Privacy Clienti

AUTORIZZAZIONE AL TRATTAMENTO DI DATI PERSONALI (GDPR-Art.29)

Con la presente la informiamo che l’art. 29 del GDPR prevede che “chiunque agisca sotto l’autorità del Titolare del trattamento” sia preventivamente autorizzato ed istruito al trattamento di dati di soggetti terzi con cui possa venire in contatto nel corso dell’attività lavorativa. Tale autorizzazione ed istruzione risulta pertanto necessaria per tutto il personale lavorativo aziendale poiché anche la semplice momentanea consultazione di un documento cartaceo rappresenta un potenziale accesso a dati personali.

A tale proposito, considerato che il Titolare è tenuto sensi dell’art. 29 del Reg.(UE) 2016/679, la autorizza all’accesso/trattamento di dati personali connessi all’espletamento delle mansioni lavorative assegnate, allegando alla presente le seguenti “istruzioni privacy” (attraverso le qualisi illustrano a tutto il personale i principi generali in materia di privacy e le regole di buon senso per garantire una corretta tutela dei dati). Si sottolinea infine che qualsiasi regola contenuta nelle istruzioni non pertinente con il profilo lavorativo e con gli strumenti assegnati è da considerarsi non applicabile.

ISTRUZIONI PER UN CORRETTO TRATTAMENTO DI DATI PERSONALI

1. RIFERIMENTO DI LEGGE (Art.29 – GDPR)

Il presente opuscolo informativo ottempera agli obblighi previsti dall’Art.29 del Reg.Privacy EU 2016/679 (di seguito GDPR) secondo cui “chiunque agisce sotto l’autorità aziendale deve essere appositamente autorizzato ed istruito per un corretto trattamento dei dati persona”. Le presenti istruzioni, in relazione alla definizione di dato personale e trattamento di seguito riportate, sono valide per tutti i dipendenti/collaboratori, per quanto pertinente con le attività e gli strumenti assegnati.

2. PRINCIPALI DEFINIZIONI (Art.4 – GDPR)

  • Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (es: nome/cognome, dato anagrafico, numero identificativo, recapito/dato di contatto, dato di ubicazione, elemento dell’identità fisica, fisiologica, economica, culturale, sociale, ecc.)
  • Trattamento: qualsiasi operazione compiuta su tali dati, dal semplice accesso o consultazione, fino alla registrazione, modifica, comunicazione, elaborazione, cancellazione, distruzione, ecc.
  • Interessati: le persone fisiche a cui si riferiscono i dati personali  Titolare la scrivente società, che esercita il potere decisionale su finalità e mezzi del trattamento
  • Soggetti autorizzati: tutti i dipendenti (ma anche collaboratori, agenti, somministrati, ecc.) che ricevono le presenti istruzioni, in quanto agiscono sotto l’autorità del titolare e possono accedere, anche occasionalmente, a dati personali. (Esempio: è quindi sufficiente che si consulti momentaneamente un documento che riporti il nominativo di una persona, oppure si acceda ad una rubrica -anche telefonica – contenente dei nominativi, per essere considerati soggetti che nello svolgimento della propria attività trattano dei dati personali).

3. AMBITO DI AUTORIZZAZIONE

In generale sono consentiti ai soggetti autorizzati esclusivamente l’accesso ai dati e le operazioni di trattamento strettamente necessarie all’espletamento delle mansioni lavorative (profili di accesso definiti e monitorati a livello di direzione aziendale). Nell’eventuale utilizzo di strumenti elettronici il profilo utente è configurato secondo tale logica, ossia garantendo un adeguato livello di coerenza tra le mansioni lavorative ed i permessi assegnati.

Il personale è tenuto a rispettare i permessi assegnati, evitando qualsiasi tentativo di accesso a risorse non pertinenti con il proprio profilo. A livello di documentazione cartacea viene richiesto di non accedere arbitrariamente ad archivi/fascicoli/documenti non necessari alla mansioni assegnate.

All’interno del quadro generale delineato nel presente atto, si è tenuti a rispettare le regole/prescrizioni/istruzioni aventi pertinenza con il proprio ambito lavorativo (presente o futuro) e con le funzionalità/strumenti messi a disposizione dal Titolare. Per qualsiasi dubbio o richiesta di modifica relativa ai permessi di accesso predefiniti è opportuno rivolgersi al team privacy, di cui al punto 5 del presente.

4. PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI PERSONALI (Art.5 – GDPR)

In generale il GDPR prevede che vengano tutelati i diritti e le libertà fondamentali delle persone fisiche, garantendo che i dati personali siano:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

5. INFORMATIVA, CONSENSO E DIRITTI DEGLI INTERESSATI (Art.12-23 GDPR)

Il GDPR prevede che gli interessati ricevano adeguate informazioni in merito al trattamento dei loro dati, esprimendo, qualora necessario, uno specifico, libero ed informato consenso. Viene inoltre riconosciuta la necessità di assicurare i diritti di cui al CAPO III del GDPR, tra cui il diritto di accesso, di rettifica, di oblio/cancellazione, di limitazione, di portabilità, di opposizione.

L’organizzazione ha implementato adeguate procedure interne finalizzate a garantire i suddetti diritti, pertanto le viene richiesto, qualora le dovesse venir rivolta, da qualsivoglia soggetto, una richiesta in materia di privacy, di segnarlo tempestivamente aireferenti privacy, di cui al punto 6.

6. REFERENTI E CONTATTI PRIVACY

La società ha nominato un Data ProtectionOfficer al quale è necessario sottoporre (direttamente o tramite referenti interni) qualsiasi questione in materia di privacy: DataProtectionOfficer – Dott. Gregorio Galli – gregorio@gallidataservice.com – Tel.0523.010250

7. PRIVACY BY DEFAULT E PRIVACY BY DESIGN (Art.25 GDPR)

Il GDPR prevede che qualsiasi attività/processo aziendale, prima di essere attuato, sia oggetto di opportune valutazioni in merito al numero di dati raccolti, alle misure di sicurezza, al tempo di conservazione, ecc.

Al fine di attivare correttamente i soggetti preposti ad effettuare tali valutazioni le viene richiesto di segnalare ai referenti privacy qualsiasi iniziativa o progetto che intende realizzare (acquisto software, apertura sito, attivazione videosorveglianza, ecc.) che abbia implicazioni con il trattamento di dati personali.

8. SICUREZZA DEL TRATTAMENTO ED ISTRUZIONI OPERATIVE (Art.24, 32 GDPR)

Il GDPR prevede che vengano messe in atto misure tecniche ed organizzative adeguate per garantire agli interessati un idoneo livello di sicurezza nel trattamento dei dati. In aggiunta alle misure di sicurezza logiche, fisiche ed informatiche implementate dalla società vengono pertanto diramate le seguenti istruzioni.

8.1. ISTRUZIONI PER TRATTAMENTO SUPPORTI CARTACEI

  • accedere ai soli documenti strettamente necessari in relazione e per l’adempimento delle mansioni e dei compiti assegnati;
  • utilizzare i dati di cui viene a conoscenza esclusivamente per le finalità legate all’espletamento dell’attività lavorativa;
  • limitare l’esposizione dei documenti durante le operazioni di trattamento;
  • riporre alla fine del trattamento i documenti nella posizione idonea;
  • non lasciare mai incustoditi i documenti;
  • non consentire l’accesso a persone non autorizzate e non divulgare i dati;
  • organizzare i propri spazi lavorativi (scrivanie, scaffalature, raccoglitori, ecc.) in modo ordinato ed idoneo a prevenire la perdita o l’accesso non autorizzato;
  • distruggere documenti contenenti dati personali prima dello smaltimento;
  • non utilizzare documenti con dati personali come “carta da riciclo” per ulteriori stampe;
  • non effettuare copie non autorizzate o non necessarie alle proprie mansioni;
  • prestare la dovuta attenzione al trasporto di documenti al di fuori della sede;
  • prestare la dovuta attenzione ad eventuali colloqui, anche telefonici, in presenza/prossimità di persone non autorizzate.

8.2. ISTRUZIONI PER TRATTAMENTO SUPPORTI ELETTRONICI

I dispositivi elettronici ed applicativi aziendali, nonché i contenuti tramite essi generati dagli utenti, sono strumenti di lavoro, da utilizzarsi esclusivamente per fini professionali (sui quali la società può lecitamente disporre attività di gestione/verifica). Si richiamo di seguito alcune regole, che potranno essere integrate da specifici regolamenti interni:

  • assicurare l’integrità, la conservazione e la sicurezza delle macchine, evitando comportamenti che possano comprometterne la funzionalità, le impostazioni e la sicurezza;
  • non effettuare sostanziali modifiche del proprio ambiente informatico, con particolare riferimento all’installazione o disinstallazione di applicativi ed alla modifica delle impostazioni di sistema;
  • utilizzare sempre le credenziali di accesso ai sistemi, garantendone la segretezza
  • bloccare il dispositivo in caso di allontanamento dalla postazione
  • utilizzare internet e posta elettronica solo per fini lavorativi evitando tassativamente qualsiasi contenuto offensivo, diffamatorio, violento, osceno,discriminatorio ed, in generale, illecito (con particolare riferimento alla pirateria informatica ed al copyright).

8.3. ISTRUZIONI GENERALI

In generale è fatto divieto a qualunque soggetto, ad esclusione delle attività espressamente connesse alle proprie mansioni e necessarie a garantire una corretta operatività aziendale, di divulgare informazioni concernenti dati personali, effettuarne copie di qualsiasi natura e distruggere, sottrarre o manipolare il contenuto delle banche dati se non espressamente autorizzato dal Titolare dei trattamenti.

9. DATA BREACH(Art. 33,34 GDPR)

Il GDPR prevede che il Titolare gestisca qualsiasi evento che possa comportare un rischio di sicurezza per dati personali (data breach, violazione di dati personali). Si ha una “violazione di dati personali” quando accidentalmente (colposamente) o in modo illecito (dolosamente) un evento causa la distruzione, la perdita, la modifica, la divulgazione non autorizzata, l’accesso ai dati personali trasmessi, conservati o comunque trattati (ES: furto dispositivi/documenti, smarrimento dispositivi/documenti, attacco/virus informatico, cancellazione o invio involontario di dati, ecc).

Al fine di attivare correttamente i referenti privacy le viene richiesto di segnalar loro qualsiasi circostanza che ritenga possa essere considerata una “violazione di dati personali / incidente dei sicurezza”.

10. MODALITÀ DI AGGIORNAMENTO DELLE ISTRUZIONI

Le presenti istruzioni potranno essere oggetto di aggiornamento / integrazione periodica, secondo le modalità ritenute più opportune, anche in relazione alle prescrizioni di cui all’art.7 dello Statuto dei Lavoratori (“affissione in luogo accessibile a tutti”). In relazione all’entità degli aggiornamenti, sarà cura del Titolare utilizzare ulteriori efficaci strumenti divulgativi, quali: inoltro via email, pubblicazione sulla intranet aziendale e/o piattaforme dedicate, invio copia cartacea individuale, organizzazione eventi formativi dedicati, ecc.

11. INTEGRAZIONE D.LGS. 196/2003, DURATA E VIOLAZIONI

Il presente atto integra qualsiasi eventuale atto di designazione precedentemente effettuato ai sensi della normativa privacy italiana (D.Lgs.196/2003) tra cui la nomina ad incaricato del trattamento. Si pone inoltre quale integrazione di qualsiasi altro regolamento/codice previsto dai sistemi di gestione/modelli di organizzazione interna. L’autorizzazione ed istruzioni assegnate sono da intendersi a tempo indeterminato e decadono per interruzione del rapporto lavorativo o per revoca da parte del Titolare. L’osservanza dei principi fondamentali in materia di privacy in relazione alle informazioni di cui si è venuti a conoscenza presso la scrivente, si ritiene indispensabile anche successivamente all’eventuale cessazione del rapporto lavorativo. L’incaricato è personalmente responsabile di eventuali comportamenti palesemente contrari alle indicazioni fornite tramite la presente. Qualsiasi violazione potrà essere fonte di provvedimenti disciplinari e/o di responsabilità legale, in proporzione alla gravità della violazione stessa.

FORNAROLI POLYMERS S.P.A.
Sede Legale: Via Archimede, 57 – 20129 Milano (MI) – ITALIA
Unità Locale: Via Trebbia, 71 – 29121 Piacenza (PC) – ITALIA
Tel. +39/0523/484944 – Fax +39/0523/482660
Partita IVA n.: 09301380961 – Capitale Sociale Euro 2.000.000,00 i.v.
Registro Imprese C.C.I.A.A. di Milano n.: 09301380961
R.E.A. C.C.I.A.A. di Milano n.: 2082066
Sito Web: www.fornarolipolymers.com
E-mail: info@fornarolipolymers.com
PEC: fornarolipolymers@tmcert.it