Informativa Privacy
POLICY SULLA TUTELA DEI DATI PERSONALI E SULLA SICUREZZA DELLE INFORMAZIONI DI I LIGA CAPELLI DI NARDI SAMUELE - ISTRUZIONI PER LA SICUREZZA DEI DATI PERSONALI
Sommario
1.Principi e regole generali 2
1.1 Finalità 2
1.2 Ambito di applicazione. 2
1.3 Definizioni, soggetti e principi 2
1.4 Rispetto della legge e Obiettivi 3
1.5 Rischi, danni che possono essere provocati da un uso illecito o non corretto di dati personali 3
1.6 Liceità del Trattamento – Basi Giuridiche del Trattamento dei Dati 3
1.7 Obblighi di trasparenza – informativa all’interessato 4
1.8 Principi da rispettare 4
1.9 Responsabilità personale dell’utente 5
2. Organizzazione della Sicurezza delle Informazioni e della tutela dei dati personali 5
3. Sistema di Gestione della Sicurezza delle Informazioni e della protezione dei dati personali. 6
4. Accesso fisico 6
5. Sistema di accesso 6
6. Accesso ai dati 6
7. La trasmissione dei dati 7
8. Riservatezza e integrità dei dati personali 7
9. Disponibilità 7
10. Controllo dei trattamenti 7
11. Separazione dei dati 7
12. Limitazione della conservazione dei dati. 7
13. Diritti degli interessati. 8
14. Gestione degli incidenti di privacy 8
15. Compliance 8
16. Documentazione di riferimento - Fonti 8
17. Approvazione della Policy 8
18. Allegati. 8
1.Principi e regole generali
1.1 Finalità
La presente policy regola gli accorgimenti di sicurezza adottati da NARDI SAMUELE, titolare della ditta individuale I LIGA CAPELLI, di seguito anche I LigaCapelli, per proteggere l’integrità, la riservatezza e la disponibilità dei dati personali, nel rispetto di quanto disposto dal Regolamento Europeo 679/2016 (d’ora in poi GDPR, General Data ProtectionRegulation) e dall’ulteriore normativa applicabile.
1.2 Ambito di applicazione.
La presente Procedura si applica ad ogni Utente autorizzato e per ogni sede aziendale.
Per Utente si intende, a titolo esemplificativo e non esaustivo, ogni soggetto debitamente autorizzato, dipendente, collaboratore (interno o esterno), consulente, fornitore e/o terzo che in modo continuativo e non occasionale operi all’interno della struttura aziendale utilizzandone beni, servizi informatici o altri dati personali trattati in forma di archivio.
Per Istituto o Titolare si intende, invece, I LIGACAPELLI , titolare dei beni e delle risorse informatiche ivi disciplinate, la quale opererà per mezzo dei soggetti che ne possiedono la rappresentanza o comunque validamente incaricati.
1.3 Definizioni, soggetti e principi
Per dato personale si intende qualsiasi informazione riguardante una persona fisica, direttamente o indirettamente, identificata o identificabile (c.d. “Interessato”). Con ciò si intende, ad esempio, nome e cognome, numero di identificazione, dati relativi all’ubicazione, un identificativo online, uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (Art. 2, punto 1 del GDPR).
I Dati particolari o sensibili sono categorie particolari di dati personali sottoposte a maggiori tutele e vincoli; nella pratica operativa si possono considerare le seguenti tipologie:
I dati idonei a rivelare le origini razziali ed etniche;
I dati idonei a rivelare le convinzioni religiose o filosofiche o l’appartenenza sindacale;
I dati idonei a rivelare lo stato di salute o alla vita sessuale;
I dati idonei a rivelare le convinzioni politiche;
Dati biometrici, quelli ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali ad esempio l’immagine facciale o i dati dattiloscopici;
Dati genetici, quelli relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano in particolare dall’analisi di un campione biologico della persona in questione;
Dati di carattere giudiziario, dati personali relative a condanne penali o reati (art. 10 Gdpr).
Il trattamento dei dati consiste in “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” (Art. 4, punto 2, GDPR); i dati personali riferiti agli interessati possono essere trattati esclusivamente da persone autorizzate che operano sotto la diretta autorità del Titolare o del Responsabile del trattamento.
Le persone autorizzate sono gli ex “incaricati” del trattamento previsti dal Codice Privacy – D.Lgs. 196/2003 e normalmente coincidono con i dipendenti e con collaboratori interni.
Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Nella fattispecie il titolare è la società I LIGACAPELLI .
Il responsabile del trattamento o “processor” è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. E’ sempre un soggetto esterno, all’organizzazione del Titolare, normalmente un “fornitore”: ad esempio consulente del lavoro con l’incarico dell’elaborazione delle paghe e l’assistenza per gli adempimenti contributivi relativi al personale.
Il consenso dell’interessato è qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato persona fisica, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
La violazione di dati personali o “data breach”, è la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Altre definizioni dei dati personali previste e tutelate dalla legge.
Riservatezza - caratteristica riferita a informazioni disponibili solo per le persone o i sistemi autorizzati.
Integrità - caratteristica riferita a informazioni che sono modificate solo da persone autorizzate o da sistemi in modo autorizzato.
Disponibilità - caratteristiche riferita a informazioni accessibili e rintracciabili da personale autorizzato solo quando è necessario.
Sicurezza delle informazioni – tutela della riservatezza, integrità e disponibilità delle informazioni.
1.4 Rispetto della legge e Obiettivi
Il trattamento di Dati Personali contenuti nei Sistemi, nelle banche dati e negli archivi di I LIGACAPELLI deve avvenire nel rispetto delle norme vigenti in materia di protezione dei dati personali, che si pongono come scopo quello di garantire la riservatezza delle informazioni di carattere personale, nonché i diritti e le libertà fondamentali degli Interessati.
Pertanto, ciascun soggetto operante per il titolare, autorizzato o responsabile, in relazione alle proprie mansioni, deve contribuire al perseguimento di tale obiettivo operando – per quanto ragionevolmente possibile – in linea con quanto indicato dalle presenti istruzioni in materia di privacy e sicurezza.
1.5 Rischi, danni che possono essere provocati da un uso illecito o non corretto di dati personali
Un utilizzo illecito o, comunque, non corretto può configurare violazioni di vario genere, reati, frodi, furti di identità, o determinare discriminazione, danni materiali, tangibili e quantificabili, come la perdita di una posizione lavorativa, o una perdita finanziaria, oppure danni reputazionali, o danni non ben definiti, che hanno comunque delle conseguenze come la limitazione dei nostri diritti o delle nostre relazioni sociali.
Ci sono anche danni che vanno oltre l’impatto immediato sull’individuo, che possono essere impercettibili o senza conseguenze apparenti, ma che possono accumularsi e diventare sostanziali a livello sociale, ad esempio con perdita di autonomia e dignità personale, o timore di eccessiva sorveglianza.
Spesso non si considerano i possibili danni o non si individuano immediatamente gli eventuali rischi per gli interessati; ecco perché prendere coscienza di alcune regole può aiutare ad evitare errori.
Le istruzioni contenute nel presente documento si riferiscono ad alcuni standard di sicurezza minimi che devono essere adottati dagli utenti e da eventuali società esterne affinché si raggiunga la sicurezza per le informazioni e quindi la tutela dei dati personali come per legge.
Qualsiasi servizio svolto per conto del titolare deve rispettare i requisiti imposti dalle Istruzioni per la sicurezza, spontaneamente o su basi contrattuali.
Ogni funzione o struttura del Titolare è responsabile per la sicurezza delle informazioni utilizzate nell’ambito del trattamento svolto; essa deve implementare e mantenere appropriate misure idonee a garantire la riservatezza, la disponibilità e l’integrità dei dati personali trattati, nonché la resilienza dei sistemi per rispondere a situazioni critiche (guasti, incidenti, eventi dolosi, etc.) al fine di minimizzare il disservizio agli utenti ed evitare trattamenti illeciti di dati personali in caso di violazioni.
Le presenti Istruzioni per la sicurezza nel trattamento di dati personali possono essere soggette a revisioni periodiche con cadenza variabile secondo le necessità interne o derivanti da normative e provvedimenti esterni.
1.6 Liceità del Trattamento – Basi Giuridiche del Trattamento dei Dati
Il trattamento dei dati è lecito e quindi possibile se ricorre almeno una delle seguenti condizioni:
l’interessato ha prestato il consenso
il trattamento è necessario all’esecuzione di un contratto
il trattamento è necessario per adempiere ad un obbligo di legge
il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato
il trattamento è necessario per l’esecuzione di un compito di interesse pubblico
il trattamento è necessario per il perseguimento di un legittimo interesse del titolare
Quando il consenso è la base giuridica dell’attività di trattamento specifica, come per la previgente normativa, il consenso deve essere libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto. Deve essere manifestato attraverso una “dichiarazione o azione positiva inequivocabile”; il Titolare deve essere sempre in grado di dimostrare che l’interessato ha prestato il proprio consenso a uno specifico trattamento. Per questo, è richiesto che le informazioni e le comunicazioni relative al trattamento dei dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro.
Esecuzione di un Contratto con l’Interessato ovvero di misure precontrattuali adottate su richiesta dello stesso.
Adempimento di un obbligo legale al quale è soggetto il Titolare Del Trattamento. Tale obbligo deve essere un obbligo di legge dettato dallo Stato Membro oppure dall’Unione Europea, la cui applicazione sia prevedibile per le persone che vi sono sottoposte; l’obbligo non deve necessariamente discendere direttamente da atto avente valore o rango legislativo.
Protezione di un interesse vitale dell’Interessato o di un’altra persona fisica.
Esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
Perseguimento di un legittimo interesse del titolare del trattamento o di terzi. In particolare, per considerare il legittimo interesse una base giuridica, occorre eseguire un test di bilanciamento preventivo per valutare che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’Interessato.
È, comunque, importante ricordare che per ogni di attività di trattamento è essenziale applicare il principio di minimizzazione del trattamento di dati personali. È, dunque, fondamentale trattare il minor numero di informazioni possibili e rispettando i principi di necessità, pertinenza e non eccedenza, soprattutto quando ci si trova a trattare dati di natura particolare come quelli sullo stato di salute di una persona.
1.7 Obblighi di trasparenza – informativa all’interessato
La trasparenza nei confronti degli Interessati è un aspetto essenziale e sostanziale.
L’Interessato ha il diritto di conoscere chi e perché tratta i suoi dati personali, come vengono elaborati, a chi possono essere comunicati, per quanto tempo vengono conservati; egli inoltre deve conoscere quali diritti ha rispetto ai propri dati personali e come può esercitarli.
Il Regolamento, detta le caratteristiche dell’informativa in maniera più dettagliata rispetto alla normativa previgente, nel senso che prescrive dettagliatamente il suo contenuto e la sua forma.
Tempi dell’informativa: se i dati non sono stati raccolti direttamente dall’interessato, l’informativa deve essere fornita entro 1 mese dalla raccolta altrimenti al momento della comunicazione dei dati.
Il legislatore europeo ha previsto espressamente i seguenti diritti in capo all’interessato:
diritto a ricevere l’informativa sui dati personali (cfr. sopra)
diritto di accesso dell’interessato al trattamento dei propri dati;
diritto di rettifica (senza ingiustificato ritardo);
diritto all’oblio o diritto alla cancellazione dei dati (ove possibile);
diritto di limitazione;
diritto alla portabilità dei dati (da un titolare ad un altro);
diritto di opposizione (al trattamento dei propri dati);
diritto di proporre reclamo all’Autorità di Controllo.
Infine l’Interessato ha il diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, a meno che
il trattamento automatizzato sia autorizzato da normative dell’Unione Europea o degli Stati Membri a cui il Titolare del Trattamento è soggetto;
il trattamento sia necessario per la conclusione o l’esecuzione di un contratto tra l’interessato ed il titolare del trattamento;
intervenga un esplicito consenso.
Nei casi previsti ai punti 1 e 3 al Titolare sono imposti dal Regolamento 679/2016 ulteriori specifici adempimenti (artt. 22 e ss).
I processi decisionali basati sulla profilazione non possono riguardare i minori.
1.8 Principi da rispettare
Ai sensi della normativa vigente in materia di protezione dei dati personali e nel rispetto delle decisioni apicali, ogni autorizzato e responsabile del trattamento deve adeguare la sua condotta ai principi previsti dall’art. 5 del GDPR ed in particolare:
1. trattare i dati in modo lecito, corretto e trasparente, oltreché in modo compatibile con le attività di competenza nell’ambito della Struttura preposta di riferimento (principi di liceità, correttezza e trasparenza);
2. raccogliere i dati per finalità determinate, esplicite e legittime e successivamente trattarli in modo non incompatibile con tali finalità (principio di limitazione della finalità);
3. utilizzare dati adeguati, pertinenti e non eccedenti a quanto necessario rispetto alle finalità per le quali sono trattati (principio di minimizzazione dei dati);
4. trattare e conservare dati esatti e aggiornati: devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono stati raccolti (principio di esattezza);
5. conservare in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore alle finalità per le quali sono trattati (principio di limitazione della conservazione);
6. trattare i dati in modo tale da garantire una adeguata sicurezza dei dati personali e dei dati aziendali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o dal danno accidentali (principi di integrità e riservatezza);
7. trattare i dati esclusivamente per il periodo di tempo di durata del rapporto: in caso di cessazione del rapporto o di variazione delle condizioni di esistenza per l’autorizzazione al trattamento, astenersi dal trattare i relativi dati e restituire quelli eventualmente in possesso (principio di legittimità);
8. svolgere le attività avendo cura di ridurre al minimo l’utilizzazione di dati, in particolare se dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’Interessato solo in caso di necessità (principio di necessità);
9. astenersi dall’effettuare diffusione di dati ove non esplicitamente stabilito dal Titolare del trattamento;
10. collaborare attivamente alle verifiche disposte dal Titolare del trattamento, dal nominato Responsabile della Protezione dei Dati (DPO), dal responsabile delegato interno e/o di ogni Ente, Partner o Fornitore interessato;
11. informare prontamente il proprio Responsabile per ogni problematica che si dovesse manifestare nella corretta esecuzione delle attività con riferimento ai principi enunciati.
1.9 Responsabilità personale dell’utente
Ciascuno degli utenti in relazione alle proprie mansioni, deve contribuire al perseguimento di tale obiettivo operando – per quanto ragionevolmente possibile – in linea con quanto indicato dalle istruzioni in materia di privacy e sicurezza.
Le informazioni riferite alle persone fisiche rappresentano infatti un bene essenziale ed in quanto tale un diritto riconosciuto e tutelato dalla legge. E’, dunque, importante che tutte le informazioni siano private, accurate e disponibili, in conformità con le necessità di erogazione dei servizi e nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali.
È responsabilità di ogni utente proteggere tutti i dati personali trattati durante lo svolgimento dell’attività lavorativa e per questo ogni persona autorizzata alle attività di trattamento deve essere consapevole dell’importanza della sicurezza delle informazioni e deve agire per garantire tale sicurezza.
2. Organizzazione della Sicurezza delle Informazioni e della tutela dei dati personali
I LIGACAPELLI si assicura di diffondere tra il suo personale la cultura della sicurezza delle informazioni e della tutela dei dati personali. Di seguito le misure adottate.
Il Titolare ha adottato un insieme completo di politiche di sicurezza delle informazioni e di tutela dei dati personali approvate dal Top Management e diffusi a tutto il personale.
Tali politiche, al fine del loro continuo miglioramento ed adeguamento alla situazione concreta, vengono riviste almeno annualmente e aggiornate in caso di necessità.
I LIGACAPELLI si è impegnata a fornire al personale ed agli utenti adeguata e costante formazione sui principi fondamentali in materia di sicurezza delle informazioni e della privacy.
In tale prospettiva il personale di I LIGACAPELLI è tenuto alla assoluta riservatezza in materia di dati personali trattati per conto di I LIGACAPELLI .
L’inosservanza delle prescrizioni impartite agli utenti integra illecito, eventualmente disciplinare, con ogni relativa conseguenza anche sotto il profilo risarcitorio.
3. Sistema di Gestione della Sicurezza delle Informazioni e della protezione dei dati personali.
I LIGACAPELLI ha individuato i soggetti che, per conto del titolare e ai sensi del GDPR, trattano i dati personali. Ciò è stato effettuato sulla base della realtà aziendale e delle modalità concrete di trattamento dei dati personali di pertinenza della stessa. A tal proposito il titolare ha predisposto ed adottato uno specifico organigramma privacy.
I LIGACAPELLI ha inoltre designato tra il proprio personale interno un referente-responsabile interno privacy ai sensi dell’art. 2 quaterdecies D. L.vo 196/2003, nella persona della collaboratrice FRANCESCA NICHELE.
Questo sostituisce di fatto il titolare e si interfaccia direttamente con gli altri soggetti in merito alla gestione della protezione dei dati: è il soggetto al quale i soggetti esterni responsabili del trattamento, per qualsiasi necessità in materia, possono rivolgersi. Lo stesso è reperibile e contattabile ai seguenti estremi: tel. 0423401547 3463969708, mail info@iligacapelli.it, PEC nardisamuele@legalmail.it. Egli è inoltre il soggetto al quale va comunicata ogni istanza pervenuta ai soggetti autorizzati da parte degli interessati.
Nell’ambito delle predette funzioni il delegato è stato espressamente autorizzato per ogni evento, anche straordinario, relativo alla trattamento dei dati personali presso e per conto di I LIGACAPELLI , ad operare per conto del titolare, con ogni conseguente facoltà e potere. A tal fine, per ogni necessità operativa, lo stesso è stato abilitato a chiedere eventualmente l’assistenza del consulente esterno di I LIGACAPELLI in materia di trattamento dei dati personali.
In caso di introduzione di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, qualora quest’ultimo possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, prima di procedere al trattamento, I LIGACAPELLI, si impegna ad effettuare una valutazione d’impatto dei trattamenti (DPIA). Ciò al fine di valutare i rischi per la sicurezza dei dati personali, per gestirne il trattamento e migliorare costantemente la sicurezza delle informazioni.
4. Accesso fisico
L’accesso fisico ai dati personali trattati è protetto.
Di seguito si indicano le misure adottate:
I LIGACAPELLI gestisce il sito WEB https://www.iligacapelli.it/ o iligacapelli.it, così come tutto il parco applicativo mediante fornitori specializzati. I dati gestiti da terzi sono in un data center italiano con un perimetro fisico delimitato e protetto, presidiato da rigorosi controlli fisici, con sorveglianza 24x7x365. Solo personale autorizzato ha accesso ai locali del centro dati.
I data center di esercizio sono fisicamente protetti contro le calamità naturali, attacchi dannosi e incidenti.
I data center di esercizio sono protetti da interruzioni di corrente ed altre interruzioni causate da guasti nei servizi di supporto, ed è mantenuto correttamente.
Apparecchiature o supporti di memoria contenenti dati personali (compresi i casi di difettosità o di dismissione) vengono cancellati in modo sicuro prima della rimozione e l’affidamento allo smaltimento rifiuti.
5. Sistema di accesso
I sistemi di elaborazione dati I LIGACAPELLI vengono utilizzati solo dal titolare e da utenti autorizzati e autenticati sulla rete aziendale.
Di seguito si indicano le misure adottate.
L'accesso ai sistemi interni I LIGACAPELLI è concesso solo a personale I LIGACAPELLI e/o a soggetti autorizzati o incaricati da quest’ultima con modalità di accesso strettamente limitato alla funzione assegnata.
Tutti gli utenti accedono ai sistemi I LIGACAPELLI con un identificatore univoco (ID utente) e una password.
I LIGACAPELLI ha stabilito una politica delle password che ne vieta la condivisione e che richiede la modifica ad intervallo annuale nonché impedisce la permanenza di password di default.
Tutte le password devono soddisfare i requisiti minimi definiti dal Titolare e sono memorizzati e mantenuti in sicurezza a cura del titolare in persona e del suo responsabile interno. Ogni computer ha inoltre uno screensaver automatico dotato di password al riavvio.
6. Accesso ai dati
Le persone incaricate di effettuare il trattamento di dati personali hanno accesso solo ai dati per i quali sono autorizzati.
Di seguito si indicano le misure adottate.
Limitazione dell'accesso del personale ai dati ed ai sistemi informativi in base alla stretta necessità, in virtù delle proprie funzioni operative.
Formazione del personale che comprende i diritti di accesso e gli orientamenti generali sulla definizione e l'uso dei dati personali.
Utilizzo di software anti-malware e firewall aggiornati su tutti i computer e i server identificati come appropriati.
7. La trasmissione dei dati
I LIGACAPELLI impedisce che i dati personali possano essere letti, copiati, modificati o cancellati da persone non autorizzate durante le trasmissioni.
Il destinatario dei dati è responsabile per la sicurezza dei dati personali una volta che questi gli siano stati trasmessi da I LIGACAPELLI.
8. Riservatezza e integrità dei dati personali
I Dati Personali rimangono confidenziali, intatti, completi e aggiornati durante il trattamento. La gestione IT è effettuata internamente ed il titolare, Samuele Nardi, è unico amministratore dei sistemi che contengono dati personali e si impegna a mettere in opera tutte le condizioni per garantirne la massima sicurezza possibile.
I documenti in formato cartaceo contenenti dati personali sono conservati in una stanza nella disponibilità dell'amministratore unico, o eventualmente, del personale autorizzato.
9. Disponibilità
I dati personali sono protetti dalla distruzione o perdita accidentale e vi è la possibilità del ripristino tempestivo della loro disponibilità in caso di incidente.
Di seguito si indicano le misure adottate.
Viene utilizzato un sufficiente livello di ridondanza sui dati di produzione in modo che il guasto o la mancanza di disponibilità di un unico sistema o componente non influisca sulla disponibilità generale delle informazioni;
Il sistema dispone di più fonti di alimentazione, generatori on-site con batterie di back-up per salvaguardare la disponibilità di alimentazione elettrica;
I LIGACAPELLI , eventualmente attraverso i propri fornitori, utilizza sforzi ragionevoli per creare copie di back-up dei dati personali, criptate se necessario;
I LIGACAPELLI , eventualmente attraverso i propri fornitori, esegue test di ripristino da tali backup.
10. Controllo dei trattamenti
I dati personali trattati vengono elaborati esclusivamente in conformità con le autorizzazioni e le istruzioni ricevute dal titolare, dall'interessato e comunque come per legge.
Di seguito si indicano le misure adottate.
I LIGACAPELLI impiega un numero limitato di fornitori. Qualora questi assumano il ruolo di responsabili del trattamento, sono vincolati al rispetto della riservatezza dei Dati Personali e ad osservare la presente policy di sicurezza delle informazioni. L’elenco dei responsabili del trattamento è disponibile su richiesta.
I LIGACAPELLI non accede ai Dati Personali degli interessati, eccezion fatta per le finalità necessarie per lo svolgimento del suo servizio, su richiesta del Titolare o dell’interessato, per ragioni di sicurezza o per ogni altro adempimento di legge.
I LIGACAPELLI, quando agisce come responsabile del trattamento dei dati personali, memorizza ed elabora i dati personali al fine di effettuare i trattamenti sotto le istruzioni del titolare e per le finalità da lui stabilite.
I LIGACAPELLI ha adottato procedure e policy che la rendono compliant con il Regolamento Europeo 2016/679 (General Data ProtectionRegulation - GDPR)
11. Separazione dei dati
Dati personali raccolti per scopi diversi vengono trattati separatamente.
Gli utenti e gli interessati hanno accesso solo ai dati personali di propria competenza.
12. Limitazione della conservazione dei dati.
I dati personali sono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati e comunque per il tempo strettamente necessario all’espletamento degli incarichi conferiti e del contratto.
Successivamente, i dati sono conservati, per eventuali verifiche o controlli delle competenti Autorità, per adempimento di obblighi normativi e o per la gestione di un possibile contenzioso; in ogni modo sono conservati non oltre 10 anni dal momento dell’esaurimento dell’incarico o del rapporto, comunque non oltre i termini fissati dalla legge per la prescrizione dei diritti, ciò anche ai sensi degli artt. 2220 e 2946 c.c..
13. Diritti degli interessati.
I LIGACAPELLI ha predisposto un sistema interno al fine di garantire l’esercizio dei diritti degli interessati previsti dagli artt. 12 e ss. del GDPR. (all.A)
Viene tenuta, nel registro dei trattamenti tenuto ai sensi dell’art. 30 del Gdpr, un’apposita sezione relativa all’esercizio dei diritti da parte degli interessati ove vengono annotate le relative richieste ed istanze nonché i conseguenti adempimenti.
14. Gestione degli incidenti di privacy
In caso di violazione della sicurezza dei dati personali, l'effetto della violazione è ridotto al minimo. Le Autorità e/o gli interessati vengono informati secondo le prescrizioni del regolamento.
Esiste un’apposita procedura di Data Breach alla quale si rimanda per la descrizione delle azioni adottate (all.B).
Viene tenuta, nel registro dei trattamenti tenuto ai sensi dell’art. 30 del Gdpr, un’apposita sezione relativa ai Data Breach, nel quale vengono annotati gli incidenti di privacy, anche quelli il cui esito non comporta, a norma di legge, la notifica al Garante e/o agli interessati.
15. Compliance
I LIGACAPELLI verifica continuamente l'efficacia delle predette misure tecniche e organizzative di salvaguardia.
Ciò avviene con le seguenti modalità.
Vigilanza affinché il personale sia a conoscenza e rispetti le misure tecniche e organizzative di cui al presente documento.
Tramite consulente esterno è stata effettuata a favore degli utenti la formazione anche pratica in tema di data protection.
Viene prevista la somministrazione di aggiornamenti periodici e all’occorrenza.
16. Documentazione di riferimento - Fonti
Regolamento Europeo 2016/679 – General Data Protection (GDPR), Codice Privacy 196/2003 come emendato dal D. L.vo 101/2018.
Provvedimenti e linee guida dell’Autorità Garante per la Protezione dei Dati Personali reperibili al sito https://www.garanteprivacy.it/
Linee guida in materia di notifica delle violazioni di dati personali (Data Breach notification) - WP250, definite in base alle previsioni del Regolamento (UE) 2016/679, adottate dal Gruppo di lavoro Art. 29 il 3 ottobre 2017 Versione emendata e adottata il 6 febbraio 2018; Linee guida 01/2021 sugli esempi riguardanti la notifica di violazione dei dati, adottate da EDPB il 14 gennaio 2021.
Guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali
http://www.garanteprivacy.it/regolamentoue/approccio-basato-sul-rischio-e-misure-di-accountability-responsabilizzazione-di-titolari-e-responsabili .
17. Approvazione della Policy
La presente Procedura in materia di trattamento dei dati personali è stata approvata da Samuele Nardi, titolare di I LIGACAPELLI , in data 24.2.2002.
Il titolare si riserva di effettuare eventuali variazioni al presente regolamento o ai suoi allegati, variazioni che verranno poi comunicate agli Utenti.
18. Allegati.
A) Procedura per consentire l’esercizio dei diritti agli interessati.
B) Procedura per il data breach.
Per il Titolare del trattamento I LIGACAPELLI
SAMUELE NARDI
___________________________________
Allegato A) POLICY PRIVACY I LIGACAPELLI PROCEDURA PER CONSENTIRE L’ESERCIZIO DEI DIRITTI PREVISTI DAL REGOLAMENTO 679/2016 A FAVORE DEGLI INTERESSATI
Il soggetto autorizzato o il responsabile (esterno) del trattamento, al quale venga presentata una delle richieste di esercizio dei diritti (artt. da 12 a 22 del Regolamento), dovrà procedere come segue.
In caso di richiesta pervenuta tramite lettera o posta elettronica, dovrà immediatamente trasmettere tale richiesta al referente-responsabile interno privacy ai sensi dell’art. 2 quaterdecies D. L.vo 196/2003, attualmente identificato nella persona di FRANCESCA NICHELE ; Lo stesso, unitamente al titolare, potrà gestire la richiesta come di seguito indicato.
Le richieste possono pervenire anche oralmente; in tal caso, sarà necessario riportare la richiesta dell’Interessato nella relativa sezione del registro dei trattamenti. Si dovrà accertare l’identità del richiedente che si presenta in qualità di Interessato sulla base di idonei elementi di valutazione, anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento.
Qualora la richiesta sia formulata da persona che dichiara di agire in nome e per conto dell’Interessato, accertare che questi abbia effettivo potere in tal senso, per esempio tramite esibizione di idonea documentazione (copia della procura, ovvero della delega sottoscritta in presenza di un Incaricato o sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di riconoscimento dell’Interessato, ecc.), che dovrà essere trattenuta in copia. L’esibizione del documento di identità va ritenuta superflua tutte le volte in cui il titolare del trattamento abbia metodi meno formali e più immediati per accertarsi della identità del richiedente. Così, ad esempio, sarebbe ritenuta pretestuosa la richiesta di esibizione di un documento di riconoscimento a chi, già noto all’interlocutore, gli rivolgesse la richiesta di persona.
Il referente responsabile interno delegato, immediatamente informato della presentazione della richiesta formulata dall’Interessato, potrà poi concordare con il titolare ed eventualmente con il consulente esterno di I LIGACAPELLI in materia di protezione dei dati personali le seguenti azioni:
procedere ad inviare una prima comunicazione di risposta al richiedente con la quale si dà conferma allo stesso del ricevimento della richiesta medesima, nonché dell’immediato avvio della procedura cognitiva o modificativa che consegue alla stessa;
conformemente alla richiesta ricevuta qualora la richiesta presentata dall’Interessato risulti accoglibile, provvedere alla ricerca ed estrazione dei Dati richiesti dall’Interessato, anche se non ancora registrati, ovvero alla loro modifica, blocco, attestazione di comunicazione dei dati modificati a coloro ai quali i dati sono stati comunicati o diffusi, cancellazione, ovvero cessazione del trattamento; al fine di verificare la presenza di dati dell’Interessato in Uffici diversi e locazioni diverse, il referente responsabile interno delegato che ha ricevuto la richiesta provvede all’invio di una richiesta ai vari soggetti (autorizzati o responsabili esterni) che, nei loro rispettivi ruoli, possono trattare i dati medesimi;
inviare una seconda comunicazione al medesimo destinatario entro un (1) mese dal ricevimento della richiesta, ovvero entro tre (3) mesi se le operazioni di riscontro siano di particolare complessità (inviando in quest’ultimo caso una comunicazione motivata e circostanziata al destinatario), provvedendo a fornire i Dati dallo stesso richiesti, ovvero a fornirgli comunicazione dell’avvenuta modifica o cancellazione effettuata sui Dati stessi in ottemperanza agli obblighi spettanti al Titolare, conformemente alle disposizioni di Legge, ovvero all’accoglimento della richiesta di opposizione al trattamento dei Dati stessi.
L’esercizio dei diritti è in linea di massima gratuito. Spetta, comunque, al titolare valutare se la risposta è complessa al punto da dover chiedere un contributo all’interessato e stabilirne l’ammontare, ma solo se si tratta di richieste manifestamente infondate o eccessive o ripetitive.
Nell’esercizio delle attività sopra indicate, in mancanza della nomina di un DPO, il titolare direttamente o tramite il suo delegato ex art. 2 quaterdecies D. L.vo 196/2003, se del caso, provvede a richiedere senza indugio la consulenza e l’assistenza al professionista esterno con competenze in materia di protezione dei dati personali già individuato dal titolare stesso.
Per il Titolare del trattamento I LIGACAPELLI
SAMUELE NARDI
___________________________________
Allegato B) POLICY PRIVACY I LIGACAPELLI COME COMPORTARSI IN CASO DI VIOLAZIONI DI DATI PERSONALI
Le regole in materia di protezione dei dati personali previste dalla policy aziendale di I LIGACAPELLI per i soggetti autorizzati e per i responsabili del trattamento (dipendenti, collaboratori e consulenti) mirano alla salvaguardia ed alla tutela dei dati personali ed aziendali, in modo tale da evitare o, quanto meno, limitare le violazioni di dati.
Si considerano violazioni di dati personali quelle attività che comportano, in modo accidentale o illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso non autorizzato ai dati personali trattati.
Nel rispetto di quanto sopra esposto e della riservatezza ed integrità del dato, ogni soggetto autorizzato o responsabile del trattamento che abbia anche solo il sospetto di una violazione di dati (compiuta dall’interno o dall’esterno) o sia a conoscenza di una violazione dei dati personali e/o aziendali, deve, al fine di consentire l’attivazione immediata della procedura di valutazione dell’evento:
obbligatoriamente segnalare nel minor tempo possibile, con qualsiasi forma, il sospetto e l’informazione a I LIGACAPELLI;
trasmettere tale richiesta al referente-responsabile interno privacy ai sensi dell’art. 2 quaterdecies D. L.vo 196/2003, attualmente identificato nella persona di FRANCESCA NICHELE. Lo stesso è reperibile e contattabile ai seguenti estremi: tel. 0423401547 3463969708, mail info@iligacapelli.it, PEC nardisamuele@legalmail.it.;
il titolare, fermi gli ulteriori adempimenti previsti dalla legge e posti a suo carico, anche tramite il proprio delegato, riporterà l’evento di data breach nell’apposita sezione del registro dei trattamenti.
Per il Titolare del trattamento I LIGACAPELLI
SAMUELE NARDI
___________________________________