Gestione della Privacy POSEIDON TECHNOLOGIES

 

Sommario

Il presente documento ha l'obiettivo di descrivere il modello generale di gestione della privacy all’interno della ditta individuale Poseidon Technologies di A. A. in accordo ai requisiti del nuovo regolamento europeo in materia di protezione dei dati personali (REGOLAMENTO - UE 2016/679, noto anche come GDPR – General Data Protection Regulation).

​

Premessa

 

Poseidon Technologies di A. A. (di seguito anche “Ditta Individuale”) con sede in "Via Salvo D'Acquisto, 10 70010 Casamassima (BA) ITALIA, ai sensi e nelle forme dell’art. 35 del GDPR, a mezzo del presente documento ha ritenuto opportuno e utile dotarsi di un’adeguata mappatura dei processi aziendali coinvolti dalla normativa sulla privacy.

Il presente documento costituisce dunque uno strumento finalizzato alla rappresentazione del complesso di misure poste in essere al fine di adempiere rigorosamente a quanto prescritto dalla normativa vigente in materia di Protezione dei Dati Personali.

​

RIFERIMENTI NORMATIVI E TERMINOLOGIA UTILIZZATA

​

• Nuovo Regolamento Europeo in materia di Protezione dei Dati Personali (REGOLAMENTO (UE) 2016/679 detto anche GDPR – General Data Protection Regulation).

• D.Lgs. 30 giugno 2003 n. 196 - Codice in materia di protezione dei dati personali

• Provvedimenti deliberati dal Garante per la Protezione dei Dati Personali

• Provvedimenti deliberati dalle autorità dell’Unione Europea in materia di Trattamento dei dati personali

 

GLOSSARIO PRIVACY

 

AMMINISTRATORE DI SISTEMA

La figura professionale dedicata alla gestione e alla manutenzione degli impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali.

 

ARCHIVIO

Qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico. 

 

BASE GIURIDICA DEL TRATTAMENTO

Base normativa che autorizza l’ente al trattamento dei dati personali, con riferimento alle attribuzioni e competenze.

 

CATEGORIE DI DATI PERSONALI

1. dati identificativi comuni. Cognome e nome, residenza, domicilio, nascita, identificativo online (username, password, customer ID, altro), situazione familiare, immagini, elementi caratteristici della sua identità.

 

2- dati personali appartenenti a categorie particolari. I cosiddetti dati sensibili, vale a dire:

• Dati relativi all’origine e allo stile di vita personale

I dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, o relativi alla vita sessuale o all’orientamento sessuale della persona.

• Dato personale biometrico

I dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.

• Dato personale genetico

I dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione.

• Dati personali relativi alla salute

I dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

 

3 - dati personali relativi alla situazione economica, finanziaria, patrimoniale o fiscale

 

4 - dati personali appartenenti ad altre categorie particolari (cd giudiziari)

Dati personali che rivelano l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (quali, ad es., i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione). Rientrano in questa categoria anche la qualità di imputato o di indagato.

 

CATEGORIE DI INTERESSATI

In via esemplificativa e non esaustiva: cittadini, residenti, minori di anni 16, elettori, contribuenti, utenti, partecipanti al procedimento, dipendenti, amministratori, etc.. (vedi anche “Interessato”)

 

CATEGORIE DI TRATTAMENTO

Si intende per trattamento qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come:

1. la raccolta;

2. la registrazione;

3. l’organizzazione;

4. la strutturazione;

5. la conservazione;

6. l’adattamento o la modifica;

7. l’estrazione;

8. la consultazione;

9. l’uso;

10. la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma messa a disposizione;

11. il raffronto e l’interconnessione;

12. la limitazione;

13. la cancellazione;

14. la distruzione.

 

 

COMUNICAZIONE DI DATI PERSONALI

Far conoscere dati personali a uno o più soggetti determinati (che non siano l’interessato, il responsabile, il soggetto autorizzato al trattamento), in qualunque forma, anche attraverso la loro messa a disposizione o consultazione.

 

DATO PERSONALE

Qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

 

DESTINATARIO

La persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazioni di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione Europea o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento.

 

DIFFUSIONE

Divulgare dati personali al pubblico o, comunque, ad un numero indeterminato di soggetti (ad esempio, è diffusione la pubblicazione di dati personali su un quotidiano o su una pagina web). 

 

FINALITA’ DEL TRATTAMENTO

Esecuzione dei compiti e delle attività connesse alla gestione del servizio idrico integrato.

Adempimento di un obbligo legale al quale è soggetta la società

Esecuzione di un contratto con i soggetti interessati.

Altre specifiche e diverse finalità. 

 

INTERESSATO

La persona fisica cui si riferiscono i dati personali

 

LIMITAZIONE

Il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento (in particolare su richiesta dell’interessato).

 

MISURE TECNICHE ED ORGANIZZATIVE

Pseudonimizzazione, anonimizzazione, cifratura, misure specifiche per assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano dati personali; procedure specifiche per provare, verificare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento; altre misure specifiche adottate per il trattamento di cui trattasi.

Sistemi di autenticazione; sistemi di autorizzazione; sistemi di protezione (antivirus, firewall, antintrusione, altro) – adottati per il trattamento di cui trattasi ovvero dal Servizio/Ente nel suo complesso.

Misure antincendi; sistemi di rilevazione di intrusione; sistemi di sorveglianza; sistemi di protezione con videosorveglianza; registrazione accessi; porte, armadi, contenitori dotati di serratura; sistemi di copiatura e conservazione archivi elettronici; altre misure per ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico – adottati per il trattamento di cui trattasi.

Procedure per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento. 

 

PROFILAZIONE

Qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;

 

PSEUDONIMIZZAZIONE E ANONIMIZZAZIONE DEI DATI PERSONALI

Il trattamento dei dati personali in modo tale che i dati personali non possano essere più attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile. A differenza dell’anonimizzazione, questa tecnica non compromette irreversibilmente la identificazione o identificabilità dell’interessato .

 

RESPONSABILE (INTERNO/ESTERNO) DEL TRATTAMENTO

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

 

SOGGETTO AUTORIZZATO AL TRATTAMENTO (Sub-responsabile)

Il soggetto incaricato del trattamento di dati personali per l’esecuzione di specifiche attività di trattamento per conto del Titolare del trattamento (elabora o utilizza materialmente i dati personali)

 

TITOLARE DEL TRATTAMENTO

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

 

TRATTAMENTO

Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

​

ORGANIZZAZIONE AZIENDALE

 

La Società ha principalmente quale oggetto sociale la vendita diretta e online tra l’altro di prodotti relativi all’attività subacquea.

 

La Società intende tutelare gli interessi di tutti gli stakeholder dei processi orientati a garantire la conformità alle normative applicabili in materia di protezione dei dati personali, ovvero:

• gli Interessati, siano essi Dipendenti, Clienti e Fornitori a cui la Poseidon Technologies di A. A. vuole garantire un trattamento dei relativi dati orientato ai principi di correttezza e trasparenza e adeguatamente informato, in conformità con le normative vigenti in materia di dati personali, bilanciando le necessità di entrambe le parti, ovvero da un lato la tutela dei diritti dell’interessato, dall’altro il perseguimento delle finalità organizzative, senza risultare invasivo ed eccessivo rispetto alle effettive necessità;

• il Management, sia che rivesta il ruolo di Titolare che di Responsabile dei trattamenti svolti, a cui si vuole fornire evidenza della presenza di un sistema di gestione orientato a garantire la conformità alle normative applicabili in materia di privacy in maniera efficace ed efficiente, secondo un approccio di miglioramento continuo;

• Il Personale Autorizzato al Trattamento, a cui si vuole garantire il necessario supporto in termini di formazione, istruzioni e procedure, riferimenti organizzativi e strumenti per svolgere i propri compiti nel contesto dei trattamenti dei dati personali in maniera consapevole delle possibili conseguenze derivanti da comportamenti a rischio e con la tranquillità della presenza di processi strutturati in grado di garantire la conformità ai requisiti privacy applicabili.

 

 

I PROCESSI DI TRATTAMENTO E IL SISTEMA DI GESTIONE DELLA PRIVACY

 

Il Campo di Applicazione del Sistema di Gestione della Privacy (SGP) di Poseidon Technologies di A. A. comprende tutti i processi di trattamento di dati personali e gli asset, intesi come hardware, software, dati informatici, documenti, risorse umane attraverso i quali avviene l’erogazione dei processi di business ed interni della Società.

Il SGP di Poseidon Technologies di A. A. è circoscritto alle attività di coordinamento dei processi di trattamento in conformità alle normative vigenti applicabili in tema di Data Protection.

 

 

PIANIFICAZIONE

 

Azioni per affrontare rischi ed opportunità

L’analisi dei rischi e delle opportunità insite nei processi di trattamento di dati personali rappresenta un aspetto importante per la conformità alle normative vigenti in materia di Protezione dei Dati Personali che viene considerato in molteplici momenti di controllo:

• in fase di procedura di valutazione dei rischi;

• in fase di revisione periodica dei processi di trattamento di dati personali, in accordo a quanto previsto dalla procedura di Gestione del registro dei trattamenti.

La Poseidon Technologies di A. A., prima ancora di procedere alla predisposizione del presente manuale e di tutto il sistema di protezione dei dati ha correttamente avviato una accurata analisi e valutazione dei rischi i cui esiti vengono riportati del Documento di Valutazione dei Rischi.

 

Obiettivi per la privacy e pianificazione per il loro raggiungimento

Con cadenza annuale, il Titolare definisce gli obiettivi privacy da raggiungere e da monitorare nel corso dell’anno.

Il monitoraggio dell’andamento di tali obiettivi viene effettuato in occasione di riunioni, da effettuarsi con cadenza almeno annuale alla presenza degli incaricati del trattamento.

Di seguito gli obiettivi previsti per l’anno 2018:

• Analisi dei Rischi e predisposizione del Documento di Valutazione dei Rischi

• Approvazione ed emissione del Manuale Privacy

• Approvazione ed emissione di una prima versione del Registro dei Trattamenti

• Approvazione ed emissione della Procedura di Data Breach

 

​

SUPPORTO

 

Risorse (Persone, Infrastrutture e Conoscenza Organizzativa)

Poseidon Technologies di A. A. garantisce la disponibilità di adeguate risorse in termini di persone, infrastrutture e conoscenza organizzativa per poter gestire in maniera efficace ed efficiente gli adempimenti privacy applicabili al contesto aziendale.

Per tali motivazioni in occasione delle riunioni per le analisi sul raggiungimento degli obiettivi annuali sulla privacy, il titolare del trattamento deve valutare se le risorse a disposizione sono sufficienti per l’ottenimento di quanto prefissato o siano necessarie nel breve o nel medio-lungo termine risorse aggiuntive per affrontare le sfide individuate, portando le risultanze di tali analisi anche all’attenzione del titolare del trattamento.

 

Competenza, Consapevolezza e Comunicazione

Poseidon Technologies di A. A. è consapevole dell’importanza di presidiare i requisiti di formazione sui temi riguardanti la tutela dei dati personali, a presidio degli aspetti di competenza, consapevolezza del personale e di comunicazione dei corretti comportamenti da adottare

A tale scopo, ogni dipendente della società ha l’obbligo di seguire un corso di base cui concetti della privacy.

Con cadenza annuale, il Titolare del trattamento emette un Piano della Formazione, ove vengono riportate le iniziative che si intendono attuare per il presidio degli aspetti di competenza, consapevolezza e comunicazione afferenti alla tutela dei dati personali

Tale piano deve contenere almeno i seguenti elementi:

• Nome dell’Attività formativa che si intende attuare

• Descrizione generale dei contenuti che si intende trattare

• Destinatari dell’iniziativa formativa

• Periodo indicativo nel quale si prevede l’erogazione di tale attività

 

Nel corso dell’erogazione delle iniziative formative previste, il Responsabile interno del trattamento ha il compito di raccogliere e archiviare le relative evidenze documentali che ne provino l’effettiva attuazione a beneficio dei destinatari indicati.

​

Pianificazione e Controlli Operativi

Poseidon Technologies di A. A. pianifica, implementa e controlla i processi necessari per soddisfare i requisiti relativi al Sistema di Gestione della Privacy:

• stabilendo i criteri di gestione dei processi;

• implementando i controlli per i processi secondo i sopra richiamati criteri;

• mantenendo le informazioni documentate nella misura necessaria ad avere fiducia che i processi siano eseguiti come pianificato.

 

Tali aspetti di pianificazione e controllo operativo sono indirizzati all’interno delle Procedure del Sistema di Gestione della Privacy:

• Procedura di Gestione del Registro dei trattamenti

• Procedura per l’esercizio dei diritti degli interessati.

• Procedure di Data Breach

 

Canale di comunicazione dedicato

Al fine di agevolare lo scambio di comunicazioni, la tenuta sotto controllo e la gestione degli eventi inerenti e/o con impatto sul sistema di gestione della privacy è stato istituito un indirizzo e-mail dedicato alla gestione di tali flussi informativi privacy@...........  cui vi ha accesso il titolare del trattamento e persone di sua fiducia formalmente delegate.

 

 

VALUTAZIONE DELLE PRESTAZIONI

 

Monitoraggio, misurazione, analisi e valutazione

Con cadenza annuale, il Titolare definisce gli obiettivi privacy da raggiungere e da monitorare nel corso dell’anno.

Il monitoraggio dell’andamento di tali obiettivi viene effettuato in occasione di riunioni, da effettuarsi con cadenza almeno annuale alla presenza del Titolare.

In base all’esito delle valutazioni sul raggiungimento degli obiettivi, in tale sede possono essere definite delle opportune azioni correttive e/o di miglioramento ai fini della conformità dei processi di trattamento dei dati personali, da sottoporre eventualmente anche alla valutazione ed approvazione del Titolare.

 

Revisione periodica del sistema di gestione della privacy

Poseidon Technologies di A. A. esegue periodicamente, ed almeno con cadenza annuale o in occasione di importanti eventi o cambiamenti che impattano sul Sistema di Gestione della Privacy, audit interni allo scopo di:

• verificare se le varie attività aziendali sono svolte in accordo alle procedure che le regolamentano;

• definire le eventuali azioni correttive da attuare e misurarne l’efficacia.

La responsabilità di programmare e gestire gli audit interni è del Titolare del trattamento.

Gli audit sono svolti da personale addestrato e qualificato per la conduzione degli stessi.

Il personale che svolge attività di audit in merito agli aspetti di Privacy deve essere in possesso di un’esperienza di audit e di gestione e verifica della privacy e non presentare condizioni di conflitto di interesse con l’area sottoposta ad audit che possa minarne l’indipendenza.

È compito del Titolare coordinare le varie fasi del processo di verifica secondo le seguenti indicazioni:

• Ogni processo aziendale riportato nel registro dei trattamenti deve essere verificato annualmente, secondo quanto definito nel piano di audit interno;

• I temi da sottoporre a verifica devono riguardare i processi riportati nel registro dei trattamenti e la loro conformità rispetto alla normativa vigente in materia di privacy ed alle relative procedure aziendali;

• La verifica deve essere rivolta al controllo della corretta applicazione delle procedure anche allo scopo di verificarne l’efficacia, mediante l’uso di una opportuna check-list;

• La verifica deve essere condotta con la necessaria apertura a registrare, a valutare e, eventualmente, a recepire i suggerimenti e le osservazioni formulati dagli addetti per rendere più efficace ed efficiente il Sistema di Gestione per la Privacy;

• Per ogni audit deve essere redatto un rapporto;

• I risultati degli audit devono essere portati a conoscenza del Titolare con la proposta delle eventuali azioni correttive da mettere in atto;

• Vanno definiti le responsabilità ed i tempi di verifica delle azioni correttive messe in atto;

• Il Titolare può avvalersi di un Consulente esterno per l’esecuzione degli audit interni.

 

A valle di tale verifiche, tenendo anche conto dell’esito delle stesse, il Titolare del trattamento, procede ad un riesame del Sistema di Gestione per la Privacy, individuandone:

• le opportunità di miglioramento;

• le eventuali esigenze di modifica;

• l’eventuale bisogno di risorse.

 

In questa sede vengono definiti i tempi e le Responsabilità nell’avvio delle azioni correttive e/o di miglioramento.