AUTORIZZAZIONE AL TRATTAMENTO DI DATI PERSONALI (GDPR-Art.29)
Con la presente la informiamo che l’art. 29 del GDPR prevede che “chiunque agisca sotto l’autorità del Titolare del trattamento” sia preventivamente autorizzato ed istruito al trattamento di dati di soggetti terzi con cui possa venire in contatto nel corso dell’attività lavorativa. Tale autorizzazione ed istruzione risulta pertanto necessaria per tutto il personale lavorativo aziendale poiché anche la semplice momentanea consultazione di un documento cartaceo rappresenta un potenziale accesso a dati personali.
A tale proposito, considerato che il Titolare è tenuto sensi dell’art. 29 del Reg.(UE) 2016/679, la autorizza all’accesso/trattamento di dati personali connessi all’espletamento delle mansioni lavorative assegnate, allegando alla presente le seguenti “istruzioni privacy” (attraverso le qualisi illustrano a tutto il personale i principi generali in materia di privacy e le regole di buon senso per garantire una corretta tutela dei dati). Si sottolinea infine che qualsiasi regola contenuta nelle istruzioni non pertinente con il profilo lavorativo e con gli strumenti assegnati è da considerarsi non applicabile.
ISTRUZIONI PER UN CORRETTO TRATTAMENTO DI DATI PERSONALI
1. RIFERIMENTO DI LEGGE (Art.29 – GDPR)
Il presente opuscolo informativo ottempera agli obblighi previsti dall’Art.29 del Reg.Privacy EU 2016/679 (di seguito GDPR) secondo cui “chiunque agisce sotto l’autorità aziendale deve essere appositamente autorizzato ed istruito per un corretto trattamento dei dati persona”. Le presenti istruzioni, in relazione alla definizione di dato personale e trattamento di seguito riportate, sono valide per tutti i dipendenti/collaboratori, per quanto pertinente con le attività e gli strumenti assegnati.
2. PRINCIPALI DEFINIZIONI (Art.4 – GDPR)
3. AMBITO DI AUTORIZZAZIONE
In generale sono consentiti ai soggetti autorizzati esclusivamente l’accesso ai dati e le operazioni di trattamento strettamente necessarie all’espletamento delle mansioni lavorative (profili di accesso definiti e monitorati a livello di direzione aziendale). Nell’eventuale utilizzo di strumenti elettronici il profilo utente è configurato secondo tale logica, ossia garantendo un adeguato livello di coerenza tra le mansioni lavorative ed i permessi assegnati.
Il personale è tenuto a rispettare i permessi assegnati, evitando qualsiasi tentativo di accesso a risorse non pertinenti con il proprio profilo. A livello di documentazione cartacea viene richiesto di non accedere arbitrariamente ad archivi/fascicoli/documenti non necessari alla mansioni assegnate.
All’interno del quadro generale delineato nel presente atto, si è tenuti a rispettare le regole/prescrizioni/istruzioni aventi pertinenza con il proprio ambito lavorativo (presente o futuro) e con le funzionalità/strumenti messi a disposizione dal Titolare. Per qualsiasi dubbio o richiesta di modifica relativa ai permessi di accesso predefiniti è opportuno rivolgersi al team privacy, di cui al punto 5 del presente.
4. PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI PERSONALI (Art.5 – GDPR)
In generale il GDPR prevede che vengano tutelati i diritti e le libertà fondamentali delle persone fisiche, garantendo che i dati personali siano:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
5. INFORMATIVA, CONSENSO E DIRITTI DEGLI INTERESSATI (Art.12-23 GDPR)
Il GDPR prevede che gli interessati ricevano adeguate informazioni in merito al trattamento dei loro dati, esprimendo, qualora necessario, uno specifico, libero ed informato consenso. Viene inoltre riconosciuta la necessità di assicurare i diritti di cui al CAPO III del GDPR, tra cui il diritto di accesso, di rettifica, di oblio/cancellazione, di limitazione, di portabilità, di opposizione.
L’organizzazione ha implementato adeguate procedure interne finalizzate a garantire i suddetti diritti, pertanto le viene richiesto, qualora le dovesse venir rivolta, da qualsivoglia soggetto, una richiesta in materia di privacy, di segnarlo tempestivamente aireferenti privacy, di cui al punto 6.
6. REFERENTI E CONTATTI PRIVACY
La società ha nominato un Data ProtectionOfficer al quale è necessario sottoporre (direttamente o tramite referenti interni) qualsiasi questione in materia di privacy: DataProtectionOfficer – Dott. Gregorio Galli – gregorio@gallidataservice.com – Tel.0523.010250
7. PRIVACY BY DEFAULT E PRIVACY BY DESIGN (Art.25 GDPR)
Il GDPR prevede che qualsiasi attività/processo aziendale, prima di essere attuato, sia oggetto di opportune valutazioni in merito al numero di dati raccolti, alle misure di sicurezza, al tempo di conservazione, ecc.
Al fine di attivare correttamente i soggetti preposti ad effettuare tali valutazioni le viene richiesto di segnalare ai referenti privacy qualsiasi iniziativa o progetto che intende realizzare (acquisto software, apertura sito, attivazione videosorveglianza, ecc.) che abbia implicazioni con il trattamento di dati personali.
8. SICUREZZA DEL TRATTAMENTO ED ISTRUZIONI OPERATIVE (Art.24, 32 GDPR)
Il GDPR prevede che vengano messe in atto misure tecniche ed organizzative adeguate per garantire agli interessati un idoneo livello di sicurezza nel trattamento dei dati. In aggiunta alle misure di sicurezza logiche, fisiche ed informatiche implementate dalla società vengono pertanto diramate le seguenti istruzioni.
8.1. ISTRUZIONI PER TRATTAMENTO SUPPORTI CARTACEI
8.2. ISTRUZIONI PER TRATTAMENTO SUPPORTI ELETTRONICI
I dispositivi elettronici ed applicativi aziendali, nonché i contenuti tramite essi generati dagli utenti, sono strumenti di lavoro, da utilizzarsi esclusivamente per fini professionali (sui quali la società può lecitamente disporre attività di gestione/verifica). Si richiamo di seguito alcune regole, che potranno essere integrate da specifici regolamenti interni:
8.3. ISTRUZIONI GENERALI
In generale è fatto divieto a qualunque soggetto, ad esclusione delle attività espressamente connesse alle proprie mansioni e necessarie a garantire una corretta operatività aziendale, di divulgare informazioni concernenti dati personali, effettuarne copie di qualsiasi natura e distruggere, sottrarre o manipolare il contenuto delle banche dati se non espressamente autorizzato dal Titolare dei trattamenti.
9. DATA BREACH(Art. 33,34 GDPR)
Il GDPR prevede che il Titolare gestisca qualsiasi evento che possa comportare un rischio di sicurezza per dati personali (data breach, violazione di dati personali). Si ha una “violazione di dati personali” quando accidentalmente (colposamente) o in modo illecito (dolosamente) un evento causa la distruzione, la perdita, la modifica, la divulgazione non autorizzata, l’accesso ai dati personali trasmessi, conservati o comunque trattati (ES: furto dispositivi/documenti, smarrimento dispositivi/documenti, attacco/virus informatico, cancellazione o invio involontario di dati, ecc).
Al fine di attivare correttamente i referenti privacy le viene richiesto di segnalar loro qualsiasi circostanza che ritenga possa essere considerata una “violazione di dati personali / incidente dei sicurezza”.
10. MODALITÀ DI AGGIORNAMENTO DELLE ISTRUZIONI
Le presenti istruzioni potranno essere oggetto di aggiornamento / integrazione periodica, secondo le modalità ritenute più opportune, anche in relazione alle prescrizioni di cui all’art.7 dello Statuto dei Lavoratori (“affissione in luogo accessibile a tutti”). In relazione all’entità degli aggiornamenti, sarà cura del Titolare utilizzare ulteriori efficaci strumenti divulgativi, quali: inoltro via email, pubblicazione sulla intranet aziendale e/o piattaforme dedicate, invio copia cartacea individuale, organizzazione eventi formativi dedicati, ecc.
11. INTEGRAZIONE D.LGS. 196/2003, DURATA E VIOLAZIONI
Il presente atto integra qualsiasi eventuale atto di designazione precedentemente effettuato ai sensi della normativa privacy italiana (D.Lgs.196/2003) tra cui la nomina ad incaricato del trattamento. Si pone inoltre quale integrazione di qualsiasi altro regolamento/codice previsto dai sistemi di gestione/modelli di organizzazione interna. L’autorizzazione ed istruzioni assegnate sono da intendersi a tempo indeterminato e decadono per interruzione del rapporto lavorativo o per revoca da parte del Titolare. L’osservanza dei principi fondamentali in materia di privacy in relazione alle informazioni di cui si è venuti a conoscenza presso la scrivente, si ritiene indispensabile anche successivamente all’eventuale cessazione del rapporto lavorativo. L’incaricato è personalmente responsabile di eventuali comportamenti palesemente contrari alle indicazioni fornite tramite la presente. Qualsiasi violazione potrà essere fonte di provvedimenti disciplinari e/o di responsabilità legale, in proporzione alla gravità della violazione stessa.
FORNAROLI POLYMERS S.P.A.
Sede Legale: Via Archimede, 57 – 20129 Milano (MI) – ITALIA
Unità Locale: Via Trebbia, 71 – 29121 Piacenza (PC) – ITALIA
Tel. +39/0523/484944 – Fax +39/0523/482660
Partita IVA n.: 09301380961 – Capitale Sociale Euro 2.000.000,00 i.v.
Registro Imprese C.C.I.A.A. di Milano n.: 09301380961
R.E.A. C.C.I.A.A. di Milano n.: 2082066
Sito Web: www.fornarolipolymers.com
E-mail: info@fornarolipolymers.com
PEC: fornarolipolymers@tmcert.it