Politica sulla Protezione dei Dati Personali

Documento conforme al Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio Europeo del 27 Aprile 2016

Campo d’applicazione, scopo e destinatari

SANSTEFAR Molise srl, in seguito denominata “Azienda”, si impegna a rispettare le leggi e i regolamenti applicabili inerenti la protezione dei dati personali nei paesi in cui l’Azienda opera. Questa Politica stabilisce i principi di base con cui questa tratta i dati personali di consumatori, clienti, fornitori, partner commerciali, dipendenti e altre persone e indica le responsabilità dei propri reparti aziendali e dipendenti durante il trattamento dei dati personali.

La presente politica si applica all’Azienda e alle sue controllate (direttamente o indirettamente) che svolgono attività all'interno dello Spazio Economico Europeo (SEE) o che trattano i dati personali degli interessati all'interno del SEE. I destinatari di questo documento sono tutti i dipendenti, a tempo determinato ed indeterminato, e tutti i collaboratori che lavorano per conto dell’Azienda.

Documenti di Riferimento

  • Il GDPR dell’UE 2016/679 (Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio Europeo del 27 Aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
  • Decreto Legislativo 30 giugno 2003, n. 196. "Codice in materia di protezione dei dati personali" pubblicato nella Gazzetta Ufficiale n. 174 del 29 luglio 2003.
  • Politica di Protezione dei Dati Personali dei Dipendenti.
  • Politica di Conservazione dei Dati.
  • Descrizione dei Ruolo del Responsabile della Protezione dei Dati.
  • Linee guida per l’Elenco dei Dati e la Mappatura delle Attività di Trattamento.
  • Procedura per la Richiesta di Accesso ai Dati da parte dell’Interessato.
  • Metodologia di Valutazione d’Impatto sulla Protezione dei Dati.
  • Procedura di Trasferimento Transfrontaliero di Dati Personali.
  • Politica di Sicurezza.
  • Procedura di Comunicazione di una Violazione di Dati.

Definizioni

Le seguenti definizioni di termini utilizzati in questo documento sono tratte dall’art. 4 del Regolamento Generale sulla Protezione dei Dati dell'Unione Europea (o GDPR):

Dato Personale: si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (Interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Dati personali sensibili: questi meritano una specifica protezione perché, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tra questi dovrebbero essere compresi anche i dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose e filosofiche, l’appartenenza sindacale, oltreché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Responsabile del trattamento: una persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento.

Trattamento: ogni operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

Anonimizzazione: deidentificazione irreversibile dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile. La pseudonimizzazione riduce, ma non elimina completamente, la possibilità di collegare il dato personale all’interessato. Poiché i dati pseudominizzati sono comunque dati personali, il trattamento dei dati pseudonimizzati dovrebbe essere conforme ai principi del Trattamento dei Dati Personali.

Trattamento transfrontaliero: il trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un controllore o processore dei dati nell'Unione ove il controllore o il processore siano stabiliti in più di uno Stato membro; oppure il trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un controllore o processore nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

Autorità di Controllo: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51 del GDPR dell’UE;

Autorità di Controllo Capofila: è quella con la responsabilità primaria di gestire un’attività di trattamento di dati transfrontaliera, ad esempio quando un interessato presenta un reclamo in merito al trattamento dei propri dati personali. È responsabile, tra l’altro, anche di ricevere le notifiche di violazione dei dati, di essere notificato su attività di trattamento rischiose e avrà piena autorità per quanto riguarda le sue funzioni per garantire l'osservanza delle disposizioni del GDPR dell’UE;

Ogni “autorità di controllo locale” manterrà comunque, all’interno del proprio territorio, e monitorerà qualsiasi trattamento di dati locale che incide sugli interessati o che viene effettuato da un controllore o un processore all’interno dell’Unione oppure all’esterno dell’Unione in caso il loro trattamento si rivolge a interessati residenti sul proprio territorio. I loro compiti e poteri comprendono lo svolgimento di indagini e l’applicazione di misure amministrative e sanzioni, la promozione della consapevolezza da parte del pubblico dei rischi, delle norme, della sicurezza e dei diritti in relazione al trattamento dei dati personali, nonché l'accesso a qualsiasi sede del controllore e del processore dei dati, compresi eventuali strumenti e mezzi per il trattamento.

Stabilimento principale per quanto riguarda un controllore” con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del controllore nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

Stabilimento principale con riferimento a un processore” responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;

Gruppo imprenditoriale”: un gruppo costituito da una impresa controllante e dalle imprese da questa controllate.

Principi Applicabili al Trattamento dei Dati Personali

I principi applicabili alla protezione dei dati delineano le responsabilità delle organizzazioni nella gestione dei dati personali. L’articolo 5 (2) del GDPR enuncia che “il controllore è competente per il rispetto dei principi e in grado di comprovarlo.

Liceità, Correttezza e Trasparenza

I dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato.

Limitazione delle Finalità

I dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità.

Minimizzazione dei Dati

I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per cui sono trattati. L’Azienda deve applicare l'anonimizzazione o la pseudonimizzazione ai dati personali, se possibile, per ridurre il rischio per gli interessati.

Esattezza

I dati personali devono essere esatti e, se necessario, aggiornati. Devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.

Limitazione del Periodo di Conservazione

I dati personali devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

Integrità e riservatezza

Tenendo conto delle tecnologie e di altre misure di sicurezza disponibili, dei costi di attuazione e la probabilità e gravità dei rischi per i dati personali, l’Azienda deve mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato per i dati personali, inclusa la protezione dalla distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l'accesso non autorizzati.

Responsabilizzazione

I controllori dei dati, il Titolare e il Responsabile del trattamento, sono competenti per il rispetto dei principi sopra descritti devono essere in grado di comprovarlo.

Costruire la protezione dei dati nelle attività commerciali

Al fine di dimostrare la conformità con i principi della protezione dei dati un'organizzazione dovrebbe creare protezione dei dati nelle sue attività commerciali.

Raccolta

L’Azienda deve sforzarsi di raccogliere il minor numero di dati personali possibili. Se i dati personali sono raccolti da terzi, SANSTEFAR Molise srl deve garantire che i dati personali siano raccolti legalmente.

Uso, Conservazione e Smaltimento

Le finalità, i metodi, il limite di registrazione e il periodo di conservazione dei dati personali devono essere coerenti con le informazioni contenute nell'Informativa sulla Privacy. L’Azienda deve mantenere l'esattezza, l’integrità, la riservatezza e la rilevanza dei dati personali in base allo scopo del trattamento. E’ necessario utilizzare adeguati meccanismi di sicurezza volti a proteggere i dati personali per impedire che vengano rubati, utilizzati in modo improprio o abusati e prevenire le violazioni dei dati personali. La SANSTEFAR Molise srl è responsabile della conformità con i requisiti elencati in questa sezione.

Divulgazione a terzi

Ogni volta che la Società utilizza un fornitore o un partner commerciale terzo per il trattamento dei dati personali per suo conto, il responsabile della protezione dei dati deve garantire che questo processore fornisca misure di sicurezza per salvaguardare i dati personali adeguate ai rischi associati.

La Società deve richiedere contrattualmente al fornitore o partner commerciale di fornire lo stesso livello di protezione dei dati. Il fornitore o il partner commerciale deve trattare i dati personali solo per adempiere ai propri obblighi contrattuali nei confronti dell’Azienda o dietro istruzioni dell’Azienda e non per altri scopi. Quando l’Azienda tratta i dati personali congiuntamente con un terzo indipendente, l’Azienda deve specificare esplicitamente le responsabilità proprie e quelle del terzo nel relativo contratto o qualsiasi in altro documento legale vincolante, come l’Accordo con il Fornitore del Trattamento dei Dati.

Trasferimento Transfrontaliero dei Dati Personali

Prima di trasferire i dati personali dallo Spazio Economico Europeo (SEE) devono essere utilizzate misure di protezione adeguate , compresa la firma di un accordo sul trasferimento dei dati, come richiesto dall'Unione Europea e, se necessario, deve essere ottenuta l'autorizzazione della relativa Autorità per la Protezione dei Dati. L'entità che riceve i dati personali deve rispettare i principi del trattamento dei dati personali stabiliti nella Procedura di Trasferimento Transfrontaliero di Dati Personali.

Diritto d’Accesso da parte degli Interessati

Quando agisce come processore dei dati, il Titolare del trattamento è responsabile di fornire agli interessati un ragionevole meccanismo di accesso per consentire loro di accedere ai
propri dati personali e deve consentire loro di aggiornare, rettificare, cancellare o trasmettere i propri dati personali, se del caso o richiesto dalla legge. Il meccanismo di accesso sarà
ulteriormente dettagliato nella Procedura di Richiesta di Accesso ai Dati da parte dell’Interessato.

Portabilità dei Dati

Gli interessati hanno il diritto di ricevere, su richiesta, una copia dei dati che ci hanno fornito in un formato strutturato e di trasmettere tali dati a un altro controllore, gratuitamente. Il Titolare del trattamento è responsabile di garantire che tali richieste vengano elaborate entro un mese, non siano eccessive e non incidano sui diritti relativi ai dati personali di altre persone.

Diritto all’oblio

Su richiesta, gli interessati hanno il diritto di ottenere dall’Azienda la cancellazione dei propri dati personali. L’Azienda, in questi casi, deve intraprendere le azioni necessarie per informare i terzi che utilizzano o trattano tali dati per conformarsi alla richiesta.

Linee guida sul Corretto Trattamento

I dati personali devono essere trattati solo attraverso le procedure approvate dal Titolare del trattamento insieme al Responsabile della protezione dei dati.

Comunicazioni agli Interessati

Al momento della raccolta, o prima della raccolta di dati personali per qualsiasi tipo di attività di trattamento, inclusa, ma non limitata a, la vendita di prodotti, servizi o attività di marketing, SANSTEFAR Molise srl è responsabile di informare adeguatamente gli interessati di quanto segue: i tipi di dati personali raccolti, le finalità del trattamento, I metodi di trattamento, i diritti degli interessati riguardo ai loro dati personali, il periodo di conservazione, i potenziali trasferimenti internazionali di dati, se i dati saranno condivisi con terzi e le misure di sicurezza dell’Azienda per proteggere i dati personali. Queste informazioni sono fornite tramite un’Informativa sulla Privacy.

Laddove i dati personali siano condivisi con terzi, SANSTEFAR Molise srl deve garantire che gli interessati siano stati informati di ciò tramite un’Informativa sulla Privacy.

Laddove i dati personali siano trasferiti in un paese terzo in base alla politica di trasferimento transfrontaliero dei dati, l’Informativa sulla Privacy dovrebbe rispecchiare questo e indicare chiaramente dove e a quale soggetti i dati personali vengono trasferiti.

Nel caso in cui vengano raccolti dati personali sensibili, il Responsabile della Protezione dei Dati deve assicurarsi che l’Informativa sulla Privacy riporti esplicitamente lo scopo per il quale tali dati personali sensibili vengono raccolti.

Ottenere i Consensi

Ogni volta che il trattamento dei dati personali si basa sul consenso dell’interessato, o su altri motivi legittimi, Il Responsabile del Trattamento dei dati è responsabile della conservazione di una registrazione di tale consenso. Il Responsabile del Trattamento dei dati è responsabile di fornire agli interessati le opzioni per dare il consenso e deve informarli e garantire che il loro consenso possa essere revocato in qualsiasi momento.

Laddove la raccolta di dati personali si riferisca a un minore di età inferiore ai 16 anni, Il Responsabile del Trattamento dei dati deve garantire che il consenso del titolare della responsabilità genitoriale sia fornito prima della raccolta utilizzando il modulo di consenso del titolare della responsabilità genitoriale.

Quando si richiede di correggere, modificare o distruggere le registrazioni dei dati personali, Il Responsabile del Trattamento dei dati deve garantire che tali richieste siano gestite entro un ragionevole lasso di tempo. Il Responsabile del Trattamento dei dati deve anche registrare le richieste e tenere un registro di queste.

I dati personali devono essere trattati solo per le finalità per cui sono stati originariamente raccolti. Nel caso in cui l’Azienda desideri trattare i dati personali raccolti per un altro scopo, l’Azienda deve richiedere il consenso degli interessati in forma scritta chiara e concisa. Qualsiasi richiesta di questo tipo dovrebbe includere lo scopo originale per cui sono stati raccolti i dati e anche gli scopi nuovi o aggiuntivi. La richiesta deve includere anche il motivo del cambiamento di scopo/i.

Ora e in futuro, Il Responsabile del Trattamento dei dati deve garantire che i metodi di raccolta siano conformi alla legge, alle buone pratiche e alle norme industriali pertinenti.

Il Responsabile del Trattamento dei dati è responsabile della creazione e della manutenzione di un registro delle Informative sulla Privacy.

Organizzazione e Responsabilità

La responsabilità di garantire un adeguato trattamento dei dati personali spetta a chiunque lavori per o con SANSTEFAR Molise srl e abbia accesso ai dati personali trattati dall’Azienda. Le principali aree aziendali in cui viene effettuato il trattamento dei dati personali sono le seguenti:

  • Organo decisionale competente prende decisioni e approva le strategie generali della Società in materia di protezione dei dati personali.
  • Responsabile della Protezione dei Dati è responsabile è responsabile dello sviluppo e della promozione delle politiche di protezione dei dati personali dall’inizio alla fine, come definito nella Descrizione del Ruolo del Responsabile della Protezione dei Dati;
  • Responsabile della Protezione dei Dati sviluppa i requisiti di conformità e assiste i reparti aziendali nel raggiungimento dei loro obiettivi relativi ai dati personali;
  • Il responsabile dell’ufficio Informatica è responsabile di:
    • garantire che tutti i sistemi, i servizi e le attrezzature utilizzati per la registrazione dei dati soddisfino standard di sicurezza accettabili e condurre controlli e scansioni regolari per garantire che l'hardware e il software di sicurezza funzionino correttamente;
    • approvare qualsiasi dichiarazione sulla protezione dei dati allegata a comunicazioni quali e-mail e lettere;
    • rispondere a qualsiasi domanda sulla protezione dei dati da parte di giornalisti o media come giornali;
    • se necessario, collaborare con il Responsabile della Protezione dei Dati per garantire che le iniziative di marketing rispettino i principi di protezione dei dati.
    • Infine è responsabile del trasferimento delle responsabilità di protezione dei dati personali ai fornitori e del miglioramento dei livelli di consapevolezza dei fornitori in materia di protezione dei dati personali, nonché del flusso verso il basso dei dati personali richiesti a qualsiasi fornitore terzo che l’Azienda utilizzi.
  • Responsabile delle Risorse Umane è responsabile di:
    • migliorare la consapevolezza di tutti i dipendenti sulla protezione dei dati personali degli utenti;
    • organizzare la formazione per la competenza e la sensibilizzazione sulla protezione dei dati personali per i dipendenti che lavorano con dati personali;
    • protezione dei dati personali dei dipendenti dall’inizio alla fine. Deve garantire che i dati personali dei dipendenti vengano trattati in base alle legittime finalità e necessità aziendali del datore di lavoro.

Risposta agli incidenti di Violazione dei Dati Personali

Quando SANSTEFAR Molise srl viene a conoscenza di una presunta o effettiva violazione dei dati personali deve eseguire un’indagine interna e adottare misure correttive appropriate in modo tempestivo, in base alla Politica sulla violazione dei dati. Laddove sussistano rischi per i diritti e le libertà degli interessati, l’Azienda deve informare l’autorità di controllo competente in materia di protezione dei dati senza indebiti ritardi e, ove possibile, entro 72 ore.

Audit e Responsabilizzazione

Il Responsabile della protezione dei Dati è responsabile di verificare in che modo i reparti aziendali implementino questa politica. Qualsiasi dipendente che violi questa politica sarà soggetto ad azioni disciplinari e potrebbe anche essere soggetto a responsabilità civili o penali qualora la sua condotta violasse leggi o regolamenti.

Conflitti con la Legge

Questa politica è intesa a rispettare le leggi e i regolamenti del luogo di stabilimento e dei paesi in cui SANSTEFAR Molise srl opera. In caso di conflitto tra questa Politica e le leggi e i regolamenti applicabili, prevarranno questi ultimi.

Gestione delle registrazioni sulla base di questo documento

Nome del documento Luogo di archiviazione Persona responsabile dell’archiviazione Controlli per la protezione del documento Tempo di archiviazione
Modulo di Consenso dell’Interessato I moduli sono conservati in forma cartaceea all’interno di armadietti aziendali chiusi a chiave Il Responsabile del Trattamento dei Dati Soltanto le persone autorizzate possono avere accesso ai moduli 10 anni
Modulo di Recesso dell’Interessato I moduli sono conservati in forma cartaceea all’interno di armadietti aziendali chiusi a chiave Il Responsabile del Trattamento dei Dati Soltanto le persone autorizzate possono avere accesso ai moduli 10 anni
Modulo di Consenso dei Titolari della
Responsabilità Genitoriale
I moduli sono conservati in forma cartaceea all’interno di armadietti aziendali chiusi a chiave Il Responsabile del Trattamento dei Dati Soltanto le persone autorizzate possono avere accesso ai moduli 10 anni
Modulo di Recesso dei Titolari della
Responsabilità Genitoriale
I moduli sono conservati in forma cartaceea all’interno di armadietti aziendali chiusi a chiave Il Responsabile del Trattamento dei Dati Soltanto le persone autorizzate possono avere accesso ai moduli 10 anni
Accordi con i Fornitori del
Trattamento dei Dati
I moduli sono conservati in forma cartaceea all’interno di armadietti aziendali chiusi a chiave Il Responsabile del Trattamento dei Dati Soltanto le persone autorizzate possono avere accesso alla cartella 5 anni dopo la scadenza del contratto

Registro delle Informative
sulla Privacy

I moduli sono conservati in forma cartaceea all’interno di armadietti aziendali chiusi a chiave Il Responsabile del Trattamento dei Dati Soltanto le persone autorizzate possono avere accesso alla cartella Permanente

Validità e gestione del documento

Questo documento ha effetto dal 03/12/2018.

Il responsabile per questo documento è il Titolare del Trattamento dei dati e i suoi delegati, i quali devono controllare e se necessario aggiornare il documento con frequenza almeno annuale.