Trivision Point srl(di seguito anche denominata “ente”) intende dotarsi di linee guida che consentano di affrontare in maniera organica gli obblighi normativi in materia di protezione dei dati personali, così da conseguire i migliori risultati nel proteggere le informazioni e i dati gestiti nell’ambito delle proprie attività da tutte le minacce interne o esterne, intenzionali o accidentali, secondo le disposizioni previste dalla normativa comunitaria e nazionale
Obiettivo del presente documento e di quelli ad esso collegati è definire il Modello Organizzativo Privacy (Policy Privacy), ovvero individuare strategia, linee guida generali e disposizioni operative interne volte a disciplinare il trattamento dei dati personali effettuato dalla società, ai sensi del D.Lgs. 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” (Codice della Privacy), come modificato dal D.Lgs. 10 agosto 2018, n. 101 e del Regolamento (UE) del Parlamento Europeo e del Consiglio del 27 aprile 2016, n. 679 (GDPR – General Data Protection Regulamentation), nonché ulteriori provvedimenti in materia di fonte normativa secondaria in vigore al momento dell’approvazione della seguente policy. In essa sono quindi disciplinati i ruoli e le responsabilità nonché gli adempimenti da seguire in materia di protezione dei Dati Personali ai sensi del “Codice della Privacy” e del “GDPR”, anche con riferimento alle decisioni e ai provvedimenti emessi dal Garante Europeo della Protezione dei Dati (GEPD) e dall’Autorità Garante Nazionale per la protezione dei dati personali.
Ai fini del presente Modello Organizzativo Privacy si applicano le seguenti definizioni, coerenti con quanto previsto dalla normativa di settore:
La politica della privacy (policy) che discende dal presente Modello Organizzativo Privacy si applica all’azienda nella sua interezza, a tutti gli organi e alle strutture di qualsiasi livello organizzativo o funzionale.
La sua attuazione è obbligatoria per tutto il personale e deve essere inserita come parte integrante nella regolamentazione di qualsiasi accordo con tutti i soggetti esterni coinvolti con il trattamento di informazioni che rientrano nel campo del Sistema di Gestione della Privacy.
La società consente la comunicazione e la diffusione delle informazioni di tipo procedurale e organizzativo verso l’esterno esclusivamente per il corretto svolgimento delle attività aziendali che avvengono nel rispetto delle regole e delle norme vigenti.
La presente policy è di applicazione immediata per la società.
La società si impegna a garantire e dimostrare che il trattamento dei dati personali avviene in maniera conforme a quanto previsto dalla normativa e, secondo i seguenti principi di liceità, questi sono:
Le presenti indicazioni sono valide, oltre che per i trattamenti dei dati personali di cui la società è Titolare, anche per tutti quei trattamenti di cui la società è nominato Responsabile del trattamento da altri Titolari del trattamento, salvo la presenza di misure più restrittive in materia di protezione dei dati personali contenute nei documenti che regolano i rapporti con il Titolare del trattamento.
Poiché analoghe garanzie di protezione e l’adozione di adeguate misure di sicurezza sono richieste ai soggetti terzi ai quali la società affida l’incarico di Responsabile del trattamento, la policy in oggetto è resa disponibile presso tali Responsabili del trattamento.
Il patrimonio informativo da tutelare è costituito dall’insieme delle informazioni trattate nell’espletamento delle procedure aziendali, rispetto alle quali la società assicura l’integrità e la protezione e consente l’accesso esclusivamente ai ruoli e alle funzioni necessarie e preventivamente autorizzate.
La mancanza di adeguati livelli di sicurezza può infatti comportare il danneggiamento dell’immagine aziendale, la mancata soddisfazione della clientela, il rischio di incorrere in sanzioni legate alla violazione delle leggi vigenti nonché altri danni di natura economica e finanziaria.
Per conseguire sempre l’allineamento normativo e aumentare la capacità di controllo la società ha istituito e mantiene aggiornato un registro delle attività di trattamento.
La società identifica, quando ritenuto necessario a seguito delle risultanze dell’analisi dei rischi connessi al trattamento dei dati personali, le ulteriori esigenze di sicurezza tramite la valutazione di impatto sulla protezione dei dati che consente di acquisire un livello aggiuntivo di consapevolezza sul livello di esposizione a minacce dei propri sistemi di gestione dei dati.
La valutazione del rischio, eseguita su tutti i trattamenti in essere o previsti, permette di valutare le potenziali conseguenze e i danni che possono derivare dalla mancata applicazione delle misure di sicurezza al sistema informativo e in generale all’intera organizzazione oltre a indicare quale sia la probabilità che le minacce identificate trovino reale attuazione. I risultati di questa valutazione determinano le azioni necessarie per individuare le corrette e adeguate misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.
La gestione della sicurezza delle informazioni è fondata su alcuni imprescindibili principi generali, di seguito enunciati:
La società si impegna a garantire la riservatezza e la confidenzialità delle informazioni e dei dati degli interessati acquisiti nel corso della propria attività in conformità alle procedure interne previste, coerenti con il presente Modello Organizzativo Privacy.
Il trattamento dei dati può essere effettuato attraverso strumenti manuali, informatici e telematici atti a memorizzare, elaborare, gestire e trasmettere i dati stessi nel rispetto delle misure di sicurezza previste. Tutti i soggetti in qualsiasi modo coinvolti nel trattamento dei dati personali, indipendentemente dal rispetto degli obblighi derivanti dal codice deontologico relativo alla professione regolamentata eventualmente esercitata nell’espletamento delle proprie mansioni, sono tenuti al segreto previsto dall’art. 2407 del codice civile.
La società si impegna a garantire adeguati livelli minimi di sicurezza delle informazioni rese disponibili da terzi con la medesima diligenza e livello di protezione utilizzati per la sicurezza e la riservatezza dei propri dati.
L’osservanza e l’attuazione della politica della privacy (policy) che discende dal presente Modello Organizzativo Privacy sono responsabilità di:
Il personale dell’azienda che, in modo intenzionale o riconducibile a negligenza, disattenda le regole di sicurezza stabilite e in tal modo provochi un danno, potrà essere perseguito nelle opportune sedi, nel pieno rispetto dei vincoli di legge e contrattuali.
La direzione aziendale verifica almeno una volta all’anno l’efficacia e l’efficienza del Sistema di Gestione della Privacy, in modo di assicurare un supporto adeguato all’introduzione di tutte le migliorie necessarie e di favorire l’attivazione di un processo di aggiornamento continuo.
La revisione deve verificare lo stato delle azioni preventive e correttive e l’aderenza alla politica privacy delle procedure in atto così come di quelle previste e non ancora applicate.
Deve inoltre tenere conto di tutti i cambiamenti che possono influenzare l’approccio alla gestione della sicurezza delle informazioni, includendo i cambiamenti organizzativi, l’ambiente tecnico, la disponibilità di risorse, le condizioni legali, regolamentari o contrattuali e dei risultati dei precedenti riesami.
Il risultato dell’intero processo di revisione periodica include tutte le decisioni prese e le azioni adottate in merito al miglioramento del Sistema di Gestione della Privacy.
L’obiettivo di garantire un corretto trattamento dei dati, conforme ai requisiti previsti dalla normativa[1], viene raggiunto dalla società anche e soprattutto grazie alla particolare attenzione risposta nei confronti della formazione del proprio personale.
Allo scopo creare un ecosistema favorevole nell’ambiente di lavoro e formare con particolare cura i soggetti che per il ruolo ricoperto risultano inseriti nel Sistema di Gestione della Privacy, la società:
La formazione dei soggetti autorizzati al trattamento e, ove ritenuto necessario, delle altre figure chiave nel Sistema di Gestione della Privacy (SGP), riguarda in particolare:
La formazione deve essere:
La direzione della società sostiene attivamente le attività inerenti la gestione della privacy, o protezione dei dati personali, tramite indirizzi precisi, impegno evidente, incarichi espliciti e riconoscimento delle responsabilità specifiche relative alla sicurezza delle informazioni.
L’impegno della direzione si attua tramite un’adeguata struttura i cui compiti sono:
La società riconosce la propria responsabilità che discende dalla normativa vigente e si impegna a proteggere i dati personali che gli utenti affidano ad essa da perdita, uso improprio o accesso non autorizzato. Per la protezione dei dati personali degli utenti, l’azienda si avvale di tecnologie e procedure aziendali di protezione secondo le migliori pratiche (best practices) di volta in volta disponibili.
Al fine di garantire la tutela dei diritti delle persone fisiche relativamente al trattamento dei dati personali, la società garantisce sempre la precisa individuazione dei soggetti che ricoprono ruoli attivi nel trattamento. Ciò avviene con l’allestimento e il mantenimento efficiente nel tempo di un sistema tracciabile delle nomine e delle relative mansioni.
In accordo con la normativa di riferimento e con la policy che discende dal presente Modello Organizzativo Privacy, costituiscono figure imprescindibili quelle di seguito descritte.
Conformemente a quanto previsto dalla normativa la società è Titolare del trattamento e in tale ruolo si impegna a:
Inoltre, si impegna a garantire l’esercizio dei diritti degli interessati e a tal scopo individua e mette in pratica apposite procedure al fine di informare gli interessati e garantire a ciascuno di essi almeno il:
Al fine di esercitare i diritti sopra descritti, la società si impegna a rispondere senza ritardo alle richieste presentate da parte dell’interessato direttamente ad esso, ai Responsabili o ai soggetti autorizzati appositamente nominati, nelle forme e modalità nonché attraverso i mezzi ritenuti più idonei.
Il Titolare a seguito delle analisi svolte, non ha ritenuto, valutata anche la struttura organizzativa dell’azienda a nominare un Responsabile del trattamento dei dati.
Il Titolare, a seguito delle analisi svolte, sui trattamenti e sulle tipologie di dati trattati, non rientrando nelle casistiche di nomina obbligatoria di un Responsabile della Protezione dei Dati (di cui all’art. 37 comma 1 lettere a, b, c, del GDPR) e svolgendo trattamenti semplificati in relazione alla quantità e alla tipologia di dati personali trattati, non ritiene necessaria la nomina di un Responsabile della Protezione dei Dati.
Il Titolare a seguito delle analisi svolte, non ha ritenuto, valutata anche la struttura organizzativa dell’azienda a nominare un Referente Privacy interno.
Il Titolare del trattamento nomina, presso le Unità Organizzative in cui vengono svolti i trattamenti, i soggetti autorizzati al trattamento dei dati (o soggetto designato).
Il soggetto autorizzato effettua tutte le operazioni di trattamento dei dati personali attinenti l’attività lavorativa di competenza dell’area di appartenenza e opera sotto l’autorità del Titolare, attenendosi alle istruzioni dallo stesso impartite nonché alle specifiche procedure che regolamentano le modalità di utilizzo delle banche dati cui lo stesso abbia accesso.
In particolare, i compiti a esso attribuiti sono così sintetizzati:
Il Titolare a seguito delle analisi svolte, non ha ritenuto, valutata anche la struttura organizzativa dell’azienda a nominare un Amministratore di Sistema, considerato altresì che la gestione e l’assistenza della struttura informatica è affidata esternamente con specifica Nomina a Responsabile.
La responsabilità delle attività di impostazione e coordinamento dei sistemi che garantiscono la sicurezza e la tutela di tutti i dati oggetto di trattamento sono in carico ai relativi ruoli inseriti nell’organico della società. Tali sistemi possono essere sia logici che fisici e la responsabilità comprende la loro gestione diretta o tramite fornitori esterni.
In considerazione della complessità delle implicazioni relative alla sicurezza logica, è redatto il Regolamento Informatico del Sistema di Gestione della Privacy.
Sono le misure di sicurezza volte a minimizzare i rischi che le informazioni siano rivelate o modificate senza autorizzazione, ovvero perse o alterate accidentalmente o intenzionalmente.
Queste comprendono un sistema di autenticazione per assicurare che la persona che accede al sistema nelle sue diverse articolazioni sia identificata con certezza, basato su codice identificativo e password individuale segreta, nonché un sistema di autorizzazione che prevede che a ciascuna persona che accede al sistema sia assegnato un profilo di accesso che definisce i dati ai quali l’utente è autorizzato ad accedere e, ove applicabile, le operazioni che per ciascun dato o gruppo di dati è autorizzato ad eseguire (consultazione, inserimento, modifica, cancellazione).
Ad eccezione degli Amministratori di Sistema qualora definiti e nominati secondo le disposizioni del Modello Organizzativo Privacy, nessun dipendente della società è Amministratore di Sistema della propria macchina e tutti gli utenti che dispongono di una postazione informatica sono censiti.
Per ridurre i rischi di indisponibilità (parziale o totale) nell’accesso al sistema informatico della società sono previste una serie di attività, in particolare al momento dell’assunzione o della dimissione delle risorse umane con la procedura di allestimento o dismissione dell’utenza personale. Sempre al fine di controllo si procede a verificare con cadenza semestrale che la lista dei dipendenti cessati sia coerente con le utenze disabilitate.
Tutti i dispositivi della società concessi in dotazione ai dipendenti vengono formattati a seguito delle dimissioni degli stessi al fine di rimuovere tutti i dati personali contenuti al loro interno.
Tutti i dipendenti della società sono pertanto tenuti ad assicurarsi che venga correttamente eseguito il passaggio di consegne affinché venga assicurata la continuità dei servizi erogati e la conservazione dei documenti di lavoro.
La politica della scrivania sgombra (Clean Desk Policy) e dello schermo inattivo (Clear Screen Policy) è una delle migliori strategie da attuare per ridurre il rischio di violazioni della sicurezza della postazione di lavoro.
Lo scopo di tale politica è stabilire requisiti minimi per prevenire violazioni accidentali o dolose dei dati personali (Data Breach) e responsabilizzare i soggetti che nelle attività lavorative si trovano a loro contatto.
Di seguito sono elencati i comportamenti virtuosi da applicare:
Il dipendente che viola queste norme di comportamento è soggetto alle azioni disciplinari previste, fino al licenziamento.
I livelli di sicurezza applicati seguono i seguenti criteri generali:
[1] Art. 29 Regolamento – “Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento” Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.
Art. 2 quaterdecies Codice Privacy – “Attribuzione di funzioni e compiti a soggetti designati” Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.