fbpx

REGOLAMENTO PER IL TRATTAMENTO DEI DATI PERSONALI

 premessa

 In funzione dell’approvazione, in data 25 Maggio 2016, del nuovo Regolamento U.E. n. 679/2016 che mira a garantire una disciplina sulla protezione dei dati personali uniforme ed omogenea in tutta l’Unione Europea; rilevato che detta normazione comunitaria costituisce fonte sovraordinata rispetto alle normazioni nazionali e che, per quanto riguarda l’Italia, esso costituisce norma di riferimento e parametro di legittimità delle normativa nazionale vigente e, quindi, del  “Codice della Privacy in vigore dal 01 Gennaio 2004, d. lgs 196/2003,  con le modifiche introdotte dal d. lgs. 101/2018, vigente dal 19.09.2018,  (adeguamento normativa italiana a Regolamento UE 679/2016) il presente regolamento si prefigge di rendere conforme alla nuova normativa il trattamento dei dati personali che viene eseguito all’interno di “Olisails s.r.l.”. 

Si chiarisce che le novità introdotte dal Regolamento UE si traducono in obblighi organizzativi, documentali e tecnici che tutti i titolari del trattamento dei dati personali devono considerare per consentire la piena e consapevole applicazione del nuovo quadro normativo in materia di Privacy, e per tali ragioni, questo titolare del trattamento (“Olisails s.r.l.”, d’ora innanzi così denominato o anche, per brevità, il “Titolare” ovvero la “Olisails” ) ha inteso dotarsi di una procedura generale di attuazione del Regolamento (da qui in poi definito “GDPR”), al fine di ottemperare agli obblighi previsti e di comprovare l’adeguamento alla normativa.

Sommario

INTRODUZIONE

 

  1. Oggetto
  1. Finalità 
  1. Sensibilizzazione 
  1. Titolare del trattamento
  1. Responsabili del trattamento
  1. Incaricati interni del trattamento
  1. I dati trattati
  1. Principi applicabili al trattamento dei dati personali
  1. Il trattamento dei dati personali
  1. Il trattamento dei dati particolari (“sensibili “)
  1. Il trattamento dei dati del personale del titolare
  1. Registro delle attività di trattamento
  1. Valutazione d’impatto sulla protezione dei dati
  1. Informative
  1. Consenso al trattamento dei dati
  1. Diritti dell’interessato
  1. Modalità di esercizio dei diritti dell’interessato
  1. Descrizione dell’attività - Ambienti fisici e virtuali - Videosorveglianza
  1. Misure di sicurezza
  1. Formazione del personale
  1. Modulistica
  1. Responsabilità in caso di violazione delle disposizioni in materia di Privacy
  1. Comunicazione della violazione dei dati personali (“Data Breach”)
  1. Conclusioni

 

 INTRODUZIONE

 

Il presente regolamento sulla privacy è uno strumento di applicazione del Decreto Legislativo 30 Giugno 2003, n.196 (“Codice sulla Privacy”) come modificato ed integrato dal d.lvo 101/2018 e del Regolamento UE 2016/679, nell’ambito dell’organizzazione del Titolare “Olisails s.r.l.”; il medesimo verrà periodicamente aggiornato, in linea con le novità normative, giurisprudenziali e con le pronunce e gli atti di indirizzo del Garante della Privacy.

Dall’esame della materia emerge come sia ormai naturale un cambiamento di mentalità che porti alla piena tutela della Privacy, da considerare non solo come un onere burocratico ma anzitutto come garanzia di una riservatezza sostanziale. La policy in materia, quindi, è da leggersi sia in funzione di tutela dei diritti degli interessati che realizzazione di corrette procedure aziendali, tenuto conto della delicatezza degli interessi sottesi.

 

Il diritto alla privacy infatti è un vero e proprio diritto inviolabile della persona che non si limita alla tutela della riservatezza o alla protezione dei dati, ma si estende – strumentalmente - alla piena realizzazione degli altri diritti e delle libertà fondamentali.

Si evidenzia che il titolare Olisails s.r.l. in precedenza, prima dell’entrata in vigore della nuova normativa europea, già risultava essersi conformato alle disposizioni allora vigenti e si era dotato, tra le altre formalità, dei correlati documenti attuativi (informative e atti di incarico).

Nel quadro della nuova normativa, per come risultante dall’entrata in vigore del Regolamento UE e dall’armonizzazione del Codice Privacy italiano operata dal d.lvo 101/2018, l’intervento odierno risulta quindi orientato alla semplificazione ulteriore, intesa quale migliore strumento attuativo degli obiettivi normativi e quale parametro di compliance.

 

  1. OGGETTO

Il presente regolamento disciplina (all’interno della struttura del Titolare “Olisails s.r.l.”) la tutela delle persone e degli altri soggetti in ordine al trattamento dei dati personali, nel rispetto ed in conformità di quanto previsto dalla nuova normativa sovranazionale, il Regolamento UE n. 679 del Parlamento Europeo e del Consiglio del 27 Aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, tenuto conto del d.lvo 101/2018.

 

  1. FINALITA’

Il Titolare “Olisails s.r.l.” garantisce che il trattamento dei dati, a tutela delle persone fisiche, si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale ed al diritto di protezione dei dati personali, a prescindere dalla loro nazionalità o dalla loro residenza.

La protezione delle persone fisiche con riguardo al trattamento dei dati personali è un diritto fondamentale: “Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano” (art. 8, paragrafo 1, Carta dei Diritti Fondamentali dell’UE).

 

  1. SENSIBILIZZAZIONE

Il Titolare “Olisails s.r.l.” sostiene e promuove al suo interno ogni strumento di sensibilizzazione che possa consolidare il pieno rispetto del diritto alla riservatezza e migliorare la qualità del proprio operato: uno degli strumenti essenziali di sensibilizzazione è l’attività formativa del personale. Per garantire la conoscenza reale delle disposizioni del presente regolamento, al momento dell’assunzione viene consegnata a ciascun dipendente copia della presente documentazione ed egli si impegna a prenderne visione ed attenersi alle sue prescrizioni.

 

  1. TITOLARE DEL TRATTAMENTO

In generale, il “titolare” del trattamento dei dati personali è la persona fisica, giuridica, la PA e qualsiasi altro Ente, Associazione od organismo cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali ed agli strumenti utilizzati, compreso il profilo della sicurezza.

 

Il “trattamento” è qualunque operazione effettuata con o senza l’ausilio di strumenti elettronici concernente la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione,

 

l’elaborazione, l’estrazione, l’utilizzo, la comunicazione, la diffusione, la cancellazione, la distruzione dei dati (GDPR, art.4).

 

Il titolare del trattamento dei dati personali ai sensi e per gli effetti del GDPR è “Olisails s.r.l.”, in persona del legale rappresentante pro tempore, con sede legale in Strada delle Saline n. 11, cap 34015, Muggia, Trieste; c.f. e partita iva 01266590320: web: www.olisails.it; mail: admin@olisails.it; pec olisails-srl@pec.it;  Tel: +39 040/232363; Fax: +39 040/232482.

 

  1. RESPONSABILI DEL TRATTAMENTO

Ai fini del presente regolamento s’intende per “Responsabile” la persona fisica, giuridica, la PA e qualsiasi altro Ente, Associazione ed Organismo preposti dal titolare al trattamento di dati personali.

Il titolare, in considerazione della complessità e della molteplicità delle funzioni dell’Azienda, designa quali Responsabili del trattamento di dati personali unicamente i soggetti che presentino garanzie sufficienti per metter in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato (GDPR art.28).

Tutti i soggetti esterni che effettuano operazioni di trattamento sui dati del Titolare “Olisails s.r.l.”, per conto e nell’interesse della stessa, per finalità connesse all’esercizio delle funzioni, sono nominati “Responsabili Esterni” del trattamento, qualora siano in possesso dei requisiti di esperienza, capacità ed affidabilità, per aver già operato in modo adeguato in pregresse esperienze o per l’appartenenza a specifiche categorie professionali o iscrizione a registri ed albi.

 

I Responsabili esterni del trattamento hanno l’obbligo di:

  • Trattare i dati in modo lecito, secondo correttezza e nel pieno rispetto della normativa vigente in materia di privacy;
  • Rispettare le misure di sicurezza ed adottare tutte le misure che siano idonee a prevenire e/o evitare la comunicazione o diffusione dei dati, il rischio di distruzione o perdita, anche accidentale, di accesso non autorizzato o di trattamento non autorizzato o non conforme alle finalità della raccolta;
  • Trattare i dati personali esclusivamente per le finalità previste dal contratto o dagli obblighi di legge;
  • Attenersi alle disposizioni impartite dal titolare del trattamento.

 

Nel caso di mancato rispetto delle predette disposizioni risponde direttamente, verso l’Azienda, il Responsabile esterno del trattamento.

 

La designazione del Responsabile esterno viene effettuata mediante “atto di nomina” da parte del titolare del trattamento (Allegato 1. - Lettera di nomina del Responsabile Esterno al trattamento dei dati personali) e mediante le eventuali Istruzioni operative ivi incluse, da allegare agli accordi, convenzioni o contratti che prevedono l’affidamento di trattamenti di dati personali esternamente al Titolare.

L’accettazione della nomina è condizione necessaria per l’instaurarsi del rapporto giuridico fra le parti.

 

  1. INCARICATI INTERNI DEL TRATTAMENTO

Gli “Incaricati” del trattamento sono le persone fisiche, direttamente dipendenti del Titolare “Olisails s.r.l.”, incaricati di svolgere le operazioni di trattamento dei dati personali di loro competenza con l’indicazione dei compiti, dell’ambito di trattamento consentito e delle modalità. Sono eventualmente nominati incaricati tutti coloro che, anche occasionalmente, possono trovarsi a trattare dati personali per conto del Titolare (esempio, collaboratori, stagisti).

 

Ogni dipendente o altro soggetto eventualmente preposto ad un determinato servizio e tenuto ad effettuare operazioni tecniche di trattamento è da considerare “Incaricato”. La designazione dell’incaricato al trattamento dei dati personali è di competenza del titolare del trattamento e la nomina è effettuata per iscritto, in modo da individuare puntualmente i compiti spettanti all’incaricato e le modalità cui deve attenersi per l’espletamento degli stessi e l’ambito del trattamento consentito (Allegato 2. – Lettera di nomina dell’incaricato interno al trattamento di dati personali).

 

L’incaricato opera secondo le istruzioni ricevute e collabora con il titolare segnalando eventuali situazioni di rischio nel trattamento dei dati e fornendo ogni informazione necessaria per l’espletamento delle funzioni di controllo.

In particolare, l’incaricato deve assicurare che, nel corso del trattamento, i dati siano:

 

  • Trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
  • Raccolti e registrati per scopi determinati, espliciti e legittimi e, successivamente, trattati in modo compatibile con tali finalità;
  • Adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
  • Esatti e, se necessario, aggiornati: devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
  • Conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore a quello necessario per il conseguimento delle finalità;
  • Trattati in modo tale che venga ad essere garantita un’adeguata sicurezza dei dati, compresa la protezione mediante misure organizzative e tecniche adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale.

 

L’incaricato è tenuto alla completa riservatezza sui dati di cui sia venuto a conoscenza in occasione dell’espletamento della sua attività, impegnandosi a comunicare i dati esclusivamente ai soggetti indicati dal titolare e nei soli casi previsti dalla legge.

 

Gli incaricati devono ricevere idonee ed analitiche istruzioni, anche per gruppi omogenei di funzioni, riguardo le attività sui dati affidati e gli adempimenti a cui sono tenuti.

 

Struttura di riferimento

Attività svolta

Categoria di interessati

Natura dei dati trattati

Presidente cda

Amministrativa

Clienti, dipendenti, collaboratori, fornitori

Comuni/particolari

Amministratore Delegato

 

Amministrativa

Clienti, dipendenti, collaboratori, fornitori

Comuni/particolari

Amministrazione e Segreteria

Amministrativa

Clienti, dipendenti, collaboratori, fornitori

Comuni/particolari

Produzione

Amministrativa ed operativa

Clienti, collaboratori, fornitori, utenti, terzi

Comuni/particolari

 

  1. I DATI TRATTATI

Il Titolare, nell’esercizio delle sue funzioni, tratta dati, in modo anche automatizzato (totalmente o parzialmente), delle seguenti categorie di interessati:

 

  • Dati del personale dipendente (e dei collaboratori)
  • Dati dei fornitori
  • Dati degli Amministratori
  • Dati dei clienti, utenti, terzi.

 

I dati che sono o possono essere trattati dal Titolare “Olisails s.r.l.” rientrano nelle seguenti categorie di dati:

 

  • Dati personali comuni: rappresentano qualunque informazione relativa alla persona fisica, identificata o identificabile.

 

  • Dati sensibili: sono i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione ai partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale nonché i dati personali idonei a rivelare lo stato di salute dell’interessato.

 

 

tipologia dei dati relativi ai soggetti:

finalità del trattamento

comuni

particolari

Dipendenti, collaboratori, amministratori, committenti

 

Gestione del rapporto di lavoro

(gestione economica, assicurativa e previdenziale)

 

X

X

Fornitori

 

 

Gestione delle prestazioni di fornitura richieste e dei conseguenti adempimenti amministrativi, contabili e fiscali

X

 

 

Clienti

 

Gestione delle prestazioni di assistenza, fornitura e somministrazione e dei conseguenti adempimenti amministrativi, contabili e fiscali

 

 

X

 

 

 

 

 

Consulenti esterni

 

(consulente del lavoro, commercialista, ..)

 

Incarichi di consulenza e/o prestazione di servizi (redazione buste paga, dichiarazioni dei redditi,..)

 

   X

 

 

X

 

 

  1. PRINCIPI APPLICABILI AL TRATTAMENTO DEI DATI PERSONALI

I dati personali sono:

 

  • Trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
  • Raccolti per finalità determinate, esplicite e legittime;
  • Adeguati, pertinenti e non eccedenti (limitati) a quanto necessario rispetto alle finalità perseguite (“principio di minimizzazione dei dati”);
  • Esatti e, se necessario, aggiornati;
  • Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni (GDPR art. 5 e 6):

 

  • L’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
  • Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  • Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  • Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi e le libertà dell’interessato che richiedono la protezione dei dati personali

 

  1. IL TRATTAMENTO DEI DATI PERSONALI

Con l’espressione “trattamento” si intendono tutte le operazioni o complesso di operazioni, compiuti con o senza l’ausilio di processi automatizzati applicati a dati personali o all’insieme di dati personali, concernenti le tipologie indicate dall’art. 4 del GDPR.

 

Il trattamento dei dati è esercitabile solo da parte del titolare, dei Responsabili e degli incaricati. Non è consentito il trattamento da parte di persone non autorizzate.

 

  1. IL TRATTAMENTO DEI DATI SENSIBILI

Il Titolare “Olisails s.r.l.” può trattare i dati sensibili solo quando il trattamento è autorizzato da espressa disposizione di legge ed in esecuzione di clausole contrattuali.

In ogni ipotesi di trattamento di dati sensibili occorre verificare, preliminarmente e durante il trattamento, che i dati trattati siano indispensabili per svolgere l’attività consentita e non sia sufficiente utilizzare dati anonimi.

Tale trattamento deve essere effettuato con modalità volte a prevenire la violazione dei diritti delle libertà fondamentali e della dignità dell’interessato.

 

  1. IL TRATTAMENTO DEI DATI PERSONALI DEL PERSONALE DELL’AZIENDA

Il Titolare “Olisails s.r.l.” tratta i dati, anche di natura sensibile, dei propri dipendenti per le finalità di instaurazione e di gestione di rapporti di lavoro di qualunque tipo.

 

Per i trattamenti dei dati connessi alla gestione del rapporto di lavoro (o di tirocinio o di altro tipo) con il personale dipendente, è predisposta apposita informativa (Allegato 3 – Informativa per il trattamento dei dati dei dipendenti).

 

Secondo la normativa, il Titolare adotta le massime cautele nel trattamento di informazioni personali del proprio dipendente che siano idonee a rivelare lo stato di salute, le abitudini sessuali, le convinzioni politiche, sindacali, religiose, filosofiche o d’altro genere e l’origine razziale ed etnica. Il trattamento dei dati sensibili del dipendente deve avvenire secondo i principi di necessità e di indispensabilità che impongono di ridurre al minimo l’utilizzo dei dati personali e sensibili e, quando non vi si possa prescindere, di trattare solo le informazioni che si rivelino indispensabili per la gestione del rapporto di lavoro.

 

Il Titolare, nel trattamento dei dati sensibili relativi alla salute dei propri dipendenti, rispetta i principi di necessità e indispensabilità.

 

Il Titolare Olisails s.r.l. curerà l’implementazione nella propria policy privacy del codice di condotta settoriale che verrà adottato su impulso dell’Autorità Garante ai sensi del vigente art. 111 del Codice della Privacy (d.lvo 196/2003 e successive modifiche ed integrazioni, da ultimo con d.lvo 101/2018).

 

  1. REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO

Il titolare del trattamento Olisails s.r.l., pur non essendovi tenuto a norma del punto 5) dell’art. 30 del Regolamento Europeo, sceglie di istituire un registro, in forma scritta anche elettronica, delle attività di trattamento svolte sotto la propria responsabilità, che terrà aggiornato.

 

Tale registro contiene le seguenti informazioni:

 

  • Il nome e i dati di contatto del titolare del trattamento;
  • Le finalità del trattamento;
  • La descrizione delle categorie di interessati e delle categorie dei dati personali;
  • Le categorie dei trattamenti effettuati;
  • Le categorie dei destinatari a cui i dati personali sono o saranno comunicati;
  • L’indicazione delle misure di sicurezza applicate;
  • Eventuale possibilità di trasferimenti di dati all’estero;
  • Indicazione dei termini ultimi previsti per la cancellazione delle diverse categorie di dati trattati.

 

  1. VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI

La valutazione dell’impatto dei trattamenti sulla protezione dei dati personali deve essere realizzata dal titolare quando un tipo di trattamento, considerata la natura, il contesto, le finalità possono presentare un rischio per i diritti e le libertà delle persone fisiche.

 

La valutazione deve contenere almeno:

 

  • Una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare;
  • Una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • Una valutazione dei rischi per i diritti e le libertà degli interessati;
  • Le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza ed i meccanismi per la protezione dei dati e per dimostrare la conformità al presente regolamento ed alla normativa in vigore.

 

Quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento, il titolare del trattamento, se necessario, procede ad un riesame della valutazione d’impatto sulla protezione dei dati.

Il titolare “Olisails s.r.l.”, pur non essendovi tenuto a norma dell’art. 35 del Regolamento Europeo, sceglie di redigere ed aggiornare la valutazione di impatto, conglobandola in unico documento assieme al Registro dei Trattamenti suddetto: ciò perseguendo la fondamentale scelta di semplificazione sottesa a tutto l’impianto privacy della realtà associativa.

Il Registro dei Trattamenti e La valutazione di impatto costituiscono unitario allegato al presente regolamento.

 

  1. INFORMATIVA

Il titolare del trattamento, al momento della raccolta dei dati personali, è tenuto a fornire all’interessato, avvalendosi del personale incaricato, l’informativa prevista, redatta per iscritto, mediante idonei strumenti:

 

  • Attraverso appositi moduli da consegnare agli interessati;
  • Avvisi agevolmente visibili al pubblico, tramite pubblicazione ad es. sull’eventuale sito web.

 

L’informativa contiene:

  • Le finalità e le modalità del trattamento;
  • L’indicazione della natura facoltativa del conferimento dati;
  • L’indicazione del titolare;
  • Il trattamento dei dati in casi particolari;
  • L’indicazione dei diritti dell’utente, paziente, cliente;
  • L’ambito di comunicazione e diffusione dei dati.

 

(Allegato n. 3, informativa dipendenti/collaboratori; allegato 4: informativa fornitori; allegato 5: informativa clienti)

 

  1. CONSENSO AL TRATTAMENTO DEI DATI

Nei trattamenti dei dati personali o sensibili effettuati per il perseguimento di finalità diverse da quelle cogenti (quindi in attuazione di obblighi di legge o di esecuzione di contratti), il Titolare organizza modalità atte a facilitare l’espressione del consenso da parte dell’interessato (GDPR art. 81 e 82).

 

Il consenso deve essere reso da parte dell’interessato attraverso la compilazione dell’apposito modulo (Allegato n. 6 – Modulo per espressione di consenso), previa consegna e presa d’atto dell’apposita informativa.

La manifestazione del consenso sarà valida ed efficace fino alla revoca della stessa: il consenso è validamente prestato al ricorrere di determinate caratteristiche, ovvero sia reso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato e se è documentato per iscritto.

 

L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento, con la stessa facilità con la quale lo ha espresso. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.

 

  1. DIRITTI DELL’INTERESSATO

L’”interessato” è il soggetto, persona fisica, alla quale si riferiscono i dati oggetto del trattamento. Il titolare “Olisails s.r.l.” attua ogni misura necessaria a facilitare l’esercizio dei diritti dell’interessato ai sensi degli art. 12-22 del GDPR.

 

A tal fine, la normativa europea prevede che l’interessato ha il diritto di ottenere dal titolare del trattamento:

 

  • Conferma dell’esistenza o meno dei dati personali che lo riguardano e:
  • Origine dei dati;
  • Finalità e modalità di trattamento;
  • La logica applicata ed i criteri utilizzati nell’elaborazione elettronica dei dati;
  • Gli estremi identificativi del titolare e del Responsabile;
  • I soggetti e le categorie di soggetti ai quali i dati possono essere comunicati;
  • Periodo di conservazione dei dati ed i criteri utilizzati per la determinazione di tale periodo;
  • Comunicazione dei dati;
  • Rettifica, aggiornamento od integrazione dei dati;
  • Cancellazione dei dati (“diritto all’oblio”);
  • Trasformazione in forma anonima o blocco nel caso in cui siano trattati in violazione di legge;
  • Limitazione del trattamento ex art. 18, lettera a), b), c) e d) del GDPR;
  • Ricezione in formato strutturato, di uso comune e leggibile i dati personali che lo riguardano;
  • Proposizione di opposizione al trattamento dei dati;
  • Copia dei dati personali oggetto di trattamento.

A seguito dell’entrata in vigore del d.lvo 101/18, il Titolare, nel garantire l’esercizio dei diritti di cui sopra, deve tener conto dei limiti ai medesimi posti dall’art. 2 undecies del Codice della Privacy, d.lvo 196/2003 e sue successive modifiche ed integrazioni; nell’ipotesi in cui il Titolare ritenga di dover disattendere la domanda dell’interessato, deve rispondere allo stesso esplicitando le ragioni del diniego e avvisandolo che può avanzare la richiesta tramite il Garante.

 

  1. MODALITA’ DI ESERCIZIO DEI DIRITTI DELL’INTERESSATO

La richiesta per l’esercizio dei diritti di cui all’art.16 del presente regolamento può essere fatta pervenire:

 

  • Direttamente dall’interessato;
  • Tramite altra persona fisica o associazione a cui abbia conferito per iscritto delega o procura;
  • Tramite chi esercita la potestà o la tutela.

 

L’interessato può presentare o inviare la richiesta di esercizio dei diritti tramite la modulistica predisposta (Allegato 7 – Modulo per l’esercizio dei diritti dell’interessato).

 

Il soggetto competente alla valutazione dell’istanza è il Titolare, il quale decide sull’ammissibilità della richiesta d’accesso.

All’istanza deve essere dato riscontro entro 30 giorni dalla data di ricezione della stessa (salvo quanto detto a proposito dell’art. 2 undecies del Codice della Privacy).

 

  1. DESCRIZIONE DELL’ATTIVITA’ - AMBIENTI FISICI E VIRTUALI - VIDEOSORVEGLIANZA

 

Olisails s.r.l. è una società di capitali iscritta alla sezione ordinaria della CCIAA di Trieste, operante nel settore della produzione di vele e di prodotti connessi alla nautica e al tempo libero e di ogni attività strumentale alle stesse. In considerazione dell’attività svolta, il trattamento di dati effettuato dal Titolare può dirsi essenzialmente limitato:

ai propri clienti e fornitori (persone fisiche e giuridiche), in ragione di rapporti contrattuali/commerciali,

ai propri dipendenti e collaboratori, a vario titolo, in ragione del rapporto di lavoro, tutti comunque negli stretti limiti di quelli necessari all'adempimento di specifici obblighi contrattuali e/o di Legge.

Ai propri clienti, in ragione del rapporto contrattuale o alla specifica prestazione che li lega a ciascuno.

 

Nell’esercizio delle proprie funzioni, il Titolare tratta quindi sia dati comuni che dati particolari (ex “dati sensibili”), questi ultimi però esclusivamente in relazione ai propri dipendenti e collaboratori, per le finalità sopra esposte e, ovviamente, in relazione ai clienti.

Ad eventuali soggetti terzi (es. commercialista, consulente del lavoro, legale, gestore del sistema informatico, ditta di sorveglianza, avvocato) il Titolare trasmette dati per svolgimento di attività finalizzate all'adempimento di specifici obblighi di Legge e/o contrattuali, in virtù di incarichi loro formalmente conferiti in conformità a quanto prescritto dal Regolamento UE, allegati al presente documento quali modelli di riferimento.

 

Olisails s.r.l. ha la propria sede legale ed operativa in Trieste, Muggia, strada delle Saline n. 11; si tratta di un capannone industriale edificato sulla P.C.N. 126/204 del C.C. di Muggia, di grande metratura e composto sostanzialmente di una zona laboratorio/veleria, di una zona vendita ed uffici e degli ambienti strumentali, come da piantina allegata a questo regolamento.

 

L’accesso è protetto da porta dotata di serratura, secondo il dettaglio che viene fornito nel corpo del Registro dei trattamenti e contestuale valutazione di impatto

 

Olisails s.r.l. osserva il seguente orario:

Marzo-Ottobre: dal lunedì al venerdì 8.30-13.30 e 14.30-18.30

Novembre-Febbraio: dal lunedì al venerdì 8.30-13.30 e 14.30-17.30

 

Le pulizie dei locali vengono effettuate da personale dipendente e/o da collaboratori del titolare. A ciascuno dei soggetti che effettuano le operazioni è fatto espresso divieto di consultare/accedere a qualsiasi documento, archivio cartaceo e/o banca dati elettronica. Ad ogni modo, il Titolare Olisails s.r.l., a garanzia della riservatezza dei dati trattati, ha provveduto a nominare ciascun soggetto “incaricato del trattamento” dei dati di cui venisse occasionalmente o casualmente a conoscenza (trattare un dato, infatti, è già il semplice vederlo o leggerlo).

 

Il Titolare entra in possesso dei dati tramite comunicazioni cartacee (lettere, fax, documenti trasmessi e/o consegnati a mano dai clienti e preventivi d'ordine dei fornitori, curricula) o attraverso la posta elettronica.

Gli incaricati del Titolare sono tenuti ad osservare una particolare procedura interna per la raccolta dei dati cartacei: i dati vengono infatti recepiti unicamente da specifici incaricati; vengono protocollati e quindi, esaurito il trattamento attivo per il quale erano stati raccolti, archiviati per i tempi di legge.

In ordine ai dati di natura particolare (ex “sensibili”) raccolti in forma cartacea (es. ricevute e/o indicazioni di spese mediche, certificati medici, invalidità, infortunio, ...) gli stessi possono essere trattati esclusivamente da incaricati a ciò espressamente autorizzati.

I predetti dati, una volta esaurito il trattamento attivo, vengono custoditi in archivi separati e chiusi a chiave, ubicati nei rispettivi uffici di pertinenza e conservati per i tempi di legge.

 

Parte dei dati comuni raccolti sia in forma cartacea che elettronica vengono elaborati in apposito programma gestionale presente sul server; per quanto attiene invece i dati sensibili raccolti in forma cartacea, questi ultimi non vengono trasposti su supporto elettronico, ma   vengono   trattati nella forma  cartacea in cui sono stati raccolti e poi conservati, come sopra evidenziato, in appositi archivi (cassetti e/o armadi) chiusi, ubicati nei rispettivi uffici di pertinenza.

In ordine ai dati pervenuti via mail, anche gli stessi possono essere raccolti e trattati esclusivamente dagli incaricati a ciò espressamente autorizzati, in ragione dell'esercizio delle specifiche mansioni contrattuali a ciascuno attribuite.

 

Gli strumenti con i quali si effettua il trattamento dei dati sono i seguenti:

cartacei:

I supporti cartacei vengono ordinatamente raccolti in pratiche (cartelle) relative a ciascuna attività; una volta terminato il ciclo lavorativo le predette cartelle vengono riposte e custodite nell’archivio aziendale composto da schedari, variamente dedicati, chiusi a chiave; i dati vengono invece distrutti qualora non siano più utili o funzionali all’attività.

Viene seguita la regola della “scrivania pulita”.

informatici:

La rete informatica del Titolare è così concepita:

Elaboratori in rete privata

Per elaboratori in rete privata si intendono quelli accessibili da altri elaboratori o, più in generale, da altri strumenti elettronici connessi solo attraverso reti proprietarie, sulle quali possono viaggiare unicamente i dati inerenti l’attività dell’azienda.

Il Titolare dispone di una rete, realizzata mediante collegamenti interni, costituita da 2 server che eseguono giornalmente un backup notturno su disco rigido esterno (2 esemplari, usati in alternanza) Un server è la replica del server principale. Al server sono collegate le postazioni di lavoro di tutti gli uffici e locali tecnici (4 Pc in Accoglienza; 4 PC in area progettisti; 2PC negli uffici; 6 PC in zona produzione). Tutti con proprie credenziali di accesso. 

 

Accesso alla rete pubblica

L’accesso alla rete pubblica da parte dei pc e dei server è regolato da un firewall che esclude qualsiasi accesso dalla rete pubblica alla rete locale.

Sistemi di protezione attiva

Gruppo di continuità

Antivirus e antispam per le caselle di posta elettronica

Sistemi di protezione passiva

Sistema di password conforme ai criteri di complessità minimi e viene cambiata secondo le cadenze normative previste. Vi è il citato sistema di Back up. Sono presenti, inoltre, ulteriori dispositivi informatici accessori (stampante, fax, scanner).

La connessione WiFi non permette l’accesso ai terzi se non previa autenticazione. Esiste un sito Internet della Società, dotato dei connotati di legge il quale offre le informative privacy, che sono effettivamente fruibili dall’utente.

 

  1. MISURE DI SICUREZZA

Il Titolare garantisce l’applicazione di idonee e preventive misure di sicurezza che consentono di ridurre al minimo i rischi di distruzione o perdita, anche accidentale dei dati trattati, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta.

 

Le misure di sicurezza comprendono:

 

  • Eventuale anonimizzazione e cifratura dei dati personali;
  • Procedure per assicurare la riservatezza, l’integrità e la disponibilità dei sistemi e dei servizi di trattamento;
  • Modalità per garantire il ripristino tempestivo nell’accesso ai dati personali in caso di incidente fisico o tecnico.

 

  1. FORMAZIONE DEL PERSONALE

Il titolare organizza interventi di formazione e aggiornamento in materia di tutela della riservatezza e di protezione dei dati personali, finalizzati alla conoscenza delle norme, all’adozione di idonei modelli di comportamento e procedure di trattamento, alla conoscenza delle misure di sicurezza per il trattamento e la conservazione dei dati, dei rischi individuati e dei modi per prevenire danni ai dati stessi.

 

  1. MODULISTICA

All’interno delle strutture del Titolare sono adottati modelli uniformi di informativa come da allegati al presente regolamento che sono periodicamente aggiornati.

 

  1. RESPONSABILITA’ IN CASO DI VIOLAZIONE DELLE DISPOSIZIONI IN MATERIA DI PRIVACY

Il mancato rispetto delle disposizioni in materia di riservatezza dei dati personali con le sanzioni previste dalla nuova normativa; il titolare del trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento.

Il Responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi previsti nel presente regolamento e a lui specificatamente diretti o ha agito in modo difforme o contrario rispetto alle legittime istruzioni impartitegli dal titolare.

Il titolare o il Responsabile sono esonerati da responsabilità solo se dimostrano che l’evento dannoso non gli è in alcun modo imputabile.

 

  1. COMUNICAZIONE DELLA VIOLAZIONE DEI DATI PERSONALI (“Data Breach”)

La comunicazione dell’avvenuta violazione dei dati personali è effettuata dal titolare al Garante della Privacy entro 72 ore dalla conoscenza dell’evento.

La notifica deve:

 

  • Descrivere la natura della violazione;
  • Descrivere le probabili conseguenze della violazione;
  • Descrivere le misure adottate o di cui si propone l’adozione.

 

Quando la violazione dei dati presenta un rischio elevato per i diritti delle persone fisiche, il titolare comunica la violazione e la natura della stessa all’interessato, attraverso un linguaggio semplice e chiaro.

 

  1. CONCLUSIONI

Per quanto non previsto nel presente regolamento si applicano le disposizioni previste per la protezione dei dati personali dal Regolamento Europeo 2016/679 del 27 Aprile 2016 nonché il Codice della privacy, come vigente in funzione delle modifiche ed integrazioni operate con d.lvo 101/2018, vigente dal 19 settembre 2018.

 

Il presente regolamento sarà aggiornato a seguito di ulteriori modificazioni alla vigente normativa in materia di riservatezza e protezione dei dati personali.

 

 

ALLEGATI

Di seguito viene presentato l’elenco della modulistica predisposta ai fini dell’adeguamento al dettato del presente regolamento e della nuova normativa europea nell’ambito del trattamento dei dati personali:

 

  1. Lettera di nomina del Responsabile esterno del trattamento dei dati personali
  2. Nomina incaricato del trattamento
  3. Informativa per il trattamento dei dati per i dipendenti e collaboratori
  4. Informativa per il trattamento dei dati per altri soggetti - fornitori
  5. Informativa per il trattamento per altri soggetti – clienti
  6. Modulo per espressione del consenso
  7. Modulo per l’esercizio dei diritti dell’interessato
  8. Registro dei trattamenti e valutazione di impatto

 


Atto di informazione inerente la Privacy ai sensi e per gli effetti dell’art. 13 del Reg. UE 2016/679

 

La Olisails s.r.l., corrente in Muggia, TS, in strada delle Saline 11, in qualità di Titolare del trattamento dei dati personali, fornisce le seguenti informazioni ai propri Clienti come parte della propria Privacy Policy che, aggiornata e completa, è sempre consultabile a richiesta. In sostanza, si tratta di una chiara e breve indicazione delle ragioni, dei fini e dei limiti in funzione dei quali il Titolare tratta i Suoi dati personali.

 

I dati trattati

I dati oggetto di trattamento relativi ai Clienti e Committenti (qualora essi siano persone fisiche o ditte individuali, dato che solo questi soggetti possono rivestire il ruolo di “interessati” ai sensi della normativa) consistono in dati anagrafici, dati di contatto e dati di fatturazione dei soggetti coinvolti nelle relazioni commerciali o di affidamento di servizi, ottenuti e raccolti nel corso di comunicazioni intercorse per l’instaurazione o l’esecuzione di un contratto, per adempiere agli obblighi di Legge nonché per il perseguimento del legittimo interesse del Titolare nel provvedere alla tutela dei propri diritti nonché alla gestione della rete commerciale.

I dati oggetto di trattamento relativi ai Clienti possono essere, in via astratta, anche di natura particolare (per esempio di tipo sanitario, in funzione di specifiche forniture) e sono raccolti e trattati per l’adempimento del contratto stipulato con la Società.

I dati così raccolti saranno trattati per le seguenti finalità:

  1. Esecuzione di misure precontrattuali e contrattuali;
  2. Provvedere agli adempimenti di Legge;
  3. Per l’assistenza post-vendita o post conferimento del servizio
  4. Archiviazione e conservazione.

Conferimento dei dati.

Il conferimento dei dati, per queste finalità, è obbligatorio per il perseguimento delle finalità dichiarate. Il rifiuto di fornire i dati personali in queste evenienze avrebbe il risultato di impedire alla Società Titolare di concludere il contratto, e se già concluso, di proseguirne l'esecuzione.

Modalità di trattamento.

Il trattamento dei dati raccolti è svolto con strumenti manuali, informatici e telematici, anche ricorrendo a soggetti terzi specificamente nominati responsabili del trattamento. È escluso un processo decisionale automatizzato (quale la profilazione, ad esempio) e la diffusione dei dati.

Categorie di destinatari. Trasferimenti verso paesi terzi o organizzazioni internazionali.

La Società potrebbe comunicare i dati personali degli Interessati a propri collaboratori, dipendenti e fornitori, nell’ambito delle relative mansioni e/o di eventuali obblighi contrattuali con loro, inerenti i rapporti commerciali con Lei; a consulenti legali, amministrativi e fiscali che assistono il Titolare nello svolgimento delle attività; ad istituti bancari per la gestione d’incassi e pagamenti derivanti dall’esecuzione del contratto con il cliente; a subfornitori e/o subappaltatori impegnati in attività connesse all'esecuzione del contratto con il Titolare, in qualità di responsabili esterni del trattamento; ad enti pubblici e/o autorità giudiziarie e/o di controllo, in caso di loro richiesta, in qualità di titolari autonomi del trattamento; a fornitori di servizi cloud o IT. I Dati Personali degli Interessati non saranno trasferiti in Paesi al di fuori dello spazio economico europeo.

Periodo di conservazione.

I dati raccolti e trattati sono conservati fintanto che sono in vigore i rapporti commerciali, dopodiché saranno cancellati allo spirare del termine decennale di prescrizione dei diritti.

Diritti dell’interessato.

È diritto della persona fisica cui si riferiscono i dati trattati ottenere l’accesso, la rettifica, la cancellazione dei dati trattati o altrimenti chiedere la limitazione od opporsi al trattamento, nonché chiedere la portabilità dei soli dati forniti.  È inoltre diritto dell’interessato proporre reclamo ad un’autorità di controllo quale l’Autorità Garante per la protezione dei dati personali. La modalità dedicata all’esercizio di tali diritti una comunicazione con una lettera racc. all’indirizzo corrispondente alla sede legale della Olisails oppure una pec all’indirizzo olisails-srl@pec.it.

La Privacy Policy aggiornata e completa è sempre consultabile a Sua richiesta.

Muggia, 19/11/2019