto necessario a far si che le misure di sicurezza reputate idonee dall’azienda vengano a tutti gli effetti messe in pratica;
6. sui profili di autorizzazione e gli ambiti di applicazione degli stessi riferiti per classi omogenee di addetti;
7. sulle Policy aziendali in riferimento all’utilizzo della posta elettronica ed internet, sul sistema di videosorveglianza e sull’Amministratore di sistema qualora la struttura ne necessiti;
8. sui diritti dell’interessato ex artt. dal 15 al 22 GDPR.
Il piano di formazione del personale è sviluppato tenendo conto dei seguenti criteri:
a) l’aggiornamento sistematico delle istruzioni da fornire ai dipendenti mediante la condivisione di informazioni e protocolli dettagliati e aggiornati;
b) verifica costante dell’attuazione delle istruzioni impartite periodicamente ai dipendenti;
c) l’aggiornamento periodico delle misure di sicurezza da adottare e delle modifiche della legislazione nazionale e sovranazionale in materia di protezione dei dati personali;
d) eventuale organizzazione di corsi di formazione e di aggiornamento specifici in funzione delle esigenze.
6. DIRITTI DELL’INTERESSATO
1. Contesto e obbiettivi
Introduzione
Il Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation – Regolamento UE 2016/679) stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati e protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
I concetti fondamentali in materia di privacy
Si riportano di seguito alcune basilari informazioni e definizioni relative a quanto disciplinato e prescritto dal Regolamento.
DATO PERSONALE: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
CATEGORIE PARTICOLARI DI DATI PERSONALI: i dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale. Fanno parte di questa categoria anche i dati genetici, i dati biometrici, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
DATI PERSONALI RELATIVI A CONDANNE PENALI E REATI: i dati che rivelino informazioni relative alle condanne penali e ai reati o a connesse misure di sicurezza sulla base.
TRATTAMENTO: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
2. I diritti concessi all’interessato
2.1. Diritto di accesso
L’interessato ha il diritto di ottenere dal titolare del trattamento conferma riguardo l’esistenza di trattamenti dei dati personali che lo riguardano, e in caso affermativo, accedere ai dati personali e alle seguenti informazioni:
• le finalità del trattamento;
• le categorie di dati personali in questione;
• i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
• laddove possibile, il periodo di conservazione dei dati personali previsto, oppure, se non è possibile, i criteri utilizzati, per determinarne il periodo;
• l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento, la rettifica o la cancellazione dei dati personali trattati o limitarne o opporsi al loro trattamento;
• il diritto di proporre reclamo ad un’autorità di controllo;
• qualora i dati non sono raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
• l’esistenza di un processo decisionale automatizzato, compresa la profilazione, e almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Il Titolare del trattamento deve fornire una copia dei dati personali oggetto di trattamento. Nel caso in cui vi sono ulteriori copie richieste dall’interessato, il Titolare del trattamento può attribuire un contributo spese ragionevole basato sui costi amministrativi. Laddove l’interessato presenta la richiesta attraverso dispositivi elettronici, e salvo diversa indicazione dell’interessato, le informazioni sono fornite in un formato elettronico comune. Il diritto di ottenere una copia non deve recare danno ai diritti e alle libertà altrui:
il termine per la risposta all’interessato è, per tutti i diritti 1 mese, estendibili fino a 3 mesi in casi di particolare complessità;
il Titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego;
spetta al Titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (art. 12, co. 5 Regolamento 2016/679), ovvero se sono chieste più copie dei dati personali nel caso del diritto di accesso (art. 15, co. 3 Regolamento 2016/679); in quest’ultimo caso il Titolare deve tenere conto dei costi amministrativi sostenuti;
2.2. Diritto di rettifica
L’interessato ha il diritto di ottenere dal Titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo, tenendo conto delle finalità del trattamento. L’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
2.3. Diritto di cancellazione (“Diritto all’oblio”)
L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
a) i dati personali non sono più necessari rispetto le finalità per le quali sono state raccolti o altrimenti trattati;
b) l’interessato revoca il consenso su cui si basa il trattamento se non sussiste altro fondamento giuridico per il trattamento; L’interessato ha facoltà di revocare il consenso se:
• l’interessato ha dato il consenso al trattamento dei suoi dati personali per uno o più scopi specifici; oppure
• i dati personali rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale e trattamento dei dati genetici, dati biometrici allo scopo di identificare in modo univoco una persona fisica, dati sulla salute o dati relativi la vita sessuale o l’orientamento sessuale della persona: l’interessato ha dato esplicito consenso al trattamento di tali dati personali per uno o più scopi specifici, salvo quando la legislazione dell’Unione o dello Stato membro prevede che il divieto di elaborazione delle categorie speciali di dati personali non possa essere revocato dall’interessato;
c) l’interessato si oppone al trattamento;
d) i dati personali sono stati trattati illecitamente;
e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione Europea o dallo Stato membro cui è soggetto il titolare del trattamento;
f) il genitore può richiedere la cancellazione dei dati personali del figlio minore o sul quale esercita la Patria Potestà.
Laddove il titolare del trattamento ha reso pubblici dati personali ed è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione, adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
Le precedenti azioni non si applicano nella misura in cui il trattamento sia necessario:
a) per l’esercizio del diritto alla libertà di espressione e di informazione;
b) per l’adempimento di un obbligo legale che richieda il trattamento previsto dall’Unione o dallo Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
c) per motivi di interesse pubblico nel settore della pubblica sicurezza;
d) per motivi di interesse pubblico, per finalità di ricerche storiche o scientifiche o ai fini statistici in quanto il diritto applicabile è suscettibile di rendere impossibile o seriamente compromettere il raggiungimento degli obiettivi di tale trattamento;
e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
2.4. Diritto di limitazione del trattamento
L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
a) l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza dei dati personali;
b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
c) sebbene il titolare non ne ha più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
d) l’interessato si è opposto al trattamento, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.
Se il trattamento è limitato, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro.
2.5. Diritto di portabilità dei dati
L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti allorché:
• Il trattamento si basa su:
a) il consenso dell’interessato al trattamento dei propri dati personali per una o più
finalità specifiche; oppure
b) consenso specifico dell’interessato al trattamento dei dati personali che rivelano origine razziale o etnica, opinioni politiche, credenze religiose o filosofiche o appartenenza sindacale e trattamento dei dati genetici, dati biometrici allo scopo di identificare in modo univoco una persona fisica, i dati relativi alla salute o ai dati relativi alla vita sessuale o all’orientamento sessuale di una persona fisica;
c) un contratto di trattamento necessario per l’esecuzione di un contratto a cui è soggetto l’interessato o per prendere provvedimenti su richiesta dell’interessato prima di stipulare un contratto;
· il trattamento sia effettuato con mezzi automatizzati.
Nell’esercitare i propri diritti relativamente alla portabilità dei dati, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento ad un altro, laddove risulti essere tecnicamente possibile. Il diritto alla portabilità dei dati non pregiudica il diritto di cancellazione. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito svolto nell’interesse pubblico o nell’esercizio di autorità pubbliche attribuite al titolare. Il diritto alla portabilità dei dati non pregiudica i diritti e le libertà altrui.
2.6. Diritto di opposizione al trattamento
L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano, compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano, effettuati per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.
Qualora l’interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento per tali finalità.
Il diritto di opposizione è esplicitamente portato all’attenzione dell’interessato ed è presentato chiaramente e separatamente da qualsiasi altra informazione.
Nel contesto dell’utilizzo di servizi della società di informazione, l’interessato può esercitare il proprio diritto di opposizione con mezzi automatizzati che utilizzano specifiche tecniche.
Qualora i dati personali siano trattati a fini di ricerca scientifica o storica o ai fini statistici, l’interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguardano, fatta eccezione se il trattamento è necessario per l’esecuzione di un compito di pubblico interesse.
3. Processo di gestione dei diritti dell’interessato
InRete Digital S.r.l. ha elaborato una procedura specifica per la gestione dei diritti dell’interessato che, nelle sue fasi principali, si svolge come segue:
richiesta formale da parte dell’interessato alla persona di contatto (account / PM / gestore) che, senza indugio, inoltra la richiesta al soggetto operativo responsabile;
il soggetto operativo incaricato esegue la richiesta dell’interessato e ne informa immediatamente il soggetto di riferimento;
la persona di contatto notifica la modifica, l’integrazione e / o la cancellazione dei dati personali all’interessato e al Titolare che lo conferma.
Di seguito sono indicate nello specifico le diverse fasi della procedura di gestione di ogni differente diritto dell’interessato.
3.1. Gestione delle richieste pervenute a mezzo email
L’interessato del trattamento può inviare la propria richiesta:
Scrivendo all’indirizzo di posta elettronica info@inretedigital.it.
La e-mail dovrà avere in allegato:
a) Il “Modulo di richiesta diritti interessato”; (mod. A)
b) Fotocopia del documento di identità in corso di validità dell’interessato, qualora la richiesta provenga direttamente dall’interessato;
c) Fotocopia del documento di identità in corso di validità di chi fa la richiesta, qualora la richiesta provenga da parte di un terzo (incluso un familiare);
d) Delega scritta dell’interessato, qualora la richiesta provenga da parte di un terzo (incluso un familiare);
e) Richiesta su carta intestata del legale, qualora la richiesta provenga da parte di un legale;
Successivamente al ricevimento e alla presa visione delle richieste, dovrà recepirne i contenuti e dare avvio alle opportune azioni, secondo quanto definito nel seguito del presente documento.
Le richieste pervenute dovranno essere conservate per il tempo strettamente necessario alla loro definizione.
3.1.1. Gestione delle richieste pervenute attraverso altri mezzi
Alcune richieste di informazioni potrebbero pervenire da mezzi di comunicazione differenti da quelli indicati nel precedente paragrafo, quali, ad esempio:
• indirizzi e-mail dedicati ad altre attività (es. e-mail di dipendenti);
• tramite posta
Qualora si verificasse uno scenario differente da quello descritto nel precedente paragrafo, colui/colei che si trovasse a ricevere una richiesta da parte di un interessato dovrà immediatamente comunicare allo stesso l’esistenza di canali specifici dedicati alla privacy, indicandone gli estremi.
Per tale motivo, tutto il personale deve essere formato ed informato relativamente all’esistenza di appositi canali di comunicazione per la gestione delle richieste degli interessati.
Le richieste devono essere prese in carico esclusivamente dall’(account / PM / gestore). Per tale ragione, nessuna altra funzione aziendale deve dare seguito alle richieste che potrebbero ad essa pervenire da parte degli interessati.
3.2. Classificazione della richiesta
3.2.1. Verifica dell’identità
A seguito della ricezione di richiesta da parte dell’interessato, l’(account / PM / gestore) deve procedere alla verifica dell’identità dello stesso.
Nei casi in cui la documentazione pervenuta non dovesse risultare adeguata, l’(account / PM / gestore) o l’operatore da lui incaricato di gestire la pratica richiede all’interessato l’integrazione della stessa con le informazioni mancanti, utilizzando il modulo “Modulo per richiesta incompleta” (mod. D). In caso di rifiuto da parte del richiedente, l’(account / PM / gestore) procede a rigettare la richiesta, secondo i passaggi utilizzando il modello allegato “Modulo di Risposta – rigetto (mod. B)”.
Una volta ricevuta tutta la documentazione necessaria l’(account / PM / gestore) comunica all’interessato che la richiesta è stata presa in carico.
3.2.2. Verifica della validità della richiesta
A seguito della presa in carico della richiesta dell’interessato, l’(account / PM / gestore) o l’operatore incaricato deve verificare la validità della stessa, accertandosi dell’effettiva esistenza del diritto dell’interessato. Tale verifica deve essere portata avanti sulla base dei seguenti parametri:
• esistenza dei dati che riguardano l’interessato;
• contenuto dei dati che riguardano l’interessato (dati personali comuni, sensibili);
• valutazione dell’ampiezza della richiesta in relazione al diritto esercitato (proporzionalità).
Una volta verificata l’esistenza dei presupposti minimi per la gestione della richiesta proveniente dall’interessato, a seconda della tipologia di richiesta, l’incaricato o l’operatore la classificano.
3.2.3, Rispetto delle tempistiche
Le richieste da parte dell’interessato devono essere evase (anche in caso di diniego) senza ingiustificato ritardo, entro le tempistiche specificate al punto 3.1- diritto di accesso.
Qualora dovessero verificarsi situazioni di particolare complessità, l’(account / PM / gestore) può, previa autorizzazione da parte del Titolare del trattamento, estendere le scadenze per l’evasione della richiesta.
In ogni caso, le richieste devono necessariamente essere evase entro 3 mesi dalla ricezione/richiesta.
3.2.4. Risposta alla richiesta
Una volta correttamente catalogata ed indirizzata, la richiesta pervenuta dall’interessato deve essere evasa secondo le procedure specificamente definite per ogni tipologia di richiesta.
3.3. Diritto di accesso
3.3.1. Individuazione delle funzioni preposte all’evasione della richiesta
L’(account / PM / gestore) o l’operatore, sulla base dei trattamenti associati all’interessato che effettuano la richiesta, individuano le funzioni aziendali coinvolte nel trattamento dei dati.
3.3.2. Individuazione dei dati afferenti l’interessato
Per ogni funzione aziendale identificata, l’(account / PM / gestore) o l’operatore inviano richiesta specifica, così come delineata all’interno del modello allegato “Modulo di richiesta diritti interessato” (mod. A). Le funzioni riceventi tale richiesta dovranno verificare la presenza di dati relativi all’interessato. Qualora la funzione aziendale identificata dovesse riscontrare la presenza di dati all’interno di sistemi e/o archivi di terze parti, dovrà comunicare a suddette terze parti l’esistenza di una richiesta di accesso da parte dell’interessato.
Al fine di eseguire una verifica completa della presenza dei dati elettronici relativi all’interessato,
l’operatore o l’(account / PM / gestore) possono contattare anche la funzione IT.
3.3.3. Comunicazione all’incaricato (account/PM/gestore) interno dei dati reperiti
Le funzioni aziendali identificate e le funzioni IT preposte, al termine della loro ricognizione, comunicano all’(account / PM / gestore) l’esito delle loro analisi, contenente il dettaglio di tutti i dati trattati in relazione all’interessato richiedente.
3.3.4. Comunicazione all’interessato dei dati
Utilizzando il modello allegato “Modulo di risposta – accoglimento” (mod. C) l’(account / PM / gestore) comunica all’interessato i dettagli relativi ai dati trattati. La comunicazione dei dati richiesti dall’interessato deve avvenire:
I. mediante formato elettronico: l’(account / PM / gestore) (o l’operatore) trasferisce i dati all’interessato presso i recapiti e-mail o all’indirizzo di posta di recapito indicato;
II. oralmente: nei soli casi di richieste esplicita da parte dell’interessato.
Il contenuto della comunicazione deve contenere una copia integrale e completa delle sole informazioni richieste (segregare dati di terzi e le valutazioni del Titolare) e, allo stesso tempo, non recare danno ai diritti e alle libertà altrui.
3.4. Diritto di rettifica
3.4.1. Individuazione delle funzioni preposte all’evasione della richiesta:
Si veda il punto 3.3.1.
3.4.2. Individuazione dei dati afferenti l’interessato:
Si veda il punto 3.3.2.
3.4.3. Comunicazione al Referente Privacy interno dei dati reperiti:
Si veda il punto 3.3.3.
3.4.4. Verifica della validità della rettifica del dato:
L’(account / PM / gestore) valuta e autorizza la validità della richiesta di rettifica dei dati. Tale valutazione, a seconda della complessità, viene svolta sulla base delle normative vigenti.
Qualora la richiesta di rettifica dovesse essere rigettata l’(account / PM / gestore) lo comunica all’interessato utilizzando il modello allegato “Modulo di risposta -rigetto” (mod. B).
3.4.5. Comunicazione all’interessato della rettifica del dato
Utilizzando il modello allegato “Modulo risposta – accoglimento” (mod. C) l’(account / PM / gestore) comunica all’interessato l’avvenuta rettifica dei dati trattati.
3.5. Diritto di cancellazione (“Diritto all’oblio”)
3.5.1. Verifica dell’esistenza del diritto dell’interessato alla cancellazione dei dati
Qualora la richiesta pervenuta dall’interessato dovesse concernere il suo diritto alla cancellazione dei dati personali, l’operatore deve verificare l’esistenza o meno di una base giuridica tale per cui l’interessato possa legittimamente opporsi al trattamento. Le casistiche sono definite dal GDPR, articolo 17.
Qualora la richiesta sia valida (secondo quanto definito al comma 1) e non vi siano ragioni ostative all’accoglimento della richiesta (secondo quanto definito al comma 3), l’(account / PM / gestore) o l’operatore procede secondo quanto definito nei punti seguenti. In caso contrario, rigetta la richiesta e dà comunicazione all’interessato utilizzando il modello allegato “Modulo di risposta – rigetto” (mod. B).
3.5.2. Individuazione delle funzioni preposte all’evasione della richiesta:
Si veda il punto 3.3.1.
3.5.3. Individuazione dei dati afferenti l’interessato:
Si veda il punto 3.3.2.
3.5.4. Comunicazione al Referente Privacy interno dei dati reperiti:
Si veda il punto 3.3.3.
3.5.5. Comunicazione a terze parti:
Qualora la funzione aziendale identificata dovesse riscontrare la presenza di dati all’interno di sistemi e/o archivi di terze parti, dovrà comunicare a suddette terze parti l’esistenza di una richiesta di cancellazione da parte dell’interessato.
3.5.6. Comunicazione all’interessato:
A conclusione della cancellazione, le funzioni preposte all’evasione della richiesta, invieranno la conferma dell’avvenuta esecuzione dell’operazione all’interessato, secondo il modello allegato “Modulo di risposta – accoglimento” (mod. C).
3.6. Diritto di limitazione del trattamento
3.6.1. Verifica dell’esistenza del diritto dell’interessato alla limitazione dei dati
Qualora la richiesta pervenuta dall’interessato dovesse concernere il suo diritto alla limitazione del trattamento dei dati personali, l’(account / PM / gestore) (o l’operatore) deve verificare l’esistenza o meno di una base giuridica tale per cui l’interessato possa legittimamente opporsi al trattamento. Le casistiche sono definite dal GDPR, articolo 18.
Qualora la richiesta sia valida (secondo quanto definito al comma 1), l’(account / PM / gestore) (o l’operatore) procede secondo quanto definito nei punti seguenti. In caso contrario, rigetta la richiesta e dà comunicazione all’interessato utilizzando il modello allegato “Modulo di risposta – rigetto” (mod. B).
3.6.2. Individuazione delle funzioni preposte all’evasione della richiesta:
Si veda il punto 3.3.1.
3.6.3. Individuazione dei dati afferenti l’interessato:
Si veda il punto 3.3.2.
3.6.4. Comunicazione al Referente Privacy interno dei dati reperiti:
Si veda il punto 3.3.3.
3.6.5. Individuazione delle modalità di limitazione del trattamento:
Una volta verificate l’esistenza del diritto e la validità della richiesta dell’interessato, l’(account / PM / gestore) o l’operatore comunicano alle funzioni coinvolte la necessità di limitare il trattamento dei dati personali. Il Referente Privacy interno, definisce le modalità attraverso le quali limitare il trattamento e vigila affinché le funzioni coinvolte eseguano la limitazione. A titolo esemplificativo e non esaustivo, il trattamento può essere limitato tramite:
• trasferimento dei dati verso altro sistema che renda impossibile procedere al trattamento;
• limitazione degli accessi al dato da parte degli utenti e del personale autorizzati ad eseguire attività di trattamento;
• digitalizzazione di eventuali basi di dati cartacee ed applicazione di stringenti modalità di accesso;
• rimozione temporanea dei dati presenti online o presso i siti web.
La valutazione della modalità di limitazione deve sempre prevedere il coinvolgimento di tutte le funzioni coinvolte ed il processo decisionale deve essere documentato attraverso opportune evidenze e fogli di lavoro.
I dati relativi al trattamento limitato, devono essere opportunamente contrassegnati per renderne agevole il riconoscimento in vista di un possibile rispristino degli stessi.
3.6.6. Comunicazione all’interessato
A conclusione del processo di limitazione del trattamento, l’(account / PM / gestore) (o l’operatore) comunica all’interessato la conclusione delle operazioni, utilizzando il modello allegato “Modulo di risposta – accoglimento” (mod. C).
3.7. Diritto di portabilità dei dati
3.7.1. Verifica dell’esistenza del diritto dell’interessato alla portabilità dei dati
Qualora la richiesta pervenuta dall’interessato dovesse concernere il suo diritto alla portabilità dei dati personali, l’operatore deve verificare l’esistenza o meno di una base giuridica tale per cui l’interessato possa legittimamente richiedere la portabilità dei propri dati al trattamento.
Qualora la richiesta sia valida (secondo quanto definito al comma 1) l’(account / PM / gestore) (o l’operatore) procede secondo quanto definito nei punti seguenti. In caso contrario, rigetta la richiesta e dà comunicazione all’interessato utilizzando il modello allegato “Modulo di risposta – rigetto” (mod. B).
3.7.2. Individuazione delle funzioni preposte all’evasione della richiesta:
Si veda il punto 3.3.1.
3.7.3. Individuazione dei dati afferenti l’interessato:
Si veda il punto 3.3.2.
3.7.4. Comunicazione al Referente Privacy interno dei dati reperiti:
Si veda il punto 3.3.3.
3.7.5. Trasferimento all’interessato o al nuovo titolare dei dati:
L’(account / PM / gestore) trasferisce all’interessato o, laddove così indicato dallo stesso, al nuovo titolare del trattamento, i dettagli relativi ai dati trattati. Il trasferimento dei dati richiesti dall’interessato deve avvenire:
I. mediante formato elettronico
II. oralmente: nei soli casi di richiesta esplicita da parte dell’interessato.
Il contenuto della comunicazione deve contenere una copia integrale e completa delle sole informazioni richieste e, allo stesso tempo, non recare danno ai diritti e alle libertà altrui.
È necessario verificare che il formato sia interoperabile con i sistemi verso i quali suddetti dati devono essere trasferiti. Suddetta verifica avviene contattando il gestore del sistema di destinazione al fine di valutare insieme ad esso se la portabilità verso il nuovo titolare indicato dall’interessato sia tecnicamente possibile.
3.7.6. Comunicazione all’interessato
A conclusione del processo di trasferimento, l’(account / PM / gestore) o l’operatore comunicano all’interessato la conclusione delle operazioni, utilizzando il modello allegato “Modulo di risposta – accoglimento” (mod. C9).
3.8. Diritto di opposizione al trattamento
3.8.1. Verifica dell’esistenza del diritto dell’interessato di opporti al trattamento dei dati
Qualora la richiesta pervenuta dall’interessato dovesse concernere il suo diritto alla opposizione al trattamento dei dati personali, l’operatore deve verificare l’esistenza o meno di una base giuridica tale per cui l’interessato possa legittimamente opporsi al trattamento. Le casistiche sono definite dal GDPR, articolo 21.
Qualora la richiesta sia valida (secondo quanto definito al comma 1), l’(account / PM / gestore) procede secondo quanto definito nei punti seguenti. In caso contrario, rigetta la richiesta e dà comunicazione all’interessato utilizzando il modello allegato “Modulo di risposta – rigetto (mod. B)”.
3.8.2. Individuazione delle funzioni preposte all’evasione della richiesta:
Si veda il punto 3.3.1.
3.8.3 Individuazione dei dati afferenti l’interessato:
Si veda il punto 3.3.2.
3.8.4. Comunicazione al Referente Privacy interno dei dati reperiti:
Si veda il punto 3.3.3.
3.8.5. Comunicazione all’interessato:
A conclusione del processo, le funzioni preposte all’evasione della richiesta, invieranno la conferma dell’avvenuta esecuzione dell’operazione richiesta all’interessato, secondo il modello allegato “Modulo di risposta – accoglimento” (mod. C).
7. PROCESSO DI GESTIONE DELLA VIOLAZIONE DEI DATI
La società InRete Digital S.r.l. è obbligata ai sensi del Regolamento (UE) 2016/679, a mantenere i dati personali al sicuro ed a rispondere prontamente e in modo adeguato alle violazioni della sicurezza dei dati, compresa la segnalazione di tali violazioni all’Autorità Garante per tutti gli obblighi previsti dal citato Regolamento.
È fondamentale adottare misure tempestive in caso di violazioni effettive, potenziali o sospette della sicurezza o della riservatezza dei dati personali per evitare il rischio di danni alle persone, alle attività operative e prevenire i gravi costi finanziari, legali e di reputazione.
7.1. OBIETTIVI
Scopo della policy per la gestione dei Data Breach è quello di fornire agli operatori di InRete Digital S.r.l. gli indirizzi strategici e le linee guida per una gestione efficace ed efficiente degli incidenti di sicurezza che implicano la violazione dei dati personali.
Con il termine “violazione della sicurezza dei dati personali” si intende ogni evento che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, ai sensi dell’Art. 4 del Regolamento UE 2016/679 (“General Data Protection Regulation”, GDPR).
Tali violazioni alla sicurezza dei dati personali possono essere identificate come segue:
- Violazione della riservatezza, in caso di divulgazione o accesso non autorizzato o accidentale ai dati personali;
- Violazione della disponibilità, in caso di perdita non autorizzata o accidentale di accesso o distruzione di dati personali;
- Violazione dell’integrità, in caso di alterazione non autorizzata o accidentale dei dati personali.
Le cause più comuni si possono categorizzare in:
- Violazione involontaria ed accidentale: l’esempio più pratico è lo smarrimento di un supporto cartaceo, come un documento, o elettronico come un’unità flash USB;
- Furto: con chiare intenzioni illecite, come ad esempio il furto dei detti supporti cartacei e/o elettronici;
- Volontarietà illecita da parte di dipendenti: avviene quando la violazione viene causata da un soggetto interno all’organizzazione, accedendo in maniera autorizzata alle informazioni, ma trattandole poi illegittimamente.
- Accesso non autorizzato/Alterazione dei dati: avviene quando viene condotto un attacco avente come fine l’accesso senza autorizzazioni ai sistemi informatici, l’acquisizione dei dati personali e/o l’alterazione/divulgazione degli stessi.
7.2. LE FASI DI INTERVENTO
Nel caso in cui una violazione della sicurezza dei dati personali venga violata, è fondamentale garantire che essa venga gestita immediatamente e in modo appropriato per ridurre al minimo l’impatto e le conseguenze della violazione e prevenirne il ripetersi.
In linea con le linee guida, InRete Digital ha elaborato un processo in cinque fasi per rispondere a una violazione della sicurezza dei dati:
- Fase 1: identificazione e valutazione dell’incidente
- Fase 2: valutazione dei rischi
- Fase 3: contenimento, eradicazione e ripristino
- Fase 4: notifica al Garante per la protezione dei dati personali ai sensi dell’art. 33 GDPR entro 72 ore.
- Fase 5: valutazione, risposta, revisione e monitoraggio.
I principali stakeholder coinvolti nel processo di Breach Management sono i seguenti:
- Autorità garante
- Impiegato
- Interessato
- Capo delle attività investigative (responsabile della funzione interessata)
- Titolare del trattamento
- Possibile consulente
Di seguito verranno delineate le singole fasi di intervento:
Fase 1: identificazione e valutazione dell’incidente
La fase di identificazione e valutazione prevede il seguente flusso:
- conoscenza di una violazione effettiva o sospetta della sicurezza dei dati personali – segnalazione immediata a un Manager (Account / PM/ Manager).
- Al ricevimento della segnalazione, il Responsabile (Account / PM / Manager) riferisce immediatamente al Titolare che identifica una persona responsabile per l’indagine della singola violazione dei dati, che conduce, con il supporto del reparto IT e / o di eventuali altri fornitori coinvolti, una valutazione iniziale dell’incidente che determini se si è verificata una violazione della sicurezza dei dati personali;
III. In caso di violazione, il responsabile effettua un’analisi delle prove al fine di stabilire:
quali dati personali sono coinvolti nella violazione
la causa della violazione
la portata della violazione (il numero di persone interessate)
- In seguito alle analisi, informare il Titolare.
- Il capo delle attività investigative, in collaborazione con qualsiasi ente di sostegno
Fase 2: valutazione dei rischi
A seguito di una violazione dei dati, deve essere effettuata una valutazione di eventuali nuovi rischi connessi alla violazione. L’analisi ha lo scopo di individuare misure adeguate per arginare o eliminare l’intrusione e valutare la necessità di attivare le procedure di comunicazione e notifica.
Le informazioni fornite nel modulo di segnalazione della violazione della sicurezza dei dati saranno utili in questa fase.
- Il Titolare, in collaborazione con il Responsabile delle attività investigative, esamina la relazione sull’incidente:
- Valutare i possibili rischi, analizzando i possibili impatti e le probabilità di occorrenza a seguito della violazione:
o le conseguenze per le persone:
- Quali sono le potenziali conseguenze negative per le persone
- Quanto gravi o sostanziali sono tali conseguenze
- Quante persone sono coinvolte
o Conseguenze per la Società (tipo di rischio):
- Strategico e operativo
- Legale
- Finanziari
- Reputazionale
- Continuità dei livelli di servizio
- Essi determinano, se del caso, quali ulteriori azioni correttive dovrebbero essere adottate, sulla base della relazione sull’incidente, per mitigare i rischi connessi alla violazione e prevenirne il ripetersi.
- Il capo delle attività investigative, a seguito dell’attività di valutazione:
- Preparare un rapporto sull’incidente che indichi (se del caso):
o una sintesi della violazione della sicurezza;
o Le persone coinvolte nella violazione della sicurezza;
o i dettagli delle informazioni, dei sistemi informatici, delle apparecchiature o dei dispositivi coinvolti nella violazione della sicurezza e qualsiasi informazione persa o compromessa a seguito dell’incidente;
o Come si è verificata la violazione;
o le azioni intraprese per risolvere la violazione;
o l’impatto della violazione della sicurezza;
o le potenziali conseguenze della violazione della sicurezza;
o Possibili azioni per evitare che la violazione della sicurezza si ripeta;
o Raccomandazioni per azioni future e miglioramenti della protezione dei dati pertinenti all’incidente.
- Fornisce il rapporto di incidente al Titolare del trattamento.
Fase 3: Contenimento, eradicazione e ripristino
Una volta accertato che si è verificata una violazione dei dati, l’azienda deve intraprendere azioni immediate e appropriate per limitare la violazione.
- Il titolare del trattamento:
- valutare le eventuali azioni da intraprendere, proposte a seguito dell’analisi al fine di contenere l’incidente, mitigare i rischi, eliminare eventuali minacce e ripristinare le normali operazioni;
- Comunica ai soggetti coinvolti le misure da adottare per contenere la violazione e coordina le attività
- Determina se è opportuno informare immediatamente le persone colpite (ad esempio, quando vi è un elevato rischio di gravi danni alle persone).
Fase 4: notifica
Sulla base della valutazione dei rischi e delle conseguenze:
- Il titolare del trattamento:
- Determinano se sia necessario notificare la violazione a soggetti / soggetti esterni all’azienda:
o Il Garante per la protezione dei dati personali, ai sensi dell’art. 33 del GDPR:
- La notifica di violazione all’Autorità di Vigilanza DEVE essere presentata entro 72 ore dal momento in cui la violazione è venuta a conoscenza. In caso di ritardo nella notifica, i motivi devono essere giustificati;
o A partire dal 1º luglio 2021, la notifica di una violazione di dati personali deve essere inviata al Garante attraverso una specifica procedura telematica, resa disponibile sul portale dei servizi online dell’Autorità pubblicato su https: //servizi.gpdp .it /
Nell’ambito della notifica:
- descrivere la natura della violazione dei dati personali, comprese, ove possibile, le categorie e il numero approssimativo degli interessati, nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- comunicare il nome e i recapiti del responsabile della protezione dei dati o di un altro punto di contatto da cui ottenere maggiori informazioni;
- Descrivere le probabili conseguenze della violazione dei dati personali;
- Descrivere le misure adottate o proposte dal titolare del trattamento per porre rimedio alla violazione dei dati personali e, se del caso, per attenuare eventuali effetti negativi.
NB: Nel caso in cui la violazione presenti rischi elevati per i diritti e le libertà delle persone fisiche, è obbligatoria la comunicazione all’Autorità Garante.
I soggetti interessati dalla violazione, con la seguente procedura:
- entro 48 ore dalla verifica della violazione dei propri dati / forniti / trattati dall’interessato, il Titolare, tramite il responsabile del contatto, informa l’interessato specificando: dettagli della violazione dei dati, valutazione efficace del danno, dati coinvolti, terzi coinvolti, misure messe in atto per contenere ed eliminare le conseguenze dannose della violazione, eventuali indicazioni tecnico-pratiche per l’interessato;
- a seguito della prima notifica, la persona di contatto responsabile, per conto del Titolare, aggiornerà quotidianamente l’interessato, fino a completa risoluzione della questione;
Fase 5: valutazione e risposta
A seguito di una violazione della sicurezza dei dati:
- Il Titolare del trattamento:
o Effettuare un riesame dell’incidente in consultazione con le parti interessate per garantire che le misure adottate durante l’incidente siano adeguate e individuare i settori che potrebbero essere migliorati;
o Documentare qualsiasi violazione dei dati personali in un registro degli incidenti, comprese le circostanze che li circondano, le loro conseguenze e le misure adottate per porvi rimedio.
8. L’UTILIZZO DELLE RISORSE INFORMATICHE E DI COMUNICAZIONE
8.1. PREMESSA
InRete Digital S.r.l. intende fornire alcune regole fondamentali dirette ai propri dipendenti nell’utilizzo da parte loro di strumenti e supporti adoperati per il trattamento dei dati personali, al fine di prevenire rischi e problemi legali alla sicurezza e alla fruibilità delle informazioni trattate.
Pertanto gli operatori sono esplicitamente invitati a mantenere un atteggiamento volto a tutelare la riservatezza, in uno spirito di piena collaborazione con i colleghi, i Clienti e con tutte le parti correlate.
Ogni operatore, nell’utilizzare in modo appropriato le attrezzature e i servizi informatici, è tenuto a conoscere ed applicare le seguenti regole di condotta.
Il mancato rispetto o la violazione delle regole di seguito elencate è perseguibile con provvedimenti disciplinari nonché con le azioni consentite dalla vigente legislazione.
8.2. DISPOSIZIONI GENERALI
Tutte le informazioni memorizzate, create, elaborate, spedite o ricevute ovvero, nell’accezione della normativa vigente, tramite apparecchiature e sistemi informatici aziendali sono e rimangono informazioni la cui titolarità è della Società.
La Società autorizza i propri operatori in maniera esplicita, ai soli fini lavorativi, all’uso del Personal Computer, all’accesso alla rete aziendale ed alle applicazioni, all’accesso ad Internet, all’abilitazione ad inviare e ricevere posta elettronica dall’esterno, all’ invio e ricezione di fax e all’utilizzo delle linee telefoniche.
La Società, avvalendosi del supporto IT, interviene nel processo consentendo ai vari operatori l’utilizzo degli strumenti informatici e di comunicazione per i quali sono stati autorizzati e mantenendo la documentazione che attesta tale autorizzazione.
La Società tramite gli account/PM/gestori, ha la facoltà di accedere, tramite procedure coerenti con quanto disposto dalla legislazione vigente, in qualunque momento e per l’espletamento della propria funzione, ai dati trattati da ciascun operatore ivi compresi gli archivi di posta elettronica, anche in assenza del dipendente,
collaboratore, somministrato e stagista, sia durante sia dopo la cessazione del rapporto di lavoro.
La Società potrà limitare o sospendere temporaneamente la disponibilità di apparecchiature e di servizi informatici per motivi di sicurezza e/o per attività di gestione, aggiornamento e manutenzione delle infrastrutture tecnologiche.
La Società, direttamente o attraverso il supporto IT, si riserva la possibilità di organizzare attività di verifica interna sull’applicazione delle presenti norme e, in particolare, per quanto riguarda l’adeguamento dei livelli di sicurezza delle postazioni di lavoro e del loro utilizzo.
La Società si riserva inoltre la possibilità, ove ne sorga l’esigenza, di accedere alle apparecchiature informatiche e alle informazioni in esse contenute. Tali attività saranno eseguite strettamente nei limiti e nel rispetto delle norme vigenti in materia giuslavoristica (ad esempio lo statuto dei lavoratori) e di tutela della privacy degli operatori, per finalità di sicurezza, per salvaguardare il patrimonio aziendale della Società o per finalità di controllo o di pianificazione delle proprie attività e dei propri costi, nonché per verificare il rispetto delle regole di seguito disciplinate.
È vietato l’uso promiscuo di ogni dispositivo, in caso di manutenzione del dispositivo o di restituzione dello stesso, ogni dato personale dell’utente (tra cui anche immagini e video), e comunque ogni dato non aziendale, sarà distrutto a cura della Società.
8.3. TUTELA DELLE INFORMAZIONI AZIENDALI
Segreto professionale
- Il dipendente non può divulgare, pubblicare o comunicare in alcun modo a terzi, direttamente o indirettamente, in toto o in parte, le informazioni apprese in occasione dello svolgimento delle mansioni per le quali è stato assunto dalla Società, né potrà usarle, sfruttarle o disporne in proprio o tramite terzi.
- Gli obblighi del dipendente previsti in questo capo non termineranno all’atto di cessazione del rapporto di lavoro, se non in riferimento a quelle specifiche parti delle informazioni che il dipendente possa dimostrare che erano già di pubblico dominio al momento della conclusione del rapporto, o che lo sono diventate in seguito per fatto a lui non imputabile.
Riservatezza dei dati
Premesso che per «Informazioni Riservate» si intendono tutte le informazioni di qualsivoglia natura riferite o apprese in occasione dello svolgimento di mansioni per le quali il soggetto è stato assunto dalla Società, il dipendente si impegna a considerare le Informazioni Riservate come strettamente private e riservate e ad adottare tutte le misure necessarie per non pregiudicare la riservatezza di tali informazioni.
Il dipendente si impegna ad utilizzare le Informazioni Riservate unicamente allo scopo di effettuare lo svolgimento dell’attività cui è preposto e di conseguenza a non usare tali informazioni in alcun modo che arrechi danno alla Società, né per alcun altro scopo di qualsiasi natura.
Gli impegni di cui al presente capo non proibiscono di comunicare Informazioni Riservate:
- ad amministratori e dipendenti, anche di Società nostre controllate, avvocati, revisori, banche o altri nostri consulenti ai quali la conoscenza di tali Informazioni è necessaria al fine dell’espletamento di attività funzionali alla Società;
- a soggetti diversi da quelli specificati al punto precedente, qualora ciò sia stato autorizzato dalla Società.
L’obbligo di riservatezza non opera in caso di Informazioni Riservate:
o che al momento in cui vengono rese note siano di pubblico dominio;
o che diventino di pubblico dominio dopo essere state rese note per causa non imputabile al dipendente.
L’impegno di riservatezza di cui al presente capo si protrarrà anche dopo la cessazione del rapporto di lavoro e sino a quando le informazioni in oggetto non saranno rese di pubblico dominio.
8.4. SISTEMI INFORMATICI AZIENDALI
Il personal computer, fisso o mobile, ed i relativi programmi e/o applicazioni affidati all’utente sono, come è noto, esclusivamente strumenti di lavoro, pertanto:
- tali strumenti vanno custoditi in modo appropriato;
- tali strumenti possono essere utilizzati solo per fini professionali (in relazione, ovviamente alle mansioni assegnate) e non anche per scopi personali, tantomeno per scopi illeciti;
- debbono essere prontamente segnalati alla Società il furto parziale o totale, il danneggiamento o lo smarrimento di tali strumenti.
Ogni utilizzo non inerente l’attività lavorativa può contribuire ad innescare disservizi, elevare i costi di manutenzione e, soprattutto, creare minacce alla sicurezza. Ai fini sopra esposti sono, quindi, da evitare atti o comportamenti contrastanti con le predette indicazioni, attenendosi anche a quanto in seguito esposto.
8.5. PERSONAL COMPUTER
Per evitare il grave pericolo di introdurre virus informatici nonché di alterare la stabilità delle applicazioni degli elaboratori, è consentito richiedere o provvedere direttamente all’installazione di programmi provenienti dall’esterno solo se espressamente autorizzati dalla Società ed esclusivamente dal supporto IT: non è quindi consentito l’uso di programmi non distribuiti ufficialmente.
Il Supporto IT, in accordo con gli account/PM/gestori, ha la facoltà di derogare dall’utilizzo di software certificato. Tale decisione deve essere motivata e documentata.
In particolare, tranne i casi di esplicita autorizzazione della Società, ai dipendenti non è consentito:
- utilizzare strumenti software e/o hardware atti ad intercettare, falsificare, alterare o sopprimere il contenuto di comunicazioni e/o documenti informatici;
- modificare le configurazioni impostate sul proprio PC;
- presso le sedi aziendali collegarsi a reti esterne mediante dispositivi wireless, modem telefonici, cellulari, palmari e apparati assimilabili;
- accedere direttamente ai servizi di base della rete mediante l’uso di programmi di utilità potenzialmente dannosi, se non espressamente autorizzati dalle strutture tecniche competenti (“ping” e similari, network “probe”, racket monitor, port scanner, ecc.);
- installare ed utilizzare, sui dispositivi aziendali, servizi di messaging, di scambio file, di “peer to peer” o simili (a titolo di esempio non esaustivo Skype, Netmeeting, e-mule, WEtransfer…).
L’utilizzo di dati e applicazioni aziendali su dispositivi personali è di norma vietato salvo specifiche autorizzazioni della Società.
Al fine di evitare l’utilizzo da parte di terzi, senza che vi sia la possibilità di provarne in seguito l’indebito uso, il personal computer deve essere sempre spento al termine della propria attività lavorativa giornaliera; spento o disconnesso dalla propria sessione di lavoro e posto in stato di blocco, in particolar modo se collegato alla rete aziendale, nel caso di assenze prolungate dalla propria postazione di lavoro. In quest’ultimo caso si raccomanda di porre il sistema in stand-by, al fine ridurre il consumo energetico e contribuendo alla salvaguardia dell’ambiente.
Fanno eccezione eventuali esigenze di elaborazioni complesse che non richiedono la presenza dell’utente (ad esempio elaborazioni batch notturne).
L’utilizzo delle porte USB per trasferire informazioni è di norma proibito. Specifiche esigenze debbono essere espressamente autorizzate dagli account/PM/gestori.
Ogni utente deve prestare la massima attenzione ai supporti di origine esterna, in particolare, CD, DVD, le chiavi USB e i dischi esterni, avvertendo immediatamente la Società e gli account/PM/gestori nel caso in cui vengano rilevati virus.
Ulteriori norme per i Personal Computer portatili
L’utente è responsabile del Personal Computer portatile assegnatogli dalla Società tramite il supporto IT e deve custodirlo con diligenza durante gli spostamenti e durante l’utilizzo nel luogo di lavoro, evitando di lasciarlo incustodito in luoghi aperti al pubblico o visibile nell’autovettura.
In particolare l’utente deve:
- a) utilizzare le apparecchiature esclusivamente per motivi di servizio e non per uso personale;
- b) utilizzare le stesse in modo conforme alle buone norme di uso anche facendo riferimento ai libretti di istruzione eventualmente forniti;
- c) segnalare con la massima tempestività ai preposti ai Servizi di supporto il cattivo funzionamento delle apparecchiature o, previa denuncia alla Società e alle autorità competenti, il furto totale o parziale delle stesse;
- d) non smontare le parti fisse o manomettere o modificare, neppure parzialmente, direttamente o tramite terzi, le apparecchiature ed i particolari costituenti la dotazione originale, fatto salvo quanto diversamente fatto o richiesto dal personale del Servizio di supporto;
- e) non assegnare e non cedere in uso, anche temporaneo, le attrezzature a terzi;
- f) restituire le apparecchiature a semplice richiesta della Società, secondo le procedure interne;
- g) i computer portatili quando non utilizzati devono essere custoditi in un luogo protetto;
- h) qualora sia fornita all’utente apposita scheda o modem wireless per la connessione del computer portatile alla rete intranet/internet, egli si dovrà attenere alle indicazioni di utilizzo di detta apparecchiatura, fornite dalla Società o dal Supporto IT.
- i) Restituire il computer portatile avendo avuto cura di distruggere qualsiasi eventuale dato personale vi fosse stato accidentalmente memorizzato.
Al fine di tutelare le informazioni in essi memorizzati tutti i computer portatili hanno le memorie di massa (Hard Disk) protette con un sistema di crittografia per evitare, in caso di perdita o furto del portatile, che persone non autorizzate accedano ai dati.
8.6. DATI PRIVATI DEGLI OPERATORI
Gli eventuali dati e documenti privati dell’utente non possono essere conservati sul PC in dotazione. Possono essere effettuati controlli tecnici e/o opportune analisi di dati informatici mirati all’area di rischio, in caso di specifiche esigenze organizzative, produttive e di sicurezza del lavoro. Questi controlli potrebbero coinvolgere i dati privati degli operatori. Si rinvia al capitolo “Controlli” per ulteriori approfondimenti sulle modalità di esecuzione e sulle misure adottate.
8.7. CREDENZIALI DI AOPERATORICAZIONE
Per il personale esterno autorizzato ad accedere ai sistemi informatici vengono create credenziali di aoperatoricazione temporanee, il cui periodo di fruibilità è definito in virtù delle esigenze di durata dell’intervento o di durata del contratto.
Le password degli operatori dei Sistemi Informativi Aziendali devono essere utilizzate per l’accesso alla rete, per lo screen saver, per l’accesso al computer centrale e, quando previsto, per l’accesso alle applicazioni.
Tali password devono essere custodite dall’utente con la massima diligenza e non divulgate.
Inoltre:
- a) le password per il primo accesso sono attribuite da Supporto IT tramite gli Amministratori, comunicate all’utente dalle strutture preposte e non sono utilizzabili per gli accessi successivi al primo. L’utente dovrà quindi obbligatoriamente procedere alla modifica della parola chiave al primo collegamento e, successivamente, secondo la periodicità e le norme elencate di seguito;
- b) la password abbinata allo screen-saver deve essere attivata a cura dell’utente su ogni computer impostando, dove non già configurato, un tempo massimo di attesa non superiore ai 30 minuti di inattività del computer stesso.
- c) si raccomanda, qualora si sia costretti a lasciare incustodita anche per breve tempo la propria postazione informatica, di attivare il blocco della sessione tramite la pressione contemporanea dei tasti <WIN> e del tasto < L>
La composizione e la gestione delle password devono rispettare le seguenti regole:
- d) devono essere composte da almeno otto caratteri;
- e) devono utilizzare caratteri maiuscoli e minuscoli;
- f) devono utilizzare un misto di lettere, numeri arabi;
- g) la validità massima di ogni password è fissata in centottanta giorni;
- h) alla scadenza della password non è possibile riutilizzare le precedenti cinque;
- i) al terzo errore consecutivo di immissione della password la stessa viene bloccata e sarà necessario l’intervento degli Amministratori per lo sblocco;
- j) la password deve essere immediatamente sostituita nel caso si sospetti che la stessa abbia perso la segretezza;
- k) è vietato comunicare ad altri la propria password o utilizzare la password di altri per accedere alla rete o ai programmi,
- l) si sconsiglia fortemente di utilizzare funzioni che consentono la memorizzazione automatica della password di accesso in particolar modo in ambito web.
- m) si raccomanda infine di non utilizzare le proprie password “aziendali” in ambito non lavorativo. Ad esempio per la propria casella di posta elettronica privata.
8.8. RETE INFORMATICA AZIENDALE
Le unità di rete (server e dischi di rete) sono aree di condivisione di informazioni strettamente professionali e non possono in alcun modo essere utilizzate per scopi diversi; pertanto qualunque file che non sia legato all’attività lavorativa non può essere dislocato, nemmeno per brevi periodi, in queste unità.
In caso di cambiamento di mansioni lavorative, l’utente è tenuto a comunicare al proprio Responsabile l’esistenza di autorizzazioni di accesso non conformi alla sua nuova mansione, ove queste non siano già state rilevate a cura del Responsabile.
Il controllo delle stampe dei documenti è responsabilità degli operatori che devono ridurre al minimo il rischio che persone non autorizzate possano accedere alle stesse.
Il personale dei Sistemi Informativi può in qualunque momento procedere alla rimozione di ogni file o applicazione che riterrà pericolosa per la sicurezza sia sui PC degli operatori e dei responsabili, sia sulle unità di rete e/o altre risorse informatiche.
Risulta opportuno che, con regolare periodicità (almeno ogni tre mesi), ciascun utente provveda alla pulizia degli archivi, con la cancellazione dei file obsoleti o inutili. Particolare attenzione deve essere prestata alla duplicazione dei dati, essendo infatti necessario evitare un’archiviazione ridondante.
Per un utilizzo sicuro della rete interna, non sono ammessi accessi alla rete aziendale tramite PC o dispositivi non aziendali, con l’eccezione di quanto previsto al successivo paragrafo “Ulteriori regole per il personale esterno”.
È inoltre prevista la possibilità di connessione alla rete aziendale dall’esterno. In questo caso l’accesso da remoto alla rete interna deve avvenire tramite le modalità e le regole di sicurezza stabilite dalla Società.
Al personale esterno può essere concessa un’utenza di rete, accessibile tramite la intranet aziendale. La scadenza di tale utenza deve coincidere con quella del relativo contratto.
È compito del Responsabile della Sicurezza informare il personale esterno sulle regole aziendali di sicurezza ed eseguire verifiche del rispetto di tali regole, anche avvalendosi del Supporto IT.
Ulteriori regole per il personale esterno
Il personale esterno operante in azienda per connettersi alla rete aziendale deve utilizzare, le apparecchiature messe a disposizione dalla Società. Altre modalità di accesso devono essere esplicitamente autorizzate dal Supporto IT.
In casi del tutto eccezionali può essere consentito l’uso di apparecchiature non aziendali rispettando le seguenti misure:
- a) autorizzazione scritta all’utilizzo da parte della Società committente;
- b) verifica preventiva della configurazione del computer esterno, a cura del personale dei Sistemi Informativi.
- c) dichiarazione scritta, con cui il personale esterno si assume l’impegno a mantenere aggiornate le misure di sicurezza precedentemente verificate, ad ogni accesso alla rete aziendale.
Non sono comunque ammessi:
- a) accessi diretti ai servizi di base della rete mediante l’uso di programmi di utilità potenzialmente dannosi, se non espressamente autorizzati dalle strutture tecniche competenti (“ping” e similari, network “probe”, racket monitor, port scanner, ecc.);
- b) installazione, abilitazione e uso di servizi di messaging, di scambio file, di “peer to peer” o simili (a titolo di esempio non esaustivo: Netmeeting, Skype, e-mule …), se non espressamente autorizzati dalle strutture tecniche competenti.
8.9. POSTA ELETTRONICA
Generalmente, le informazioni trattate tramite posta elettronica sono trasmesse in “chiaro” e possono essere intercettate lungo la rete. Pertanto è necessario che tutti gli operatori utilizzino esclusivamente gli strumenti predisposti dalla Società, che garantiscono livelli di protezione adeguati.
La posta elettronica non va utilizzata per lo scambio di informazioni classificate riservate con soggetti esterni alla Società; in caso di comprovata necessità vanno adottati meccanismi di protezione o cifratura. Per quanto riguarda la sicurezza della posta in arrivo, tenuto conto delle caratteristiche di globalità della rete e dei problemi di sicurezza connessi, sono previsti meccanismi di protezione contro virus informatici e software malevolo.
Si consiglia di aprire gli allegati con cautela valutando con attenzione l’attendibilità del mittente; per quanto riguarda l’origine dei messaggi di posta, è opportuno considerare che è facile “impersonare” un mittente diverso da quello reale, soprattutto per i generatori di messaggi “malevoli”.
È espressamente vietato l’uso di linguaggio o di immagini oscene, ingannevoli, diffamatorie, la creazione o la propagazione di mailing di massa (spamming) o delle cosiddette “catene di Sant’Antonio”.
Non è consentito diffondere, all’esterno dell’azienda, account di posta elettronica senza l’esplicito consenso del proprietario. È vietato l’invio verso l’esterno di messaggi contenenti segreti aziendali o documenti contenenti know-how aziendali. Nel caso in cui ciò si renda necessario dovranno essere valutate le modalità trasmissive idonee e la sottoscrizione di opportuni accordi di riservatezza.
Per ottimizzare le infrastrutture tecniche e di trasmissione dati, occorre rispettare le seguenti regole:
- inviare allegati solo in formato compresso;
- limitare la dimensione del messaggio inviato. Un allegato di dimensioni eccessive potrebbe impedire l’arrivo del messaggio o richiedere un uso eccessivo delle risorse; a tal fine la dimensione massima, per gli allegati, non deve superare 10 Mbyte (si consiglia comunque di non superare i 5 Mbyte);
- documenti contenenti informazioni interne riservate e/o dati particolari, inviati all’esterno dell’azienda devono essere protetti da password (ad esempio inviando file compressi protetti o utilizzando i servizi FTP);
- non aprire, ma cancellare, messaggi di posta elettronica provenienti da mittenti sconosciuti o non affidabili;
- svuotare periodicamente la propria casella elettronica, cancellando documenti inutili e soprattutto allegati ingombranti i quali, se è necessario conservarli, devono essere trasferiti al più presto nelle cartelle personali sul Sistema Informativo;
- evitare il più possibile di rispondere ad un messaggio allegando tutto il testo precedente;
- Non partecipare a forum e/o blog non professionali o registrarsi ad inutili liste di distribuzione, chat, gruppi di discussione, mailing commerciali o a guest book non professionali anche utilizzando pseudonimi (c.d. “nickname”); quando necessario, richiedere rapidamente la rimozione.
Al fine di garantire la funzionalità del servizio di posta elettronica aziendale e ridurre al minimo l’accesso ai dati personali, nel rispetto del principio di necessità e di proporzionalità, il sistema in caso di assenze programmate, lunghe assenze e cambio gestione o cessazione del rapporto, potrà essere impostato in modo da inviare automaticamente messaggi di risposta contenenti le coordinate di posta elettronica di un altro soggetto o altre utili modalità di contatto della struttura. In caso di assenze lunghe o programmate, in caso di emergenza, o in caso di cessazione del rapporto di lavoro, è facoltà della Società di prendere visione della posta elettronica in entrata ed in uscita dell’account assegnato al dipendente, collaboratore, somministrato e stagista al fine di tutelare il patrimonio aziendale.
Il personale dei Sistemi Informativi, con l’autorizzazione della Società dell’utente, nell’impossibilità di procedere come sopra indicato e nella necessità di non pregiudicare la necessaria tempestività ed efficacia dell’intervento, potrà accedere alla casella di posta elettronica per le sole finalità sopra indicate.
Si ricorda che la documentazione elettronica, che costituisce per la Società “know-how” aziendale tecnico o commerciale protetto (tutelato in base all’art. 6 bis del r.d. 29.6.1939 n.1127) o che comunque viene contraddistinta da diciture od avvertenze dirette ad evidenziarne il carattere riservato o segreto, a tutela del patrimonio dell’impresa, non può essere comunicata all’esterno senza preventiva autorizzazione della Società.
8.10. INTERNET
La Società ha il compito non solo di incoraggiare, ma anche di sostenere, con ogni mezzo, un impiego appropriato di Internet.
È fatto divieto l’utilizzo di Internet per scopi non aziendali e detta violazione può comportare l’erogazione di sanzioni disciplinari.
L’abilitazione all’accesso ad Internet necessita di apposita autorizzazione inviata ai Sistemi Informativi dalla Società Aziendale su richiesta del Responsabile d’ufficio/area. L’accesso ad internet potrà essere revocato in qualsiasi momento dalla Società.
La navigazione in Internet è consentita, per fini di lavoro, ai soli operatori abilitati.
L’accesso ad Internet richiede particolare attenzione, in quanto presenta alcuni rischi per la sicurezza, quali:
- il caricamento inconsapevole e l’esecuzione di codice malevolo (virus informatici, spyware, backdoor);
- la perdita di riservatezza individuale ed aziendale;
- il download di materiale soggetto a diritti di autore o comunque illecito.
Gli operatori sono tenuti ad osservare le seguenti norme:
- non trasferire sul proprio computer (download) file da siti sconosciuti se non per sole ragioni connesse all’attività lavorativa;
- non entrare tramite la connessione internet nei forum estranei al lavoro;
- non scaricare e non usare software gratuito o shareware prelevato da siti internet e ogni altro materiale coperto da copyright se non espressamente autorizzato dalla Società;
- non eseguire il codice mobile (applet Java, Activex) se non si conosce la provenienza;
- è vietata l’effettuazione di ogni genere di transazione finanziaria ivi comprese le operazioni di remote banking, acquisti on-line e simile salvo i casi direttamente autorizzati dalla Società e con il rispetto delle normali procedure di acquisto;
- è vietata la diffusione di informazioni che possono avere effetto sul valore di mercato della Società o dei Clienti.
- Fermo restante il divieto di accesso ad Internet per scopi non lavorativi, è altresì vietato, a titolo esemplificativo:
o visitare siti internet contenenti materiale osceno, oltraggioso o comunque non coerente con i valori etici sui quali si fonda la Società;
o svolgere o sollecitare attività economiche al fine di trarne profitti personali;
o rivelare o pubblicare informazioni confidenziali quali informazioni finanziarie, strategie di marketing, nuove attività economiche, idee su nuove linee di prodotto, elenchi Clienti, informazioni tecniche,
composizione dei prodotti, contenuto di contratti e trattati, codici di accesso, ecc.;
o rappresentare idee personali come se fossero proprie della Società o dei Clienti;
o interferire con gli strumenti e con le normali operazioni di aggiornamento e gestione della rete aziendale che riducono il rischio di diffusione di virus informatici.
Per attenuare tali rischi, la Società può predisporre filtri sui siti ritenuti più critici.
Comunque la navigazione in Internet, effettuata su siti che esulano dall’attività lavorativa e che causi gli inconvenienti descritti sopra, è considerata dalla Società una responsabilità dell’utente, anche ai fini di una eventuale sanzione disciplinare.
Accesso a Siti Esterni
Al fine di evitare la navigazione in siti non pertinenti all’attività lavorativa, la Società rende nota l’adozione di uno specifico sistema di blocco o filtro automatico atto a prevenire determinate operazioni quali l’upload o l’accesso a determinati siti e/o categorie di siti inseriti in una black list o in specifiche categorie.
Qualora, nell’ambito della propria attività lavorativa si renda necessario, avendone fatto esplicita richiesta alla Società o su indicazione della stessa, accedere a siti internet nei quali è richiesta la registrazione dell’utente, ai fini di ottenere il rilascio di credenziali di accesso, è fatto obbligo all’utente di rispettare le regole già indicate al paragrafo 8 per la gestione delle proprie credenziali aziendali (regole di riservatezza e di non comunicare a terzi le proprie credenziali ) e di richiedere autorizzazione alla Società di appartenenza.
8.11. LICENZE SOFTWARE
La Società ribadisce il proprio impegno ad utilizzare solamente programmi originali e provvisti di licenza d’uso della casa produttrice.
Tutti i computer aziendali sono forniti, all’atto della consegna, di un corredo di programmi provvisti di licenza ufficiale o di utilizzo libero (es.: Sistema Operativo Windows, antivirus, ecc.).
La Società, anche tramite il Supporto IT, potrà avvalersi di appositi strumenti software per effettuare periodicamente in modo automatico o manuale, l’inventario di tutto il software presente su ogni personal computer.
8.12. ANTIVIRUS
Ogni personal computer è dotato di un software di protezione antivirus che non deve essere per nessun motivo disattivato.
È responsabilità dell’operatore effettuare un controllo antivirus approfondito, tramite il software in dotazione, di tutti i supporti removibili (floppy disk, cd-rom, chiavi USB, ecc.) prima di utilizzarli sul proprio computer, anche se provenienti da colleghi.
Eventuali messaggi del software antivirus, siano essi inerenti anomalie del software stesso o la presenza di virus non eliminabili dovranno essere immediatamente comunicate dall’utente ai Responsabili della sicurezza, prima di intraprendere qualsiasi azione.
8.13. SALVATAGGIO DATI
Premesso che la detenzione sulle singole postazioni (in locale…) di informazioni aziendali è fortemente scoraggiata, qualora se ne presenti la necessità essa deve essere esplicitamente autorizzata dal proprio Responsabile.
Ogni utente è responsabile del salvataggio dei dati aziendali rilevanti, eccezionalmente memorizzati sui dischi fissi del proprio computer. La frequenza di tali salvataggi deve essere valutata dal singolo utente in base alla criticità degli archivi interessati (importanza, dimensione, difficoltà di ricostruzione, ecc.) e comunque buona norma utilizzare una cadenza almeno settimanale. Almeno annualmente dovrà essere effettuato un test per verificare la capacità di rilettura dei supporti e la ricostruzione delle banche dati.
Ogni utente dispone di una cartella individuale per il salvataggio dei dati collocata fisicamente nel server di rete (disco “U”); lo spazio disponibile per ogni utente è limitato ad una dimensione standard. L’accesso alla cartella individuale è riservato ed è consentito solo all’utente intestatario e, solo a fini di sicurezza, agli Amministratori.
Il recupero dei dati dalle copie di Backup delle cartelle individuali predisposte sul server deve essere richiesto al Personale dei Sistemi Informativi.
È fatto obbligo agli operatori di procedere alla periodica pulizia degli archivi mediante la cancellazione dei file obsoleti o inutili; particolare attenzione deve essere prestata ad evitare la duplicazione inutile di dati.
8.14. UTILIZZO DEL TELEFONO, DELLO SMARTPHONE E DEL TELEFAX
Per tutelare le esigenze di contenimento della spesa per il servizio telefonico e di tutela del patrimonio aziendale, è installato un centralino elettronico che registra automaticamente i numeri chiamati e la durata delle conversazioni effettuate.
Si raccomanda di limitare l’uso del telefono d’ufficio, del telefono cellulare aziendale e del fax alle comunicazioni necessarie per lo svolgimento del lavoro.
Non è consentito l’uso promiscuo del telefono, del telefax o del cellulare aziendale.
Il dipendente / collaboratore è tenuto a limitare la ricezione e l’effettuazione di telefonate personali sulle linee telefoniche aziendali solo a casi eccezionali e di oggettiva e comprovata necessità, avendo cura di contenere la durata delle conversazioni al minimo indispensabile, in modo da non pregiudicare l’attività di lavoro.
L’utilizzo dei cellulari privati deve essere effettuato da parte degli operatori senza interferire con l’attività lavorativa e senza arrecare disturbo nell’ambiente di lavoro. L’utilizzo di questi dispositivi si intende consentito solamente in caso di emergenza e comunque previa segnalazione al proprio responsabile e sua autorizzazione.
8.15. SUPPORTI MAGNETICI E OTTICI
Tutti i supporti magnetici e/o ottici rimovibili contenenti dati personali nonché informazioni costituenti Know-how aziendale, devono essere trattati con particolare cautela onde evitare che il loro contenuto possa essere trafugato o alterato e/o distrutto o, successivamente alla cancellazione, recuperato.
Al fine di assicurare la distruzione e/o inutilizzabilità di supporti magnetici rimovibili contenenti dati personali o sensibili e/o know-how aziendale, ciascun utente dovrà contattare il personale dei Sistemi Informativi e seguire le istruzioni da questo impartite.
I supporti magnetici e/o ottici contenenti dati particolari possono, su richiesta e valutazione del Responsabile, essere marcati con un’opportuna etichetta recante la dicitura: “Può contenere dati particolari secondo la normativa vigente in materia di protezione dei dati personali. Rispettare quanto previsto dalle procedure aziendali”.
I supporti magnetici, opportunamente etichettati, devono essere custoditi in archivi/cassettiere chiusi a chiave; inoltre prima di essere smaltiti dovranno essere resi meccanicamente inutilizzabili (es.: il CD-ROM deve essere spezzato), in particolare modo se contenenti dati personali.
Lo smaltimento di supporti magnetici riutilizzabili (dischetti, cd riscrivibili, cassette, cartucce, chiavi USB) contenenti dati riservati deve essere fatto con particolare cautela, onde evitare che il loro contenuto possa essere recuperato. A tal fine la cancellazione deve essere effettuata in modalità sicura.
8.16. CONTROLLI
Previa apposita informativa preventiva, specifica e diretta agli operatori interessati, in seguito alla rilevazione di anomalie nel sistema informatico (performance di banda, sospetto attacco o intrusione, ecc.) la Società si riserva la facoltà di verificare gli avvenuti accessi a Internet e i tempi di connessione, nell’assoluto rispetto della normativa vigente.
Eventuali indebiti utilizzi del computer saranno considerati dalla Società una responsabilità dell’utente, anche ai fini dell’applicazione di una sanzione disciplinare.
La Società segnala, ai fini della trasparenza, l’effettuazione anche tramite il Supporto IT di necessari controlli tecnici e/o opportune analisi di dati informatici mirati all’area di rischio, in caso di specifiche esigenze organizzative, produttive e di sicurezza del lavoro. I dati informatici sono conservati nella loro interezza per lo stretto tempo necessario alla risoluzione delle criticità eventualmente riscontrate ed in seguito destinati a storicizzazione per scopi statistici e per futuri interventi tecnici, senza alcun legame con le singole utenze.
Oltre che per motivi di sicurezza del sistema informatico, anche per finalità di controllo e programmazione dei costi ovvero per la tutela del patrimonio aziendale nella sua più ampia accezione, è facoltà della Società Aziendale, tramite il personale dei Sistemi Informativi, accedere direttamente, nel rispetto della normativa privacy, a tutti gli strumenti informatici aziendali a ai documenti ivi contenuti, nonché ai tabulati del traffico telefonico.
8.17. OSSERVANZA DELLE DISPOSIZIONI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
Ogni comunicazione inviata/ricevuta che abbia contenuti rilevanti o contenga impegni contrattuali o precontrattuali per la Società deve essere autorizzata/visionata dalla Società; nei casi dubbi è opportuno fare riferimento alle procedure in essere per la corrispondenza ordinaria e per i fax, anche riferendosi a quanto specificato nel MOP della Società.
Oltre a quanto previsto dal presente Regolamento, è necessario attenersi alle disposizioni generali in materia di Protezione dei Dati Personali riportate nel MOP della Società e del Supporto IT, nonché a quanto indicato nella lettera di designazione di Responsabile e/o Incaricato del trattamento dei dati.
9. AGGIORNAMENTO – REVISIONE – INTEGRAZIONE
Il presente Modello Organizzativo Privacy è sempre soggetto ad aggiornamento, revisione ed integrazione in virtù di novità normative, sviluppo e mutamento delle esigenze aziendali e/o economico-sociali, nonché all’insorgere di diversi e ulteriori interessi tesi alla tutela della privacy, in ogni suo aspetto.
Il succedersi delle differenti versioni sarà debitamente e temporalmente individuato e comunicato.
Milano, 1° giugno 2022