PRIVACY E COOKIE POLICY
PREMESSA
L'Organizzazione tratta numerose informazioni personali, per tali intendendosi ai sensi di legge tutti i dati riferibili "a persona fisica identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale".
Sotto il profilo qualitativo, oltre a dati cd. "comuni", potrebbero rinvenirsi informazioni di carattere "sensibile" definiti "altri dati particolari" dal Regolamento (UE) 2016/679 (GDPR), dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale nonché dati personali idonei a rivelare provvedimenti giudiziari.
Inoltre l'Organizzazione, per il trattamento dei dati personali, utilizza sia strumenti informatici (elaboratori) sia supporti cartacei o altri supporti di memorizzazione.
OGGETTO
Il presente documento ha per oggetto misure procedimentali e regole di dettaglio ai fini della migliore funzionalità ed efficacia dell'attuazione del Regolamento europeo (General Data Protection Regulation del 27 aprile 2016 n. 679, di seguito indicato con "GDPR", Regolamento Generale Protezione Dati), relativo alla protezione delle persone fisiche con riguardo ai trattamenti dei dati personali, nonché alla libera circolazione di tali dati, nell'Organizzazione Erboristeria il Melograno di De Vietro Giorgia.
Inoltre il presente documento descrive i ruoli, le responsabilità, le modalità di governo e di gestione operativa in materia di trattamento di dati personali adottati da Erboristeria il Melograno di De Vietro Giorgia in qualità di Titolare del trattamento (nel seguito anche "Organizzazione") in ottemperanza al D.Lgs. 196/03
(Codice), ai differenti Provvedimenti del Garante Privacy e al Regolamento (UE) 2016/679 (GDPR).
CAMPO DI APPLICAZIONE
L'ambito di applicazione del presente documento riguarda l' Erboristeria il Melograno di De Vietro Giorgia (di seguito indicato "Organizzazione") che tratta dati personali sul territorio dello Stato italiano, anche in caso di trasferimento di dati personali da e verso l'estero (Paesi UE ed extra UE).
DESTINATARI E PERIMETRO
Destinatario del presente Politica è tutto il personale di ogni ordine e grado dell'Organizzazione con riguardo alla gestione interna ed esterna dei dati personali.
REGOLE GENERALI
I dati personali devono essere sempre trattati in modo lecito e secondo correttezza sempre nel rispetto delle disposizioni di cui al D. Lgs. 30 giugno 2003 n. 196 e del Regolamento UE 2016/679.
Tutto il personale che svolge detta attività (di seguito indicato come "il Personale") è tenuto ad attivarsi per far sì che i dati personali trattati siano sempre esatti e aggiornati.
I trattamenti non devono mai eccedere le finalità per le quali sono stati concepiti.
Il Titolare è responsabile del rispetto dei principi applicabili al trattamento di dati personali stabiliti dall'art. 5 GDPR liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati esattezza; limitazione della conservazione; integrità e riservatezza.
Il Titolare mette in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento di dati personali è effettuato in modo conforme al GDPR. Le misure sono definite fin dalla fase di progettazione e messe in atto per applicare in modo efficace i principi di protezione dei dati e per agevolare l'esercizio dei diritti dell'interessato stabiliti dagli articoli 15-22 GDPR, nonché le comunicazioni e le informazioni occorrenti per il loro esercizio.
Il Titolare adotta misure appropriate per fornire all'interessato:
a) le informazioni indicate dal/'art. 13 GDPR, qualora i dati personali siano raccolti presso lo stesso interessato;
b) le informazioni indicate dall'art. 14 GDPR, qualora i dati personali non siano stati ottenuti presso lo stesso interessato.
I Titolare, non avendo assegnato formalmente l'esercizio dei poteri del Titolare del trattamento ad alcun altro organo o Funzione aziendale, provvede a:
a) nominare quale Responsabile del trattamento i soggetti affidatari di attività e servizi per conto dell'Organizzazione, relativamente alle banche dati gestite da soggetti esterni all'Organizzazione in virtù di convenzioni, di contratti, o di incarichi professionali o altri strumenti giuridici consentiti dalla legge, per la realizzazione di attività connesse alle attività aziendali;
b) decidere, in piena autonomia, in ordine alle finalità e alle modalità dei trattamenti dei dati personali, nonché agli strumenti utilizzati e al profilo della sicurezza;
c) nominare il personale "Soggetti autorizzati / Incaricati del trattamento", nei casi in cui questi non siano nominati dagli eventuali Responsabili del trattamento;
d) nominare il Responsabile della Protezione dei Dati (RPD/DPO), se previsto e il Referente Privacy Aziendale (Referente GDPR).
L'Organizzazione favorisce l'adesione ai codici di condotta elaborati dalle associazioni e dagli organismi di categoria rappresentativi, ovvero a meccanismi di certificazione della protezione dei dati approvati, per contribuire alla corretta applicazione del GDPR e per dimostrarne il concreto rispetto da parte del Titolare.
Per il trattamento dei dati personali, il Titolare non ha nominato responsabili del trattamento dei dati interni.
Nei casi in cui un soggetto terzo effettua trattamenti di dati personali per conto dell'Organizzazione e non può essere considerato come autonomo Titolare o come Incaricato/Soggetto autorizzato del trattamento, questi è nominato come Responsabile esterno del trattamento ai sensi dell'art. 29 del D.Lgs. 196/2003 e dell'art. 28 del Regolamento UE 2016/679.
II Titolare, con il supporto del Referente Privacy Aziendale, predispone strumenti contrattuali e modulistica per la nomina dei responsabili del trattamento dati esterno.
In tale contesto, relativamente alla formalizzazione della nomina conseguente a tutte le tipologie di accordi/contratti, il Titolare, supportato dal Referente Privacy Aziendale ha la responsabilità di garantire che tutti i contratti aventi per oggetto in via diretta o indiretta un trattamento dei dati in nome e per conto dell'Organizzazione contemplino una specifica clausola in cui si prevede la nomina della controparte a Responsabile esterno del trattamento oggetto del contratto.
Nell'ambito dell'Organizzazione, al fine di garantire la corretta applicazione del Regolamento, si è provveduto alla nomina di un Responsabile della protezione dei dati ai sensi dell'art. 37 del GDPR che coincide col Titolare del Trattamento.
RISERVATEZZA DEI DATI
II Personale deve sempre usare la massima discrezione sui dati personali di cui sia a conoscenza, curando attentamente la loro protezione.
Per assicurare tale discrezione è importante che gli spazi operativi destinati al ricevimento degli utenti, alla raccolta dei documenti ed alla loro conservazione siano opportunamente delimitati, per evitare il fortuito accesso da parte di terzi o di personale non interessato. Anche le comunicazioni tra colleghi di dati personali di terzi deve limitarsi a quanto necessario per l'espletamento del servizio.
E' vietata ogni comunicazione di dati all'esterno dei "soggetti titolari", salvo il caso in cui ciò sia necessario per lo svolgimento degli incarichi affidati.
Ogni informazione, sia che si tratti di attività attuali sia che si tratti di attività future, ed ogni altro materiale utilizzato o prodotto dai prestatori d'opera (dipendenti, consulenti o incaricati di ditte esterne) in relazione al proprio impiego/attività, è di proprietà dell'azienda.
E' vietato copiare, diffondere, pubblicare, inviare notizie e/o informazioni in qualunque forma (documenti cartacei, documenti elettronici, immagini, filmati, suoni) inerenti alla attività aziendale, ai luoghi aziendali, alle persone che frequentano per qualunque scopo la nostra struttura aziendale o che, attraverso loghi, simboli, scritte possano essere messi in relazione alla struttura aziendale.
E' vietato copiare, diffondere, pubblicare, inviare notizie e/o informazioni tecniche che in qualche modo possano ridurre la sicurezza di funzionamento d'impianti o reti o che in qualche modo possano permettere di arrecare danni, anche di immagine, alla struttura aziendale.
E' fatto divieto ad ogni dipendente o collaboratore dell'azienda, salvo espressa autorizzazione, rilasciare comunicazioni o interviste a nome e per conto della stessa.
TRATTAMENTI DEI DATI PERSONALI
Tutti i soggetti autorizzati sono responsabili di verificare, prima dell'effettivo trattamento, la necessità di operare su dati personali; nel caso si presenti tale fattispecie, i soggetti autorizzati coinvolgono il Referente Privacy Aziendale per concordare con questa le modalità di trattamento.
• In particolare i casi che richiedono specifici presidi sono quelli relativi
• trattamenti di dati biometrici
• trattamenti di dati sensibili e giudiziari;
• trattamenti di dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo ("profilazione")
• trattamenti di dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie
• trasferimento di dati personali verso Paesi extra Ue
• trattamenti di dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti (Black List, Data base di soggetti morosi).
Il Titolare, con il supporto del Referente Privacy Aziendale, procede all'analisi dei trattamenti al fine di:
• individuare gli adeguati presidi
• indirizzare la realizzazione di questi ultimi
• verificare la eventuale necessità di autorizzazioni del Garante Privacy provvedere alla eventuale notificazione al Garante.
Il Titolare e ciascun Responsabile del trattamento mettono in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Le misure tecniche ed organizzative di sicurezza da mettere in atto per ridurre i rischi del trattamento ricomprendono: la pseudonimizzazione; la minimizzazione; la cifratura dei dati personali; la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
• Costituiscono misure tecniche ed organizzative che possono essere adottate dal Titolare del trattamento:
• sistemi di autenticazione; sistemi di autorizzazione; sistemi di protezione (antivirus; antimalware; firewall; antintrusione; altro);
• misure antincendio; sistemi di rilevazione di intrusione; sistemi di sorveglianza; sistemi di protezione con videosorveglianza; registrazione accessi; porte, armadi e contenitori dotati di serrature e ignifughi; sistemi di copiatura e conservazione di archivi elettronici; altre misure per ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso di incidente fisico o tecnico.
La conformità del trattamento dei dati al GDPR in materia di protezione dei dati personali è dimostrata attraverso l'adozione delle misure di sicurezza o l'adesione a codici di condotta approvati o ad un meccanismo di certificazione approvato.
Il Titolare e ciascun Responsabile del trattamento si obbligano ad impartire adequate istruzioni sul rispetto delle predette misure a chiunque agisca per loro conto ed abbia accesso a dati personali.