Trattamento dei dati personali

 

Normativa Privacy Europea REG.UE 2016/679 GDPR, ART.29

 

1) RIFERIMENTI DI LEGGE, DEFINIZIONI

Il presente atto (obbligatorio per legge) riguarda tutti i dipendenti/collaboratori. Ciò in quanto la normativa in oggetto per “dato personale” intende qualsiasi informazione relativa ad una persona fisica e per “trattamentoqualsiasi operazione compiuta su tali dati, anche il semplice accesso o consultazione. (Esempio: è quindi sufficiente che si consulti momentaneamente un documento che riporti il nominativo di una persona, oppure si acceda ad una rubrica -anche telefonica- contenente dei nominativi, per essere considerati soggetti che nello svolgimento della propria attività all’interno della società trattano dei dati personali). La normativa definisce “interessato” la persona fisica a cui si riferiscono i dati (es: un cliente, un fornitore, un visitatore, un collega, ecc.).

2) AMBITO DI AUTORIZZAZIONE

In generale sono consentiti esclusivamente l’accesso ai dati e le operazioni di trattamento strettamente necessarie all’espletamento delle mansioni lavorative (profili di accesso definiti e monitorati a livello di direzione aziendale). Nell’eventuale utilizzo di strumenti elettronici il profilo utente è configurato secondo tale logica, ossia garantendo un adeguato livello di coerenza tra le mansioni lavorative ed i permessi assegnati. Il personale è tenuto a rispettare i permessi assegnati, evitando qualsiasi tentativo di accesso a risorse non pertinenti con il proprio profilo. A livello di documentazione cartacea viene richiesto di non accedere arbitrariamente ad archivi/fascicoli/documenti non necessari alle mansioni assegnate. All’interno del quadro generale delineato nel presente atto, si è tenuti a rispettare le regole/prescrizioni/istruzioni aventi pertinenza con il proprio ambito lavorativo (presente o futuro) e con le funzionalità/strumenti messi a disposizione dal Titolare. Per qualsiasi dubbio o richiesta di modifica relativa ai permessi di accesso predefiniti è opportuno rivolgersi al team privacy, di cui al par.5 del presente.

3) PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI PERSONALI (GDPR – Art.5)

In generale il GDPR prevede che vengano tutelati i diritti e le libertà fondamentali delle persone fisiche, garantendo che i dati siano:

  1. a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);
  2. b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità («limitazione della finalità»);
  3. c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
  4. d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
  5. e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati («limitazione della conservazione»);
  6. f) trattati in maniera da garantire un'adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

4) INFORMATIVA, CONSENSO E DIRITTI DEGLI INTERESSATI (GDPR – Art.12-22)

Il GDPR prevede che gli interessati ricevano adeguate informazioni in merito al trattamento dei loro dati, esprimendo, qualora necessario, uno specifico, libero ed informato consenso. Viene inoltre riconosciuta la necessità di assicurare i diritti di cui al CAPO III del GDPR, tra cui il diritto di accesso, di rettifica, di oblio/cancellazione, di limitazione, di portabilità, di opposizione. La società ha implementato adeguate procedure interne finalizzate a garantire i suddetti diritti, pertanto le viene richiesto, qualora le dovesse venir rivolta, da qualsivoglia soggetto, una richiesta in materia di privacy, di segnarlo tempestivamente al team privacy, di cui al par.5 del presente.

5) TEAM PRIVACY

La società ha definito un’apposita organizzazione interna per garantire un’efficace applicazione dei requisiti di conformità privacy. Per qualsiasi informazione/chiarimento oppure per segnalare eventuali profili di cui alle presenti istruzioni (es: incidente di sicurezza, nuova attività di trattamento, richieste degli interessati, ecc.) è possibile rivolgersi, senza particolari formalità, a:

6) PRIVACY BY DEFAULT E PRIVACY BY DESIGN (GDPR – Art.25)

Il GDPR prevede che qualsiasi attività/processo aziendale, prima di essere attuato, sia oggetto di opportune valutazioni in merito al numero di dati raccolti, alle misure di sicurezza, al tempo di conservazione, ecc. Al fine di attivare correttamente i soggetti preposti ad effettuare tali valutazioni le viene richiesto di segnalare al team privacy qualsiasi iniziativa o progetto che intende realizzare (acquisto software, apertura sito, attivazione videosorveglianza, ecc.) che abbia implicazioni con il trattamento di dati personali.

7) SICUREZZA DEL TRATTAMENTO ED ISTRUZIONI OPERATIVE (GDPR – Art.32)

Il GDPR prevede che vengano messe in atto misure tecniche ed organizzative adeguate per garantire agli interessati un idoneo livello di sicurezza nel trattamento dei dati. In aggiunta alle misure di sicurezza logiche, fisiche ed informatiche implementate dalla società vengono pertanto diramate le seguenti istruzioni:

Istruzioni gestione dati in formato cartaceo


Istruzioni gestione dati in formato digitale


  • accedere ai soli documenti strettamente necessari in relazione e per l’adempimento delle mansioni e dei compiti assegnati;
  • utilizzare i dati di cui viene a conoscenza esclusivamente per le finalità legate all’espletamento dell’attività lavorativa;
  • limitare l’esposizione dei documenti durante le operazioni di trattamento;
  • riporre alla fine del trattamento i documenti nella posizione idonea;
  • non lasciare mai incustoditi i documenti;
  • non consentire l’accesso a persone non autorizzate;
  • non divulgare i dati;
  • organizzare i propri spazi lavorativi (scrivanie, scaffalature, raccoglitori, ecc.) in modo ordinato ed idoneo a prevenire la perdita o l’accesso non autorizzato;
  • distruggere documenti contenenti dati personali prima dello smaltimento;
  • non utilizzare documenti contenenti dati personali come “carta da riciclo” per ulteriori stampe e ritirare prontamente la documentazione dalle stampanti comuni;
  • non effettuare copie non autorizzate o non necessarie alle proprie mansioni;
  • prestare la dovuta attenzione al trasporto di documenti al di fuori della sede;
  • prestare la dovuta attenzione ad eventuali colloqui, anche telefonici, in presenza/prossimità di persone non autorizzate
I dispositivi elettronici ed applicativi aziendali, nonché i contenuti tramite essi generati dagli utenti, sono strumenti di lavoro, da utilizzarsi esclusivamente per fini professionali (sui quali la società può lecitamente disporre attività di gestione/verifica). E’ richiesto agli utenti dotati di strumenti elettronici aziendali di rispettare le prescrizioni contenute nell’apposito Regolamento Informatico Aziendale, di cui richiamiamo sinteticamente i concetti principali:

  • assicurare l’integrità, la conservazione e la sicurezza delle macchine, evitando comportamenti che possano comprometterne la funzionalità, le impostazioni e la sicurezza;
  • non effettuare sostanziali modifiche del proprio ambiente informatico, con particolare riferimento all’installazione o disinstallazione di applicativi ed alla modifica delle impostazioni di sistema;
  • utilizzare sempre le credenziali di accesso ai sistemi, garantendone la segretezza;
  • bloccare il dispositivo in caso di allontanamento dalla postazione;
  • utilizzare dispositivi di memoria rimovibili e personal cloud (es: dropbox) solo previo confronto con i referenti ICT;
  • utilizzare internet e posta elettronica solo per fini lavorativi evitando tassativamente qualsiasi contenuto osceno, pornografico, offensivo, diffamatorio, violento, discriminatorio ed, in generale, illecito (con particolare riferimento alla pirateria informatica ed al copyright).
Istruzioni generali


In generale è fatto divieto a qualunque soggetto, ad esclusione delle attività espressamente connesse alle proprie mansioni, di divulgare informazioni concernenti dati personali, effettuarne copie di qualsiasi natura (su supporti cartacei, informatici, ecc.) e distruggere, sottrarre o manipolare il contenuto delle banche dati se non espressamente autorizzato dal Titolare dei trattamenti.

 

8) REGIME DI CONFIDENZIALITA’ SUL KNOW-HOW TECNICO/ECONOMICO AZIENDALE

A tutela del patrimonio informativo aziendale, si sottolinea che le suddette prescrizioni (previste dalla normativa privacy), con particolare riferimento agli obblighi di riservatezza e non divulgazione, si ritengono applicabili a qualsiasi ulteriore informazione di natura tecnica e/o commerciale propria o di soggetti terzi (dati di business, dati contabili, avviamento, progetti ed iniziative strategiche, listini, tariffe, dati tecnici, schemi/disegni, brevetti, ecc.) da mantenere, per la loro importanza strategica, in un regime di confidenzialità. Tali richieste trovano fondamento nell’Art.2015 del Codice Civile “Obbligo di fedeltà”, secondo cui “Il prestatore di lavoro non deve trattare affari, per conto proprio o di terzi, in concorrenza con l'imprenditore, né divulgare notizie attinenti all'organizzazione e ai metodi di produzione dell'impresa, o farne uso in modo da poter recare ad essa pregiudizio”

9) DATA BREACH (GDPR – Art.33,34)

Il GDPR prevede che il Titolare gestisca qualsiasi evento che possa comportare un rischio di sicurezza per dati personali (data breach, violazione di dati personali). Si ha una “violazione di dati personali” quando accidentalmente (colposamente) o in modo illecito (dolosamente) un evento causa la distruzione, la perdita, la modifica, la divulgazione non autorizzata, l’accesso ai dati personali trasmessi, conservati o comunque trattati (ES: furto dispositivi/documenti, smarrimento dispositivi/documenti, attacco/virus informatico, cancellazione o invio involontario di dati, ecc).  Al fine di attivare correttamente i soggetti preposti a gestire tali eventi le viene richiesto di segnalare al team privacy qualsiasi circostanza che ritenga possa essere considerata un “data breach”.

10) MODALITÀ DI AGGIORNAMENTO DELLE ISTRUZIONI

Le presenti istruzioni potranno essere oggetto di aggiornamento / integrazione periodica, secondo le modalità ritenute più opportune, anche in relazione alle prescrizioni di cui all’art.7 dello Statuto dei Lavoratori (“affissione in luogo accessibile a tutti”). In relazione all’entità degli aggiornamenti, sarà cura della Società utilizzare ulteriori efficaci strumenti divulgativi, quali: inoltro via e-mail, pubblicazione sulla intranet aziendale e/o piattaforme dedicate, invio copia cartacea individuale, organizzazione eventi formativi dedicati, ecc.

 

11) INTEGRAZIONE D.LGS. 196/2003, DURATA E VIOLAZIONI

Il presente atto integra qualsiasi eventuale atto di designazione precedentemente effettuato ai sensi della normativa privacy italiana (D.Lgs.196/2003) tra cui la nomina ad incaricato del trattamento. Si pone inoltre quale integrazione di qualsiasi altro regolamento/codice previsti dai sistemi di gestione/modelli di organizzazione interna.

L’autorizzazione ed istruzioni assegnate sono da intendersi a tempo indeterminato e decadono per interruzione del rapporto lavorativo o per revoca da parte del Titolare. L’osservanza dei principi fondamentali in materia di privacy in relazione alle informazioni di cui si è venuti a conoscenza presso la scrivente, si ritiene indispensabile anche successivamente all’eventuale cessazione del rapporto lavorativo. L’incaricato è personalmente responsabile di eventuali comportamenti palesemente contrari alle indicazioni fornite tramite la presente. Qualsiasi violazione potrà essere fonte di provvedimenti disciplinari e/o di responsabilità legale.