REGOLAMENTO PER IL TRATTAMENTO DEI DATI PERSONALI
premessa
In funzione dell’approvazione, in data 25 Maggio 2016, del nuovo Regolamento U.E. n. 679/2016 che mira a garantire una disciplina sulla protezione dei dati personali uniforme ed omogenea in tutta l’Unione Europea; rilevato che detta normazione comunitaria costituisce fonte sovraordinata rispetto alle normazioni nazionali e che, per quanto riguarda l’Italia, esso costituisce norma di riferimento e parametro di legittimità delle normativa nazionale vigente e, quindi, del “Codice della Privacy in vigore dal 01 Gennaio 2004, d. lgs 196/2003, con le modifiche introdotte dal d. lgs. 101/2018, vigente dal 19.09.2018, (adeguamento normativa italiana a Regolamento UE 679_2016) il presente regolamento si prefigge di rendere conforme alla nuova normativa il trattamento dei dati personali che viene eseguito all’interno della “AtemporaryStudio/PR di Felluga e Punis”.
Si chiarisce che le novità introdotte dal Regolamento UE si traducono in obblighi organizzativi, documentali e tecnici che tutti i titolari del trattamento dei dati personali devono considerare per consentire la piena e consapevole applicazione del nuovo quadro normativo in materia di Privacy, e per tali ragioni, questo titolare del trattamento (il “AtemporaryStudio/PR di Felluga e Punis”, d’ora innanzi così denominato) ha inteso dotarsi di una procedura generale di attuazione del Regolamento (da qui in poi definito “GDPR”), al fine di ottemperare agli obblighi previsti e di comprovare l’adeguamento alla normativa.
Sommario
INTRODUZIONE
1. Oggetto
2. Finalità
3. Sensibilizzazione
4. Titolare del trattamento
5. Responsabili del trattamento
6. Incaricati interni del trattamento
7. I dati trattati
8. Principi applicabili al trattamento dei dati personali
9. Il trattamento dei dati personali
10.Il trattamento dei dati sensibili
11. Il trattamento dei dati del personale del titolare
12. Registro delle attività di trattamento
13. Valutazione d’impatto sulla protezione dei dati
14. Informative
15. Consenso al trattamento dei dati
16. Diritti dell’interessato
17. Modalità di esercizio dei diritti dell’interessato
18. Descrizione dell’attività – Ambienti fisici e virtuali – Videosorveglianza
19. Misure di sicurezza
20. Formazione del personale
21. Modulistica
23. Responsabilità in caso di violazione delle disposizioni in materia di Privacy
24. Comunicazione della violazione dei dati personali (“Data Breach”)
Conclusioni
INTRODUZIONE
Il presente regolamento sulla privacy è uno strumento di applicazione del Decreto Legislativo 30 Giugno 2003, n.196 (“Codice sulla Privacy”) come modificato ed integrato dal d.lvo 101/2018 e del Regolamento UE 2016/679, nell’ambito dell’organizzazione del Titolare “AtemporaryStudio/PR di Felluga e Punis”; il medesimo verrà periodicamente aggiornato, in linea con le novità normative, giurisprudenziali e con le pronunce del Garante della Privacy.
Dall’esame della materia emerge come sia ormai naturale un cambiamento di mentalità che porti alla piena tutela della Privacy, da considerare non solo come un onere burocratico ma anzitutto come garanzia di una riservatezza sostanziale. La policy in materia, quindi, è da leggersi sia in funzione di tutela dei diritti degli interessati che di realizzazione di corrette procedure aziendali, tenuto conto della delicatezza degli interessi sottesi.
Il diritto alla privacy infatti è un vero e proprio diritto inviolabile della persona che non si limita alla tutela della riservatezza o alla protezione dei dati, ma si estende – strumentalmente – alla piena realizzazione degli altri diritti e delle libertà fondamentali.
1. OGGETTO
Il presente regolamento disciplina, all’interno della struttura del Titolare “AtemporaryStudio/PR di Felluga e Punis” la tutela delle persone e degli altri soggetti in ordine al trattamento dei dati personali, nel rispetto ed in conformità di quanto previsto dalla nuova normativa sovranazionale, il Regolamento UE n. 679 del Parlamento Europeo e del Consiglio del 27 Aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, tenuto conto del d.lvo 101/2018.
2. FINALITA’
Il Titolare “AtemporaryStudio/PR di Felluga e Punis” garantisce che il trattamento dei dati, a tutela delle persone fisiche, si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale ed al diritto di protezione dei dati personali, a prescindere dalla loro nazionalità o dalla loro residenza.
La protezione delle persone fisiche con riguardo al trattamento dei dati personali è un diritto fondamentale: “Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano” (art. 8, paragrafo 1, Carta dei Diritti Fondamentali dell’UE)
3. SENSIBILIZZAZIONE
Il Titolare “AtemporaryStudio/PR di Felluga e Punis” sostiene e promuove al suo interno ogni strumento di sensibilizzazione che possa consolidare il pieno rispetto del diritto alla riservatezza e migliorare la qualità del proprio operato: uno degli strumenti essenziali di sensibilizzazione è l’attività formativa del personale. Per garantire la conoscenza reale delle disposizioni del presente regolamento, al momento dell’assunzione viene consegnata a ciascun dipendente copia della presente documentazione ed egli si impegna a prenderne visione ed attenersi alle sue prescrizioni.
4. TITOLARE DEL TRATTAMENTO
In generale, il “titolare” del trattamento dei dati personali è la persona fisica, giuridica, la PA e qualsiasi altro Ente, Associazione od organismo cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali ed agli strumenti utilizzati, compreso il profilo della sicurezza.
Il “trattamento” è qualunque operazione effettuata con o senza l’ausilio di strumenti elettronici concernente la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, l’estrazione, l’utilizzo, la comunicazione, la diffusione, la cancellazione, la distruzione dei dati (GDPR, art.4).
Il titolare del trattamento dei dati personali ai sensi e per gli effetti del GDPR è il “AtemporaryStudio/PR di Felluga e Punis”, in persona delle legali rappresentanti pro tempore Giovanna Felluga e Samantha Punis, con sede in Trieste, via Belpoggio n. 1, p. iva 01177710322, email: info@atemporarystudio.com —internet: www.atemporarystudio.com; numeri di telefono e indirizzi specifici reperibili su: https://www.atemporarystudio.com/contatti/
5. RESPONSABILI DEL TRATTAMENTO
Ai fini del presente regolamento s’intende per “Responsabile” la persona fisica, giuridica, la PA e qualsiasi altro Ente, Associazione ed Organismo preposti dal titolare al trattamento di dati personali.
Il titolare, in considerazione della complessità e della molteplicità delle funzioni dell’Azienda, designa quali Responsabili del trattamento di dati personali unicamente i soggetti che presentino garanzie sufficienti per metter in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato (GDPR art.28).
Tutti i soggetti esterni che effettuano operazioni di trattamento sui dati del Titolare “AtemporaryStudio/PR di Felluga e Punis”, per conto e nell’interesse della stessa, per finalità connesse all’esercizio delle funzioni, sono nominati “Responsabili Esterni” del trattamento, qualora siano in possesso dei requisiti di esperienza, capacità ed affidabilità.
I Responsabili esterni del trattamento hanno l’obbligo di:
- Trattare i dati in modo lecito, secondo correttezza e nel pieno rispetto della normativa vigente in materia di privacy;
- Rispettare le misure di sicurezza ed adottare tutte le misure che siano idonee a prevenire e/o evitare la comunicazione o diffusione dei dati, il rischio di distruzione o perdita, anche accidentale, di accesso non autorizzato o di trattamento non autorizzato o non conforme alle finalità della raccolta;
- Trattare i dati personali esclusivamente per le finalità previste dal contratto o dagli obblighi di legge;
- Attenersi alle disposizioni impartite dal titolare del trattamento.
Nel caso di mancato rispetto delle predette disposizioni ne risponde direttamente, verso l’Azienda, il Responsabile esterno del trattamento.
La designazione del Responsabile esterno viene effettuata mediante “atto di nomina” da parte del titolare del trattamento (Allegato 1. – Lettera di nomina del Responsabile Esterno al trattamento dei dati personali) e mediante le Istruzioni operative ivi incluse, da allegare agli accordi, convenzioni o contratti che prevedono l’affidamento di trattamenti di dati personali esternamente al Titolare.
L’accettazione della nomina è condizione necessaria per l’instaurarsi del rapporto giuridico fra le parti.
6. INCARICATI INTERNI DEL TRATTAMENTO
Gli “Incaricati” del trattamento sono le (eventuali) persone fisiche, direttamente dipendenti del Titolare “AtemporaryStudio/PR di Felluga e Punis”, incaricati di svolgere le operazioni di trattamento dei dati personali di loro competenza con l’indicazione dei compiti, dell’ambito di trattamento consentito e delle modalità.
Ogni dipendente eventualmente preposto ad un determinato servizio e tenuto ad effettuare operazioni tecniche di trattamento è da considerare “Incaricato”. La designazione dell’incaricato al trattamento dei dati personali è di competenza del titolare del trattamento e la nomina è effettuata per iscritto, in modo da individuare puntualmente i compiti spettanti all’incaricato e le modalità cui deve attenersi per l’espletamento degli stessi e l’ambito del trattamento consentito (Allegato 2. – Lettera di nomina dell’incaricato interno al trattamento di dati personali).
L’incaricato collabora con il titolare segnalando eventuali situazioni di rischio nel trattamento dei dati e fornendo ogni informazione necessaria per l’espletamento delle funzioni di controllo.
In particolare, l’incaricato deve assicurare che, nel corso del trattamento, i dati siano:
- Trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
- Raccolti e registrati per scopi determinati, espliciti e legittimi e, successivamente, trattati in modo compatibile con tali finalità;
- Adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- Esatti e, se necessario, aggiornati: devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
- Conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore a quello necessario per il conseguimento delle finalità;
- Trattati in modo tale che venga ad essere garantita un’adeguata sicurezza dei dati, compresa la protezione mediante misure organizzative e tecniche adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale.
L’incaricato è tenuto alla completa riservatezza sui dati di cui sia venuto a conoscenza in occasione dell’espletamento della sua attività, impegnandosi a comunicare i dati esclusivamente ai soggetti indicati dal titolare e nei soli casi previsti dalla legge.
Gli incaricati devono ricevere idonee ed analitiche istruzioni, anche per gruppi omogenei di funzioni, riguardo le attività sui dati affidate e gli adempimenti a cui sono tenuti.
7. I DATI TRATTATI
Il Titolare, nell’esercizio delle sue funzioni, tratta dati, in modo anche automatizzato (totalmente o parzialmente), delle seguenti categorie di interessati:
- Dati del personale dipendente (qualora esso sia presente)
- Dati dei fornitori
- Dati degli Amministratori
- Dati dei clienti
I dati che sono o possono essere trattati dal Titolare “AtemporaryStudio/PR di Felluga e Punis” rientrano nelle seguenti categorie di dati:
- Dati personali comuni: rappresentano qualunque informazione relativa alla persona fisica, identificata o identificabile.
- Dati sensibili: sono i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione ai partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale nonché i dati personali idonei a rivelare lo stato di salute dell’interessato.
8. PRINCIPI APPLICABILI AL TRATTAMENTO DEI DATI PERSONALI
I dati personali sono:
- Trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
- Raccolti per finalità determinate, esplicite e legittime;
- Adeguati, pertinenti e non eccedenti (limitati) a quanto necessario rispetto alle finalità perseguite (“principio di minimizzazione dei dati”);
- Esatti e, se necessario, aggiornati;
- Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni (GDPR art. 5 e 6):
- L’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
- Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
- Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
- Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi e le libertà dell’interessato che richiedono la protezione dei dati personali
9. IL TRATTAMENTO DEI DATI PERSONALI
Con l’espressione “trattamento” si intendono tutte le operazioni o complesso di operazioni, compiuti con o senza l’ausilio di processi automatizzati applicati a dati personali o all’insieme di dati personali, concernenti le tipologie indicate dall’art. 4 del GDPR.
Il trattamento dei dati è esercitabile solo da parte del titolare, dei Responsabili e degli incaricati. Non è consentito il trattamento da parte di persone non autorizzate.
10. IL TRATTAMENTO DEI DATI SENSIBILI
Il Titolare “AtemporaryStudio/PR di Felluga e Punis” può trattare i dati sensibili solo quando il trattamento è autorizzato da espressa disposizione di legge ed in esecuzione di clausole contrattuali.
In ogni ipotesi di trattamento di dati sensibili occorre verificare, preliminarmente e durante il trattamento, che i dati trattati siano indispensabili per svolgere l’attività consentita e non sia sufficiente utilizzare dati anonimi.
Tale trattamento deve essere effettuato con modalità volte a prevenire la violazione dei diritti delle libertà fondamentali e della dignità dell’interessato.
11. IL TRATTAMENTO DEI DATI PERSONALI DEL PERSONALE DELL’AZIENDA
Il Titolare “AtemporaryStudio/PR di Felluga e Punis” tratta i dati, anche di natura sensibile, dei propri dipendenti per le finalità di instaurazione e di gestione di rapporti di lavoro di qualunque tipo.
Per i trattamenti dei dati connessi alla gestione del rapporto di lavoro (o di tirocinio o di altro tipo) con il personale dipendente, è predisposta apposita informativa (Allegato 3 – Informativa per il trattamento dei dati dei dipendenti).
Secondo la normativa, il Titolare adotta le massime cautele nel trattamento di informazioni personali del proprio dipendente che siano idonee a rivelare lo stato di salute, le abitudini sessuali, le convinzioni politiche, sindacali, religiose, filosofiche o d’altro genere e l’origine razziale ed etnica. Il trattamento dei dati sensibili del dipendente deve avvenire secondo i principi di necessità e di indispensabilità che impongono di ridurre al minimo l’utilizzo dei dati personali e sensibili e, quando non vi si possa prescindere, di trattare solo le informazioni che si rivelino indispensabili per la gestione del rapporto di lavoro.
Il Titolare, nel trattamento dei dati sensibili relativi alla salute dei propri dipendenti, rispetta i principi di necessità e indispensabilità.
12. REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO
Il titolare del trattamento AtemporaryStudio/PR di Felluga e Punis, pur non essendovi tenuto a norma del punto 5) dell’art. 30 del Regolamento Europeo, sceglie di istituire un registro, in forma scritta anche elettronica, delle attività di trattamento svolte sotto la propria responsabilità, che terrà aggiornato.
Tale registro contiene le seguenti informazioni:
- Il nome e i dati di contatto del titolare del trattamento;
- Le finalità del trattamento;
- La descrizione delle categorie di interessati e delle categorie dei dati personali;
- Le categorie dei trattamenti effettuati;
- Le categorie dei destinatari a cui i dati personali sono o saranno comunicati;
- L’indicazione delle misure di sicurezza applicate;
- Eventuale possibilità di trasferimenti di dati all’estero;
- Indicazione dei termini ultimi previsti per la cancellazione delle diverse categorie di dati trattati.
13. VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI
La valutazione dell’impatto dei trattamenti sulla protezione dei dati personali deve essere realizzata dal titolare quando un tipo di trattamento, considerata la natura, il contesto, le finalità possono presentare un rischio per i diritti e le libertà delle persone fisiche.
La valutazione deve contenere almeno:
- Una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare;
- Una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
- Una valutazione dei rischi per i diritti e le libertà degli interessati;
- Le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza ed i meccanismi per la protezione dei dati e per dimostrare la conformità al presente regolamento ed alla normativa in vigore.
Quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento, il titolare del trattamento, se necessario, procede ad un riesame della valutazione d’impatto sulla protezione dei dati.
Il titolare AtemporaryStudio/PR di Felluga e Punis, pur non essendovi tenuto a norma dell’art. 35 del Regolamento Europeo, sceglie di redigere ed aggiornare la valutazione di impatto, conglobandola in unico documento assieme al Registro dei Trattamenti suddetto.
Il Registro dei Trattamenti e La valutazione di impatto costituiscono l’allegato n. 4 al presente regolamento
14. INFORMATIVA
Il titolare del trattamento, al momento della raccolta dei dati personali, è tenuto a fornire all’interessato, avvalendosi del personale incaricato, l’informativa prevista, redatta per iscritto, mediante idonei strumenti:
- Attraverso appositi moduli da consegnare agli interessati;
- Avvisi agevolmente visibili al pubblico, tramite pubblicazione ad es. sull’eventuale sito web.
L’informativa contiene:
- Le finalità e le modalità del trattamento;
- L’indicazione della natura facoltativa del conferimento dati;
- L’indicazione del titolare;
- Il trattamento dei dati in casi particolari;
- L’indicazione dei diritti dell’utente, paziente, cliente;
- L’ambito di comunicazione e diffusione dei dati.
(Allegato n. 3, informativa dipendenti; allegato 4: informativa fornitori; allegato 5: informativa clienti)
15. CONSENSO AL TRATTAMENTO DEI DATI
Nei trattamenti dei dati personali o sensibili effettuati per il perseguimento di finalità diverse da quelle cogenti, quindi in attuazione di obblighi di legge o di esecuzione di contratti, il Titolare organizza modalità atte a facilitare l’espressione del consenso da parte dell’interessato (GDPR art. 81 e 82).
Il consenso deve essere reso da parte dell’interessato attraverso la compilazione dell’apposito modulo (Allegato n. 6 – Modulo per espressione di consenso), previa consegna e presa d’atto dell’apposita informativa.
La manifestazione del consenso sarà valida ed efficace fino alla revoca della stessa: il consenso è validamente prestato al ricorrere di determinate caratteristiche, ovvero sia reso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato e se è documentato per iscritto.
L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento, con la stessa facilità con la quale lo ha espresso. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.
16. DIRITTI DELL’INTERESSATO
L’”interessato” è il soggetto, persona fisica, alla quale si riferiscono i dati oggetto del trattamento.
Il titolare “AtemporaryStudio/PR di Felluga e Punis” attua ogni misura necessaria a facilitare l’esercizio dei diritti dell’interessato ai sensi degli art. 12-22 del GDPR.
A tal fine, la normativa europea prevede che l’interessato ha il diritto di ottenere dal titolare del trattamento:
- Conferma dell’esistenza o meno dei dati personali che lo riguardano e:
- Origine dei dati;
- Finalità e modalità di trattamento;
- La logica applicata ed i criteri utilizzati nell’elaborazione elettronica dei dati;
- Gli estremi identificativi del titolare e del Responsabile;
- I soggetti e le categorie di soggetti ai quali i dati possono essere comunicati;
- Periodo di conservazione dei dati ed i criteri utilizzati per la determinazione di tale periodo;
- Comunicazione dei dati;
- Rettifica, aggiornamento od integrazione dei dati;
- Cancellazione dei dati (“diritto all’oblio”);
- Trasformazione in forma anonima o blocco nel caso in cui siano trattati in violazione di legge;
- Limitazione del trattamento ex art. 18, lettera a), b), c) e d) del GDPR;
- Ricezione in formato strutturato, di uso comune e leggibile i dati personali che lo riguardano;
- Proposizione di opposizione al trattamento dei dati;
- Copia dei dati personali oggetto di trattamento.
17. MODALITA’ DI ESERCIZIO DEI DIRITTI DELL’INTERESSATO
La richiesta per l’esercizio dei diritti di cui all’art.16 del presente regolamento può essere fatta pervenire:
- Direttamente dall’interessato;
- Tramite altra persona fisica o associazione a cui abbia conferito per iscritto delega o procura;
- Tramite chi esercita la potestà o la tutela.
L’interessato può presentare o inviare la richiesta di esercizio dei diritti tramite la modulistica predisposta (Allegato 7 – Modulo per l’esercizio dei diritti dell’interessato).
Il soggetto competente alla valutazione dell’istanza è il Titolare, il quale decide sull’ammissibilità della richiesta d’accesso.
All’istanza deve essere dato riscontro entro 30 giorni dalla data di ricezione della stessa
18. DESCRIZIONE DELL’ATTIVITA’ – AMBIENTI FISICI E VIRTUALI – VIDEOSORVEGLIANZA
AtemporaryStudio/PR è uno studio associato – che prossimamente assumerà veste societaria (alla quale cosa conseguiranno le dovute variazioni anche nella presente policy) – composto da sue professioniste iscritte all’ordine dei giornalisti. L’oggetto sociale è di comunicazione e consulenza rivolto al mondo del design e dell’arte contemporanea fondato appunto da Samantha Punis e Giovanna Felluga, nei rispettivi campi degli uffici stampa/direzione creativa e della consulenza/mediazione artistica, con il chiaro intento di proporre un modello personalizzato di avvicinamento al mondo del progetto e dell’arte contemporanea
Lo Studio dispone di adeguati spazi all’interno di ampio appartamento sito al primo piano dello stabile di via Belpoggio n. 1 a Trieste; gli spazi sono condotti in locazione e l’appartamento (ad uso esclusivo di ufficio) è condiviso con altri soggetti (Ufficio Stampa Priamo; Studio Grafico Giraldi; RNDR Architetti); le stanze in uso al Titolare sono autonome e dotate di meccanismi di chiusura che impediscono l’accesso di terzi; l’intero appartamento, di suo, è poi provvisto di adeguate serrature e di barra di sicurezza.
Non vi è sistema di videosorveglianza: vi è soltanto un videocitofono che non effettua registrazione; le porte sono provviste di barre di sicurezza. Durante il periodo di apertura l’ingresso e gli uffici sono presidiati dal personale.
Il Titolare dispone di proprio ambiente virtuale: in particolare è attivo e monitorato e gestito il sito internet sopra segnalato; le professioniste impiegano computer e device Apple, per i quali sono previsti requisiti di accesso e connesse credenziali. La connessione wi-fi è garantita da Telecom; la funzione gestionale hardware e software è data a soggetto esterno (Infoera di Trieste) all’uopo nominato responsabile del trattamento dei dati.
19. MISURE DI SICUREZZA
Il Titolare garantisce l’applicazione di idonee e preventive misure di sicurezza che consentono di ridurre al minimo i rischi di distruzione o perdita, anche accidentale dei dati trattati, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta.
Le misure di sicurezza comprendono:
- Eventuale anonimizzazione e cifratura dei dati personali;
- Procedure per assicurare la riservatezza, l’integrità e la disponibilità dei sistemi e dei servizi di trattamento;
- Modalità per garantire il ripristino tempestivo nell’accesso ai dati personali in caso di incidente fisico o tecnico.
20. FORMAZIONE DEL PERSONALE
Il titolare organizza interventi di formazione e aggiornamento in materia di tutela della riservatezza e di protezione dei dati personali, finalizzati alla conoscenza delle norme, all’adozione di idonei modelli di comportamento e procedure di trattamento, alla conoscenza delle misure di sicurezza per il trattamento e la conservazione dei dati, dei rischi individuati e dei modi per prevenire danni ai dati stessi.
21. MODULISTICA
All’interno della struttura del Titolare sono adottati modelli uniformi di informativa come da allegati al presente regolamento che sono periodicamente aggiornati.
22. RESPONSABILITA’ IN CASO DI VIOLAZIONE DELLE DISPOSIZIONI IN MATERIA DI PRIVACY
Il mancato rispetto delle disposizioni in materia di riservatezza dei dati personali con le sanzioni previste dalla nuova normativa; il titolare del trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento.
Il Responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi previsti nel presente regolamento e a lui specificatamente diretti o ha agito in modo difforme o contrario rispetto alle legittime istruzioni impartitegli dal titolare.
Il titolare o il Responsabile sono esonerati da responsabilità solo se dimostrano che l’evento dannoso non gli è in alcun modo imputabile.
23. COMUNICAZIONE DELLA VIOLAZIONE DEI DATI PERSONALI (“Data Breach”)
La comunicazione dell’avvenuta violazione dei dati personali è effettuata dal titolare al Garante della Privacy entro 72 ore dalla conoscenza dell’evento.
La notifica deve:
- Descrivere la natura della violazione;
- Descrivere le probabili conseguenze della violazione;
- Descrivere le misure adottate o di cui si propone l’adozione.
Quando la violazione dei dati presenta un rischio elevato per i diritti delle persone fisiche, il titolare comunica la violazione e la natura della stessa all’interessato, attraverso un linguaggio semplice e chiaro.
24. CONCLUSIONI
Per quanto non previsto nel presente regolamento si applicano le disposizioni previste per la protezione dei dati personali dal Regolamento Europeo 2016/679 del 27 Aprile 2016 nonché il Codice della privacy, come vigente in funzione delle modifiche ed integrazioni operate con d.lvo 101/2018, vigente dal 19 settembre 2018.
Il presente regolamento sarà aggiornato a seguito di ulteriori modificazioni alla vigente normativa in materia di riservatezza e protezione dei dati personali.
ALLEGATI
Di seguito viene presentato l’elenco della modulistica predisposta ai fini dell’adeguamento al dettato del presente regolamento e della nuova normativa europea nell’ambito del trattamento dei dati personali:
1. Lettera di nomina del Responsabile esterno del trattamento dei dati personali
2. Nomina incaricato del trattamento
3. Informativa per il trattamento dei dati per i dipendenti
4. Informativa per il trattamento dei dati per altri soggetti – fornitori
5. Informativa per il trattamento per altri soggetti – clienti
6. Modulo per espressione del consenso
7. Modulo per l’esercizio dei diritti dell’interessato
8. Registro dei trattamenti e valutazione di impatto