REGOLAMENTO IN MATERIA DI PROTEZIONE E SICUREZZA DEL TRATTAMENTO DATI IN CONFORMITA’ CON IL REGOLAMENTO EUROPEO 679/2016 IN MATERIA DI PROTEZIONE DEI DATI PERSONALI -PUBBLICATO SULLA GAZZETTA UFFICIALE DELL’UNIONE EUROPEA IL 4 MAGGIO 2016 ED ENTRATO IN VIGORE IL 24 MAGGIO 2016
PREAMBOLO.
A seguito dell’entrata in vigore della Regolamento Europeo 679/2016 in materia di protezione dei dati personali -pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016 ed entrato in vigore il 24 maggio 2016 e che è applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018- l’azienda ha deciso di munirsi di un nuovo Regolamento in materia di Protezione e Sicurezza del Trattamento Dati, al fine di adeguarsi alle normative vigenti.
Il Regolamento Europeo disciplina le modalità di trattamento dei dati personali delle persone fisiche sotto un triplice profilo:
- Il consenso informato nel momento acquisitivo dei dati;
- Il corretto utilizzo
- la tutela nel momento di circolazione dei dati.
Giusto infatti sottolineare che la Disciplina legale della Tutela nel trattamento dei Dati si ispira al riconosciuto e tutelato diritto dell’individuo di disporre dei propri dati, quali aspetti del fondamentale diritto di identità e personalità (art. 16 del TFUE, art. 8 della carta dei Diritti Fondamentali) .
ACCOUNTABILTY
Il termine indica il Principio su cui si fonda il Regolamento Europeo entrato in vigore in Italia dal 24 Maggio 2018. Si tratta della responsabilità che il Titolare del trattamento ha e che si manifesta attraverso il garantire l’efficacia della tutela predisposta mediante azioni che includono il riesame e l’aggiornamento costante di tutte le condizioni adottate.
DEFINIZIONI
L’art. 4 del Regolamento Europeo fornisce le seguenti definizioni:
Dato Personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile. Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento ad un identificativo come il nome, un numero di identificazione, dati relativi alla ubicazione, un identificativo online o ad uno o più elementi caratteristici della sua identità fisica , fisiologica, genetica, psichica, economica, culturale o sociale.
Trattamento: qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Limitazione di Trattamento: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;
Profilazione: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
Pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
Archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
Destinatario: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;
Terzo: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;
Consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
Violazione dei dati personali: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
Dati genetici: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
Dati biometrici: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
Dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
Stabilimento principale:
- per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;
- con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento
Rappresentante: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;
Impresa: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica;
Gruppo imprenditoriale: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;
Norme vincolanti d’impresa: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune;
Autorità di controllo: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;
Autorità di controllo interessata: un’autorità di controllo interessata dal trattamento di dati personali in quanto:
- il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo;
- gli interessati che risiedono nello Stato membro dell’autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento;
- oppure un reclamo è stato proposto a tale autorità di controllo.
Trattamento transfrontaliero:
- trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro;
oppure
- trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro.
Obiezione pertinente e motivata: un’obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all’interno dell’Unione;
Servizio della società dell’informazione: il servizio definito all’articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio;
Organizzazione internazionale: un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.
CHI SIAMO
NPBLEGAL è struttura di professionisti autonomi tra loro che presta servizi di consulenza.
TRATTAMENTO DEI DATI DI NPBLEGAL
NPBLEGAL dichiara di essere unico Titolare del trattamento dei dati raccolti e conservati e di trattare i dati in conformità con le indicazioni di legge e quindi in maniera lecita (cioè fondata sul consenso dell’interessato) corretta (attraverso l’informazione all’interessato circa la raccolta, l’utilizzo e altri eventuali successivi trattamenti dei dati forniti) trasparente (attraverso modalità predefinite e rese note all’interessato in modo chiaro, semplice e accessibile).
NPBLEGAL dichiara:
- di raccogliere i dati per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
- di raccogliere dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (in osservanza del principio della «minimizzazione dei dati» espresso dal Regolamento Europeo);
- di raccogliere dati esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (in osservanza del principio di «esattezza» espresso dal Regolamento Europeo);
- di conservare i dati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1 del Regolamento Europeo, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal Regolamento Europeo a tutela dei diritti e delle libertà dell’interessato (in osservanza del principio della «limitazione della conservazione» espresso dal Regolamento Europeo);
- di trattare i dati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, in modo tale da evitare trattamenti non autorizzati o illeciti e difendere i dati dalla perdita, dalla distruzione o dal danno accidentali (in osservanza del principio della «integrità e riservatezza» espresso dal Regolamento Europeo).
Sebbene la tutela legale offerta dalla normativa in materia di trattamento dei dati si riferisce ai soli dati delle Persone fisiche, è pur vero che NPBLEGAL si impegna a prestare attenzione nelle ipotesi in cui attraverso i dati delle persone giuridiche si acquisiscano dati di persone fisiche. In queste ipotesi NPBLEGAL dichiara di tutelare i dati personali di persone fisiche acquisiti per via mediata dalle persone giuridiche
- Tipologia di dati raccolti
Premesse le definizioni di legge di cui all’art. 4 Regolamento Europeo (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 Aprile 2016 sopra riportate, qui di seguito NPBLEGAL dichiara l’ambito specifico del Trattamento dati che adopera in relazione alla attività svolta.
NPBLEGAL tratta Dati Personali con esclusione di quelli genetici, biometrici o relativi alla salute.
NPBLEGAL raccoglie dati con finalità dirette alla gestione della partecipazione di professionisti a corsi di formazione in qualità di Discenti e/o Relatori a corsi/convegni/congressi ECM.
- Modalità di raccolta dei dati.
NPBLEGAL può raccogliere i dati tramite schede di adesione che contengono nome, cognome, indirizzo (privato e professionale), professione, curriculum, codice fiscale e vengono allegate ad eventuali conferimenti di mandato ricevuti. NPBLEGAL può anche raccogliere dati attraverso la conclusione di accordi con partners operativi.
NPBLEGAL può raccogliere (ove capiti) anche i dati per via telematica. Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità.
Il trattamento dei dati oggetto viene effettuato unicamente con riferimento ad operazioni, nonché con logiche e mediante forme di organizzazione dei dati, strettamente indispensabili in rapporto ai sopra indicati obblighi, compiti o finalità.
Fin dove possibile i dati sono raccolti, di regola, presso l’interessato mediante comunicazione di dati che deve avvenire di regola direttamente a quest’ultimo.
Come tutti i siti web anche il sito di NPBLEGAL (www.npblegal.net) fa uso di log files nei quali vengono conservate informazioni raccolte in maniera automatizzata durante le visite degli utenti. Le informazioni raccolte potrebbero essere le seguenti:
– indirizzo internet protocol (IP);
– tipo di browser e parametri del dispositivo usato per connettersi al sito;
– nome dell’internet service provider (ISP);
– data e orario di visita;
– pagina web di provenienza del visitatore (referral) e di uscita;
– eventualmente il numero di click.
Le suddette informazioni sono trattate in forma automatizzata e raccolte in forma esclusivamente aggregata al fine di verificare il corretto funzionamento del sito, e per motivi di sicurezza (dal 25 maggio 2018 tali informazioni saranno trattate in base ai legittimi interessi del titolare).
A fini di sicurezza (filtri antispam, firewall, rilevazione virus), i dati registrati automaticamente possono eventualmente comprendere anche dati personali come l’indirizzo Ip, che potrebbe essere utilizzato, conformemente alle leggi vigenti in materia, al fine di bloccare tentativi di danneggiamento al sito medesimo o di recare danno ad altri utenti, o comunque attività dannose o costituenti reato. Tali dati non sono mai utilizzati per l’identificazione o la profilazione dell’utente, ma solo a fini di tutela del sito e dei suoi utenti (dal 25 maggio 2018 tali informazioni saranno trattate in base ai legittimi interessi del titolare). Qualora il sito consenta l’inserimento di commenti, oppure in caso di specifici servizi richiesti dall’utente, il sito rileva automaticamente e registra alcuni dati identificativi dell’utente, compreso l’indirizzo mail. Tali dati si intendono volontariamente forniti dall’utente al momento della consultazione del sito e/o della richiesta di erogazione del servizio. Consultando il sito, inserendo un commento o altra informazione l’utente accetta espressamente l’informativa privacy, e in particolare acconsente che i contenuti inseriti siano liberamente diffusi anche a terzi.
I dati ricevuti verranno utilizzati esclusivamente per l’erogazione del servizio richiesto e per il solo tempo necessario per la fornitura del servizio.
Le informazioni che gli utenti del sito riterranno di rendere pubbliche tramite i servizi e gli strumenti messi a disposizione degli stessi, sono fornite dall’utente consapevolmente e volontariamente, esentando il presente sito da qualsiasi responsabilità in merito ad eventuali violazioni delle leggi. Spetta all’utente verificare di avere i permessi per l’immissione di dati personali di terzi o di contenuti tutelati dalle norme nazionali ed internazionali. I dati raccolti dal sito durante il suo funzionamento sono utilizzati esclusivamente per le finalità sopra indicate e conservati per il tempo strettamente necessario a svolgere le attività precisate. In ogni caso i dati rilevati dal sito non saranno forniti mai a terzi, per nessuna ragione, a meno che non si tratti di legittima richiesta da parte dell’autorità giudiziaria e nei soli casi previsti dalla legge. Il sito Web di NPBLEGAL ha dei links con altri siti Web. Pur avendo raggiunto accordi con i titolari di detti siti per una corretta gestione dei dati, NPBLEGAL non può essere ritenuta responsabile della tutela delle informazioni su questi altri siti Web.
Cookies
Per cookies si intende un elemento testuale che viene inserito nel disco fisso di un computer solo in seguito ad autorizzazione. I cookies hanno la funzione di snellire l’analisi del traffico su web o di segnalare quando un sito specifico viene visitato e consentono alle applicazioni web di inviare informazioni a singoli utenti.
Nessun dato degli utenti viene in proposito acquisito dal sito.
Non viene fatto uso di cookies per la trasmissione di informazioni di carattere personale, né vengono utilizzati c.d. cookies persistenti di alcun tipo, ovvero sistemi per il tracciamento degli utenti.
Facoltatività del conferimento dei dati
A parte quanto specificato per i dati di navigazione, l’utente è libero di fornire i dati personali per richiedere i servizi offerti dalla struttura di professionisti autonomi tra loro Il loro mancato conferimento può comportare l’impossibilità di ottenere il servizio richiesto.
Avvisiamo i minori di non fornire dati personali senza il consenso dei genitori
- Modalità di conservazione dei dati.
NPBLEGAL custodisce i dati in una banca dati elettronica (aggiornata periodicamente) formata da un data base costituito da un unico file in excel custodito presso la sede di NPBLEGAL.
- Figure preposte al trattamento dei dati.
NPBLEGALtratta i dati attraverso le seguenti figure: Titolare del trattamento.
INFORMATIVA.
NPBLEGALrilascia all’interessato l’informativa relativa alla raccolta e al trattamento di dati personali .
L’informativa viene rilasciata per iscritto o (se richiesto dall’interessato) anche in via orale ed in tal caso NPBLEGALsi impegna a comprovare con altri mezzi (fotocopia documento di identità per esempio) l’identità dell’interessato nel rispetto di quanto previsto dall’Art. 12 comma 1 del Regolamento Europeo.
NPBLEGAL dichiara di aver adottato una Informativa in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro come da esempio di Informativa allegato al presente regolamento
NPBLEGAL dichiara che l’informativa viene resa
– preventivamente all’atto della raccolta dei dati presso lo stesso interessato;
– all’atto della registrazione dei dati , se raccolti in altro modo.
L’Informativa deve contenere:
- l’origine e la tipologia dei dati personali oggetto del trattamento;
- l’identità esatta e tutti i dati di contatto del Titolare del Trattamento dei Dati o del suo eventuale rappresentante nel territorio italiano;
- le finalità e modalità del trattamento (BC2CONSULTING SRLS si impegna ad inviare una nuova Informativa ed a raccogliere un nuovo consenso nel caso in cui cambino le finalità dei dati);
- l’identità esatta e tutti i dati di contatto del Responsabile del Trattamento dei Dati;
- i soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati: è il caso dell’Amministrazione del Personale affidata a Studio esterno;
- la richiesta di consenso;
- il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- l’indicazione all’interessato del diritto di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
- il diritto di proporre reclamo a un’autorità di controllo;
- la specifica e chiara indicazione dei diritti di revoca del consenso, di accesso ai dati, di rettifica, di cancellazione (c.d. diritto all’oblio garantito dal regolamento Europeo), di limitazione del trattamento, di portabilità dei dati e di opposizione;
- l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4 del Regolamento Europeo e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Se i dati raccolti non vengono forniti direttamente dall’Interessato, NPBLEGAL l’Informativa oltre ai su elencati dati dovrà indicare anche :
- il periodo di conservazione dei dati personali, oppure –se questo non è possibile- i criteri utilizzati per determinare tale periodo;
- a fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;
Se i dati sono raccolti a distanza NPBLEGAL si impegna ad inviare l’Informativa entro il termine massimo di 1 mese da quando i dati sono stati raccolti o, nel caso in cui i dati vengano raccolti per comunicazioni dirette all’interessato, non oltre la prima comunicazione a questi dei sui dati personali.
NPBLEGAL comunque dichiara di essere consapevole che, in conformità al dettato dell’art. 14 paragrafo 5 del regolamento Europeo, quanto sopra non si applica nelle ipotesi in cui:
a) l’interessato dispone già delle informazioni;
b) comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all’articolo 89, paragrafo 1, o nella misura in cui l’obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo pubbliche le informazioni;
c) l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato;
d) qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge.
NPBLEGAL non applica le norme in materia di Protezione dei Dati quando:
- il trattamento dei dati deve essere effettuato unicamente nell’ambito dei rapporti intercorrenti tra persone giuridiche, imprese, enti o associazioni;
- i dati oggetto di trattamento devono essere relativi alla persona giuridica, impresa, ente o associazione;
- il trattamento deve essere effettuato per finalità amministrativo-contabili.
NPBLEGALapplica il le norme in tema di Privacy quando:
- il titolare o l’interessato del trattamento dei dati sono persone fisiche;
- il titolare o l’interessato del trattamento dati sono persone giuridiche, ma fuori dall’ambito delle finalità amministrativo-contabili.
- Inoltre con esclusione della diffusione il consenso non è richiesto quando il trattamento riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’art. 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili come definite dall’art. 34 comma 1-ter, e purchè queste finalità siano previste espressamente con determinazione resa agli interessati all’atto dell’informativa .
NPBLEGAL nel caso di diffusione dei dati a terzi (consulenti – gestori di attività in outsourcing) per motivi di organizzazione o per altri motivi (attività di gestione amministrativa, fiscale o di rapporti economici) non richiede consenso da parte di coloro cui i dati personali si riferiscono, essendo i Terzi comunque Incaricati al trattamento Dati, mentre Titolare del trattamento, è sempre NPBLEGAL che ne effettua la raccolta.
NPBLEGAL però si assicura che i Terzi rilascino al Titolare, dichiarazione di garanzia di corretta gestione dei Dati Personali loro affidati, in attuazione delle disposizioni ricevute.
NPBLEGAL adotta il disciplinare tecnico in relazione alle misure minime in materia di sicurezza di cui all’Allegato B del Codice in materia di protezione dei dati personali.
La rete dati di NPBLEGALsi compone di un server e di 12 postazioni fisse collegate in rete via cavo o wi-fi al server centrale.
Pertanto in riferimento al Trattamento Dati con Strumenti Elettronici utilizza un sistema di autenticazione informatica.
CONSENSO
NPBLEGAL si impegna a non accettare forme di consenso tacito o mediante opzioni già preselezionate.
NPBLEGAL si impegna a richiedere nuovo consenso agli interessati per i dati già raccolti prima dell’entrata in vigore del Regolamento Europeo, solo se questo dati non corrispondono al Regolamento n. 2016/679 precedentemente vigente.
NPBLEGAL si impegna a fare in modo che se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.
I DIRITTI DELL’INTERESSATO)
Ai sensi dell’art. 15 del Regolamento Europeo, l’Utente interessato al trattamento dei dati ha il diritto di ottenere dal titolare del trattamento:
- A) (Diritto di accesso dell’interessato) la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
- le finalità del trattamento;
- e categorie di dati personali in questione;
- i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
- quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
- il diritto di proporre reclamo a un’autorità di controllo;
- qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
- l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
B) (Diritto di Rettifica) L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
C) (Diritto alla cancellazione detto anche “Diritto all’oblio”) L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
- i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
- l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
- l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
- i dati personali sono stati trattati illecitamente;
- i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
- i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1
D) (Diritto di limitazione del Trattamento) L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
- l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
- il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
- benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
- l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.
Al fine di rendere più trasparente la propria condotta in tema di raccolta e trattamento dei dati e di agevolare l’Interessato nell’esercizio della tutela dei propri diritti, BC2CONSULTING SRLS allega al presente documento i facsimile dei documenti utili all’esercizio dei propri diritti da parte dell’Interessato.
PROCEDURE DI SICUREZZA E VERIFICA DI TENUTA DEL SISTEMA
Sistema di autenticazione informatica
Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
Le credenziali di autenticazione consistono in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l’autenticazione.
Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato.
La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.
Il codice per l’identificazione, laddove utilizzato, non viene assegnato ad altri incaricati, neppure in tempi diversi.
Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.
Le credenziali sono disattivate anche in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali.
Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.
Quando l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato.
NPBLEGAL dichiara che gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale.
Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.
NPBLEGAL garantisce che il back up dei dati è eseguito ogni 24 ore ed è fatto secondo duplice modalità in quanto i dati vengono salvati prima in un computer/memoria accanto al server e poi l’hard disk viene custodito in cassaforte. Quando il back up non funziona, il server lancia un allert a PC Planet Srl ( gestore della rete informatica di NPBLEGAL) che esegue il back up da remoto.
Esiste inoltre una procedura di recupero immediato dei files cancellati o andati distrutti tramite l’uso di un programma software small business di window che recupera i files.
Inoltre NPBLEGAL dichiara di pianificare per gli interventi formativi previsti per il personale addetto alle procedure di trattamento dati incontri periodici con cadenza bisettimanale o mensile.
Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.
Eventuali Trattamenti senza l’ausilio di strumenti elettronici
Nel caso di trattamenti senza l’ausilio di strumenti elettronici, NPBLEGAL il controllo e la custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.
NPBLEGAL dichiara che l’accesso agli eventuali archivi contenenti dati sensibili o giudiziari è controllato.
Per i rapporti con i Clienti e Fornitori, NPBLEGAL ritiene data l’informativa al momento dell’avvio di rapporti commerciali, anche oralmente.
L’informativa ai dipendenti o ai collaboratori, obbligatoria per iscritto, deve contenere i necessari riferimenti al trattamento dei dati sensibili, delle limitazioni e garanzie fornite per il trattamento di tali dati e quant’altro necessario derivante da motivazioni legittime e sostenibili, con comunicazione del Titolare del trattamento dei dati e dell’eventuale Terzo Incaricato. Il Terzo è considerato “Incaricato” del trattamento necessario all’attuazione di disposizioni di legge o gestione di rapporti economici tra le parti.
FIGURE RESPONSABILI DEL TRATTAMENTO ALL’INTERNO DINPBLEGAL.
- Titolare: NPBLEGAL
DATA BREACH.
NPBLEGAL si impegna a notificare alla Autorità di Controllo le violazioni di dati personali di cui venga a conoscenza senza ingiustificato ritardo e comunque (e se possibile) entro 72 ore dal momento in cui sia venuta a conoscenza della violazione.
NPBLEGAL riconosce che nel caso in cui la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone fisiche, deve comunicare all’interessato la violazione senza ritardo e con un linguaggio semplice e chiaro.
NPBLEGAL si impegna a notificare le informazioni richieste dal Regolamento Europeo quali, ad esempio la descrizione della natura della violazione e, se possibile, il numero degli interessati, le probabili conseguenze della violazione, la descrizione delle misure adottate o da adottare per porre rimedio alla violazione e anche, se del caso, per attenuarne i possibili effetti negativi.
NPBLEGAL si impegna in caso di notifica effettuata con ritardo ad indicare i motivi del ritardo.
Nel caso in cui la violazione rappresenti un rischio elevato per i diritti e le libertà dell’interessato, NPBLEGAL si impegna a darne comunicazione, senza ritardo, direttamente allo stesso interessato. NPBLEGAL però avverte che la comunicazione all’interessato non è richiesta se: a) il titolare del trattamento ha messo in atto misure tecniche e organizzative adeguate di protezione applicate ai dati oggetto di violazione, in particolare quelle destinate a rendere i dati personali incomprensibili ai non autorizzati, quali al cifratura; b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un “rischio elevato” per i diritti e le libertà degli interessati; c) se la comunicazione richiederebbe “sforzi spropositati”; in tal caso si procede ad una comunicazione pubblica.
ALLEGATI:
1) Fac simile Informativa;
2) Fac simile consenso al trattamento dati;
3) Fac simile domanda esercizio dei diritti dell’Interessato;
4) Fac simile di reclamo al Garante per l’Interessato.
Per la consultazione degli allegati, contattare npblegal tramie la pagina contatti