MANUALE DELLA PRIVACY
REDATTO IN BASE AL DLGS 196/2003
E AL RELATIVO DISCIPLINARE TECNICO.
INTESTAZIONE DITTA
95121 CATANIA CT - Via 5 Strada Zona
Indusriale n.
Tel/cell. 3771288793
E. Mail. tomarmi@tiscali.it PEC: tomarmi@sicurezzapostale.it
www.tomarmi.com
Data 01
gennaio 2019
Versione del Documento 0.0
1.
PRESENTAZIONE DEL MANUALE
1.1.
Definizioni
1.2.
Oggetto e finalità
1.3.
Riferimenti normativi
1.4. Struttura e gestione del manuale
1.5. Sito
web
2.
SOGGETTI CHE EFFETTUANO IL TRATTAMENTO
2.1.
Premessa
2.2.
Riferimenti normativi
2.3.
Responsabilità
2.4.
Nomina dei Responsabili
2.5.
Nomina degli Incaricati
2.6.
Allegati
3.
SICUREZZA DEI DATI E DEI SISTEMI
3.1.
Premessa
3.2.
Riferimenti normativi
3.3.
Responsabilità
3.4.
Misure minime di sicurezza
3.4.1.
Documento Programmatico sulla Sicurezza (DPS)
3.5.
Controllo del processo di Trattamento
3.6.
Controllo della qualità e della quantità dei dati trattati
3.7.
Azioni correttive e di miglioramento
3.8.
Modulistica
3.9.
Allegati
4.
DIRITTI DELL’INTERESSATO
4.1. Premessa
4.2.
Riferimenti normativi
4.3.
Responsabilità
4.4.
Esercizio dei diritti
4.5.
Informativa all’interessato
4.6.
Garanzie per i dati sensibili
4.7.
Allegati
TOMARMI
s.r.l.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.1 - Manuale Privacy Pagina 1 di 26
Il
presente Manuale è stato redatto sulla base di quanto previsto dal DLgs.
196/2003
ed è stato elaborato a seguito di una analisi dei rischi del trattamento
potenzialmente
presenti. Sono stati individuati, descritti ed analizzati tutti i
possibili
rischi e sono state descritte tutte le contromisure per l’abbassamento
dei
rischi e per garantire la massima sicurezza in ordine ai trattamenti dei dati
personali.
1.1
Definizioni
Si
ritiene utile riportare, per favorire una migliore comprensione del manuale,
le
principali definizioni di ordine generale previste dal DLgs 196/2003.
-
trattamento: qualunque operazione o complesso di operazioni,
effettuati
anche senza l'ausilio di strumenti elettronici,
concernenti
la raccolta, la registrazione, l'organizzazione, la
conservazione,
la consultazione, l'elaborazione, la
modificazione,
la selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione,
il blocco, la comunicazione, la diffusione, la
cancellazione
e la distruzione di dati, anche se non registrati in
una
banca di dati;
- dato
personale: qualunque informazione relativa a persona
fisica,
persona giuridica, ente od associazione, identificati o
identificabili,
anche indirettamente, mediante riferimento a
qualsiasi
altra informazione, ivi compreso un numero di
identificazione
personale;
- dati
identificativi: i dati personali che permettono
l’identificazione
diretta dell’interessato;
- dati
sensibili: i dati personali idonei a rivelare l'origine razziale
ed
etnica, le convinzioni religiose, filosofiche o di altro genere,
le
opinioni politiche, l'adesione a partiti, sindacati, associazioni
od
organizzazioni a carattere religioso, filosofico, politico o
sindacale,
nonché i dati personali idonei a rivelare lo stato di
salute
e la vita sessuale;
- dati
giudiziari: i dati personali idonei a rivelare provvedimenti
di cui
all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del
d.P.R.
14 novembre 2002, n. 313, in materia di casellario
giudiziale,
di anagrafe delle sanzioni amministrative dipendenti
da
reato e dei relativi carichi pendenti, o la qualità di imputato o
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.2 - Manuale Privacy Pagina 2 di 26
procedura
penale;
-
titolare: la persona fisica, la persona giuridica, la pubblica
amministrazione
e qualsiasi altro ente, associazione od
organismo
cui competono, anche unitamente ad altro titolare, le
decisioni
in ordine alle finalità, alle modalità del trattamento di
dati
personali e agli strumenti utilizzati, ivi compreso il profilo
della
sicurezza;
-
responsabile: la persona fisica, la persona giuridica, la
pubblica
amministrazione e qualsiasi altro ente, associazione
od
organismo preposti dal titolare al trattamento di dati
personali;
-
incaricati: le persone fisiche autorizzate a compiere operazioni
di
trattamento dal titolare o dal responsabile;
-
interessato: la persona fisica, la persona giuridica, l'ente o
l'associazione
cui si riferiscono i dati personali;
-
comunicazione: il dare conoscenza dei dati personali a uno o
più
soggetti determinati diversi dall'interessato, dal
rappresentante
del titolare nel territorio dello Stato, dal
responsabile
e dagli incaricati, in qualunque forma, anche
mediante
la loro messa a disposizione o consultazione;
-
diffusione: il dare conoscenza dei dati personali a soggetti
indeterminati,
in qualunque forma, anche mediante la loro
messa a
disposizione o consultazione;
- dato
anonimo: il dato che in origine, o a seguito di trattamento,
non può
essere associato ad un interessato identificato o
identificabile;
-
blocco: la conservazione di dati personali con sospensione
temporanea
di ogni altra operazione del trattamento;
- banca
di dati: qualsiasi complesso organizzato di dati
personali,
ripartito in una o più unità dislocate in uno o più siti;
-
Garante: l'autorità di cui all’articolo 153, istituita dalla legge
31.12.1996
n. 675.
Valgono
inoltre le seguenti definizioni di carattere più specificatamente
tecnico,
previste nel DLgs 196/2003:
-
comunicazione elettronica: ogni informazione scambiata o
trasmessa
tra un numero finito di soggetti tramite un servizio di
comunicazione
elettronica accessibile al pubblico. Sono
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.3 - Manuale Privacy Pagina 3 di 26
di
comunicazione elettronica, come parte di un servizio di
radiodiffusione,
salvo che le stesse informazioni siano collegate
ad un
abbonato o utente ricevente, identificato o identificabile;
-
chiamata: la connessione istituita da un servizio telefonico
accessibile
al pubblico, che consente la comunicazione
bidirezionale
in tempo reale;
- reti
di comunicazione elettronica: i sistemi di trasmissione, le
apparecchiature
di commutazione o di instradamento e altre
risorse
che consentono di trasmettere segnali via cavo, via
radio,
a mezzo di fibre ottiche o con altri mezzi elettromagnetici,
incluse
le reti satellitari, le reti terrestri mobili e fisse a
commutazione
di circuito e a commutazione di pacchetto,
compresa
Internet, le reti utilizzate per la diffusione circolare dei
programmi
sonori e televisivi, i sistemi per il trasporto della
corrente
elettrica, nella misura in cui sono utilizzati per
trasmettere
i segnali, le reti televisive via cavo,
indipendentemente
dal tipo di informazione trasportato;
- rete
pubblica di comunicazioni: una rete di comunicazioni
elettroniche
utilizzata interamente o prevalentemente per fornire
servizi
di comunicazione elettronica accessibili al pubblico;
-
servizio di comunicazione elettronica: i servizi consistenti
esclusivamente
o prevalentemente nella trasmissione di segnali
su reti
di comunicazioni elettroniche, compresi i servizi di
telecomunicazioni
e i servizi di trasmissione nelle reti utilizzate
per la
diffusione circolare radiotelevisiva, nei limiti previsti
dall'articolo
2, lettera c), della direttiva 2002/21/CE del
Parlamento
europeo e del Consiglio, del 7 marzo 2002;
-
abbonato: qualunque persona fisica, persona giuridica, ente o
associazione
parte di un contratto con un fornitore di servizi di
comunicazione
elettronica accessibili al pubblico per la fornitura
di tali
servizi, o comunque destinatario di tali servizi tramite
schede
prepagate;
-
utente: qualsiasi persona fisica che utilizza un servizio di
comunicazione
elettronica accessibile al pubblico, per motivi
privati
o commerciali, senza esservi necessariamente
abbonata;
- dati
relativi al traffico: qualsiasi dato sottoposto a trattamento
ai fini
della trasmissione di una comunicazione su una rete di
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.4 - Manuale Privacy Pagina 4 di 26
- dati
relativi all’ubicazione: ogni dato trattato in una rete di
comunicazione
elettronica che indica la posizione geografica
dell’apparecchiatura
terminale dell’utente di un servizio di
comunicazione
elettronica accessibile al pubblico;
-
servizio a valore aggiunto: il servizio che richiede il
trattamento
dei dati relativi al traffico o dei dati relativi
all'ubicazione
diversi dai dati relativi al traffico, oltre a quanto è
necessario
per la trasmissione di una comunicazione o della
relativa
fatturazione;
- posta
elettronica: messaggi contenenti testi, voci, suoni o
immagini
trasmessi attraverso una rete pubblica di
comunicazione,
che possono essere archiviati in rete o
nell’apparecchiatura
terminale ricevente, fino a che il ricevente
non ne
ha preso conoscenza.
Ai fini
del codice sulla privacy si richiamano le ulteriori seguenti definizioni
relative
alle misure minime di sicurezza in materia di privacy, previste nel
disciplinare
tecnico allegato al DLgs 196/2003.
-
misure minime: il complesso delle misure tecniche,
informatiche,
organizzative, logistiche e procedurali di sicurezza
che
configurano il livello minimo di protezione richiesto in
relazione
ai rischi previsti nell’art. 31;
-
strumenti elettronici: gli elaboratori, i programmi per
elaboratori
e qualunque dispositivo elettronico o comunque
automatizzato
con cui si effettua il trattamento;
-
autenticazione informatica: l’insieme degli strumenti elettronici
e delle
procedure per la verifica anche indiretta dell’identità;
-
credenziali di autenticazione: i dati ed i dispositivi, in possesso
di una
persona, da questa conosciuti o ad essa univocamente
correlati,
utilizzati per l’ autenticazione informatica;
-
parola chiave: componente di una credenziale di
autenticazione
associata ad una persona ed a questa nota,
costituita
da una sequenza di caratteri o altri dati in forma
elettronica;
-
profilo di autorizzazione: l’insieme delle informazioni,
univocamente
associate ad una persona, che consente di
individuare
a quali dati essa può accedere, nonché i trattamenti
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.5 - Manuale Privacy Pagina 5 di 26
-
sistema di autorizzazione: l’insieme degli strumenti e delle
procedure
che abilitano l’accesso ai dati e alle modalità di
trattamento
degli stessi, in funzione del profilo di autorizzazione
del
richiedente.
Si
intende, infine, per:
- scopi
storici: le finalità di studio, indagine, ricerca e
documentazione
di figure, fatti e circostanze del passato;
- scopi
statistici: le finalità di indagine statistica o di produzione
di
risultati statistici, anche a mezzo di sistemi informativi
statistici;
- scopi
scientifici: le finalità di studio e di indagine sistematica
finalizzata
allo sviluppo delle conoscenze scientifiche in uno
specifico
settore.
1.2.
Oggetto e finalità
Il
Manuale descrive e definisce le responsabilità e le istruzioni impartite ai
soggetti
preposti al Trattamento (responsabili e incaricati del trattamento).
Inoltre
il Manuale si occupa di definire le azioni per la gestione dei rischi e per
l'adozione
delle misure di sicurezza. Definisce, infine, gli adempimenti
necessari,
sia a rilevanza interna che esterna, e individua le procedure per la
tutela
della riservatezza dei dati personali.
Il
manuale deve essere aggiornato ogni anno e sottoposto a revisione entro
e non
oltre ogni 31 marzo. Inoltre deve essere tempestivamente modificato dal
Titolare
e dal Responsabile del Trattamento qualora, nel corso delle attività
svolte,
dovessero presentarsi anomalie applicative delle misure di sicurezza
adottate
o dovessero presentarsi ulteriori nuovi rischi tali da dover intervenire
con nuove
misure di sicurezza.
1.3.
Riferimenti normativi
D.Lgs.
n.196/2003
Parte I
Disposizioni generali – Titolo I Principi generali
- Art.
4 (Definizioni)
- Art.
5 (Oggetto ed ambito di applicazione)
- Art.
6 (Disciplina del trattamento)
Parte I
Disposizioni generali – Titolo II Diritti dell'interessato
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.6 - Manuale Privacy Pagina 6 di 26
- Art.
8 (Esercizio dei diritti)
- Art.
9 (Modalita di esercizio)
- Art.
10 (Riscontro all'interessato)
Parte I
Disposizioni generali – Titolo III Regole generali per il trattamento
dei
dati
- Capo
I Regole per tutti i trattamenti - Artt. 11-17
- Capo III
Regole ulteriori per privati ed enti pubblici economici - Artt.
23-27
Parte I
Disposizioni generali – Titolo IV Soggetti che effettuano il
trattamento
- Art.
28 (Titolare del trattamento)
- Art.
29 (Responsabile del trattamento)
- Art.
30 (Incaricati del trattamento)
Parte I
Disposizioni generali – Titolo V Sicurezza dei dati e dei sistemi
- Capo
I Misure di sicurezza – Art. 31 (Obblighi di sicurezza)
- Capo
II Misure minime di sicurezza – Artt. 33-36
Parte
III Tutela dell’interessato e sanzioni – Titolo III Sanzioni
- Capo
I Violazioni amministrative – Artt. 161-166
- Capo
II Illeciti penali – Artt. 167-172
Allegato
B Disciplinare tecnico in materia di misure minime di sicurezza
1.4.
Struttura e gestione del manuale
Il
presente Manuale è strutturato in sezioni numerate progressivamente.
Ogni
sezione presenta degli allegati individuati con un codice alfanumerico
seguito
da due numeri. Il primo numero identifica la Sezione del Manuale e il
secondo
il numero progressivo del documento, qualora una sezione presenti
più di
un allegato.
Il
Manuale deve essere tenuto ed aggiornato dal Titolare del Trattamento e
deve
essere soggetto a revisione periodica, I responsabili del trattamento
hanno
il compito di formulare le proposte di modificazione e integrazione,
nonché
di garantire la corretta applicazione e conservazione del manuale,
nonché
la distribuzione del medesimo, anche per via telematica.
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.: 0.0
- 18/05/2014 Sezione 0.7 - Manuale Privacy Pagina 7 di 26
In ottemperanza degli obblighi derivanti dalla normativa nazionale e
comunitaria
in materia di tutela dei dati personali, il presente sito rispetta e tutela
la
riservatezza dei visitatori e degli utenti.
La presente privacy policy si applica esclusivamente alle attività online del
presente sito ed è valida per i visitatori/utenti del sito. Non si applica
alle
informazioni raccolte tramite canali diversi dal presente sito web. Tale
informativa
è resa secondo le previsioni dell’ art. 13 del D. Lgs. 30 giugno 2003, n. 196
e in accordo
a quanto prescritto dall’Autorità Garante per la protezione dei dati
personali con proprio
provvedimento del 8 maggio 2014 recante “Individuazione delle modalità
semplificate per
l’informativa e l’acquisizione del consenso per l’uso dei cookie”, alla
consultazione del
quale si rimanda comunque il lettore per un più consapevole inquadramento
dell’argomento in parola.
La navigazione sul sito non he controllata da cookie,non si tiene traccia
delle pagine visitate.
cookie: sono piccoli programmi che registrano e conservano le pagine visitate
dal visitatore.
La
versione del documento è riportata in basso a sinistra, contraddistinta da
due
numeri indicanti, rispettivamente, la versione e il numero di revisione del
documento
insieme alla data di approvazione dello stesso.
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.8 - Manuale Privacy Pagina 8 di 26
2.
SOGGETTI CHE EFFETTUANO IL TRATTAMENTO
2.1.
Premessa
In
questa sezione sono definiti gli adempimenti necessari e le modalità per la
nomina
dei Responsabili del Trattamento e per l'individuazione degli incaricati
per lo
svolgimento delle singole operazioni di Trattamento.
2.2.
Riferimenti normativi
D.Lgs.
n.196/2003
Parte I
Disposizioni generali – Titolo IV Soggetti che effettuano il
trattamento
- Art.
28 (Titolare del trattamento)
- Art.
29 (Responsabile del trattamento)
- Art.
30 (Incaricati del trattamento)
Parte I
Disposizioni generali – Titolo III Regole generali per il trattamento
dei
dati
- Capo
I Regole per tutti i trattamenti - Artt. 11-17
- Capo
III Regole ulteriori per privati ed enti pubblici economici - Artt.
23-27
2.3.
Responsabilità
L’art.
29 del DLgs 30 giugno 2003 n. 196 prevede per il Titolare la facoltà di
designare
un Responsabile del Trattamento, che è individuato tra soggetti
aventi
particolari qualità sia organizzative che di esperienza per garantire il
pieno
rispetto delle disposizioni normative.
Lo
stesso art. 29 del citato Testo Unico prevede, se reso necessario da
particolari
esigenze organizzative, la designazione come responsabili di più
soggetti,
anche mediante la suddivisione di compiti.
Il
Responsabile che effettua il trattamento deve attenersi alle istruzioni
impartite
dal Titolare, il quale ha l’obbligo di vigilare sulla osservanza delle
disposizioni
di legge. Il Titolare può prevedere verifiche periodiche del lavoro
svolto
dal Responsabile.
I
Responsabili del Trattamento possono designare degli incaricati, che
materialmente
effettueranno le operazioni di Trattamento. Gli incaricati
dovranno
operare sotto la diretta autorità del Responsabile, attenendosi alle
istruzioni
impartite.
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.9 - Manuale Privacy Pagina 9 di 26
accesso
ai soli dati particolari (ossia sensibili o giudiziari), per i quali è stato
autorizzato
l'accesso, che, come tale, deve essere strettamente limitato alle
operazioni
necessarie e sufficienti allo svolgimento delle operazioni loro
affidate.
2.4
Nomina dei Responsabili
Il
responsabile del trattamento, scelto tra i soggetti interni all’azienda che per
esperienza,
capacità ed affidabilità forniscano idonea garanzia del pieno
rispetto
delle vigenti disposizioni in materia di trattamento, è nominato
utilizzando
il modello predisposto (ALL.02.1), nel quale sono analiticamente
indicati
i compiti affidati dal Titolare.
La nomina
del Responsabile del Trattamento può riguardare anche soggetti
esterni
operanti in nome e per conto del Titolare. Questi soggetti agiscono per
finalità
definite dal titolare e non hanno poteri decisionali autonomi. Per la loro
nomina
deve essere utilizzato l’apposito modulo predisposto (ALL.02.2), previa
l’esibizione
da parte di tali soggetti dell’intera documentazione comprovante
l’osservanza
dei precetti imposti dalla Legge sulla Privacy.
La
nomina spetta sempre al Titolare del Trattamento, che dovrà prevederla
negli
atti di conferimento di incarichi (convenzioni, protocolli), o comunque
dovrà
essere prevista, per poi essere formalizzata con successivo atto nei
contratti
stipulati dall’azienda.
La
nomina di un soggetto esterno come Responsabile del Trattamento
comporta
che il trasferimento di dati personali dall’azienda al soggetto esterno
non sia
qualificabile tecnicamente come una comunicazione di informazioni.
Nominare
il soggetto privato come Responsabile del Trattamento fa sì che
venga
meno il rapporto di terzietà di quest'ultimo rispetto al legame Titolare
dell’azienda
- interessato al Trattamento; quindi la conoscenza dei dati di
quest'ultimo,
da parte del soggetto esterno, non è configurabile tecnicamente
come
una comunicazione.
Il
Titolare provvede a nominare il Responsabile interno utilizzando l'atto di
nomina
(ALL.02.1). Vengono specificati i compiti assegnati al Responsabile per
iscritto,
e tale conferimento di Responsabilità deve essere opportunamente
firmato
per accettazione. La documentazione originale deve essere conservata,
mentre
una copia deve essere consegnata al Responsabile del Trattamento. La
mancata
accettazione di tale Responsabilità comporta la preclusione a ricoprire
l'incarico.
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.10 - Manuale Privacy Pagina 10 di 26
essere
espressamente accettata dal legale rappresentante pro-tempore,
rappresentante
del soggetto giuridico nominato, o dal soggetto che assumerà
tale
qualifica. Anche a tali Responsabili esterni deve essere consegnata la
lettera
di incarico con la specificazione analitica dei compiti assegnati e delle
istruzioni
relative (ALL.02.2).
2.5.
Nomina degli Incaricati
L'individuazione
degli incaricati è effettuata a cura del Titolare o del
Responsabile
del Trattamento, quando nominato, mediante la modulistica
predisposta
(ALL.02.3). La designazione è effettuata per iscritto e individua
puntualmente
l’ambito di trattamento consentito.
Ad ogni
soggetto incaricato deve essere consegnata la lettera di incarico
redatta
in duplice copia, di cui una deve essere restituita al Responsabile,
opportunamente
firmata per ricevuta e da conservarsi agli atti.
Gli
Incaricati del Trattamento sono i soggetti che quotidianamente sono
chiamati
a rendere effettive le prescrizione del DLgs 196/2003. L’importanza di
fornire
istruzioni scritte, sia ai Responsabili che agli Incaricati del Trattamento,
risiede
nell’esigenza di sviluppare la consapevolezza e responsabilizzazione dei
soggetti
coinvolti affinché operino con le cautele necessarie per un legittimo
Trattamento
dei dati personali.
Poiché
maggiore è il numero di soggetti che hanno accesso ai dati, maggiori
sono i
rischi di identificazione dell'interessato e quindi le violazioni potenziali
della
riservatezza del medesimo, l'accesso alle diverse tipologie di dati è
consentito
ai soli incaricati del Trattamento sotto la diretta autorità del Titolare o
del
Responsabile. Questa disposizione prevede che non solo si debba
procedere
necessariamente alla individuazione degli incaricati, ma che questa
nomina
avvenga differenziando il profilo di ognuno nell’ambito delle finalità
proprie
del trattamento.
L'autorizzazione
deve essere comunque limitata ai soli dati la cui
conoscenza
è necessaria e sufficiente per lo svolgimento delle operazioni di
Trattamento.
Le autorizzazioni all'accesso sono rilasciate e revocate dal
Titolare
e/o dal Responsabile, che periodicamente, e comunque almeno una
volta
l'anno, deve verificare gli incarichi afferenti i dati sensibili in termini,
sia di
legittimità
del Trattamento che della sussistenza delle cautele poste in essere
per la
conservazione dei medesimi dati.
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.11 - Manuale Privacy Pagina 11 di 26
-
ALL.02.1: Nomina dei Responsabili del Trattamento
-
ALL.02.2: Nomina di Responsabili esterni del Trattamento
-
ALL.02.3: Nomina degli incaricati del Trattamento
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.12 - Manuale Privacy Pagina 12 di 26
3.1.
Premessa
Il DLgs
196/2003 sancisce l’obbligo, per i soggetti coinvolti nelle operazioni
di
trattamento di dati personali, di adottare le idonee e preventive misure di
sicurezza
al fine di ridurre al minimo i rischi di distruzione, perdita, accesso non
autorizzato,
trattamento non consentito di dati personali. La custodia e il
controllo
dei dati personali va adeguato alla natura dei dati e alle specifiche
caratteristiche
del trattamento, nonché alle conoscenze acquisite in base al
progresso
tecnologico.
3.2. Riferimenti
normativi
D.Lgs. n.196/2003
Parte I
Disposizioni generali – Titolo V Sicurezza dei dati e dei sistemi
- Capo
I Misure di sicurezza – Art. 31 (Obblighi di sicurezza)
- Capo
II Misure minime di sicurezza – Artt. 33-36
Parte I
Disposizioni generali – Titolo III Regole generali per il trattamento
dei
dati
- Capo
I Regole per tutti i trattamenti - Artt. 11-17
Allegato
B Disciplinare tecnico in materia di misure minime di sicurezza
3.3.
Responsabilità
Il
Titolare del Trattamento è tenuto ad adottare gli adempimenti previsti dal
DLgs
196/2003. Per una miglior gestione e funzionalità organizzativa del
processo,
il Titolare provvede a nominare i Responsabili nonché gli Incaricati
del
Trattamento dei dati personali. A queste figure sono assegnati compiti non
solo
organizzativi e decisionali, ma anche di controllo e verifica dei processi. È
da
tener presente che, nonostante la possibilità di designare i Responsabili, il
Titolare
non può delegare a questi i poteri che la legge gli riconosce, e di
conseguenza
non può dirsi completamente deresponsabilizzato, in particolare
con
riferimento all'obbligo di adozione delle misure di sicurezza.
3.4.
Misure minime di sicurezza
Nell’ambito
degli obblighi generali di sicurezza stabiliti con l’art. 31 del DLgs
196/2003,
il titolare del trattamento è comunque tenuto all’adozione delle
cosiddette
misure minime di sicurezza individuate con gli artt. da 33 a 36 del
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.: 0.0
- 18/05/2014 Sezione 0.13 - Manuale Privacy Pagina 13 di 26
Il
nuovo Testo Unico in materia di trattamento di dati personali prevede
l'obbligo
di adozione di idonee misure di sicurezza, anche in relazione alle
conoscenze
acquisite in base al progresso tecnico, alla natura dei dati e alle
specifiche
caratteristiche del Trattamento, in modo da ridurre al minimo i rischi
di
distruzione o perdita, anche accidentale, dei dati stessi, i rischi di accesso
non
autorizzato e quelli di Trattamento non consentito o non conforme alle
finalità
della raccolta.
Si
tratta di un obbligo che deve essere assolto dal Titolare, il quale può
nominare
uno o più Responsabili, che devono fornire, ai sensi dell'art. 29 del
D.Lgs.
n.196/2003, idonea garanzia del pieno rispetto delle vigenti disposizioni
in
materia di Trattamento.
La
norma in oggetto deve essere letta congiuntamente all'art. 15 della
medesima
legge sulla Privacy che, per i casi in cui si cagioni un danno ad altri
per
effetto del Trattamento, anche a seguito della mancata adozione di idonee
misure
di sicurezza, prevede l’obbligo di risarcire il danno ai sensi dell'art. 2050
c.c.
Il
richiamo dell'art. 2050 (attività pericolosa) comporta un'inversione
dell'onere
della prova, per cui, in caso di lesione, al danneggiato spetterà solo
provare
il danno e il nesso di causalità tra questo e la mancata adozione di
misure
idonee. Ai sensi dell'art. 2050 del c.c. il danneggiante dovrà provare,
invece,
di aver adottato tutte le misure idonee ad evitare il danno stesso.
Gli
articoli da 33 a 36 del Testo Unico prevedono, come detto, l'obbligo di
adozione
delle misure minime di sicurezza che sono ulteriormente individuate
dal
Disciplinare tecnico di cui all’allegato B del Testo Unico citato: la mancata
adozione
delle misure de quo comporterà una responsabilità penale ai sensi
dell'art.
169 del D.Lgs. n.196/2003, che sanziona la fattispecie dell'omessa
adozione
di misure di sicurezza.
Tra le misure
minime previste dal Testo Unico è prevista la redazione di un
Documento
Programmatico sulla Sicurezza (DPS).
Obbiettivo
principale del Documento Programmatico sulla Sicurezza (DPS) è
quello
di fornire un resoconto dettagliato delle misure di sicurezza adottate
dall’Azienda
titolare di trattamenti di dati personali per evitare, o ridurre al
minimo,
il verificarsi di qualsiasi tipo di evento dannoso o pericoloso (Rischio) a
carico
degli stessi dati personali.
Nel DPS
vengono individuati, descritti e valutati i rischi e le conseguenti
misure
di sicurezza adeguate alla protezione della sicurezza delle aree, dei dati
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.14 - Manuale Privacy Pagina 14 di 26
e delle
trasmissioni, al fine di ridurre al minimo i rischi stessi.
3.4.1.
Documento Programmatico sulla Sicurezza (DPS)
Il
Documento Programmatico sulla Sicurezza si compone dei punti previsti
nel
Disciplinare tecnico in materia di misure minime di sicurezza (Allegato B
D.Lgs.
196/2003). Le sezioni in cui è strutturato sono le seguenti.
-
Elenco dei trattamenti di dati personali (regola 19.1). In questa
sezione
sono individuati i trattamenti effettuati dal titolare,
direttamente
o attraverso collaborazioni esterne, con
l’indicazione
della natura dei dati e della struttura (ufficio,
funzione,
ecc.) interna o esterna operativamente preposta,
nonché
degli strumenti impiegati.
-
Distribuzione dei compiti e delle responsabilità (regola 19.2).
Questa
sezione contiene la descrizione sintetica
dell’organizzazione
della struttura in relazione ai trattamenti da
questa
effettuati con i relativi compiti e responsabilità.
-
Analisi dei rischi che incombono sui dati (regola 19.3). Questa
sezione
descrive gli eventi potenzialmente dannosi per la
sicurezza
dei dati e ne valuta le possibili conseguenze e la
gravità
in relazione al contesto fisico-ambientale di riferimento e
agli
strumenti elettronici impiegati.
-
Misure in essere e da adottare (regola 19.4). In questa
sezione
sono elencate in forma sintetica le misure in essere e
da
adottare a contrasto dei rischi individuati dall’analisi dei
rischi
Vengono considerati, cioè, sia gli interventi tecnici o
organizzativi
specifici posti in essere per prevenire, contrastare
o
ridurre gli effetti relativi ad una specifica minaccia, sia le
attività
di verifica e controllo nel tempo, essenziali per
assicurarne
l’efficacia.
-
Criteri e modalità di ripristino della disponibilità dei dati (regola
19.5).
In questa sezione sono descritti i criteri e le procedure
adottate
per il ripristino dei dati in caso di loro danneggiamento
o di
inaffidabilità della base dati.
-
Pianificazione degli interventi formativi previsti (regola 19.6).
Questa
sezione contiene la previsione degli interventi formativi
previsti
per gli incaricati dei trattamenti al fine di renderli edotti
dei
rischi che incombono sui dati, delle misure disponibili per
prevenire
eventi dannosi, dei profili della disciplina sulla
protezione
dei dati personali, delle responsabilità che derivano
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.15 - Manuale Privacy Pagina 15 di 26
minime
adottate dal titolare.
-
Trattamenti affidati all’esterno (regola 19.7). Questa sezione
contiene
un quadro sintetico delle attività affidate a terzi che
comportano
il trattamento di dati personali, con l’indicazione del
quadro
giuridico e contrattuale (nonché organizzativo e tecnico)
in cui
tale trasferimento si inserisce.
-
Cifratura dei dati o separazione dei dati identificativi (regola
19.8).
Questa sezione riporta le modalità di protezione scelte
per i
dati sensibili con l’individuazione dei criteri da adottare per
la
cifratura o per la separazione di tali dati dagli altri dati
personali
dell’interessato.
3.5.
Controllo del processo di Trattamento
L'art.
11 del DLgs 196/2003 prevede che i dati personali oggetto di
Trattamento
debbano essere:
-
trattati in modo lecito e secondo correttezza, ossia in modo
conforme
rispetto alle norme giuridiche e alle regole
informatiche.
-
Raccolti e registrati per scopi determinati, espliciti e legittimi,
ed
utilizzati in operazioni di Trattamento in termini non
incompatibili
con tali scopi. La finalità costituisce l'elemento
cardine
del Trattamento e la sua esplicitazione impedisce un
uso
plurimo e imprevedibile dei dati.
-
Esatti e, se necessario, aggiornati.
-
Pertinenti, completi e non eccedenti rispetto alle finalità per le
quali
sono raccolti o successivamente trattati
-
Conservati in una forma che consenta l'identificazione
dell'interessato
per un periodo non superiore a quello
necessario
agli scopi per i quali essi sono stati raccolti o
successivamente
trattati.
Il
rispetto dei punti precedenti è demandato al Titolare o ai Responsabili che
hanno
il compito di procedere ai controlli.
In tale
contesto si colloca l’allegato DPS.01, che riporta l’elenco dei
trattamenti
svolti dall’azienda. In esso sono riportate le informazioni che
consentono
la completa caratterizzazione del trattamento, specie nei riguardi
della
natura dei dati trattati, nella comunicazione e diffusione dei dati, nella
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.16 - Manuale Privacy Pagina 16 di 26
specificazione
delle categorie interessate, nelle finalità e modalità del
trattamento.
La definizione dettagliata dei vari campi che compongono l’allegato
è
riportata nel Documento Programmatico sulla Sicurezza.
Un
Trattamento di dati, in estrema sintesi, è una qualunque operazione o
complesso
di operazioni svolte con o senza l'ausilio di mezzi elettronici o
comunque
automatizzati. Le operazioni possono riguardare la raccolta, la
registrazione,
l’organizzazione, la conservazione, l’elaborazione, la modifica, la
selezione,
l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la
comunicazione,
la diffusione, la cancellazione, la distruzione dei dati.
La
raccolta dei dati può essere effettuata direttamente presso l'interessato
ovvero
presso terzi.
Dal
punto di vista operativo il procedimento di Trattamento dei dati personali
è in
generale caratterizzato da tre distinte fasi:
1)
raccolta dati presso l'interessato o richiesta di comunicazione
di dati
personali a enti o persone giuridiche;
2)
complesso delle operazioni di Trattamento interne;
3) fase
della comunicazione e/o della diffusione.
Nella
prima fase occorre verificare se la raccolta di dati, da parte
dell’azienda,
sia necessaria per lo svolgimento di funzioni istituzionali.
La
seconda fase può essere ulteriormente classificata in due differenti
categorie.
Sono definite 'operazioni statiche' tutte quelle operazioni che non
alterano
il dato (registrazione, conservazione, organizzazione, blocco,
cancellazione,
distruzione, ecc.). Si definiscono 'operazioni dinamiche' quel
complesso
di operazioni che alterano il dato, generando informazioni di
secondo
livello che possono essere profondamente diverse da quelle
inizialmente
raccolte (elaborazione, modificazione, selezione, estrazione,
raffronto,
utilizzo, interconnessione, ecc.).
La
terza fase, costituita dalla comunicazione, riguarda il dare conoscenza
dei
dati personali a uno o più soggetti determinati diversi dall'interessato. Tale
comunicazione
può avvenire in qualunque forma, anche mediante la loro messa
a
disposizione o consultazione. Una forma particolare di comunicazione è la
diffusione,
che consiste nel dare conoscenza dei dati personali a soggetti
indeterminati.
La
differenza fra la comunicazione e la diffusione è, dunque, data dalla
determinatezza
o meno del soggetto destinatario delle informazioni. Queste due
operazioni
comportano i rischi maggiori per gli interessati e perciò la legge
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.17 - Manuale Privacy Pagina 17 di 26
1)
l'interessato deve essere informato sulle categorie di soggetti
ai
quali i dati possono essere comunicati e sull'ambito di
diffusione
dei dati medesimi;
2) se i
dati (di natura comune) sono trattati da un soggetto
privato
o da un Ente pubblico economico per poter essere
trasferiti
ad un terzo occorre il consenso dell'interessato, salvo i
casi di
esclusione, previsti dalla legge;
3) se i
dati (sempre di natura comune) sono trattati da un
soggetto
pubblico, per essere comunicati o diffusi a soggetti
privati
(come destinatari) occorre una previsione specifica di
legge o
di regolamento;
4) se i
dati trattati sono di natura sensibile, per poter essere
trasferiti
a terzi non previsti istituzionalmente occorre
rispettivamente
il consenso scritto dell'interessato, quando il
Titolare
sia un soggetto privato, una espressa autorizzazione di
legge,
nel caso dei soggetti pubblici.
Le
azioni di monitoraggio delle attività di Trattamento servono per avere un
quadro
generale e per verificare la compatibilità della situazione reale con le
previsioni
normative. In particolare sono previste, oltre alle già citate schede
contenute
nell’allegato DPS.01, le schede tecniche riportate negli allegati
DPS.01.1,
DPS.01.2 e DPS.01.1, relative, rispettivamente, alle banche dati, agli
strumenti
elettronici e agli strumenti non elettronici adoperati per le operazioni di
trattamento
dei dati personali.
Tali
schede sono utili per avere un quadro completo delle risorse tecniche
dell’azienda.
Vengono, infatti, monitorati gli strumenti informatici e telematici
utilizzati
e le banche dati costituite e detenute nell’azienda, sia sotto forma di
database
elettronici, sia sotto forma di archivi cartacei. La definizione dettagliata
dei
vari campi che compongono le schede è riportata nel Documento
Programmatico
sulla Sicurezza.
Più in
dettaglio, l’Allegato DPS.01.1 elenca le banche dati (ovvero il
Database
o l’archivio informatico) in cui sono contenuti i dati. Uno stesso
trattamento
può richiedere l’utilizzo di dati che risiedono in più di una banca
dati.
La definizione dettagliata dei vari campi che compongono le schede è
riportata
nel Documento Programmatico sulla Sicurezza.
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.18 - Manuale Privacy Pagina 18 di 26
operazioni
di trattamento svolte in modalità informatizzata.
In tale
allegato sono inclusi sia gli strumenti hardware di qualsiasi tipo essi
siano
(Personal computer, computer palmare, dispositivo di backup, firewall,
ecc.),
sia gli strumenti software (sistemi operativi, antivirus, programmi generici,
ecc.).
La definizione dettagliata dei vari campi che compongono le schede è
riportata
nel Documento Programmatico sulla Sicurezza.
L’allegato
DPS.01.3 elenca gli strumenti non elettronici che sono utilizzati
per le
operazioni di trattamento svolte in modalità non informatizzata.
In tale
allegato sono inclusi i dispositivi utilizzati per proteggere i dati da
eventi
esterni quali furti o distruzione (archivio, armadio blindato, cassaforte,
ecc.).
La definizione dettagliata dei vari campi che compongono le schede è
riportata
nel Documento Programmatico sulla Sicurezza.
Nelle
schede relative alle strutture coinvolte nelle operazioni di trattamento
(allegato
DPS.02) vengono raccolti tutti i dati relativi alle strutture preposte al
trattamento
di dati personali. Lo scopo è quello di raccogliere una serie di dati e
di
informazioni al fine di creare dei profili degli incaricati del Trattamento. In
particolare
per ogni struttura individuata è riportato il soggetto responsabile
della
medesima, cioè il soggetto dirigente o responsabile della struttura (da non
confondere
con la figura del responsabile del trattamento), con l’indicazione del
ruolo o
la qualifica. Sono riportati, inoltre, i trattamenti svolti dalla struttura e i
compiti
assegnati alla struttura. Sono altresì descritti sinteticamente i compiti e
le
responsabilità della struttura rispetto ai trattamenti di competenza
(acquisizione
e caricamento dei dati, gestione tecnica dei database,
manutenzione
dei programmi, ecc.).
3.6.
Controllo della qualità e della quantità dei dati trattati
Un altro
obbligo costituente un'assoluta novità per chi tratta dati personali è
dato
dalla necessità di controllare sia la qualità sia la quantità dei dati, con
riferimento
soprattutto alla finalità dei trattamenti. I dati raccolti e
successivamente
trattati devono essere:
esatti:
il dato deve riprodurre con esattezza la fonte, che, nel
caso di
dati sensibili e qualora non sia stata specificamente
indicata,
si intende rilevata direttamente presso l’interessato. A
tal
proposito, nelle istruzioni impartite agli incaricati è stato
previsto
che essi devono prestare particolare attenzione alla
raccolta
dei dati. A volte i dati possono provenire da più fonti,
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.19 - Manuale Privacy Pagina 19 di 26
discrasie
e divergenze. Sempre nelle istruzioni impartite ai
Responsabili
e agli incaricati si fa riferimento a questa
necessità;
aggiornati:
l'aggiornamento riguarda una specie dell'esattezza,
tanto
che è richiesto solo se necessario. Questo significa che,
se
l’azienda raccoglie dati e li tratta esclusivamente in modo
statico,
deve solo controllarne l'esattezza. Diversamente,
quando
i dati vengono trattati in modo dinamico, l’azienda deve
prevedere
una serie di procedure per l'aggiornamento, curando
ancora
l'eventuale armonizzazione, qualora possano essere più
di una
le fonti di aggiornamento;
pertinenti:
è la caratteristica fondamentale del dato e costituisce
un
elemento fondamentale per la gestione, soprattutto nella
fase di
comunicazione e/o diffusione. Infatti quando perviene
una
richiesta di comunicazione, occorre verificare se vi è una
copertura
normativa (ossia una previsione di legge o di
regolamento
della comunicazione), ma questo non basta.
Qualora
il trasferimento sia legittimo, occorre anche verificare
quali
dati siano pertinenti rispetto allo scopo della
comunicazione
stessa;
non
eccedenti le finalità: mentre la pertinenza attiene
maggiormente
ad un ambito qualitativo, la finalità attiene
maggiormente
ad un profilo qualitativo;
completi:
attiene sia alla finalità della banca dati, sia ai dati
stessi
memorizzati.
3.7.
Azioni correttive e di miglioramento
Per
azione correttiva si intende un'azione intrapresa per eliminare le cause
di non
conformità, difetti o altre situazioni non desiderate, al fine di eliminare la
possibilità
che simili evenienze abbiano a ripetersi.
Le
azioni correttive possono comportare modifiche di procedure e di sistemi
al fine
di ottenere un miglioramento della qualità del Trattamento dei dati
personali.
Non
bisogna confondere l’azione correttiva con la correzione. La prima si
riferisce
all'eliminazione delle cause che hanno generato una non conformità,
mentre
per correzione ci si riferisce alle azioni pratiche intraprese per risolvere il
problema
manifestatosi.
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.: 0.0
- 18/05/2014 Sezione 0.20 - Manuale Privacy Pagina 20 di 26
informazioni
derivanti dai rapporti delle verifiche ispettive interne, delle non
conformità,
dei reclami e delle indagini conoscitive, dell'analisi dei processi e
del
riesame della direzione.
I
Responsabili dei trattamenti devono verificare periodicamente le attività
connesse
al Trattamento, riferendo al Titolare su eventuali non conformità
riscontrate.
Devono, inoltre, programmare le attività di controllo sull'operato
degli
incaricati, verificando in particolare modo il rispetto delle istruzioni, anche
mediante
visite ispettive a sorpresa, e il rispetto delle misure minime di
sicurezza.
3.8.
Modulistica
I modelli
riportati in allegato consentono la raccolta e la gestione sistematica
delle
situazioni indesiderate accadute all’interno dell’Azienda.
In
particolare i modelli ALL.03.1, ALL.03.3, ALL.03.3 e ALL.03.4 servono per
la
raccolta, rispettivamente, degli inconvenienti causati da attacchi di virus ai
sistemi
informatici, guasti hardware, inconvenienti legati a malfunzionamento di
sistemi
software e, infine, guasti causati dal malfunzionamento di strumenti non
informatici
o non elettronici in genere. Di ciascuno degli accadimenti riscontrati
è
necessario riportare la gravità dell’evento e l’azione correttiva intrapresa
nell’immediato
per fronteggiare l’evento capitato.
Sono
previsti modelli per il carico e scarico della documentazione sensibile
(ALL.03.05),
nei quali vanno registrati i dati del richiedente la documentazione,
la
finalità della richiesta, la modalità di acquisizione, ecc. .
L’ALL.03.6
viene utilizzato per la nomina dell’incaricato di accesso ai locali
ove
avviene il trattamento di dati personali. A tale soggetto spetta, in primo
luogo,
di impedire l’intrusione nei locali delle persone non autorizzate e/o di
identificare
e registrare i soggetti ammessi dopo l’orario di chiusura dei locali
stessi.
Infine l’ALL.03.7
contiene la dichiarazione di cui all’art. 180, comma 2 del
DLgs
196/2003. Tale dichiarazione, prestata dal Titolare del trattamento, attesta
l’impossibilità,
per obiettive ragioni tecniche, di consentire l’applicazione delle
misure
minime di sicurezza.
3.9.
Allegati
-
ALL.DPS: Documento Programmatico sulla Sicurezza
-
ALL.DPS.01: Elenco dei trattamenti di dati personali
-
ALL.DPS.01.1: Elenco delle banche dati
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.21 - Manuale Privacy Pagina 21 di 26
-
ALL.DPS.01.3: Strumenti per il trattamento non informatizzato
-
ALL.DPS.02: Distribuzione dei compiti e delle responsabilità
-
ALL.DPS.03: Analisi dei rischi che incombono sui dati
-
ALL.DPS.04: Misure in essere e da adottare
-
ALL.DPS.05: Criteri e modalità di ripristino della disponibilità dei dati
-
ALL.DPS.06: Pianificazione degli interventi formativi previsti
-
ALL.DPS.07: Trattamenti affidati all’esterno
-
ALL.DPS.08: Cifratura dei dati o separazione dei dati identificativi
- ALL.03.1: Report virus
- ALL.03.2: Report hardware
- ALL.03.3: Report software
- ALL.03.4: Report strumenti non elettronici
- ALL.03.5:
Registro carico/scarico documentazione sensibile
-
ALL.03.6: Nomina incaricati accesso ai locali ove avviene il trattamento
-
ALL.03.7: Dichiarazione ai sensi dell’art. 180, comma 2 del DLgs 196/2003
-
ALL.03.8: Richiesta di azioni correttive
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.22 - Manuale Privacy Pagina 22 di 26
4.1.
Premessa
Questa
sezione del Manuale si occupa di formalizzare tutti gli adempimenti
che
l’azienda deve obbligatoriamente seguire nei riguardi del soggetto
interessato
al trattamento di dati personali e, più in generale, della gestione di
tutte
le richieste che giungono dall’esterno.
In
dettaglio, ai sensi dell’art. 7 del DLgs 196/2003, sono formalizzate le
procedure
da adottare per il rispetto delle richieste dell’interessato e per la
gestione
operativa delle stesse.
Inoltre
sono descritte le procedure di cui all’art. 13 del DLgs 196/2003 in
tema di
informativa da fornire agli interessati e di raccolta del consenso al
trattamento
di dati personali.
4.2.
Riferimenti normativi
D.Lgs.
n.196/2003
Parte I
Disposizioni generali – Titolo II Diritti dell'interessato
- Art.
7 (Diritto di accesso ai dati personali ed altri diritti)
- Art. 8
(Esercizio dei diritti)
- Art.
9 (Modalita di esercizio)
- Art.
10 (Riscontro all'interessato)
Parte I
Disposizioni generali – Titolo III Regole generali per il trattamento
dei
dati
- Capo
I Regole per tutti i trattamenti - Artt. 11-17
- Capo III
Regole ulteriori per privati ed enti pubblici economici - Artt.
23-27
4.3.
Responsabilità
Il
Responsabile del trattamento ed i singoli incaricati sono tenuti a fornire le
informative
approvate dal Titolare del Trattamento.
Le
informative possono essere fornite agli interessati anche dagli incaricati
del
Trattamento, con libertà di forme decise dai Responsabili. Particolare
attenzione
deve essere prestata ai moduli per ottenere il consenso degli
interessati
per il Trattamento dei dati sensibili. Tali moduli devono essere
approvati
dal Titolare del Trattamento.
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.23 - Manuale Privacy Pagina 23 di 26
provvedono
alla elaborazione della documentazione ed alla conservazione della
relativa
modulistica secondo quanto previsto nelle istruzioni impartite loro.
4.4.
Esercizio dei diritti
Per
facilitare l'esercizio dei diritti dell'interessato, ai sensi dell'articolo 7
del
DLgs
196/2003 il titolare del trattamento ha adottato una apposita procedura
(ALL.04.1),
disciplinante le modalità per rispondere tempestivamente alle
richieste
avanzate dagli interessati.
Inoltre
è stato predisposto un modulo (ALL.04.2), che gli interessati possono
richiedere
agli incaricati del trattamento, per l'esercizio delle diverse facoltà
previste.
4.5.
Informativa all’interessato
Il DLgs
196/2003 prevede una serie di obblighi di trasparenza che si
sostanziano
nella necessità di fornire una pluralità di informazioni all'interessato
(art.
13 del D.Lgs. n.196/2003) e di comunicare al Garante per la Protezione dei
Dati
Personali alcuni elementi relativi alle attività svolte.
Al momento
della raccolta dei dati occorre fornire all'interessato, o al terzo,
presso
il quale i dati sono raccolti, una informativa secondo quanto previsto
dall'art.
13 del DLgs 196/2003, il quale, infatti, specifica che ‘l'interessato o la
persona
presso la quale sono raccolti i dati personali sono previamente
informati
oralmente o per iscritto circa le finalità e le modalità del trattamento cui
sono
destinati i dati’.
L'informativa
ha il duplice scopo di consentire all'interessato di conoscere
l'identità
di chi sta trattando dati personali che lo riguardano, per quali finalità e
modalità
e ciò al fine di controllare ed esercitare i diritti riconosciuti dalla legge
in
ordine all'utilizzo dei propri dati personali; in secondo luogo, nei casi in
cui sia
necessario,
le informazioni servono a rendere edotto il soggetto chiamato ad
esprimere
il proprio consenso al Trattamento liberamente e in forma specifica.
È da
considerare che i soggetti pubblici, per poter trattare i dati personali,
non
necessitano di ottenere il previo consenso da parte degli interessati. La
legge
sulla privacy a tal proposito prevede due regimi di legittimazione diversi a
seconda
della natura dei soggetti titolari del Trattamento:
a)
Soggetto privato: se a procedere al Trattamento è un
soggetto
privato (cui sono equiparati gli enti pubblici
economici),
questo deve chiedere preliminarmente il consenso
all'interessato,
salvo i casi di esclusione espressamente previsti
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.24 - Manuale Privacy Pagina 24 di 26
b)
Soggetto pubblico: per i soggetti pubblici, al contrario, vige il
principio
di finalità istituzionale (o, secondo altri, di
competenza),
ossia essi possono trattare solo i dati che sono
necessari
per lo svolgimento di funzioni istituzionali.
L'art.
13 del Testo Unico in materia di trattamento dei dati personali indica
una
serie di elementi che devono essere necessariamente presenti
nell'informativa
che il Titolare del Trattamento dei dati personali deve
obbligatoriamente
rendere all'interessato o alla persona presso la quale sono
raccolti
i dati.
Per
completezza dell’argomento si ricorda comunque che il legislatore ha
anche
previsto la possibilità di poter omettere le informazioni che siano già note
alla
persona che fornisce i dati o all'interessato. Le informazioni da fornire
riguardano:
1. il
nome, la denominazione o la ragione sociale e il domicilio,
la
residenza o la sede del Titolare e, se designato, del
Responsabile;
2. le
finalità e le modalità del Trattamento;
3. la
natura obbligatoria o facoltativa del conferimento dei dati;
4. le
conseguenze di un eventuale rifiuto;
5. i
soggetti o le categorie di soggetti ai quali i dati possono
essere
comunicati e l'ambito di diffusione dei dati medesimi;
6. i
diritti di cui all'articolo 7 del DLgs 196/2003.
Al fine
di permettere il più agevole raggiungimento ed il maggiore
soddisfacimento
degli scopi previsti nell’art. 13 del DLgs 196/2003 e garantire
agli
interessati un reale, efficace e trasparente controllo del Trattamento dei dati
personali
che li riguardano, si è ritenuto di fornire sempre un’informativa scritta
anche
nei casi in cui la normativa consente la possibilità di fornire una
informativa
solo orale o per i casi di trattamento non condizionato dal previo
consenso
dell’interessato in quanto rientrante integralmente nella previsione dei
casi di
esclusione del consenso previsti dalla normativa.
4.6. Garanzie
per i dati sensibili
Ai
sensi dell’art. 26 del DLgs 196/2003 i soggetti privati possono effettuare
trattamento
di dati sensibili solo con il consenso scritto dell’interessato e previa
autorizzazione
del Garante. Tale principio non si applica ai dati relativi agli
aderenti
alle confessioni religiose o ad organizzazione di carattere sindacale.
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.:
0.0 - 18/05/2014 Sezione 0.25 - Manuale Privacy Pagina 25 di 26
consenso,
previa autorizzazione del Garante, quando il trattamento è effettuato
da
associazioni, enti od organismi senza scopo di lucro, a carattere politico,
filosofico,
religioso o sindacale.
Gli esercenti
professioni sanitarie trattano i dati personali idonei a rivelare lo
stato
di salute con il consenso dell’interessato e anche senza autorizzazione del
Garante
se il trattamento riguarda dati e operazioni indispensabili per
perseguire
una finalità di tutela della salute o dell’incolumità dell’interessato. È
possibile
il trattamento anche senza il consenso dell’interessato e previa
autorizzazione
del Garante, se la finalità di cui al precedente punto riguardano
un
terzo o la collettività. Per i casi citati il consenso è prestato con modalità
semplificate,
disciplinate dagli artt. 78, 79 e 80 del DLgs 196/2003.
4.7.
Allegati
-
ALL.04.1: Procedura per la gestione delle richieste degli interessati
-
ALL.04.2: Modello per l'esercizio dei diritti da parte dell'interessato
-
ALL.04.3: Modello per informativa agli interessati
-
ALL.04.4: Modello per la richiesta del consenso al trattamento
TOMARMI
S.R.L.
Manuale
della Privacy
Manuale
della Privacy
Ver.: 0.0 - 18/05/2014 Sezione 0.26 - Manuale Privacy Pagina 26 di 26
AGGIORNATO IL 01/01/2019
TOMARMI S.R.L.
L'Amministratore unico.
Gaetano
Tomaselli