Politica generale sulla protezione dei dati personali

1. Scopo, campo di applicazione e destinatari

FRATINI MOTO S.R.L., da ora in poi definita come “Società”, si impegna a essere conforme alle leggi e ai regolamenti applicabili relativi alla protezione dei dati personali nei paesi dove questa opera.

La presente procedura definisce i principi fondamentali secondo i quali la Società tratta i dati personali di clienti, fornitori, business partner, dipendenti ed altri individui, ed indica le responsabilità dei propri servizi e dei propri dipendenti nel trattamento dei dati personali.

La presente procedura si applica alla Società e alle sue controllate (direttamente o indirettamente) che svolgono la propria attività all’interno dell’Area Economica Europea o trattano dati personali di interessati in tale area.

I destinatari della presente procedura sono tutti i dipendenti, temporanei o permanenti, e tutti i collaboratori che operano per conto della società.

2. Riferimenti normativi

  •   GDPR 2016/679 (Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche in materia di trattamento dei dati personali e alla libera circolazione di tali dati e che abroga la Direttiva 95/46 / CE)

  •   Leggi nazionali o regolamenti rilevanti per l’implementazione del Regolamento

  •   Politica di conservazione dei dati

  •   Registro dei trattamenti

  •   Procedura di richiesta di accesso e manutenzione dei dati

  •   Procedura trasferimento transfrontaliero dei dati

  •   Procedura di risposte agli interessati

    3. Definizioni

    Le definizioni utilizzate nel presente documento sono tratte dall’articolo 4 del Regolamento Europeo:

    «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

    Dati sensibili: dati personali che, per loro natura, sono particolarmente sensibili in relazione ai diritti e alle libertà fondamentali e meritano una protezione specifica in quanto il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Questi dati personali includono dati personali che rivelano origine razziale o etnica, opinioni politiche, credenze religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici che identificano in modo univoco una persona fisica, dati sulla salute o dati relativi all’orientamento sessuale della persona.

    Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;

FRATINI MOTO S.R.L. – 03404330544

Pag. 3 di 11

Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

Anonimizzazione: de- identificazione irreversibile dei dati personali in modo tale che la persona non può essere identificata tramite tecnologie e in tempi e costi ragionevoli né dal titolare né da altra persona. I principi di trattamento dei dati personali non si applicano ai dati anonimi in quanto questi non sono considerati dati personali.

Pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile; la pseudonimizzazione riduce, ma non elimina del tutto, la possibilità di collegare un dato personale a un interessato. Tenendo conto che i dati che hanno subito il processo di pseudonimizzazione sono ancora dati personali, tale processo deve essere conforme ai principi di trattamento dei dati personali.

Trattamento transfrontaliero: trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

Autorità di controllo: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;

Autorità di controllo principale: l’autorità di vigilanza con la responsabilità primaria di occuparsi di un’attività di trattamento di dati transfrontaliera, ad esempio quando un interessato presenta un reclamo in merito al trattamento dei propri dati personali; è responsabile, tra l’altro, di ricevere le notifiche di violazione dei dati, di essere informato sulle attività di trattamento rischiose e avrà piena autorità per quanto riguarda i suoi obblighi di garantire l’osservanza delle disposizioni del GDPR;

Ciascuna “autorità di vigilanza locale” manterrà comunque la sua attività nel proprio territorio e monitorerà qualsiasi trattamento di dati a livello locale che riguarda gli interessati o che viene effettuato da un titolare o un responsabile UE o non UE quando il loro trattamento si rivolge agli interessati che risiedono sul suo territorio. I loro compiti e poteri comprendono lo svolgimento di indagini e l’applicazione di misure amministrative e sanzioni, la promozione a livello generale della consapevolezza dei rischi, delle norme, della sicurezza e dei diritti in relazione al trattamento dei dati

FRATINI MOTO S.R.L. – 03404330544

Pag. 4 di 11

personali, nonché l’accesso a qualsiasi sede del responsabile del titolare e del responsabile, compresi eventuali strumenti e mezzi per il trattamento dei dati.

Stabilimento principale: per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

Stabilimento principale: con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;

Gruppo imprenditoriale: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;

4. Principi base del trattamento dei dati personali

I principi sulla protezione dei dati delineano le responsabilità base per le organizzazioni che si occupano del trattamento dei dati personali. L’articolo 5, punto 2 del Regolamento stabilisce che “il titolare del trattamento è responsabile e deve dimostrare la conformità a tali principi”.

4.1.Legalità, correttezza e trasparenza

I dati personali devono essere trattati in modo lecito, equo e trasparente in relazione all’interessato.

4.2.Limitazione dello scopo

I dati personali devono essere raccolti per scopi specifici, espliciti e legittimi e non ulteriormente trattati in modo incompatibile con tali scopi.

4.3.Minimizzazione dei dati

I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario in relazione agli scopi per i quali sono trattati. Se possibile per ridurre i rischi per gli interessati la Società deve applicare l’anonimizzazione o la pseudonimizzazione ai dati personali.

4.4. Precisione

I dati personali devono essere accurati e, ove necessario, aggiornati; misure ragionevoli devono essere prese per garantire che i dati personali inaccurati, in relazione alle finalità per cui sono trattati, siano cancellati o rettificati in modo tempestivo.

4.5.Limitazione del periodo di conservazione

FRATINI MOTO S.R.L. – 03404330544

Pag. 5 di 11

I dati personali devono essere conservati per un periodo non superiore a quello necessario agli scopi per i quali i dati personali sono trattati.

4.6.Integrità e confidenzialità

Tenendo conto dello stato della tecnologia e di altre misure di sicurezza disponibili, dei costi di implementazione e della probabilità e della gravità dei rischi dei dati personali, la Società deve utilizzare misure tecniche o organizzative adeguate per trattare i dati personali in modo tale da garantire un’adeguata sicurezza dei dati personali, compresa la protezione contro la distruzione, la perdita, l’alternanza o la divulgazione accidentale o illecita o l’accesso non autorizzato.

4.7. Responsabilità

I responsabili del trattamento dei dati sono responsabili di dimostrare la conformità ai principi sopra descritti.

5. Integrare la protezione dei dati nelle attività commerciali

Al fine di dimostrare la conformità ai principi della protezione dei dati, l’organizzazione deve integrare la protezione dei dati nelle attività commerciali.

5.1.Informativa agli interessati

(Vedi la sezione Linee Guida sul corretto trattamento)

5.2.Scelta e consenso dell’interessato

(Vedi la sezione Linee Guida sul corretto trattamento)

5.3. Raccolta

La Società deve cercare di raccogliere il minor numero possibile di dati personali. Se i dati personali sono raccolti da una terza parte, il Titolare deve assicurarsi che i dati personali siano raccolti secondo le previsioni di legge.

5.4.Utilizzo, conservazione e smaltimento

Gli scopi, i metodi, i limiti di archiviazione e il periodo di conservazione dei dati personali devono essere coerenti con le informazioni contenute nell’informativa sulla protezione dei dati generali.

La Società deve mantenere l’accuratezza, l’integrità, la riservatezza e la rilevanza dei dati personali in base allo scopo del trattamento. È necessario utilizzare adeguati meccanismi di sicurezza volti a proteggere i dati personali per impedire che vengano rubati o utilizzati in modo improprio e prevenire le violazioni dei dati personali. il Titolare è responsabile della conformità ai requisiti elencati in questa sezione.

5.5.Divulgazione a terzi

Ogni volta che la Società utilizza un fornitore di terza parte o un partner commerciale per trattare i dati personali per suo conto, il referente privacy deve garantire che questo processore fornisca misure di sicurezza per salvaguardare i dati personali appropriate ai rischi associati. A tal fine, è

FRATINI MOTO S.R.L. – 03404330544

Pag. 6 di 11

necessario utilizzare apposito questionario di conformità. (Processor GDPR Compliance Questionnaire)

La Società deve richiedere contrattualmente al fornitore o al partner commerciale di fornire lo stesso livello di protezione dei dati. Il fornitore o il partner commerciale deve elaborare i dati personali solo per adempiere ai propri obblighi contrattuali nei confronti della Società o dietro istruzioni della Società e non per altri scopi. Quando l’Azienda tratta i dati personali congiuntamente con una terza parte indipendente, la Società deve specificare esplicitamente le rispettive responsabilità e la terza parte nel rispettivo contratto o in qualsiasi altro documento legalmente vincolante, come il Contratto di trattamento dei dati del fornitore (Supplier Data Processing Agreement).

5.6.Trasferimento transfrontaliero dei dati personali

Prima di trasferire i dati personali dallo Spazio economico europeo (SEE) devono essere utilizzate misure di salvaguardia adeguate, compresa la firma di un accordo sul trasferimento dei dati, come richiesto dall’Unione europea e, se necessario, deve essere ottenuta l’autorizzazione da parte della autorità di protezione dei dati. L’entità che riceve i dati personali deve rispettare i principi del trattamento dei dati personali stabiliti nella Procedura di trasferimento dei dati transfrontalieri.

5.7.Diritti di accesso degli interessati

Quando agisce come titolare del trattamento dei dati, la società è tenuta a fornire agli interessati un ragionevole meccanismo di accesso che consenta loro di accedere ai propri dati personali e deve consentire loro di aggiornare, correggere, cancellare o trasmettere i propri dati personali, se del caso o richiesto dalla legge. Il meccanismo di accesso sarà ulteriormente dettagliato nella Procedura di richiesta di accesso ai dati dell’interessato.

5.8.Portabilità dei dati

Gli interessati hanno il diritto di ricevere, su richiesta, una copia dei dati che hanno fornito in un formato strutturato e di trasmettere gratuitamente tali dati a un altro titolare. il Titolare è responsabile di garantire che tali richieste vengano elaborate entro un mese, non siano eccessive e non pregiudichino i diritti sui dati personali di altre persone.

5.9.Diritto all’oblio

Su richiesta l’interessato ha il diritto di ottenere dalla società la cancellazione dei suoi dati personali. Quando la società agisce in qualità di titolare del trattamento, il referente privacy deve intraprendere le azioni necessarie (comprese le misure tecniche) per informare le terze parti che usano o trattano quei dati di adeguarsi alla richiesta.

6. Linee guida sul corretto trattamento

I dati personali possono essere trattati solo se esplicitamente autorizzati dal titolare.

La società deve decidere se effettuare una valutazione di impatto sulla protezione dei dati per ogni attività di trattamento dei dati secondo quanto definito dalle Linee guida sulla valutazione dell’impatto sulla protezione dei dati dati personali. Data Protection Impact Assessment Guidelines.

6.1.Informativa agli interessati

FRATINI MOTO S.R.L. – 03404330544

Pag. 7 di 11

Al momento della raccolta o prima della raccolta di dati personali per qualsiasi tipo di attività di trattamento incluso ma non limitato alla vendita di prodotti, servizi o attività di marketing, il Titolare è responsabile di informare adeguatamente gli interessati di quanto segue: la tipologia di dati personali raccolti, le finalità del trattamento, i metodi di trattamento, i diritti degli interessati in relazione ai loro dati personali, il periodo di conservazione, i potenziali trasferimenti internazionali di dati, se i dati saranno condivisi con terzi e le misure di sicurezza della Società per proteggere i dati personali. Queste informazioni sono fornite tramite un’informativa generale sulla protezione dei dati.

Se l’azienda ha molteplici attività di trattamento dei dati, occorrerà sviluppare diverse comunicazioni che saranno diverse a seconda dell’attività di trattamento e delle categorie di dati personali raccolti, ad esempio, un’informativa potrebbe essere scritta per le spedizioni via mail e una diversa per la spedizione via posta ordinaria.

Laddove i dati personali siano condivisi con terzi, il Titolare deve garantire che gli interessati siano stati informati di ciò tramite un’informativa generale sulla protezione dei dati

Laddove i dati personali siano trasferiti in un paese terzo in base alla politica di trasferimento dei dati transfrontalieri, l’informativa generale sulla protezione dei dati dovrebbe specificarlo, indicando chiaramente dove e a quale entità vengono trasferiti i dati personali.

Nel caso in cui vengano raccolti dati personali sensibili, il Data Protection Officer deve assicurarsi che l’informativa generale sulla protezione dei dati chiarisca espressamente lo scopo per il quale tali dati sensibili vengono raccolti.

6.2.Ottenimento dei consensi

Ogni qualvolta il trattamento dei dati personali è basato sul consenso dell’interessato, o su altri motivi legittimi, il Titolare è responsabile di conservare una registrazione di tale consenso. Il Titolare è responsabile di presentare alle persone interessate le diverse opzioni per fornire il consenso e deve informare e garantire che il loro consenso (ogni volta che viene utilizzato come base legale per il trattamento) possa essere revocato in qualsiasi momento.

Quando viene richiesto di correggere, modificare o distruggere registrazioni di dati personali, il Referente Privacy deve garantire che tali richieste siano gestite entro un ragionevole lasso di tempo. Il Referente Privacy deve anche registrare le richieste e tenere un apposito registro.

I dati personali devono essere trattati solo per lo scopo per il quale sono stati originariamente raccolti. Nel caso in cui la Società desideri trattare i dati personali raccolti per un altro scopo, la Società deve richiedere il consenso dei suoi interessati in forma scritta chiara e concisa. Qualsiasi richiesta di questo tipo dovrebbe includere lo scopo originale per cui sono stati raccolti i dati e anche gli scopi nuovi o aggiuntivi. La richiesta deve includere anche il motivo del cambiamento di scopo / i. Il Data Protection Officer è responsabile del rispetto delle regole in questo paragrafo.

Ora e in futuro, il Referente Privacy deve garantire che i metodi di raccolta siano conformi alla legge, alle buone pratiche e agli standard industriali pertinenti.

Il Referente Privacy è responsabile della creazione e della manutenzione di un registro delle informative generali sulla protezione dei dati.

FRATINI MOTO S.R.L. – 03404330544

Pag. 8 di 11

7.

Organizzazione e responsabilità

La responsabilità di garantire un adeguato trattamento dei dati personali spetta a chiunque lavori

all’interno della Società o per suo conto e abbia accesso ai dati personali da essa trattati.

Le principali aree di responsabilità per il trattamento dei dati personali sono riferibili ai seguenti ruoli

organizzativi:

Il Consiglio di Amministrazione o altro organo decisionale competente prende decisioni e approva le

strategie generali della Società in materia di protezione dei dati personali.

Il Data Protection Officer (DPO) o qualsiasi altro dipendente rilevante, è responsabile della gestione

del programma di protezione dei dati personali e dello sviluppo e della promozione delle procedure

end-to-end di protezione dei dati personali, come definito nella Job description del Data Protection

Officer;

Il dipartimento Affari legali / consulente insieme al Data Protection Officer, monitora e analizza le

leggi sui dati personali e le modifiche alle normative, sviluppa i requisiti di conformità e assiste i

reparti aziendali nel raggiungimento dei loro obiettivi relativi ai dati personali.

L’IT manager è responsabile di: 

Il Marketing manager, è responsabile di: 

 

Il Human Resources Manager è responsabile di:

  •   migliorare la consapevolezza di tutti i dipendenti sulla protezione dei dati personali degli utenti.

  •   organizzare per i dipendenti che lavorano con dati personali formazione per aumentare la competenza in materia di protezione dei dati personali e la consapevolezza.

  •   protezione end-to-end dei dati personali dei dipendenti. Deve garantire che i dati personali dei dipendenti vengano elaborati in base a finalità legittime e alle necessità aziendali del datore di lavoro.

garantire che tutti i sistemi, i servizi e le attrezzature utilizzate per l’archiviazione dei dati

abbiano standard di sicurezza adeguati

effettuare controlli periodici ed esami per verificare il livello di sicurezza dell’hardware e il

funzionamento corretto del software.

approvare di qualsiasi dichiarazione sulla protezione dei dati allegata a comunicazioni quali e-

mail e lettere.

Affrontare qualsiasi quesito in merito alla protezione dei dati da parte di giornalisti o altri

mezzi di informazione come giornali.

Ove necessario, collaborare con il Data Protection Officer per garantire che le iniziative di

marketing rispettino i principi di protezione dei dati.

Il Procurement Manager è responsabile del trasferimento delle responsabilità di protezione dei dati

personali ai fornitori e del miglioramento dei livelli di consapevolezza dei fornitori in materia di

protezione dei dati personali, nonché della trasmissione dei requisiti dei dati personali a qualsiasi

FRATINI MOTO S.R.L. – 03404330544

Pag. 9 di 11

fornitore terzo che utilizza. Il dipartimento Acquisti deve garantire che la Società si riserva il diritto di

controllare i fornitori mediante audit.

8.

Linee guida per stabilire l’autorità di controllo principale

8.1.Necessità di stabilire l’autorità di controllo principale

L’identificazione di un’autorità di controllo principale è rilevante solo se la Società effettua il trasferimento transfrontaliero dei dati personali.

Il trasferimento transfrontaliero dei dati personali è effettuato se:

  1. a)  il trattamento dei dati personali è effettuato da società controllate dalla Società con sede in altri Stati membri;

    oppure

  2. b)  il trattamento dei dati personali che si svolgono in un’unica sede della Società nell’Unione europea, ma che incidono in modo sostanziale o potrebbero incidere sugli interessati in più di uno Stato membro.

Se la società ha sedi solo in uno Stato membro e le sue attività di trattamento riguardano solo le persone interessate in tale Stato membro, non è necessario istituire un’autorità di controllo principale. L’unica autorità competente sarà l’autorità di vigilanza nel paese in cui la società ha sede legale.

8.2.Sede principale e autorità di controllo

8.2.1. Sede principale del titolare del trattamento

Il Titolare del trattamento deve identificare la sede principale in modo che possa essere stabilita l’autorità di controllo.

Se la Società ha sede in uno stato dell’Unione europea e deve prendere decisioni in merito alle attività di trattamento transfrontaliero al posto della sua amministrazione centrale, ci sarà una sola autorità di controllo principale per le attività di trattamento dei dati effettuate dalla società.

Se la Società ha più sedi che agiscono in modo indipendente e prendono decisioni in merito alle finalità e ai mezzi del trattamento dei dati personali, il Titolare del Trattamento deve riconoscere che esiste più di un’autorità di vigilanza principale.

8.2.2. Sede principale del responsabile del trattamento

Quando la Società agisce come responsabile del trattamento, la sede principale sarà il luogo di amministrazione centrale. Nel caso in cui il luogo di amministrazione centrale non si trovi nell’UE, la sede principale sarà lo stabilimento nell’UE in cui si svolgono le principali attività di trattamento.

8.2.3. Sedi principali di titolari e responsabili di società extra UE

FRATINI MOTO S.R.L. – 03404330544

Pag. 10 di 11

Se la società non ha la sede principale nell’Unione Europea, ed ha le sue controllate all’interno del territorio dell’Unione, l’autorità di controllo competente è l’autorità di controllo locale.

Se la società non ha né la sede principale né controllate all’interno dell’Unione Europea, deve essere nominato un rappresentante in Europa, e l’autorità di controllo competente sarà l’autorità di controllo del luogo dove si trova il rappresentante nominato.

9. Risposta agli incidenti di violazione dei dati personali

Quando la società viene a conoscenza di una sospetta o reale violazione dei dati personali, Il Referente Privacy deve condurre un’indagine interna e prendere appropriati provvedimenti in maniera tempestiva, secondo quanto previsto dalla procedura per la violazione dei dati. Se ci sono delle minacce ai diritti e alle libertà degli interessati, la società deve notificarle alle autorità per la protezione dei dati senza alcun ritardo, e se possibile, entro 72 ore.

10. Auditeresponsabilità

L’ufficio audit o altri uffici rilevanti sono responsabili di verificare la corretta applicazione della presente procedura da parte delle altre aree aziendali.

Chiunque violerà la presente procedura sarà oggetto di un’azione disciplinare, e se la violazione commessa infrangerà leggi o regolamenti la persona sarà soggetta anche a responsabilità civili e penali.

11. Conflittidilegge

Tale procedura intende essere conforme con le leggi ed i regolamenti vigenti nei paesi dove è ubicata e dove opera la Società. In caso di conflitto tra questa procedura e le leggi ed i regolamenti applicabili, prevalgono questi ultimi.

12. Gestione e validità del documento

Il responsabile del documento è il Referente Privacy, che ha il compito di controllarlo e, se necessario, aggiornarlo, almeno annualmente.

Gestione, accesso, manutenzione dati

Premessa L’interessato al trattamento dei dati ha il diritto di accedere alle informazioni che lo riguardano raccolte dal responsabile o dal titolare del trattamento. Per tale motivo è importante stabilire le modalità di gestione di tali richieste. L’interessato al trattamento dei dati ha il diritto di revocare il proprio consenso al trattamento con la stessa facilità con cui lo ha accordato. Per tale motivo le modalità di revoca devono essere di facile accesso e comprensione.

1. Scopo e campo di applicazione Lo scopo di questa procedura è quello di definire le modalità di gestione delle richieste di accesso ai dati da parte o di revoca del consenso dell’interessato al trattamento, di un suo rappresentante o di altre parti interessate e disciplina inoltre la manutenzione dei dati stessi. La presente procedura si applica alla società e alle strutture che agiscono per suo conto. I destinatari della procedura sono i referenti privacy che gestiscono le richieste degli interessati e il Titolare del trattamento.

2. Riferimenti normativi • Regolamento 679/2016 3. Termini e definizioni Richiesta di accesso ai dati: una qualunque richiesta effettuata, in forma scritta, da un soggetto o un suo rappresentante legale in merito a sue informazioni in possesso della società. Consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. 4. Modalità operative e responsabilità Nota: se la società agisce in qualità di titolare del trattamento nei confronti del soggetto interessato che effettua la richiesta, allora questa si baserà sulle disposizioni della presente procedura; se la società agisce in qualità di responsabile del trattamento, il referente privacy inoltrerà la richiesta al titolare del trattamento in nome del quale la società tratta i dati personali del soggetto interessato che ha effettuato la richiesta. La richiesta di accesso dati o di revoca del consenso dell’interessato dà diritto agli interessati di visionare o richiedere copia dei propri dati personali oppure di far cessare un trattamento attivo. Le possibili richieste di accesso o manutenzione dei dati o di revoca del consenso possono arrivare da parte del personale dipendente.

Una richiesta di accesso dati dell’interessato o di revoca del consenso può essere effettuata con le seguenti modalità: email al soggetto identificato come responsabile della funzione referente privacy. Solitamente, le richieste verbali in merito alle informazioni dell’interessato non sono ritenute valide. La gestione delle richieste di accesso ai dati prevede diverse fasi:

1. Ricezione della richiesta: alla ricezione di una richiesta di accesso ai dati, il referente darà conferma di quanto ricevuto.

2. Verifica dell’identità: il referente deve verificare l’identità di coloro che effettuano le richieste di accesso ai dati o di revoca del consenso per assicurarsi che le informazioni vengano fornite solo a chi ha diritto di riceverle. Se il richiedente non è l’interessato, è richiesta un’autorizzazione scritta della persona che l’ha delegata.
3. Comunicazione al richiedente: se le informazioni presentate dalla persona che ha ricevuto la richiesta sono sufficienti, il referente privacy comunicherà al richiedente che la sua domanda riceverà riscontro entro 30 giorni di calendario. Il periodo di 30 giorni inizierà dalla data in cui i documenti richiesti sono stati ricevuti. Il richiedente sarà informato a mezzo scritto nel caso in cui ci fossero scostamenti dal periodo di 30 giorni a causa di altri eventi intercorsi.
4. Revisione delle informazioni: il referente privacy contatterà e richiederà ai dipartimenti interessati le informazioni richieste così come domandato nella richiesta di accesso dati dell’interessato. Ciò può comportare, se necessario, una riunione iniziale con suddetti dipartimenti per analizzare la richiesta. Il dipartimento che detiene le informazioni deve comunicarle rispettando la scadenza fissata dal referente privacy che provvede a organizzare ulteriori incontri per la revisione delle informazioni. Il referente privacy stabilirà se ci sono informazioni soggette a deroga e/o se è richiesto il consenso da parte di terzi. Il referente privacy deve assicurarsi che le informazioni vengano riesaminate/ricevute entro la scadenza fissata di 30 giorni di calendario. Il referente privacy richiederà ai dipartimenti coinvolti di compilare un modulo di divulgazione dei dati dell’interessato per documentare la conformità al requisito dei 30 giorni.
5. Risposta alle richieste di accesso: il referente privacy fornirà la risposta definitiva insieme, a seconda dei casi, alle informazioni recuperate dai dipartimenti, una dichiarazione attestante che la Società non detiene le informazioni richieste o che si applica una deroga. Il referente privacy si assicura che venga inviata al richiedente una risposta scritta. Questa può essere data via email, a meno che il richiedente non abbia specificato un’altra preferenza per la modalità di risposta (ad esempio via posta). La società fornirà informazioni solo tramite canali sicuri. Quando vengono diffuse copie cartacee delle informazioni, queste verranno sigillate in modo sicuro e inviate con sistemi tracciati.
6. Archiviazione: dopo che la risposta è stata inviata al richiedente, la richiesta di accesso ai dati è considerate soddisfatta ed archiviata.

Per la gestione della revoca del consenso è consigliabile utilizzare sistema automatizzati di revoca, soprattutto su attività di comunicazione mediante mail (mail marketing). In questo caso è necessario poter disporre di un registro delle richieste di cancellazione effettuate con modalità automatiche.

Consulta la nostra privacy policy