INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI (Reg. UE 2016/679)

Cos’è il GDPR (o RGPD)?

Il GDPR (General Data Protection Regulation) o RGPD (Regolamento generale sulla Protezione dei Dati) è un regolamento generale dell’Unione Europea entrato in vigore il 25 maggio 2018 avente effetto su qualsiasi azienda operante su territorio UE o che abbiano clienti cittadini europei. L’obiettivo del regolamento è rafforzare e rendere più omogenea la protezione dei dati personali dei cittadini e dei residenti dell’Unione Europea, sia all’interno che all’esterno dell’Unione Europea.
Con il GDPR viene sensibilmente ampliata la definizione di ciò che costituisce i dati personali e privati, fino a includere non solo la documentazione finanziaria, della pubblica amministrazione e medica ma anche le informazioni di natura genetica, culturale e sociale.

Il GDPR richiede che le aziende ottengano il consenso specifico di una persona prima di poterne utilizzare i dati personali e devono altresì onorarne, tra gli altri, il diritto all’oblio, inteso come il diritto ad avere i dati eliminati su richiesta, quando previsto.

Definizioni e ruoli

Il GDPR descrive le seguenti definizioni e ruoli:

• Soggetto interessato: Un cittadino della UE identificabile tramite i propri dati personali.
• Titolare del trattamento: Un’azienda che opera entro i confini della UE, o al di fuori della UE ma che ha relazioni commerciali con i cittadini UE, e che acquisisce dati sensibili sui cittadini UE nel corso della propria attività.
• Responsabile del trattamento: Un’attività commerciale che tratti dati personali per conto del titolare del trattamento. Gli esempi includono aziende che offrono servizi cloud, hosting, housing di applicazioni, servizi o storage.
• Dati personali: Qualsiasi informazione riguardante una persona fisica identificata o identificabile. Includono nome, indirizzo email, post dei social media, informazioni fisiche, fisiologiche o genetiche, informazioni mediche, ubicazione, dati bancari, indirizzo IP, cookie, identità culturale, ecc.
• Violazione dei dati personali: La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Le aziende sono tenute a segnalare ogni incidente di violazione della sicurezza dei dati all’Autorità di controllo entro 72 ore dal momento in cui ne sono venute a conoscenza.
• Diritto alla cancellazione: Il diritto di ogni cittadino UE di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali. La richiesta di cancellazione richiede anche la rimozione dei dati dal backup.

Obblighi chiave previsti dal GDPR

Il GDPR prevede che i dati personali possano essere mantenuti solo fino a quanto richiesto dallo scopo iniziale di raccolta e che debbano essere protetti in modo appropriato.

Secondo l’art. 32, sia il titolare che il responsabile del trattamento devono implementare misure adeguate, sia tecniche che a livello organizzativo, per garantire l’integrità e la riservatezza dei dati, la resilienza dei sistemi e la possibilità di ripristinare l’accesso in tempi brevi, incluse la cifratura e la pseudonimizzazione.

Il GDPR si concentra sul concetto di responsabilità dove sono le aziende a dover “dimostrare” la conformità con i principi di tutela dei dati personali. Questo comprenderà l’implementazione di processi trasparenti e dimostrabili oltre ad un approccio proattivo.

Conformità al GDPR

Trattandosi dunque di dati, vediamo come garantire la conformità al GDPR. La compliance a nostro modo di vedere passa per 5 step fondamentali:

• Conoscere i propri dati e mapparne la posizione
  Il primo passaggio riguarda l’analisi e l’individuazione di tutti i processi di raccolta e trattamento dei dati personali, al fine di mappare la posizione di conservazione degli stessi, sia qualora vengano conservati in proprio o affidati a società terze. La mappatura in questione dovrà essere integrata nella documentazione.
• Regolamentare l’accesso
  Completata la mappatura dei dati è fondamentale capire chi ha accesso ad essi e per quali ragioni. L’audit consentirà di individuare potenziali criticità e anche in questo caso le informazioni raccolte saranno preziose per la redazione della documentazione. Non dimenticarsi di considerare anche gli amministratori IT ed eventuali soggetti esterni.
• Proteggere i dati
  La protezione dei dati va assicurata utilizzando ogni sistema idoneo come software anti-malware, firewall, policy di sicurezza, formazione del personale, sistemi di monitoraggio e con il mantenimento di backup.
• Documentazione
  Il GDPR pone a carico del titolare e del responsabile del trattamento l’onere di dimostrare di aver messo in atto adeguate misure a tutela dei dati personali, mantenere un’approfondita documentazione dei processi è quindi fondamentale. A questo dobbiamo aggiungere l’obbligo di segnalazione alle autorità competenti di qualsiasi violazione dei dati (entro 72 ore da quando sono scoperte) e quello di cancellazione dei dati su richiesta (diritto all’oblio).
• Aggiornarsi, sempre
  Le aziende sono organismi viventi, in continua evoluzione e lo stesso dicasi per il contesto nel quale operano. Per garantire la tutela dei dati personali non basta un approccio passivo, è necessario invece essere pro-attivi ed adeguare le misure di sicurezza alle sfide poste dall’integrazione di nuove tecnologie e dalle potenziali minacce che potrebbero emergere.

Ti invitiamo dunque, a leggere attentamente ed in prima persona, le informazioni che seguono per poter consapevolmente focalizzare la tua volontà in merito al trattamento dei tuoi dati e sui diritti a te spettanti per le finalità richieste e/o sottoscritte mediante contratti o accordi come previsto dall’art. 13 del Regolamento Europeo 2016/679 (di seguito “GDPR”).

1. Chi tratta i tuoi dati personali?

Il Titolare del trattamento, cioè il soggetto cui competono le decisioni in ordine alle finalità, alle modalità del trattamento dei tuoi dati personali e agli strumenti utilizzati è SINATTICA Srl, C.F./P.IVA 04375660984, con sede legale in Manerbio (BS), via Cremona, 10 (di seguito “SINATTICA”), che ha stabilito le modalità e le finalità di trattamento dei Tuoi dati.

2. Come e perché utilizziamo i tuoi dati?

I Tuoi dati personali, da te liberamente forniti mediante rapporti contrattuali personali o aziendali, verranno utilizzati da SINATTICA per le seguenti finalità:

3. Cosa succede se non fornisco i miei dati e/o il mio consenso?

La mancata concessione del Tuo consenso impedirà totalmente o parzialmente a SINATTICA di espletare quanto citato nella tabella sopra riportata.
SINATTICA e/o i soggetti da noi incaricati potranno provvedere anche alla elaborazione di analisi statistiche anonime al solo fine di migliorare il servizio offerto. In questo caso l’attività viene svolta sulla base dell’interesse legittimo. Nel caso in cui i Tuoi dati fossero incompleti o inesatti, SINATTICA non potrà garantire un perfetto adempimento delle mansioni riportate nel contratto o accordo stipulato.

4. Come vengono gestiti i miei dati?

SINATTICA e/o i soggetti da noi incaricati tratteranno i Tuoi dati con l’adozione di misure idonee a garantirne la sicurezza e la riservatezza, sia mediante strumenti elettronici/informatici, sia con modalità cartacea.

5. A chi verranno comunicati i miei dati?

Per evadere tue richieste di qualsiasi forma (commerciale/tecnica/etc), i tuoi dati personali saranno trattati da:
I.  Soggetti interni alla struttura di SINATTICA specificatamente autorizzati e pertanto vincolati alla riservatezza.
II. Dai eventuali partner esterni designati da SINATTICA (ex art. 28 GDPR) a Responsabili esterni del trattamento, avendo sottoscritto       con loro uno specifico contratto finalizzato a garantire che la gestione dei Tuoi dati avvenga nei limiti e per le finalità specificate nel   contratto/accordo stipulato ma comunque non oltre a quanto indicato nella tabella del punto 2.
L’elenco completo dei Responsabili (esterni) del trattamento dei dati personali verrà reso disponibile presso la sede di SINATTICA e   potrai richiederne informazioni inviando una mail a privacy@sinattica.com.

6. Per quanto tempo conservate i miei dati?

I Tuoi dati personali saranno conservati per il tempo indicato nella tabella di cui al punto 2, salva revoca del Tuo consenso o l’esercizio dei diritti indicati nel successivo punto 8. In ogni caso il Titolare e i Responsabili da questi designati potranno conservare i Tuoi dati anche per un tempo ulteriore, unicamente al fine di adempiere a specifici obblighi previsti dalla legge, provvedendo alla loro cancellazione una volta terminato tale periodo, oppure provvedendo alla loro anonimizzazione ove/come prevista.

7. Trasferite i dati verso paesi extra UE?

Ci impegniamo a utilizzare/gestire/rivendere prodotti e servizi all’interno di tali confini.
Nessuno dei Tuoi dati sarà trasferito, inviato o diffuso a soggetti residenti al di fuori dell’Unione Europea, fatta eccezione per quei prodotti/servizi di partner o nostri fornitori terzi, da te acquistati, che per motivi tecnologici e di fruibilità ne impongono il contrario.

8. Come posso tutelare i miei diritti?

SINATTICA e i suoi partner ti permettono di esercitare tutti i diritti che la legge le attribuisce in relazione alla gestione dei dati personali che ci hai rilasciato. Potrai esercitare tali facoltà in qualsiasi momento, e in particolare potrai:

ai sensi dell’art. 13, par. 2, lett. b), c), d) del Reg. UE 2016/679, rivolgendosi al Titolare del trattamento, far valere i seguenti diritti, relativi al trattamento dei dati personali:
• diritto all’accesso (art. 15);
• diritto di rettifica (art. 16);
• diritto di cancellazione (art. 17);
• diritto di limitazione (art. 18);
• diritto alla portabilità del dato (art. 20);
• diritto di opposizione (art. 21);
• diritto di proporre reclamo ad un’autorità di controllo (art. 77);
• diritto di revocare il consenso, nei casi previsti dall’art. 6, par. 1, lett. a) oppure dall’art. 9, par. 2, lett. a).

Potrai esporre tutte le richieste sopra esposte presso la sede di SINATTICA o mediante messaggio di posta elettronica da inviare all’indirizzo privacy@sinattica.com. Ti ricordiamo che avrai, in ogni caso, la facoltà di esporre reclamo direttamente all’autorità di controllo, individuata nell’Autorità Garante per la protezione dei dati personali.