1. Campo d’applicazione, scopo e destinatari
KSM S.p.A., in seguito denominata "Azienda", si impegna a rispettare le leggi e i regolamenti applicabili relativi alla protezione dei dati personali nei paesi in cui l’Azienda opera. Questa Politica stabilisce i principi di base con cui l’Azienda tratta i dati personali di lavoratori di aziende clienti, clienti, fornitori, partner commerciali, dipendenti e altre persone e indica le responsabilità dei propri dipartimenti aziendali e dipendenti durante il trattamento dei dati personali.
La presente politica si applica all’Azienda e alle aziende che controlla direttamente o indirettamente che svolgono attività all'interno dello Spazio Economico Europeo (SEE) o che trattano i dati personali degli interessati all'interno del SEE.
I destinatari di questo documento sono tutti i dipendenti, permanenti o temporanei, e tutti i collaboratori che lavorano per conto dell’Azienda.
2. Documenti di Riferimento
- Il GDPR dell’UE 2016/679 (Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio Europeo del 27 Aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE)
- Linee Guida del Garante della Privacy per la corretta applicazione del GDPR
- Politica di Protezione dei Dati Personali dei Dipendenti
- Politica di Conservazione dei Dati
- Descrizione dei Ruolo del Responsabile della Protezione dei Dati
- Linee guida per l’Elenco dei Dati e la Mappatura delle Attività di Trattamento
- Procedura per la Richiesta di Accesso ai Dati da parte dell’Interessato
- Metodologia di Valutazione d'Impatto sulla Protezione dei Dati
- Procedura di Trasferimento Transfrontaliero di Dati Personali
- Politiche di Sicurezza IT
- Procedura di Comunicazione di una Violazione di Dati
3. Definizioni
Le seguenti definizioni di termini utilizzati in questo documento sono tratte dall'articolo 4 del Regolamento Generale sulla Protezione dei Dati dell'Unione Europea (o GDPR):
Dato Personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («Interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Dati personali sensibili:Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tra tali dati personali dovrebbero essere compresi anche i dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
Controllore dei Dati: (Titolare del trattamento) La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Processore dei Dati: (Responsabile del trattamento) una persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Controllore.
Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
Anonimizzazione: deidentificazione irreversibile dei dati personali in modo tale che la persona non possa essere identificata utilizzando tempi, costi e tecnologie ragionevoli da parte del controllore o di qualsiasi altra persona per identificare l’interessato. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile.
Pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile. La pseudonimizzazione riduce, ma non elimina completamente, la possibilità di collegare il dato personale all’interessato. Poiché i dati pseudominizzati sono comunque dati personali, il trattamento dei dati pseudonimizzati dovrebbe essere conforme ai principi del Trattamento dei Dati Personali.
Trattamento transfrontaliero: il trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un controllore o processore dei dati nell'Unione ove il controllore o il processore siano stabiliti in più di uno Stato membro; oppure il trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un controllore o processore nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro.
Autorità di Controllo:l'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51 del GDPR dell’UE; per l’Italia il Garante della Privacy.
Autorità di Controllo Capofila: L’autorità di controllo con la responsabilità primaria di gestire un'attività di trattamento di dati transfrontaliera, ad esempio quando un interessato presenta un reclamo in merito al trattamento dei propri dati personali; è responsabile, tra l'altro, di ricevere le notifiche di violazione dei dati, di essere notificato su attività di trattamento rischiose e avrà piena autorità per quanto riguarda le sue funzioni per garantire l'osservanza delle disposizioni del GDPR dell'UE.
Ogni “autorità di controllo locale” manterrà comunque nel proprio territorio e monitorerà qualsiasi trattamento di dati locale che incide sugli interessati o che viene effettuato da un controllore o un processore all’interno dell’Unione oppure all’esterno dell’Unione in caso il loro trattamento si rivolge a interessati residenti sul proprio territorio. I loro compiti e poteri comprendono lo svolgimento di indagini e l'applicazione di misure amministrative e sanzioni, la promozione della consapevolezza da parte del pubblico dei rischi, delle norme, della sicurezza e dei diritti in relazione al trattamento dei dati personali, nonché l'accesso a qualsiasi sede del controllore e del processore dei dati, compresi eventuali strumenti e mezzi per il trattamento.
“Stabilimento principale per quanto riguarda un controllore”con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del controllore nell'Unione e che quest'ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale.
“Stabilimento principale con riferimento a un processore”:responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento non ha un'amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento.
“Gruppo imprenditoriale”:un gruppo costituito da un'impresa controllante e dalle imprese da questa controllate.
4. Principi Applicabili al Trattamento dei Dati Personali
I principi applicabili alla protezione dei dati delineano le responsabilità delle organizzazioni nella gestione dei dati personali. L’articolo 5(2) del GDPR enuncia che “il controllore è competente per il rispetto dei principi, e in grado di comprovarlo.”
4.1.Liceità, Correttezza e Trasparenza
I dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell'interessato.
4.2.Limitazione delle Finalità
I dati personali sono raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità.
4.3.Minimizzazione dei Dati
I dati personali sono adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per cui sono trattati. L’azienda applica l'anonimizzazione o la pseudonimizzazione ai dati personali, se possibile, per ridurre il rischio per gli interessati.
4.4.Esattezza
I dati personali sono esatti e, se necessario, aggiornati; sono adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.
4.5.Limitazione del Periodo di Conservazione
I dati personali sono conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
4.6.Integrità e riservatezza
Tenendo conto delle tecnologie e di altre misure di sicurezza disponibili, dei costi di attuazione e la probabilità e gravità dei rischi per i dati personali, l’Azienda mette in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato per i dati personali, inclusa la protezione dalla distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l'accesso non autorizzati.
4.7.Responsabilizzazione
I controllori dei dati sono competenti per il rispetto dei principi sopra descritti sono in grado di comprovarlo.
5. Costruire la protezione dei dati nelle attività commerciali
Al fine di dimostrare la conformità con i principi della protezione dei dati, un'organizzazione dovrebbe creare protezione dei dati nelle sue attività commerciali.
5.1.Notifica agli Interessati
(Vedi la sezione 6 -Linee guida sul Corretto Trattamento – Punto1)
5.2.Scelta e Consenso dell’Interessato
(Vedi la sezione 6 - Linee guida sul Corretto Trattamento – Punto 2)
5.3.Raccolta
L’Azienda si impegna a raccogliere il minor numero di dati personali possibili. Se i dati personali sono raccolti da terzi, il Responsabile del Trattamento garantisce che i dati personali siano raccolti legalmente.
5.4.Uso, Conservazione e Smaltimento
Le finalità, i metodi, il limite di registrazione e il periodo di conservazione dei dati personali sono coerenti con le informazioni contenute nell'Informativa sulla Privacy. L’azienda mantiene l'esattezza, l'integrità, la riservatezza e la rilevanza dei dati personali in base allo scopo del trattamento. L’azienda utilizza adeguati meccanismi di sicurezza volti a proteggere i dati personali per impedire che vengano rubati, utilizzati in modo improprio o abusati e prevenire le violazioni dei dati personali. Il Responsabile della Protezione dei dati è responsabile della conformità con i requisiti elencati in questa sezione.
5.5.Divulgazione a terzi
Ogni volta che la Società utilizza un fornitore o un partner commerciale terzo per il trattamento dei dati personali per suo conto, il Responsabile della Protezione dei Dati garantisce che questo processore fornisca misure di sicurezza per salvaguardare i dati personali adeguate ai rischi associati. A tal fine, l’Azienda utilizza il Questionario di Conformità del Processore al GDPR.
La Società deve richiedere contrattualmente al fornitore o partner commerciale di fornire lo stesso livello di protezione dei dati. Il fornitore o il partner commerciale deve trattare i dati personali solo per adempiere ai propri obblighi contrattuali nei confronti dell’Azienda o dietro istruzioni dell’Azienda e non per altri scopi. Quando l'Azienda tratta i dati personali congiuntamente con un terzo indipendente, l’Azienda specifica esplicitamente le responsabilità proprie e quelle del terzo nel relativo contratto o qualsiasi in altro documento legale vincolante, come l’Accordo con il Fornitore del Trattamento dei Dati.
5.6.Trasferimento Transfrontaliero dei Dati Personali
Prima di trasferire i dati personali dallo Spazio Economico Europeo (SEE) devono essere utilizzate misure di protezione adeguate, compresa la firma di un accordo sul trasferimento dei dati, come richiesto dall'Unione Europea e, se necessario, deve essere ottenuta l'autorizzazione della relativa Autorità per la Protezione dei Dati. L'entità che riceve i dati personali deve rispettare i principi del trattamento dei dati personali stabiliti nella Procedura di Trasferimento Transfrontaliero di Dati Personali.
5.7.Diritto d’Accesso da parte degli Interessati
Il Responsabile della Protezione dei Dati è responsabile di fornire agli interessati un ragionevole meccanismo di accesso per consentire loro di accedere ai propri dati personali e consentire loro di aggiornare, rettificare, cancellare o trasmettere i propri dati personali. Per esercitare questi diritti l’Interessato può utilizzare il modulo per la richiesta di accesso ai dati disponibile presso l’Ufficio Legale, oppure richiedendolo scrivendo all’indirizzo mail del Responsabile della Protezione dei Dati vgiunta55@gmail.com. Il meccanismo di accesso è ulteriormente dettagliato nella Procedura di Richiesta di Accesso ai Dati da parte dell’Interessato.
5.8.Portabilità dei Dati
Gli interessati hanno il diritto di ricevere, su richiesta, una copia dei dati che ci hanno fornito in un formato strutturato e di trasmettere tali dati a un altro controllore, gratuitamente. Il Responsabile della Protezione dei Dati è responsabile di garantire che tali richieste vengano elaborate entro un mese, non siano eccessive e non incidano sui diritti relativi ai dati personali di altre persone.
5.9.Diritto all’oblio
Su richiesta, gli interessati hanno il diritto di ottenere dall’Azienda la cancellazione dei propri dati personali, quando questo diritto non è in contrasto con altra normativa (D.Lgs. 81/08 e s.m.i.). Quando l’Azienda agisce come Controllore, essa intraprende le azioni necessarie (comprese le misure tecniche) per informare i terzi che utilizzano o trattano tali dati per conformarsi alla richiesta.
6. Linee guida sul Corretto Trattamento
I dati personali devono essere trattati solo se esplicitamente autorizzati dal Titolare del Trattamento.
L'Azienda esegue la Valutazione d'Impatto sulla Protezione dei Dati per ciascuna attività di trattamento dei dati in base alle Linee guida sulla Valutazione d'Impatto sulla Protezione dei Dati.
6.1.Comunicazioni agli Interessati
Al momento della raccolta o prima della raccolta di dati personali per qualsiasi tipo di attività di trattamento, inclusa ma non limitata a, la vendita di prodotti, servizi o attività di marketing, il Titolare del Trattamento dei Dati è responsabile di informare adeguatamente gli interessati di quanto segue: i tipi di dati personali raccolti, le finalità del trattamento, i metodi di trattamento, i diritti degli interessati riguardo ai loro dati personali, il periodo di conservazione, i potenziali trasferimenti internazionali di dati, se i dati saranno condivisi con terzi e le misure di sicurezza dell’Azienda per proteggere i dati personali. Queste informazioni sono fornite tramite un’Informativa sulla Privacy.
Laddove i dati personali siano condivisi con terzi, il Responsabile della Protezione dei Dati deve garantire che gli interessati siano stati informati di ciò tramite un’Informativa sulla Privacy.
Laddove i dati personali siano trasferiti in un paese terzo in base alla politica di trasferimento transfrontaliero dei dati, l’Informativa sulla Privacy dovrebbe rispecchiare questo e indicare chiaramente dove e a quale soggetti i dati personali vengono trasferiti.
Nel caso in cui vengano raccolti dati personali sensibili, il Responsabile della Protezione dei Dati deve assicurarsi che l’Informativa sulla Privacy riporti esplicitamente lo scopo per il quale tali dati personali sensibili vengono raccolti.
6.2.Ottenere i Consensi
Ogni volta che il trattamento dei dati personali si basa sul consenso dell'interessato, o su altri motivi legittimi, il Responsabile della Protezione dei Dati è responsabile della conservazione di una registrazione di tale consenso; è inoltre responsabile di fornire agli interessati le opzioni per dare il consenso e deve informarli e garantire che il loro consenso (ogni volta che il consenso venga utilizzato come base legale per il trattamento) possa essere revocato in qualsiasi momento nei limiti consentiti dalle leggi in vigore.
Laddove la raccolta di dati personali si riferisca a un minore di età inferiore ai 16 anni, il Responsabile del Trattamento dei Dati garantirsce che il consenso del titolare della responsabilità genitoriale sia fornito prima della raccolta utilizzando il modulo di consenso del titolare della responsabilità genitoriale.
Quando si richiede di correggere, modificare o distruggere le registrazioni dei dati personali, il Responsabile della Protezione dei Dati garantisce che tali richieste siano gestite entro un ragionevole lasso di tempo. Registra le richieste e tiene un registro di queste.
I dati personali sono trattati solo per le finalità per cui sono stati originariamente raccolti. Nel caso in cui l’Azienda desideri trattare i dati personali raccolti per un altro scopo, l’Azienda richiede il consenso degli interessati in forma scritta chiara e concisa. Qualsiasi richiesta di questo tipo include lo scopo originale per cui sono stati raccolti i dati e anche gli scopi nuovi o aggiuntivi. La richiesta include anche il motivo del cambiamento di scopo/i. Il Responsabile della Protezione dei Dati è responsabile del rispetto delle regole in questo paragrafo.
Ora e in futuro, il Titolare del Trattamento dei Dati insieme al Responsabile del Trattamento dei Dati garantirscono che i metodi di raccolta sono conformi alla legge, alle buone pratiche e alle norme industriali pertinenti.
Il Responsabile della Protezione dei Dati è responsabile della creazione e della manutenzione di un registro delle Informative sulla Privacy.
7. Organizzazione e Responsabilità
La responsabilità di garantire un adeguato trattamento dei dati personali spetta a chiunque lavori per o con l’Azienda e abbia accesso ai dati personali trattati dall’ Azienda.
Le principali aree di responsabilità per il trattamento dei dati personali sono i seguenti ruoli organizzativi:
Amministratore Unico:prende decisioni e approva le strategie generali della Società in materia di protezione dei dati personali.
Il Responsabile della Protezione dei Dati: è responsabile della gestione del programma di protezione dei dati personali ed è responsabile dello sviluppo e della promozione delle politiche di protezione dei dati personali dall’inizio alla fine, come definito nella Descrizione del Ruolo del Responsabile della Protezione dei Dati.
IlConsulente legale,insieme alResponsabile della Protezione dei Dati, monitora e analizza le leggi sui dati personali e le modifiche alle normative, sviluppa i requisiti di conformità e assiste i reparti aziendali nel raggiungimento dei loro obiettivi relativi ai dati personali.
Il responsabile IT è responsabile di:
- Garantire che tutti i sistemi, i servizi e le attrezzature utilizzati per la registrazione dei dati soddisfino standard di sicurezza accettabili.
- Condurre controlli e scansioni regolari per garantire che l'hardware e il software di sicurezza funzionino correttamente.
L’Ufficio Marketing, è responsabile di:
- Approvare qualsiasi dichiarazione sulla protezione dei dati allegata a comunicazioni quali e-mail e lettere.
- Rispondere a qualsiasi domanda sulla protezione dei dati da parte di giornalisti o media come giornali.
- Se necessario, collaborare con il Responsabile della Protezione dei Dati per garantire che le iniziative di marketing rispettino i principi di protezione dei dati.
Il Responsabile delle Risorse Umaneè responsabile di:
- Migliorare la consapevolezza di tutti i dipendenti sulla protezione dei dati personali degli utenti.
- Organizzare la formazione per la competenza e la sensibilizzazione sulla protezione dei dati personali per i dipendenti che lavorano con dati personali.
- Proteggere i dati personali dei dipendenti dall’inizio alla fine. Garantisce che i dati personali dei dipendenti vengano trattati in base alle legittime finalità e necessità aziendali del datore di lavoro.
Il Responsabile degli Acquisti è responsabile del trasferimento delle responsabilità di protezione dei dati personali ai fornitori e del miglioramento dei livelli di consapevolezza dei fornitori in materia di protezione dei dati personali, nonché del flusso verso il basso dei dati personali richiesti a qualsiasi fornitore terzo che l’azienda utilizzi. Il reparto Acquisti deve garantire che l’Azienda si riservi il diritto di svolgere un audit presso i fornitori.
8. Linee guida per Stabilire l’Autorità di Controllo Capofila
L’Azienda attualmente non si trova nelle condizioni di dover applicare quanto prescritto al punto 8; nel caso dovesse trovarsi in queste condizioni applicherà la norma come descritto di seguito.
8.1.Necessità di Stabilire l’Autorità di Controllo Capofila
Identificare un’Autorità di Controllo Capofila è necessario soltanto se l’Azienda esegue il trattamento transfrontaliero dei dati personali.
Il trattamento transfrontaliero dei dati personali avviene se:
- Il trattamento di dati personali è effettuato da società controllate dall’Azienda stabilite in altri Stati Membri;
o
- il trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un’Azienda nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro.
Se l’Azienda ha stabilimenti solo in uno Stato membro e le sue attività di trattamento riguardano solo gli interessati in tale Stato membro, non è necessario istituire un'Autorità di Controllo Capofila. L'unica autorità competente sarà l'autorità di controllo nel paese in cui l’Azienda è stabilita legalmente.
8.2.Lo Stabilimento Principale e l’Autorità di Controllo Capofila
8.2.1. Lo Stabilimento Principale per il Controllore di Dati
L’ Amministratore dell’Azienda deve identificare lo stabilimento principale in modo che possa essere determinata l’autorità di controllo capofila.
Se l’Azienda è stabilita in uno Stato Membro dell'Unione e prende decisioni relative alle attività di trattamento transfrontaliero al posto della sua amministrazione centrale, vi sarà un'unica autorità di controllo capofila per le attività di trattamento dei dati svolte dall’Azienda.
Se l’Azienda ha più stabilimenti che agiscono in modo indipendente e prendono decisioni in merito alle finalità e ai mezzi del trattamento dei dati personali, l’alta direzione dell’Azienda deve riconoscere che esiste più di un'autorità di controllo capofila.
8.2.2. Lo Stabilimento Principale per il Processore di Dati
In caso l’Azienda agisca come un processore di dati, lo stabilimento principale sarà la sede dell’amministrazione centrale. Nel caso in cui il posto di amministrazione centrale non si trovi nell'UE, lo stabilimento principale sarà lo stabilimento nell'UE in cui si svolgono le principali attività di trattamento.
8.2.3. Lo Stabilimento Principale per Aziende al di fuori dell’Unione per Controllori e Processori di Dati
Se l’Azienda non ha uno stabilimento principale nell'Unione, e ha una o più società controllate nell'UE, allora l'autorità di controllo competente è l'autorità di controllo locale.
Se la Società non ha uno stabilimento principale nell'Unione né società controllate nell'UE, deve nominare un rappresentantei nell'UE e l'autorità di controllo competente sarà l'autorità di controllo locale in cui è situato il rappresentante.
9. Risposta agli incidenti di Violazione dei Dati Personali
Quando l'Azienda viene a conoscenza di una presunta o effettiva violazione dei dati personali, il Responsabile della Protezione dei Dati esegue un'indagine interna e adotta misure correttive appropriate in modo tempestivo, in base alla Politica sulla violazione dei dati. Laddove sussistano rischi per i diritti e le libertà degli interessati, l’Azienda informa l’autorità di controllo competente in materia di protezione dei dati senza indebiti ritardi e, ove possibile, entro 72 ore.
10. Audit e Responsabilizzazione
Il Responsabile della Protezione dei Dati è responsabile di verificare in che modo i reparti aziendali implementino questa politica.
Qualsiasi dipendente che violi questa Politica sarà soggetto ad azioni disciplinari e potrebbe anche essere soggetto a responsabilità civili o penali qualora la sua condotta violasse leggi o regolamenti.
11. Conflitti con la Legge
Questa politica è intesa a rispettare le leggi e i regolamenti del luogo di stabilimento e dei paesi in cui KSM S.p.A. opera. In caso di conflitto tra questa Politica e le leggi e i regolamenti applicabili, prevarranno questi ultimi.