• Servizi e tecnologie per il Cash Management bancario

Privacy

1.Premessa

La presente policy riprende alcune terminologie, definizioni e concetti della normativa applicabile a scopo informativo e divulgativo in merito alla stessa.

Si sottolinea che:

  • i concetti sono volutamente sintetizzati, quindi la lettura della presente policy non esime dalla conoscenza di quanto indicato in modo più esteso dalla normativa;

  • in caso di elementi di contraddizione tra la presente policy e la normativa applicabile vale quanto definito in quest’ultima;

  • fatto salvo quanto indicato nel punto precedente, le disposizioni della presente policy devono trovare puntuale applicazione in CST S.r.l., di seguito la “Società”.

2.Scopo e ambito di applicazione

La Personal Data Protection Policy disciplina a livello generale la gestione dei dati personali, definisce ruoli e responsabilità inerenti a tale gestione e disciplina alcuni processi specifici. La presente policy potrà essere integrata dall’ulteriore regolamentazione interna adottata dalla Società.

La presente politica e i suoi allegati, le procedure e le istruzioni operative, i verbali dei comitati e ogni altro documento ufficiale interno in materia di privacy, costituiscono l’impianto normativo interno per il trattamento dei dati personali ai sensi dell’art. 29 del Regolamento e sono predisposti affinché chiunque agisca sotto l’autorità del Titolare del trattamento sia adeguatamente istruito nell’esecuzione dei trattamenti dei dati personali.

3.Distribuzione

A tutti i dipendenti e collaboratori della Società.

4.Definizioni

  • Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
  • Titolare (di seguito anche Controller): la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;
  • Responsabile del trattamento (di seguito anche Processor): la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
  • Soggetto Autorizzato (di seguito anche Incaricato): qualsiasi lavoratore della Società, con qualsiasi forma contrattuale, che nell’ambito delle proprie mansioni accede a dati personali di persone fisiche, sotto l’autorità del Titolare.
  • Coordinatore Privacy: la persona fisica interna alla Società deputata all’osservanza del Regolamento e della normativa vigente, nonché all’attribuzione delle responsabilità interne in merito alla gestione dei dati personali.
  • Referente Privacy: il soggetto interno alla Società preposto ad una area/funzione, impattata dal trattamento di dati personali (es. Risorse Umane o Amministrazione, Finanza e Controllo) e che riferisce al Coordinatore privacy circa gli incarichi nonché le attività di propria competenza.
  • Amministratore di Sistema: figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.
  • Utenti: Persona Autorizzata che hanno accesso ad un sistema informatico della Società.
  • user ID: componente nota delle credenziali di accesso al sistema informatico che identifica un Utente.

5.Riferimenti normativi

  • Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati o GDPR).
  • Direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche).
  • Decreto Legislativo n. 196 del 30 giugno 2003 “Codice in materia di protezione dei dati personali” e successivi provvedimenti emanati dall’Autorità Garante per la protezione dei dati personali e normative successive o particolari.
  • Decreto Legislativo 10 agosto 2018, n. 101 “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.
  • International Standard ISO/IEC 27001:2013 - Information Technology - Security Techniques - Information Security Management Systems - Requirements.

6.Il contesto di riferimento

CST S.r.l. è un’azienda che eroga servizi in outsourcing della funzione cash handling per conto della Banca ed opera nel suo esclusivo interesse fornendo servizi integrati di monitoraggio, contabilizzazione, programmazione e supporto operativo, logistico, statistico ed ispettivo.

6.1.Il trattamento dei dati personali in CST S.r.l.

Nel corso delle proprie attività e dei servizi erogati, la Società si trova a dover trattare dati personali in qualità sia di Titolare sia di Responsabile del trattamento. Nello specifico si rimanda al documento allegato alla presente policy (Allegato B) da cui emerge l’elenco dei trattamenti dei dati personali individuati ed emersi all’interno dell’organizzazione.

Si precisa che i trattamenti dei dati personali saranno eseguiti esclusivamente in uno Stato Membro dell’Unione Europea (UE) o in uno Stato Membro dello Spazio Economico Europeo (SEE). Eventuali trasferimenti di dati al di fuori di UE e SEE richiedono l’approvazione del Titolare e richiedono che siano attuate le condizioni previste dall’art. 44 e seguenti del Regolamento.

La Società ha inoltre definito una politica di conservazione dei dati personali in considerazione di ogni trattamento di dato personale nonché ha predisposto una politica circa la cancellazione dei dati personali laddove il trattamento dei dati personali non sia più necessario per l’espletamento della finalità specifica del trattamento, documentato nell’Allegato B della policy.

Nell’ambito delle proprie attività relativamente al trattamento dei dati personali sono trattate le seguenti categorie di:

  • Dati personali: dati comuni e categorie particolari di dati (ad esempio: dati relativi allo stato di salute del lavoratore per assolvere gli obblighi ed esercitare i diritti del titolare o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale nella misura in cui sia autorizzato dal Diritto dell’Unione o degli Stati Membri o da un contratto collettivo);

  • Soggetti interessati: dipendenti, collaboratori, candidati, fornitori e clienti.

7.Ruoli e responsabilità

7.1.Il Titolare del Trattamento o Controller

Il Titolare del Trattamento è CST S.r.l., con sede in 50132 Firenze (FI), Via Benedetto Varchi n. 59, Tel. 055 4633501/4633518, info@cstfi.it.

Al titolare spetta definire le finalità e i mezzi del trattamento dei dati personali di CST S.r.l..

7.2.Il Responsabile del trattamento o Processor

Responsabile del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Il Titolare ricorre ai Responsabili del Trattamento nei rapporti di esternalizzazione nei quali siano previsti, da parte della terza parte, trattamenti di dati personali per conto del Titolare.

In tale contesto sarà compito della Società verificare che il rapporto in essere con la terza parte venga contrattualizzato attraverso:

  • l’inserimento della clausola sul trattamento dei dati personali all’interno del contratto in essere con la terza parte o, laddove non possibile, consegna dell’informativa specifica al momento della sottoscrizione del contratto;
  • la nomina a responsabile esterno del trattamento da effettuarsi formalmente attraverso la sottoscrizione dell’apposito modulo; nel modulo di nomina sono anche specificati i compiti e le responsabilità attribuite al responsabile esterno del trattamento.

CST individua i Responsabili del Trattamento con riguardo alle società cui sono demandate attività che prevedono un trattamento significativo ed autonomo di dati personali, quali:

  • Società incaricate di gestire paghe e contributi;

  • Società che gestiscono buoni pasto;

  • Società che erogano servizi di recruiting;

  • Società che si occupano di fornire servizi informatici o di manutenzione del sistema di videosorveglianza;

  • Società che erogano servizi quali gestione e manutenzione del sito internet.

Nella gestione dei rapporti contrattuali con tali società, il Coordinatore Privacy si assicura che:

  1. nel contratto sia inclusa una specifica clausola sul trattamento dei dati personali o, laddove ciò non possibile, che sia consegnata un’informativa specifica al momento della sottoscrizione del contratto;
  2. si provveda alla consegna dell’apposito modulo di nomina dove vengono specificati i compiti e le responsabilità del Processor; il modulo dovrà essere sottoscritto dal responsabile esterno del trattamento, acquisito dal Coordinatore Privacy e conservato.

Il Coordinatore Privacy mantiene costantemente aggiornato l’elenco dei Responsabili del Trattamento allegato alla presente policy (Allegato C).

7.3.Coordinatore Privacy

Il Coordinatore Privacy ha il compito principale di sorvegliare l’osservanza del Regolamento generale sulla protezione dei dati e della normativa vigente, interna ed esterna, nonché di informare, sensibilizzare e attribuire responsabilità in merito alla gestione dei dati personali.

Il Coordinatore Privacy deve essere formalmente identificato, mediante designazione da parte del Titolare.

I compiti specifici del Coordinatore Privacy sono i seguenti:

  • Definire le modalità di attuazione degli adempimenti previsti dal Regolamento, redigere e manutenere le policy, le procedure e i modelli relativi a tali attuazioni.

  • Supportare il Controller o il Processor in ogni attività connessa al trattamento di dati personali.

  • Presiedere il Comitato Privacy.

  • Collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA). Supportare i Referenti Privacy in questioni relative al trattamento dei dati personali nelle aree di loro competenza.

  • Validare le nomine di Processor nei contratti che presentano caratteristiche di unicità.

  • Verificare e monitorare che la presente policy venga pubblicata e resa accessibile sul portale intranet aziendale o, se non presente, venga rilasciata/distribuita a tutti i dipendenti e collaboratori della Società;

  • Sorvegliare l’osservanza della presente policy, di altre disposizioni normative relative alla protezione dei dati nonché delle politiche del Controller o del Processor in materia di protezione di dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.

  • Monitorare i cambiamenti normativi, i provvedimenti e le linee guida delle autorità di controllo e analizzare le eventuali interpretazioni rese da soggetti autorevoli ed affidabili.

  • Informare, sensibilizzare e formare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati.

  • Cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento.

  • Gestire le attività di Data Breach Notification, sia per quanto attiene la comprensione e la valutazione dell’evento, sia per quanto attiene all’eventuale notifica all’autorità Garante e all’eventuale informazione all’interessato.

  • Essere il punto di contatto degli interessati e gestirne l’esercizio dei diritti.

7.4.Referenti Privacy

Il referente di ciascuna area riferisce in materia di protezione dei dati personali circa gli incarichi e le attività di propria competenza.

In CST i referenti privacy sono individuati nelle figure organizzative che coordinano le seguenti aree aziendali:

  • Area Amministrativa/Risorse Umane

  • Area Commerciale

  • Area Acquisti

  • Area IT

I compiti dei Referenti Privacy sono i seguenti:

  • Recepire le disposizioni in materia di protezione dei dati personali nella propria area di competenza.

  • Segnalare al Coordinatore Privacy tematiche inerenti la protezione dei dati su cui è necessario confrontarsi, anche con il coinvolgimento di eventuali Soggetti Autorizzati.

  • Collaborare con il Coordinatore Privacy nell’identificazione degli adempimenti da porre in essere nell’ambito dalla propria area di competenza e nel monitoraggio dei cambiamenti normativi, affinché possano essere adeguate le disposizioni interne.

  • Impartire disposizione agli incaricati e ai responsabili affinché le operazioni di trattamento siano effettuate nel rispetto del Regolamento e siano posti in essere gli adempimenti previsti.

  • Definire, tra gli altri, i tempi di conservazione dei dati in coerenza con le politiche stabilite da CST.

  • Definire le modalità di archiviazione degli adempimenti affinché gli stessi siano messi a disposizione del Coordinatore Privacy in caso di necessità.

  • Verificare e monitorare che il trattamento dei dati avvenga effettivamente nel rispetto dei principi del Regolamento, delle disposizioni interne e dell’impianto normativo interno.

  • Esercitare la facoltà di designare e, sulla base dei poteri conferiti, nominare eventuali Responsabili del Trattamento, riferendo al Coordinatore Privacy in merito alle nomine formalizzate e coinvolgendolo nella redazione di incarichi che presentano caratteristica di unicità rispetto ad incarichi già gestiti.

  • Esercitare la facoltà di accettare, per conto del Titolare, e sulla base dei poteri conferiti, eventuali nomine di responsabile per trattamenti eseguiti per conto di terzi, riferendo con il Coordinatore Privacy in merito alle nomine accettate e coinvolgendolo nel caso di richieste che presentano caratteristiche di unicità rispetto a quelle già gestite

  • Fornire la massima disponibilità al Coordinatore Privacy nel caso di attività di audit o di verifica che riguardano la sua area.

  • Informare tempestivamente il Coordinatore Privacy in caso di identificazione o di sospetto di una violazione (data breach).

  • Informare tempestivamente il Coordinatore Privacy nel caso un interessato eserciti i propri diritti in base al capo III del Regolamento.

  • Informare tempestivamente il Coordinatore Privacy nel caso ravvisi eventuali violazioni della normativa, di questa policy o dell’impianto normativo interno.

7.5.Comitato Privacy

È un comitato deputato al coordinamento degli aspetti di protezione dei dati personali. Il presidente del comitato è il Coordinatore Privacy, vi partecipano i Referenti Privacy delle funzioni sopraelencate.

Il comitato ha i seguenti compiti:

  • Riunirsi almeno una volta all’anno, su convocazione del Coordinatore Privacy, allo scopo di analizzare cambiamenti normativi (modifiche alla legge, provvedimenti, pareri e interpretazioni del Garante o di altri soggetti autorevoli, linee guida delle attività di controllo europee, etc.), o questioni relative alla protezione dei dati personali.

  • Analizzare i cambiamenti interni (organizzativi, logistici, tecnologici, ecc.) e le iniziative interne (ricerche di mercato, iniziative di marketing, organizzazione di convegni, ecc.) nonché i cambiamenti esterni (in seguito a richieste di clienti, di fornitori, o di altri soggetti terzi).

  • Assegnare compiti e avviare progetti in merito alla protezione dei dati e monitorarne l’avanzamento.

  • Decidere in merito a questioni relative alla protezione dei dati.

  • Monitorare l’attuazione delle iniziative avviate.

7.6.Soggetto Autorizzato

Si definisce Soggetto Autorizzato qualsiasi lavoratore della Società, con qualsiasi forma contrattuale, che nell’ambito delle proprie mansioni accede a dati personali di persone fisiche, sotto l’autorità del Titolare.

Il Soggetto Autorizzato, nell’ambito del trattamento di dati personali e di qualsiasi altra informazione aziendale, si deve attenere, ai sensi dell’art. 29 del Regolamento, alle istruzioni scritte presenti nella presente policy e nel resto dell’impianto normativo interno applicabile. Il Soggetto Autorizzato, per quanto attiene al trattamento dei dati personali, può riportare a più Referenti Privacy sulla base delle attività svolte.

Ad ogni Soggetto Autorizzato sono attribuiti i seguenti compiti:

  • Conoscere il contenuto della presente politica e dell’impianto normativo interno applicabile alla sua mansione.

  • Osservare e attuare le prescrizioni normative, di questa politica e dell’impianto normativo interno applicabile alla sua mansione.

  • Collaborare con i Referenti Privacy per l’applicazione dei principi del Regolamento e per il miglioramento delle misure di protezione

  • Rispettare le disposizioni del Referente Privacy in ordine alla gestione dei trattamenti dei dati nell’ambito delle proprie competenze.

  • Informare tempestivamente il Referente Privacy di competenza in caso di identificazione o di sospetto di una violazione (data breach).

  • Informare tempestivamente il Referente Privacy di competenza nel caso un interessato eserciti i propri diritti in base al capo III del Regolamento.

  • Informare tempestivamente il Referente Privacy o il Coordinatore Privacy nel caso ravvisi eventuali violazioni della normativa, di questa policy o dell’impianto normativo interno.

7.7.Amministratore di Sistema

L’Amministratore di Sistema è qualsiasi figura che svolge un ruolo nella gestione dei sistemi informatici (ICT) determinante dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori dei server, gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.

La base normativa di riferimento è costituita dal Provvedimento del Garante doc. web n. 1577499, del 27 novembre 2008.

I compiti e le responsabilità dell’Amministratore di Sistema sono definite ai sensi dell’art. 29 del Regolamento, e sono dettagliate all’interno del modulo di nomina appositamente predisposto (Allegato E – Lettera di nomina ad Amministratore di Sistema).

8.Formazione

La Società, per il tramite del Coordinatore Privacy, predispone e aggiorna un piano formativo annuale volto alla sensibilizzazione ed informazione di tutti i dipendenti dell’organizzazione riguardo agli obblighi derivanti dal regolamento e da altre disposizioni vigenti in materia di protezione dei dati personali.

Gli interventi formativi previsti dal piano sono comunicati a tutti i soggetti coinvolti quali, in particolare, i Referenti Privacy e i soggetti autorizzati.

Tali attività formative sono organizzate dal Coordinatore Privacy e possono essere erogate direttamente dalla Società oppure da consulenti esperti in materia di data protection. Le sessioni formative possono essere svolte “in aula” ovvero mediante l’utilizzo di strumenti di formazione on-line, e possono essere tenute sia presso la sede della società che presso sedi previste dai fornitori.

9.Sicurezza delle informazioni

9.1. Gestione dei dispositivi

Tutti gli Utenti della Società che, per specifiche esigenze lavorative utilizzino ai fini lavorativi dispositivi quali ad esempio desktop, PC portatili, tablet, palmari, telefonini cellulari e altre apparecchiature portatili, devono prestare la massima cura affinché le informazioni contenute in questi strumenti non vengano compromesse.

Gli assegnatari di tali dispositivi non possono prestarli, noleggiarli o comunque darli in uso a terzi, interni o esterni, non assegnatari.

Non possono essere utilizzati desktop o PC portatili personali per l’attività lavorativa. Eventuali eccezioni devono essere autorizzate dalla Società previa consultazione con la funzione IT.

Tutti i dispositivi informatici e le dotazioni (ad esempio PC, smartphone, scrivania, cassettiera, armadi, ecc.) sono assegnati al lavoratore solo ed unicamente per lo svolgimento delle attività lavorative, precisando che tutti i dati e le informazioni contenute sui supporti di vario genere sono di proprietà della Società.

La Società si riserva il diritto di svolgere attività di audit o accedere per ragioni di servizio a tutte le informazioni presenti sugli strumenti utilizzati ai fini lavorativi. Ove possibile, il lavoratore sarà avvisato prima di accedere alle informazioni, altrimenti in un momento successivo a tale accesso.

Ai fini della gestione della sicurezza come l’analisi degli incidenti, l’individuazione di tentativi di intrusione da parte di terzi e la protezione delle informazioni, le attività svolte dagli utenti come l’utilizzo delle risorse informatiche, le attività sui sistemi operativi, la navigazione Internet potrebbero essere tracciate.

9.2.Gestione delle credenziali

  • La password iniziale deve essere comunicata in modo riservato all’Utente destinatario e deve essere le seguenti caratteristiche:

    • La lunghezza minima della password deve essere almeno di otto caratteri. Nel caso in cui il sistema non imponga una password di lunghezza minima l’Utente dovrà comunque attenersi alla disposizione.

    • La password scelta dall’Utente non deve essere banale o facilmente individuabile (es. password identica alla User ID, password contenente riferimenti agevolmente riconducibili agli incaricati, ecc.). Laddove possibile deve contenere caratteri alfabetici, maiuscoli e minuscoli, caratteri numerici e caratteri speciali.
    • Le password hanno una durata massima di 180 giorni trascorsi i quali le password devono essere sostituite.
    • La password deve essere mantenuta segreta ed è vietata qualsiasi forma di comunicazione della stessa.

9.3.Gestione dei backup

Le attività di backup dei dati, di conservazione dei supporti di registrazione e di ripristino delle informazioni sono assoggettate alle seguenti regole:

  • Sono effettuati backup con frequenza almeno settimanale.

  • La conservazione dei supporti di registrazione dei dati relativi al backup settimanale avviene in un luogo diverso rispetto al luogo in cui sono presenti i server soggetti a backup. La distanza tra i due luoghi deve garantire la sicurezza fisica della conservazione dei dati in caso di eventi di rischio.

  • Si assicurano tempi di ripristino dei dati coerenti con le esigenze di utilizzo degli stessi dettati dalle attività di business svolte.

Il Coordinatore Privacy si assicura mediante la diffusione del presente documento che tutti gli Utenti siano informati delle politiche di backup applicate dalla società.

9.4.Gestione degli accessi

L’accesso ai Sistemi Informativi è controllato attraverso un processo formale di creazione, modifica e cancellazione degli account assegnati agli Utenti che prevede il coinvolgimento del business per definire privilegi consoni alla mansione svolta.

A ciascun Utente è attribuito un identificativo unico personale (user-ID) associato ad una password per l’autenticazione. Lo user-ID è definito in modo tale da non fornire alcuna indicazione circa i livelli di autorizzazione concessi al relativo Utente.

L’assegnazione e l’utilizzo di utenze privilegiate è limitato e controllato attraverso apposita procedura in capo al Referente Privacy con il supporto della funzione IT.

9.5.Gestione degli archivi cartacei

CST adotta procedure tali da assicurare che i Soggetti Autorizzati gestiscano le informazioni riducendo al minimo l’utilizzo di supporti cartacei.

Nei casi in cui si renda necessario l’uso di informazioni memorizzate su supporti cartacei, questi sono mantenuti in modo ordinato, avvalendosi di appositi raccoglitori e fascicoli che sono custoditi in apposite armadiature o scaffalature.

Nel caso di informazioni critiche, di dati che appartengono alle categorie particolari o, in generale, di dati che possono avere un impatto sulla libertà e dignità degli interessati, i supporti informativi cartacei sono conservati in specifici armadi dotati di chiusura a chiave con accesso ristretto ai soli soggetti autorizzati.

9.6.Clear Desk

Per ridurre al minimo i rischi di accesso non autorizzato, perdita e modifica delle informazioni, CST adotta le seguenti norme comportamentali.

  • L’accesso alle applicazioni che gestiscono informazioni è possibile solo attraverso l’inserimento di User ID e password.
  • I sistemi consentono di bloccare manualmente l’accesso qualora si debba lasciare temporaneamente incustodita la postazione di lavoro.
  • I sistemi consentono il blocco automatico dell’accesso agli stessi dopo un periodo limitato di tempo durante il quale non vengono utilizzati (max 10 minuti).
  • I Soggetti Autorizzati si accertano che, quando visualizzano informazioni critiche su uno schermo, queste non siano viste da soggetti terzi non autorizzati.
  • Le informazioni di business riservate o critiche, sia su carta, sia su supporti di memorizzazione digitale, quando non utilizzate vengono riposte in un luogo protetto e ad accesso limitato.
  • I Soggetti Autorizzati non devono mai lasciare incustoditi documenti contenenti dati durante e dopo l’orario di lavoro.
  • I Soggetti Autorizzati limitano allo stretto necessario l’effettuazione di copie dei documenti contenti dati. La riproduzione di documenti contenenti dati sensibili su supporti non informatici (ad esempio, fotocopie) deve essere sottoposta alla medesima disciplina dei documenti originali.
  • Le stampe contenenti informazioni riservate o classificate devono essere rimosse immediatamente dalle stampanti.
  • La distruzione dei supporti cartacei deve garantire la sicurezza delle informazioni; a tale scopo devono essere utilizzati appositi strumenti di distruzione dei documenti.

9.7.Gestione del software

Nell’ambito della gestione del software sono adottate le seguenti regole:

  • È vietata l’installazione autonoma di qualsiasi software o di qualsiasi aggiornamento dei software esistenti sulle dotazioni assegnate. La necessità di tali installazioni deve essere segnalata alla Società.
  • È altresì vietata qualsiasi modifica alla configurazione, hardware e software, degli strumenti aziendali assegnati.
  • L’introduzione in azienda di un qualsiasi tipo di sistema informatico o di servizio eseguito per mezzi informatici deve essere preventivamente valutata dalla Società.
  • L’accesso a Internet può essere effettuato solo attraverso strumenti aziendali la cui connessione è protetta da appositi dispositivi di sicurezza, quali Firewall, Proxy Server, Antivirus.
  • È vietato utilizzare connessioni alternative a quelle aziendali per accedere ad Internet dalla propria postazione di lavoro (ad esempio connessione wi-fi libere o personali). Per aumentare il livello di protezione della propria rete, la Società si riserva la facoltà di adottare un sistema di blocco o filtro automatico per vietare l’accesso a siti non pertinenti all’attività lavorativa.
  • L’accesso a qualsiasi tipo di sistema informatico aziendale da parte di fornitori o terze parti deve essere autorizzato dalla Società.

9.8.Gestione e-mail

La casella di posta elettronica assegnata all'Utente è uno strumento di lavoro e deve essere utilizzata esclusivamente per finalità connesse allo svolgimento dell’attività lavorativa.

L’uso dell’email aziendale è assoggettata al rispetto delle seguenti condizioni:

  • Sono vietate le comunicazioni di natura privata, personale, per scopi estranei allo svolgimento della prestazione lavorativa e/o di collaborazione.

  • È vietato inviare, senza le necessarie autorizzazioni, materiale protetto da copyright, o vietato dalle leggi in vigore o dalle procedure aziendali nel loro complesso. Nel caso tale materiale sia ricevuto bisogna prontamente darne informazione al proprio responsabile affinché l’azienda possa prendere gli opportuni provvedimenti.

  • È’ vietato inviare o inoltrare, sia all’interno dell’azienda, sia ad indirizzi esterni, e-mail con messaggi non attinenti all’attività lavorativa e messaggi con “comunicazioni a catena”. I messaggi sospetti (anche indicanti eventuali modalità di rimozione di virus, o con link sospetti) devono essere prontamente segnalati alla funzione IT, evitando di cliccare su link o su allegati.

  • È vietata la configurazione di client di posta del PC o del Laptop aziendale per accedere alla posta da account non aziendali. Questi possono eventualmente essere acceduti in situazioni di eccezionalità al di fuori dell’orario lavorativo attraverso il browser Internet installato, fermo restando il divieto assoluto di scaricarne gli allegati.

  • È vietato creare o trasmettere e-mail con contenuti discriminatori, offensivi o in qualunque modo lesivi della dignità umana.

  • È vietato richiedere l’invio dall’esterno o inviare all’esterno applicativi software.

  • È vietato utilizzare strumenti di scambio documenti via e-mail non autorizzati a livello aziendale.

  • Non essendo il canale delle e-mail un canale sicuro, è vietato trasmette informazioni critiche o contenenti categorie di dati particolari senza aver provveduto ad adottare strumenti di cifratura del contenuto.
  • Non aprire e-mail e/o allegati con contenuti anomali o sospetti (es. mittenti non aziendali sconosciuti, oppure e-mail con oggetto non coerente con quanto inviato normalmente dal mittente, con descrizione mittente non coerente con indirizzo e-mail del mittente).

  • Non inviare via posta elettronica le proprie credenziali o le password a destinatari interni o esterni.

  • Non comunicare la propria password personale di posta, ad alcuno, in nessuna circostanza.

La funzione IT non definisce dei limiti massimi di dimensione delle caselle di posta elettronica in quanto i medesimi vengono archiviati automaticamente ogni 30 giorni.

9.9.Gestione Internet

L’accesso a Internet è consentito esclusivamente per finalità strettamente connesse allo svolgimento della propria attività lavorativa.

Di seguito sono elencate le condizioni per l’utilizzo di Internet.

  • È possibile navigare solo sui siti consentiti.
  • Il download e l’utilizzo di documenti provenienti da siti web o http nonché il download e l’upload di archivi e file di cui la Società deve possedere regolare licenza o deve comunque essere autorizzata da terzi.

  • La registrazione a siti e a servizi di newsletter necessari all’attività deve essere autorizzata dalla Società.

  • La partecipazione a forum professionali e bacheche elettroniche necessarie all’attività lavorativa deve essere autorizzata dalla Società.

  • L’utilizzo del canale di internet banking deve essere consentito solo ed esclusivamente al personale esplicitamente autorizzato.

  • L’utilizzo di Internet per scopi diversi da quelli esplicitati dalla Società è vietato.

  • Non può essere fatto alcun utilizzo di Internet in violazione della normativa vigente.

  • Non può essere fatto alcun utilizzo di Internet per fini diversi da quelli lavorativi per attività relative alla Società.

  • Non può essere fatto il download e l’utilizzo di crack, patch, script o applicativi atti ad aggirare o inibire, in qualsiasi modo, protezioni hardware e software ovvero ad ottenere privilegi d’accesso a qualsiasi risorsa di rete non regolarmente attribuiti.

  • Non può essere utilizzato software peer-to-peer per lo scambio di file.

  • Non possono essere utilizzati instant messaging al di fuori degli strumenti aziendali il cui utilizzo è limitato alle attività lavorative.

  • È vietata la navigazione in siti con contenuti pornografici, pedopornografici, osceni, discriminatori, razzisti o che ledano in qualsiasi modo la dignità individuale.

  • È vietato rivelare o diffondere al pubblico informazioni confidenziali o di proprietà della Società.

  • Non può essere spedito, ricevuto o promosso materiale che possa essere dannoso, molesto o intimidatorio per altre persone.

  • È vietato l’uso di Internet ai fini di gaming.

  • È vietato scaricare materiale in violazione del diritto d’autore.

  • È vietato scaricare file audio o video non attinenti all’attività lavorativa.

  • È vietato scaricare autonomamente software, anche se provvisto di regolare licenza d’uso. Nei casi sia necessario deve essere contattata la funzione IT.

  • È vietato modificare o mascherare le impostazioni di rete assegnate (i.e. IP address) o aggirare o disabilitare i dispositivi preposti alla gestione della sicurezza e delle comunicazioni in rete (i.e. Firewall, Proxy, Router, ecc.).

10. Data Protection Governance

10.1.Premessa

Il processo di Data Protection Governance deve garantire il tempestivo e corretto adeguamento del sistema di gestione della protezione dei dati personali ai cambiamenti normativi (modifiche alla legge, provvedimenti, pareri e interpretazioni del Garante o di altri soggetti autorevoli, linee guida delle attività di controllo europee, etc.), alle modifiche interne (organizzativi, logistici, tecnologici, ecc.), a nuove iniziative della Società (ricerche di mercato, iniziative di marketing, organizzazione di convegni, ecc.), alle dinamiche del contesto esterno (in seguito a richieste di clienti, di fornitori, o di altri soggetti terzi).

Il processo di Data Protection Governance è attuato principalmente attraverso i comunicati e gli incontri annuali del Comitato il cui scopo è appunto compiere analisi e orientare le questioni relative alla protezione dei dati personali, assegnare compiti e avviare progetti, secondo le prassi di autorizzazione in essere, in merito alla protezione dei dati e monitorarne l’avanzamento.

Attività

Owner

Tempi

Organizzazione degli incontri annuali del Comitato, convocazione dei Referenti Privacy e della relativa agenda

Coordinatore Privacy

n/a

Partecipazione agli incontri, analisi dei cambiamenti, definizione di iniziative o progetti inerenti la protezione dei dati personali e follow-up sulle attività in corso.

Comitato Privacy

n/a

Formalizzazione del verbale del Comitato

Coordinatore Privacy

Entro una settimana dalla riunione

Tenuta degli archivi dei verbali

Coordinatore Privacy

n/a

11.Data Breach Notification

Per “violazione di dati personali” o “data breach” si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Come previsto dall’articolo 33 del GDPR in materia di notifica di violazione dei dati personali di persone fisiche, il Titolare del trattamento deve notificare ogni violazione all'Autorità di Controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, essa deve essere corredata con i motivi del ritardo.

Pertanto, chiunque venga a conoscenza di una violazione di dati personali deve darne tempestiva comunicazione via email al Coordinatore Privacy fornendo dettagliata descrizione. La comunicazione al Coordinatore Privacy può anche avvenire tramite il Referente Privacy dell’area interessata. Nell’eventualità di una violazione riguardante il trattamento dei dati personali affidato ad un Responsabile esterno, sarà quest’ultimo a dover informare tempestivamente il Coordinatore Privacy di CST non appena venuto a conoscenza della violazione.

A titolo esemplificativo si riportano di seguito alcune casistiche di violazione di dati personali:

  • La perdita o furto di documenti contenenti dati personali o di dispositivi (computer, smartphone, tablet, ecc.) della società o personali contenenti dati personali;
  • Accesso non autorizzato dall’interno o dall’esterno della rete della Società (ad esempio hacking) od ogni altra violazione dei sistemi IT che potrebbe determinare la perdita, la compromissione, l’accesso o la divulgazione delle informazioni della società;
  • Qualsiasi installazione di software malevolo o virus scaricato sui dispositivi forniti dalla Società;
  • Qualsiasi e-mail o telefonata sospetta che richieda a tutti i Soggetti Autorizzati di fornire informazioni;
  • Informazioni cartacee o elettroniche della società inviate al di fuori dell’azienda che non giungano al destinatario voluto o che siano recapitate a un destinatario non voluto;
  • Ogni violazione dei controlli obbligatori di sicurezza delle informazioni che potrebbe comportare la perdita o la compromissione delle informazioni della Società;
  • Diffusione non sicura delle informazioni della Società che sono state classificate come interne, non confidenziali o segrete.

La notifica di violazione dei dati personali di persone fisiche all’autorità di controllo deve avere i seguenti contenuti minimi:

  • natura della violazione dei dati personali compresi, le categorie e il numero approssimativo di interessati in questione, le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • nome e dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  • conseguenze della violazione dei dati personali;
  • misure adottate per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Qualora la violazione dei dati personali possa rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve comunicare la violazione all'interessato senza ingiustificato ritardo (Articolo 34 del GDPR).

La comunicazione all'interessato di una violazione dei dati personali deve descrivere con un linguaggio semplice e chiaro la natura della violazione dei dati personali e deve contenere almeno le seguenti informazioni:

  • nome e dati di contatto del Coordinatore Privacy o di altro punto di contatto presso cui ottenere più informazioni;
  • conseguenze della violazione dei dati personali;
  • misure adottate per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

La Comunicazione della violazione dei dati personali all'interessato non è obbligatoria se è soddisfatta una delle seguenti condizioni:

  • esistono misure tecniche e organizzative adeguate di protezione e applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali cifrati;
  • esistono misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
  • la comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica.

Attività

Owner

Tempi

Identificazione o sospetto dell’evento di data breach

Chiunque

n/a

Comunicazione scritta (e-mail) al Coordinatore Privacy, eventualmente per mezzo del Referente Privacy competente

Chiunque

Al sospetto dell’avvenuto evento e comunque non oltre 2h

Creazione di un Comitato di Crisi attraverso l’identificazione dei soggetti che possono dare un contributo determinante all’esecuzione dell’analisi dell’evento. Il Comitato di Crisi deve includere al minimo il Coordinatore Privacy, il Referente Privacy dell’area impattata ed un referente IT.

Coordinatore Privacy

Dopo una pre-analisi e comunque non oltre le 4h

In caso affermativo il Comitato di Crisi esegue l’analisi e la valutazione del rischio per i diritti e le libertà delle persone fisiche e prevede la raccolta e la verifica delle seguenti informazioni:

  • natura della violazione dei dati personali compresi;

  • categorie e numero approssimativo di interessati in questione;

  • categorie e numero approssimativo di registrazioni dei dati personali in questione;

  • probabili conseguenze della violazione dei dati personali;

  • misure adottate per porre rimedio alla violazione dei dati personali e per attenuarne i possibili effetti negativi.

I rischi che possono determinare l’obbligo di notifica prevedono che la violazione possa causare danni fisici, materiali o immateriali alla persona fisica, quali a titolo esemplificativo e non esaustivo:

  • perdita del controllo dei dati personali;

  • limitazione dei diritti;

  • discriminazione;

  • furto o usurpazione di identità;

  • perdite finanziarie;

  • decifratura non autorizzata della pseudonimizzazione;

  • pregiudizio alla reputazione;

  • perdita di riservatezza dei dati personali protetti da segreto professionale, o qualsiasi altro danno economico o sociale significativo per la persona interessata.

Comitato di Crisi

Entro il secondo giorno (48h)

A seconda della valutazione che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche, sono previste le seguenti attività:

  • Notifica al Garante: in caso di data breach, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

  • Comunicazione all’Interessato: in caso di data breach con rischio elevato per i diritti e le libertà delle persone fisiche

Coordinatore Privacy

Entro le 72 ore dall’identificazione dell’evento

Tenuta di un registro degli eventi e redazione dei verbali

Coordinatore Privacy

n/a

Predisposizione di un fascicolo sull’evento da esibirsi, su richiesta, al Garante

Coordinatore Privacy

Entro 5 gg dalla notifica

12.Gestione dei Diritti dell’Interessato

12.1.Premessa normativa

Il Capo III del Regolamento disciplina i diritti dell’interessato, che sono declinati come segue:

  • Il diritto ad essere informato dell’esecuzione dei trattamenti, sia nel caso in cui l’acquisizione dei dati siano presso l’interessato, sia nel caso in cui l’acquisizione dei dati sia presso una terza parte. Il diritto all’informazione dell’interessato deve includere anche la modalità chiara per l’esercizio dei propri diritti (artt. 12, 13 e 14 del Regolamento).

  • Il diritto di accesso dell’interessato (art. 15 del Regolamento) in base al quale l'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali. In questo caso deve essere informato in merito all’esistenza di garanzie adeguate; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un'autorità di controllo; g) qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine; h) l'esistenza di un processo decisionale automatizzato, compresa la profilazione […].

  • Il diritto di rettifica (art. 16 del Regolamento) in base al quale l'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa

  • Il diritto alla cancellazione («diritto all'oblio») (art. 17 del Regolamento) in base al quale l'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano, se sussiste uno dei motivi seguenti: a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b) l'interessato revoca il consenso su cui si basa il trattamento come unico fondamento giuridico c) l'interessato esercita il diritto di opposizione; d) i dati personali sono stati trattati illecitamente; e) i dati personali devono essere cancellati per adempiere un obbligo legale; f) i dati personali riguardano un minore di anni 16 e sono stati raccolti relativamente all'offerta di servizi della società dell'informazione. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione, adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. I diritti alla cancellazione non si applicano nella misura in cui il trattamento sia necessario: a) per l'esercizio del diritto alla libertà di espressione e di informazione; b) per l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento; c) per motivi di interesse pubblico nel settore della sanità pubblica; d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici; e) per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

  • Il diritto alla limitazione (art. 18 del Regolamento) in base al quale, nei casi previsti dall’articolo, come situazione transitoria o su richiesta dell’interessato, l'interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento (ovvero una sospensione temporanea che può divenire definita nel caso si verifichino i presupposti per cui viene chiesta la limitazione).

  • L’obbligo, da parte del titolare, di notificare a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all'interessato tali destinatari qualora l'interessato lo richieda (art. 19 del Regolamento).

  • L'interessato ha il diritto della portabilità (art. 20 del Regolamento), ovvero di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora il trattamento si basi sul consenso o su un contratto ai sensi dell'articolo ed il trattamento sia effettuato con mezzi automatizzati.

  • L’interessato ha il diritto di opposizione (art. 21 del Regolamento), ovvero si può opporre in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano nei casi in cui lo stesso si basi sull’esercizio del legittimo interesse del titolare e nel caso in cui i dati personali siano trattati per finalità di marketing, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto (l’articolo precisa ulteriori casi non ritenuti applicabili alla Società).

  • L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. Quanto sopra non si applica se il trattamento è eseguito nell’esecuzione di un contratto tra interessato e titolare, se autorizzato del diritto dell’Unione e se si basa sul consenso esplicito dell’interessato.

I Referenti Privacy, supportati dal Coordinatore Privacy, verificano che i trattamenti siano eseguiti previa la fornitura, ove dovuta, della necessaria informativa.

In caso di esercizio da parte dell’interessato di uno o più dei propri diritti (portabilità, opposizione, trattamento automatico), il titolare fornisce risposta entro 30 giorni dalla ricezione della richiesta. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste, dandone informazione all’interessato entro 30 giorni dal ricevimento della richiesta.

Attività

Owner

Tempi

Ricezione dell’esercizio dei diritti da parte dell’interessato

Chiunque

n/a

Comunicazione al Coordinatore Privacy, eventualmente per mezzo del Referente Privacy

Chiunque

All’avvenuto evento e comunque non oltre 1 giorno

Creazione del Gruppo di Risposta, attraverso l’identificazione dei soggetti che per poteri o informazioni possono dare un contributo determinante all’esecuzione di quanto segue. Il Gruppo di Risposta deve includere al minimo il Coordinatore Privacy, il Referente Privacy dell’area impattata ed un referente per funzione IT.

Coordinatore Privacy

Dopo una pre-analisi e comunque non oltre 2 giorni

Definisce un piano di lavoro per l’analisi della richiesta. Il piano di lavoro include la definizione di un piano di comunicazione.

Gruppo di Risposta

Dopo una pre-analisi e comunque non oltre 2 giorni

Riscontro all’interessato

Coordinatore Privacy

Entro 30 giorni dalla richiesta dell’interessato

Eventuale notifica ad altri titolari

Coordinatore Privacy

Entro 15 giorni dalla richiesta dell’interessato

Tenuta di un registro degli eventi e redazione dei verbali

Coordinatore Privacy

n/a

Predisposizione di un fascicolo sull’evento da esibirsi, su richiesta al Garante

Coordinatore Privacy

Entro 5 gg dal riscontro all’interessato

13. ALLEGATO A – La normativa in materia di protezione dei dati personali.

13.1.Premessa

L’evoluzione tecnologica dei sistemi per l’informazione sta portando ad una più veloce e più profonda condivisione delle informazioni e dei dati. Tra questi vi sono i dati personali, relativi alle persone fisiche. Tali dati non sono limitati ai dati identificativi, ma sono costituiti da qualsiasi informazione che ci riguarda. Ad esempio attraverso anche la semplice navigazione in Internet, senza nemmeno accorgerci, divulghiamo i nostri dati personali che possono essere utilizzati per studiare le nostre abitudini di consumo. L’evoluzione della normativa in materia di protezione dei dati mira a definire delle regole per limitare questa invasività nella vita personale, pur riconoscendo i diritti delle società a svolgere attività di marketing.

L’Europa si è fatta promotrice di una serie di iniziative a livello normativo. Dalla Convenzione di Strasburgo (n. 108 del 28/01/81), ratificata con la L. 98 del 21/02/1989, all’accordo di Schengen e successivamente alla Direttiva 95/46/CE e alla Direttiva 2002/58/CE, ispiratrici dell’attuale Codice Privacy, D.Lgs. 196/2003.

Nel 2016 è stato pubblicato il Regolamento generale sulla protezione dei dati, Regolamento UE 2016/679, (di seguito “Regolamento”, o “GDPR” – General Data Protection Regulation –), primo tassello di una serie di riforme attraverso le quali la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell'Unione Europea e dei residenti nell'Unione Europea, sia all'interno che all'esterno dei confini dell'Unione europea (UE).

Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, ha efficacia dal 25 maggio 2018. Il GDPR abroga la direttiva sulla protezione dei dati (Direttiva 95/46/EC).

13.2.I principi

Il Regolamento sancisce i seguenti principi applicabili ai dati personali (art. 5).

I dati personali sono:

  1. trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);

  2. raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; […] («limitazione della finalità»);

  3. adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

  4. esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

  5. conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; […] («limitazione della conservazione»);

  6. trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

La società, nella sua qualità di titolare del trattamento, è competente per il rispetto di tali principi e in grado di comprovarlo («responsabilizzazione»).

13.3.Le basi giuridiche del trattamento

13.3.1.Liceità del trattamento

Sulla base di quanto definito dal Regolamento nell’art. 6, il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

  1. l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

  2. il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;

  3. il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

  4. il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;

  5. il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;

  6. il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

13.3.2.Trattamento di categorie particolari di dati personali

È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona; salvo che non ricorra uno dei seguenti casi:

  1. l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto […]

  2. il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato;

  3. il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;

  4. il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato;

  5. il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;

  6. il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

  7. il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri […];

  8. il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali […];

  9. il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica […];

  10. il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici […].

13.3.3.Trattamento dei dati personali relativi a condanne penali e reati

Secondo quanto definito dall’art. 10 il trattamento dei dati personali relativi alle condanne penali e ai reati […] deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica

13.4.Periodo di conservazione dei dati personali

Il Codice Privacy prevedeva che i dati personali potessero essere conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti e trattati.

Uno degli adempimenti espressamente previsti dal Regolamento che ha un impatto rilevante sia dal punto di vista organizzativo (ad esempio, definizione della policy), sia per gli interventi richiesti per l’adeguamento dei sistemi informativi, è quello legato alla definizione dei tempi di conservazione dei dati ed alla loro conseguente cancellazione al termine di questi.

L’art. 13, 2 comma, lett. a), del Regolamento prevede di indicare un periodo di conservazione dei dati personali oppure, laddove non possibile, i criteri utilizzati per determinare tale periodo.

La determinazione dei tempi di conservazione può avvenire in base ad una normativa, o in base ad una valutazione del Titolare laddove una norma non esista. In questo secondo caso il Titolare dovrà giustificare i tempi di conservazione da lui determinati, purché proporzionato rispetto alla finalità del trattamento.

Per tale ragione il medesimo dato, se utilizzato per finalità differenti, potrebbe avere tempi di conservazione diversi, che devono essere opportunamente gestiti.

13.5.Autorità

Il Regolamento, oltre a confermare la definizione di un’autorità di controllo per ogni Stato Membro, ne disciplina la competenza, i compiti ed i poteri e disciplina inoltre i protocolli di comunicazione tra autorità a livello europeo ed i relativi meccanismi di coordinamento.

In Italia l’autorità di controllo prende nome di Garante per la protezione dei dati personali.

Il Regolamento istituisce inoltre a livello europeo il Comitato Europeo per la protezione dei dati, composto dal vertice delle autorità di controllo locali al quale assegna maggiori poteri rispetto a quelli posseduti dal gruppo di lavoro dei garanti ex art. 29 della Direttiva 95/46/CE, detto WP29.

14. ALLEGATO B – Elenco dei trattamenti.

Nel corso delle proprie attività e dei servizi erogati, la Società si trova a trattare dati personali in qualità sia di Titolare del trattamento sia di Responsabile del trattamento. Nello specifico si fornisce un elenco dei trattamenti dei dati personali individuati ed emersi all’interno dell’organizzazione:

Titolare

Funzione e descrizione attività

Finalità del trattamento

Categorie di Responsabili

Periodo di conservazione

CST S.r.l.

Risorse Umane - Amministrazione del personale: Gestione rapporto contrattuale, gestione anagrafica, gestione adempimenti fiscali, previdenziali e assicurativi, gestione richieste (ferie, assenze, maternità, permessi)

Instaurazione e gestione del rapporto di lavoro

-Studio di consulenza del lavoro che gestisce paghe e contributi;

-Società che gestiscono gli adempimenti fiscali;

-Società che gestiscono i buoni/pasto;

Termini di legge in materia civile e fiscale

CST S.r.l.

Risorse Umane - Gestione del personale: Gestione formazione del personale (piano di formazione, esiti della formazione e valutazioni periodiche), gestione organizzazione interna;

gestione valutazione dei risultati.

Gestione del rapporto di lavoro

/

Termini di legge in materia civile e fiscale

CST S.r.l.

Risorse Umane - Ricerca e selezione del personale: Gestione del rapporto con il candidato (raccolta delle esigenze, reclutamento, realizzazione colloquio)

Ricerca e selezione del personale

Società di recruiting

Per tutta la durata del processo di selezione e, successivamente, per 5 anni.

CST S.r.l.

Amministrazione, Finanza e Controllo - Gestione fatturazione ciclo attivo

Gestione adempimenti amministrativo-contabili

/

Termini di legge in materia civile e fiscale

CST S.r.l.

Amministrazione, Finanza e Controllo - Gestione fatturazione ciclo passivo.

Gestione adempimenti amministrativo-contabili

/

Termini di legge in materia civile e fiscale

CST S.r.l.

Amministrazione, Finanza e Controllo - Gestione tesoreria (gestione cassa e pagamenti)

Gestione adempimenti amministrativo-contabili

/

Termini di legge in materia civile e fiscale

CST S.r.l.

Amministrazione, Finanza e Controllo – Gestione rischio di credito/solvibilità del Cliente

Gestione rischio di credito

/

Termini di legge in materia civile e fiscale

CST S.r.l.

Salute e sicurezza sul lavoro - Gestione salute e sicurezza sul lavoro: Gestione sorveglianza sanitaria, gestione denunce malattie professionali, gestione infortuni, gestione primo soccorso

Gestione salute e sicurezza sul lavoro

/

Termini di legge in materia civile e fiscale

CST S.r.l.

Facility Management - Gestione del sistema di videosorveglianza

Sicurezza del lavoro e tutela del patrimonio aziendale

Società che si occupano di servizi di manutenzione del sistema di videosorveglianza

[…]

CST S.r.l.

Commerciale – Gestione del rapporto con il Cliente: Gestione delle offerte commerciali, gestione anagrafica e gestione del rapporto con il Cliente

Instaurazione e gestione del rapporto commerciale

/

Termini di legge in materia civile e fiscale

CST S.r.l.

Acquisti – Gestione del rapporto con il Fornitore: Gestione selezione ed anagrafica dei fornitori, gestione contrattualizzazione e gestione ordini di acquisto

Instaurazione e gestione del rapporto di approvvigionamento

/

Termini di legge in materia civile e fiscale

CST S.r.l.

Acquisti – Gestione qualifica del Fornitore: Gestione qualifica dei dipendenti del Fornitore

Gestione del rapporto con il Fornitore

/

Termini di legge in materia civile e fiscale

CST S.r.l.

Legale – Gestione dei contenziosi: Gestione dei contenziosi stragiudiziali e giudiziali di qualsiasi natura

Tutelare un diritto in sede giudiziale

/

Per tutta la durata del contenzioso

CST S.r.l.

Sistemi Informativi – Gestione della sicurezza informatica: Gestione sicurezza informatica e di rete, del log management (ivi inclusi i log degli amministratori di sistema) e del controllo dei flussi comunicativi (e.g. darktrace)

Tutela del patrimonio informativo aziendale

Società che si occupano di fornire i servizi informatici

1 anno dalla generazione del log

CST S.r.l.

Sistemi Informativi – Gestione strumenti informatici: Gestione dei sistemi e processi informatici (es. applicativi di gestione amministrativa)

Tutela del patrimonio informativo aziendale

Società che si occupano di fornire i servizi informatici

Termini di legge in materia civile e fiscale

CST S.r.l.

Sistemi Informativi – Gestione della posta elettronica aziendale dei dipendenti

Gestione del rapporto di lavoro

Società che si occupano di fornire i servizi informatici

6 mesi dalla cessazione del rapporto di lavoro

CST S.r.l.

Sistemi Informativi – Gestione sistemi informatici: Supporto IT on-site e remoto (es. help desk/assistenza tecnica)

Supporto assistenza IT

Società che si occupano di fornire i servizi informatici

Termini di legge in materia civile e fiscale

CST S.r.l.

Marketing - Gestione del sito: Gestione del sito internet aziendale della società (es. cookie)

Marketing

Società che si occupano di fornire il sito aziendale

Si rimanda alla cookie policy del sito



Responsabile

Titolare del trattamento

Funzione/Processo

Descrizione attività

Finalità del trattamento

CST S.r.l.

Banca/Cliente

Operations – Gestione della rendicontazione dei versamenti

Controllo e verifica della rendicontazione delle operazioni, nello specifico dei versamenti, eseguite nello sportello ATM

Gestione rendicontazione sportelli ATM



Tale elenco viene mantenuto a cura della Società e sarà oggetto di aggiornamento laddove il trattamento dei dati personali dovesse venire meno oppure qualora un nuovo trattamento di dati personali dovesse emergere. Decorsi i termini di conservazione suindicati, sono adottate misure ragionevoli affinché i dati siano distrutti, cancellati o resi anonimi, compatibilmente con le procedure tecniche di cancellazione e backup, e quindi definitivamente non identificabili. In particolare, si utilizzeranno le seguenti modalità:

  • Forma Cartacea -> distruzione
  • Forma Digitale o Telematica -> cancellazione


15. ALLEGATO C – Elenco dei Responsabili del Trattamento

Ragione sociale

Finalità del trattamento

Categorie di dati personali trattati

Categorie di soggetti interessati dal trattamento

Consegna della lettera di designazione

QUANTICO

SVILUPPO SOFTWARE

DATI ANAGRAFICI, CONTATTI

GDC INFORMATICA

SVILUPPO SOFTWARE

DATI ANAGRAFICI, CONTATTI

AMMINISTRATORE SISTEMA

INFRASTRUTTURA HARDWARE

COORDINATORE PRIVACY

COORDINAMENTO