Privacy Policy
La compliance che guida Advolo
Privacy Policy
Redazione del documento
| Rag. sociale | Advolo srl |
|---|---|
| Indirizzo | Piazzale A. Gramsci, 1 |
| Città | Forlimpopoli, FC, 47034 |
| Nazione | Italia |
| Telefono/Fax | 0543 724065 |
| advolo@advolo.it |
Indici di revisione
| Rev. | Data Emissione | Eseguito da | Approvato da | Oggetto |
|---|---|---|---|---|
| 00 | 2019.03.06 | SS | MR | Prima edizione |
| 01 | 2021.01.11 | VL | Aggiornamento piè di pagina | |
| 02 | 2022.01.14 | AM | Aggiornamento piè di pagina |
Sommario
1. Scopo - Introduzione
Il presente documento è stato redatto per permettere allo studio di consulenza di ottemperare agli obblighi previsti dal Regolamento Europeo n. 679 del 27 aprile 2016.
Tale regolamento disciplina la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché la libera circolazione di tali dati.
Il regolamento è direttamente applicabile in ciascuno degli Stati membri dell’Unione Europea a partire dal 25 maggio 2018.
Il presente documento illustra gli adempimenti previsti per legge messi in atto dallo studio.
Il presente documento potrà inoltre essere di ausilio allo studio per la gestione della privacy.
1.1 Campo di applicazione
Il regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione Europea, quando le attività di trattamento riguardano:
a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
oppure
b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
2. Schema adempimenti
Si riporta uno schema indicativo dei principali adempimenti previsti dal Regolamento Europeo
3. Definizioni
Si riportano le principali definizioni previste dal Regolamento Europeo
- «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
- «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
- «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
- «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
- «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
- «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;
- «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
- «destinatario»: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.
- «terzo»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;
- «consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
- «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
- «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
- «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
- «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
- «rappresentante»: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;
- «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica;
- «gruppo imprenditoriale»: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;
4. Principi applicati
Lo studio segue le indicazioni presenti nel regolamento europeo ispirandosi ai principi in esso previsti nella gestione dei dati personali.
4.1 Trattamento di dati personali
I dati personali raccolti sono trattati in modo lecito, corretto e trasparente.
I dati sono raccolti per finalità determinate (principalmente per fornire al cliente il servizio di consulenza richiesto – sicurezza sul lavoro, formazione, prove strumentali, progettazione macchinari e impianti, documentazione tecnica, direttive tecniche), esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità.
Sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
Sono esatti e, se necessario, corretti / aggiornati tempestivamente.
Sono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità previste.
Trattati in maniera da garantirne un’adeguata sicurezza.
4.2 Liceità del trattamento
Il trattamento effettuato è lecito in quanto si verifica almeno una delle seguenti condizioni:
- l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
- il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
- il trattamento è necessario per adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento;
4.3 Consenso dell’interessato
Nel caso in cui sia richiesto il consenso da parte dell’interessato, lo studio ha predisposto una richiesta utilizzando un linguaggio semplice e chiaro.
Viene inoltre chiaramente fatto presente all’interessato il diritto di revocare il proprio consenso in qualsiasi momento.
4.4 “Particolari” categorie di dati personali
Esistono alcune categorie di dati definiti “particolari” di cui è vietato il trattamento. Tali categorie sono le seguenti: dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Si fa eccezione a tale divieto se e solo se:
- l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;
- il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
- il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità
4.5 Informativa
L’informativa fornita all’interessato conterrà le seguenti informazioni:
- l’identità e i dati di contatto del titolare del trattamento e/o del suo rappresentante;
- i dati di contatto del responsabile della protezione dei dati DPO (Data Protection Officer, se presente);
- le finalità del trattamento cui sono destinati i dati personali;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- l’eventuale intenzione del titolare del trattamento di trasferire dati personali a un paese terzo;
- il periodo di conservazione dei dati personali oppure i criteri utilizzati per determinare tale periodo
- il diritto all’accesso ai propri dati, alla loro rettifica o alla loro cancellazione, la limitazione del trattamento, la possibile opposizione, oltre al diritto alla portabilità;
- il diritto di revocare il consenso
- la specifica dell’eventuale obbligatorietà nel fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati
- l’eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione
4.6 Diritti dell’interessato
Lo studio riconosce all’interessato i seguenti diritti previsti dal nuovo regolamento:
- la conferma che siano presenti o meno i dati personali e in tal caso, averne accesso oltre ai dettagli presenti nell’informativa
- diritto di rettifica
- diritto alla cancellazione /oblio
- diritto di ottenere la limitazione del trattamento
- diritto alla portabilità dei dati
- diritto di opporsi al trattamento dei dati personali che lo riguardano
4.7 Notifica di violazione dei dati personali
In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.
5. I soggetti
Si riportano di seguito i soggetti cardine della privacy all’interno dello studio.
5.1 Titolare
È il soggetto, persona fisica, giuridica, autorità pubblica, il servizio o altro organismo, che determina le finalità e i mezzi del trattamento. I dati personali (eventualmente raccolti) sono trattati in modo lecito, corretto e trasparente.
Titolare del trattamento è:
- Advolo s.r.l. con sede a Forlimpopoli in Piazzale A. Gramsci, 1 (nella persona di Michele Rinieri)
5.2 Responsabile del trattamento
È il soggetto, persona fisica, giuridica, autorità pubblica, il servizio o altro organismo, che tratta i dati per conto del Titolare. Gli eventuali responsabili scelti presentano garanzie sufficienti per attuare misure tecniche e organizzative adeguate. Il rapporto tra Titolare e Responsabile è regolato e documentato da un contratto tra le parti.
Il responsabile del trattamento tratta i dati secondo la normativa della privacy vigente, applicando tutte le misure di sicurezza previste; inoltre non ricorre a un altro responsabile senza previa autorizzazione scritta, del titolare. In base alla scelta del titolare, cancella o restituisce tutti i dati personali dopo che è terminata la prestazione / contratto tra le parti.
Responsabili del trattamento sono:
- Medoc Sicurezza srl con sede a Forlì in viale Vittorio Veneto, 1/a per medicina del lavoro
- Kronos srl con sede a Forlì in via Balzella 41/G per supporto informatico
- Studio Pollini Davide con sede a Gambettola in Via J.F. Kennedy, 25 int. a per consulenza del lavoro e paghe
- Francesco Casadei Gardini dottore Commercialista con sede a Forlì in Via G. Pedriali, 18 come commercialista e revisore contabile.
- Professionisti esterni per consulenza per conto dello studio
5.2 Responsabile del trattamento
È il soggetto, persona fisica, giuridica, autorità pubblica, il servizio o altro organismo, che tratta i dati per conto del Titolare. Gli eventuali responsabili scelti presentano garanzie sufficienti per attuare misure tecniche e organizzative adeguate. Il rapporto tra Titolare e Responsabile è regolato e documentato da un contratto tra le parti.
Il responsabile del trattamento tratta i dati secondo la normativa della privacy vigente, applicando tutte le misure di sicurezza previste; inoltre non ricorre a un altro responsabile senza previa autorizzazione scritta, del titolare. In base alla scelta del titolare, cancella o restituisce tutti i dati personali dopo che è terminata la prestazione / contratto tra le parti.
Responsabili del trattamento sono:
- Medoc Sicurezza srl con sede a Forlì in viale Vittorio Veneto, 1/a per medicina del lavoro
- Kronos srl con sede a Forlì in via Balzella 41/G per supporto informatico
- Studio Pollini Davide con sede a Gambettola in Via J.F. Kennedy, 25 int. a per consulenza del lavoro e paghe
- Francesco Casadei Gardini dottore Commercialista con sede a Forlì in Via G. Pedriali, 18 come commercialista e revisore contabile.
- Professionisti esterni per consulenza per conto dello studio
5.3 Incaricato del trattamento
Non è espressamente disciplinato, ma l’art. 29 “Trattamento sotto l’autorità del Titolare o del Responsabile” prevede tali figure. Sono infatti i soggetti che operano per conto del Titolare o del Responsabile e che materialmente trattano i dati personali. L’incaricato deve essere istruito per poter svolgere al meglio la propria attività.
Si riporta l’organigramma dei componenti lo studio.
5.4 Responsabile della protezione dei dati “RPD o DPO”
È il soggetto, nominato dal titolare del trattamento, che vigila sulla corretta applicazione del Regolamento. È infatti un esperto in materia che si pone a supporto dei i vari soggetti coinvolti nella privacy.
Tale figura viene generalmente indicata nei documenti come “RPD – Responsabile della protezione dati”, oppure in inglese “DPO – Data protection officer”.
Il responsabile della protezione dei dati è designato in funzione delle qualità professionali e della conoscenza specialistica della normativa; può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.
I dati di contatto del responsabile della protezione dei dati vengono comunicati all’autorità di controllo da parte del titolare o del responsabile del trattamento.
Il responsabile della protezione dei dati ha piena autonomia e risorse nell’esecuzione dei propri compiti. È tenuto alla riservatezza in merito alla propria attività e può svolgere ulteriori compiti che non siano in contrasto col ruolo occupato.
COMPITI:
- fornire consulenza al titolare o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento;
- sorvegliare l’osservanza del presente regolamento;
- fornire assistenza in merito alla valutazione d’impatto sulla protezione dei dati DPIA;
- cooperare con l’autorità di controllo;
6. Descrizione attività svolta
Lo studio offre consulenza alle aziende relativamente a:
- adempimenti della Direttiva Macchine e delle Direttive di prodotto per la sicurezza e la certificazione degli impianti e delle macchine industriali;
- adempimenti relativi al D.Lgs 81/08 in merito alla sicurezza sulle attrezzature di lavoro;
- realizzazione della documentazione tecnica di prodotto (analisi dei rischi, redazione del fascicolo tecnico, stesura del manuale di uso e manutenzione);
- affiancamento delle aziende in tema di progettazione di macchinari e impianti produttivi in genere;
- organizzazione di corsi di formazione sulle tematiche legate alle Direttive di prodotto;
- effettuazione di prove strumentali (fonometriche ed elettriche).
Lo studio può comunque svolgere qualsiasi incarico professionale inerente all’attività svolta e alle competenze tecniche possedute.
Per l’attività vengono trattati dati per la gestione della commessa quali anagrafiche ditte, indirizzi, dati tecnici o dati per pagamenti, tutti elementi non rientranti nel presente regolamento europeo.
I dati personali si riferiscono sia ai propri dipendenti, trattati per adempimenti relativi al contratto di lavoro o utili all’azienda per la gestione del personale, sia ai dipendenti delle ditte seguite per scopi formativi o per la gestione dei servizi offerti.
Possono quindi essere presenti telefoni personali o aziendali, indirizzi di posta elettronica, nominativi di persone che occupano ruoli lavorativi chiave presso i clienti per poter portare a termine il contratto richiesto.
Lo studio, per tipologia di dati trattati, non rientra nell’obbligo di nomina del Responsabile della protezione dati.
Lo studio non ha l’obbligo di tenuta del registro dei trattamenti.
Lo studio non ha l’obbligo di predisposizione del DPIA (Valutazione d’impatto sulla protezione dei dati).
7. Valutazione dei rischi
È un obbligo del titolare valutare i rischi a cui sono soggetti i dati trattati. In questo paragrafo verrà effettuato tale approfondimento per permettere al titolare di rivedere e, nel caso sia necessario, di modificare la propria organizzazione al fine di trattare i dati con adeguata sicurezza.
7.1 Metodo di stima
La stima del rischio viene effettuata tenendo conto dei seguenti fattori:
- gravità del danno (indica la magnitudo del danno potenziale ed è funzione della tipologia dei dati coinvolti, del numero di persone coinvolte e delle possibili conseguenze)
- probabilità di accadimento (indica la probabilità che l’evento accada ed è funzione delle condizioni di sicurezza applicate che dipendono per lo più dall’aspetto tecnico organizzativo)
Attraverso la stima dei possibili valori per ciascun parametro (gravità e probabilità di accadimento) si giunge alla individuazione di tre classi di rischio (ELEVATO, MEDIO, SCARSO/TRASCURABILE). All’interno di ciascuna classe sono definite ulteriori specifiche che caratterizzano più in dettaglio il livello di rischio. La gravità del danno è funzione della tipologia di dati trattati e delle misure applicate.
Incrociando la “gravità del danno” con la “probabilità di accadimento” si ottiene la classe di rischio che indicherà al titolare se e dove focalizzare gli interventi correttivi qualora necessari.
7.2 Quantificazione del rischio
Di seguito si riporta la valutazione del rischio effettuata dal titolare. Ogni fattore che può incidere nel trattamento dei dati viene singolarmente valutato; sarà cura del titolare mettere in atto misure correttive qualora la valutazione ne indichi la necessità.
Dalla valutazione effettuata non risultano rischi degni di nota da cui derivino misure correttive a carico del titolare.
Per maggiore garanzia vengono comunque riviste le informative e la parte riguardante il personale.
8. Registro dei trattamenti
La predisposizione del “registro dei trattamenti” indicato dall’art.30 del Regolamento europeo è obbligatoria qualora si rientri nei seguenti casi:
- aziende superiori a 250 dipendenti
- trattamento di dati particolari
- presenza di rischio
Lo studio non rientra in nessuno di questi casi, quindi non è obbligato. Nonostante questo, di propria scelta, lo studio decide di compilare questo documento per maggiore garanzia dei dati trattati.
8.1 Registro
