Regolamento Privacy

Regolamento Privacy UNILAVORO PMI

Introduzione

Il presente Regolamento sulla privacy è uno strumento di applicazione del Decreto Legislativo 30 giugno 2003, n. 196 (il cosiddetto “Codice sulla privacy”) nell’ambito dell’organizzazione sindacale così come integrato e sviluppato sulla base del Regolamento Europeo 2016 – 679.
Il Regolamento parte da un’attenta analisi delle problematiche concrete che quotidianamente emergono nella tutela della riservatezza dei dati personali in ambito sindacale.
La redazione del Regolamento aziendale sulla privacy si è resa necessaria dopo l’entrata in vigore del Codice, che non solo riordina l’intera normativa in tema di trattamento di dati personali, riunendo in un unico contesto la Legge 31 dicembre 1996, n. 675 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti in questi ultimi anni, ma apporta anche numerose integrazioni e modificazioni, tenendo conto della “giurisprudenza” del Garante per la protezione dei dati personali e del Regolamento Europeo 2016 – 679. Nell’opera di sistemazione dell’intera disciplina il legislatore si è ispirato ai principi di semplificazione ed efficacia, integrando e approfondendo numerosi aspetti che riguardano il trattamento dei dati personali da parte della Pubblica Amministrazione.
Il Regolamento è stato negli anni sottoposto ad aggiornamento periodico, in linea con le novità normative, giurisprudenziali e con le pronunce del Garante. Il presente Regolamento interno serve a disciplinare l’intera attività di Unilavoro PMI in adeguamento alla neo entrata in vigore normativa.
Oggi siamo di fronte ad una nuova importante evoluzione normativa. Come già nel 1995 (con la citata Direttiva 95/46) la Commissione europea si è attivata per una riforma che garantisse un quadro coerente e un sistema complessivamente armonizzato della disciplina all’interno dell’UE e, nel gennaio 2012, ha presentato ufficialmente il “pacchetto protezione dati”, l’insieme normativo che definisce un quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell’UE.
Dopo il lungo iter di approvazione, il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali 2016/679 e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.
Il Regolamento, vigente 20 giorni dopo la pubblicazione in GUUE, è divenuto definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, da quando dunque è stato garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del Regolamento.
La Direttiva da cui trae vigore quanto sarà in applicazione, è vigente dal 5 maggio 2016, e da qual momento impegna gli Stati membri a recepire le sue disposizioni nel diritto nazionale entro due anni.
Il Regolamento europeo, che mira principalmente ad adeguare le norme di protezione dati ai cambiamenti determinati dall’incessante evoluzione delle tecnologie, “porta grandi novità sul piano della tutela dei diritti e degli strumenti previsti per responsabilizzare maggiormente le imprese stabilendo, al contempo, significative semplificazioni” “…soprattutto raggiunge l’ambizioso obiettivo di assicurare una disciplina uniforme ed armonizzata tra tutti gli Stati membri, eliminando definitivamente le numerose assimetrie che si erano create nel tempo”, come spiega il Garante.
Il nuovo Regolamento europeo lascia gli Stati membri liberi di adattare, quando possibile, i principi e le disposizioni previste con quelli applicati nei singoli Stati e rinnova alla luce delle nuove istanze, soprattutto tecnologiche, i consolidati principi che avevano portato all’adozione della direttiva 95/46/UE e ne introduce di nuovi.
In attesa che la normativa nazionale si allinei con il Regolamento europeo, il presente Regolamento, aggiornato con le novità normative, giurisprudenziali e con le pronunce del Garante, dà già atto dei principi descritti.
Anche lo sviluppo normativo in ambito europeo conferma come sia ormai imprescindibile il cammino, già delineato, verso il cambiamento di mentalità che porti alla piena tutela della privacy, da considerare non solo come un oneroso rispetto di adempimenti burocratici, ma, soprattutto, come garanzia, per il cittadino che si rivolge alle strutture sanitarie, di una riservatezza totale dal punto di vista reale e sostanziale.
Il diritto alla privacy è un vero e proprio diritto inviolabile della persona che non si limita alla tutela della riservatezza o alla protezione dei dati, ma implica il pieno rispetto dei diritti e delle libertà fondamentali e della dignità.
Per questi motivi la cultura della privacy necessita di crescere e rafforzarsi, principalmente fra gli operatori della sanità, perché solo con la conoscenza minima dei principi fondamentali che stanno alla base della vigente normativa potranno essere adottati correttamente tutti gli adempimenti di legge, nel trattamento di dati di competenza, con la consapevolezza di non affrontare un inutile gravame, bensì di contribuire concretamente al miglioramento della qualità del rapporto con l’Utenza.
Nell’ambito di Unilavoro PMI si ritiene dunque fondamentale stilare un regolamento che possa conformare condotte e comportamenti di attori interni ed esterni al fine di garantire il rispetto dei diritti in analisi ed un corretto agire degli operatori di settore. Il Regolamento qua stilato potrà essere oggetto di approvazione anche da parte delle singole Sedi Provinciali o locali. Ogni evoluzione tecnologica o normativa verrà prontamente recepita dall’Associazione la quale si impegnerà immediatamente a trasmettere tali innovazioni anche agli altri soggetti.
Il presente Regolamento contiene le disposizioni in materia di riservatezza dei dati personali adottate da UNILAVORO PMI al fine di adeguare l’organizzazione interna a quanto stabilito dal Decreto Legislativo 30 giugno 2003, n. 196 (il cosiddetto “Codice sulla privacy”) e ai principi emersi dal Regolamento Europeo 27 aprile 2016, n.679/2016.

ART. 1 – OGGETTO

Il presente Regolamento contiene le disposizioni in materia di riservatezza dei dati personali adottate da questa Associazione al fine di adeguare l’organizzazione interna a quanto stabilito dal Decreto Legislativo 30 giugno 2003, n. 196 (il cosiddetto “Codice sulla privacy”) e ai principi emersi dal Regolamento Europeo 27 aprile 2016, n.679/2016.

ART. 2 – FINALITÀ

L’Associazione garantisce che il trattamento dei dati si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati. L’Associazione si fa garante della continua formazione del personale interno in materia e di avere a disposizione tutte le misure strutturali, conoscitive ed informatiche tali da poter adempiere ai doveri di specie.
La tutela dei predetti diritti e libertà è attuata cercando di dare, al contempo, pieno dispiegamento al principio di semplificazione, anche mediante la redazione del presente Regolamento che mira a proporre disposizioni precise, appropriate al contesto in cui devono operare, ma di facile comprensione.

ART. 3 – SENSIBILIZZAZIONE

L’Associazione promuove, al suo interno, ogni strumento di sensibilizzazione che possa consolidare una mentalità attenta al pieno rispetto della riservatezza e migliorare la qualità del servizio offerto all’Utenza.
A tal fine l’attività formativa / informativa è considerata uno strumento essenziale per la divulgazione dei criteri per una corretta applicazione della normativa in materia. Sempre in tale ottica e nel rispetto dei principi enunciati da Regolamento UE 2016/ 679 Unilavoro PMI elaborerà una documentazione a corredo che sia consona al dato normativo, ovverosia di semplice comprensione e di facile acquisizione, rispettando sempre le correlate formalità del caso.
Per garantire la conoscenza capillare delle disposizioni del Codice e del presente Regolamento, al momento dell’ingresso in servizio è data a ogni dipendente una specifica comunicazione con i riferimenti per l’acquisizione del “modus operandi”, relativo al ruolo di appartenenza, contenente tutti i principi fondamentali della materia, esposti in maniera semplice, chiara, ma puntuale.

ART. 4 – I DATI TRATTATI

Nell’esercizio delle sue funzioni istituzionali l’Associaizone tratta le seguenti categorie di dati:

  • Dati personali comuni
  • Dati sensibili

Dato Personale: rappresenta qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione

Dato Sensibile: è il dato personale idoneo a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione ai partiti, sindacati associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale dell’interessato.
Inoltre, i dati personali di cui all’articolo 9 del GDPR possono essere trattati se il trattamento avviene ad opera o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.
L’elenco è tassativamente formulato dal Codice e non può essere ampliato anche di fronte al carattere di riservatezza o di particolare rilevanza che un soggetto, o il senso comune, può attribuire ad altre tipologie di dati (es. reddito).

ART. 5 – LE BANCHE DATI

Per banca dati si intende qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti.
L’Associazione, nell’esercizio delle sue funzioni , utilizza:

  1. banche dati di tipo cartaceo;
  2. banche dati di tipo elettronico, utilizzabili con l’impiego di computer:
    • collegati in rete locale;
    • non collegati in rete locale;
    • con collegamento ad

ART. 6 – PRINCIPIO DI NECESSITÀ NEL TRATTAMENTO DEI DATI

I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità possono essere perseguite mediante dati anonimi o con l’uso di opportune modalità che permettano di identificare l’interessato solo in caso di necessità.

ART. 7 – TITOLARE DEL TRATTAMENTO

Il Titolare del trattamento è, ai sensi dell’art. 28 del Cod è il Sig. Vito Frijia

ART. 8 – RESPONSABILI DEL TRATTAMENTO

Il Titolare, in considerazione della complessità e della molteplicità delle funzioni dell’Azienda, designa quali Responsabili del trattamento:

  • Vito Frijia, per le banche dati cartolari e per le banche dati elettroniche delle singole strutture;
  • Vito Frijia per le banche dati elettroniche gestite centralmente;
  • tutti i soggetti esterni che, in qualsiasi maniera, utilizzano la banca dati per conto e nell’interesse dell’Azienda per finalità connesse all’esercizio delle sue funzioni attraverso apposite nomine (art. 9).

La designazione dei Responsabili interni è legata al conferimento dell’incarico di struttura e si considera accettata mediante la sottoscrizione del contratto.
Il Titolare del trattamento dei dati deve informare ciascun Responsabile del trattamento dei dati, così come individuato dal Regolamento, delle responsabilità che gli sono affidate in relazione a quanto disposto dalle normative vigenti.
Ogni Responsabile deve garantire:

  • il tempestivo ed integrale rispetto dei doveri dell’Associazione previsti dal Codice, compreso il profilo relativo alla sicurezza;
  • l’osservanza delle disposizioni del presente Regolamento nonché delle specifiche istruzioni impartite dal Titolare;
  • l’interazione con il Garante in caso di richiesta di informazioni od altri accertamenti;
  • Il preventivo controllo che tutto il materiale fin qua acquisito sia trattato secondo norma;
  • l’adozione di idonee misure per garantire, nell’organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, fermo restando quanto previsto dalla normativa vigente e dal sistema di sicurezza aziendale in materia di modalità di trattamento dei dati sensibili e di misure minime di sicurezza

In particolare deve adottare tutte le misure specifiche previste dal presente Regolamento.
Il Responsabile del trattamento dei dati, in relazione all’attuazione delle misure di sicurezza, ha i seguenti compiti:

  1. redigere ed aggiornare l’elenco delle tipologie dei trattamenti effettuate;
  2. richiedere al Responsabile del Servizio Informatica l’attribuzione ad ogni Incaricato del trattamento di un codice di identificazione personale individuale per l’accesso ai dati;
  3. custodire le password per l’accesso ai dati da parte degli Incaricati;
  4. verificare con il Responsabile del Servizio Informatica l’efficacia dei programmi di protezione ed antivirus nonché definire le misure di accesso ai locali e le misure di sicurezza contro il rischio di intrusione;
  5. garantire che tutte le misure di sicurezza riguardanti i dati dell’Associazione siano applicate all’interno dell’Associazione stessa ed all’esterno, qualora agli stessi vi sia accesso da parte di soggetti terzi quali Responsabili del trattamento;
  6. informare il Titolare nella eventualità si siano rilevati dei rischi.

Tutti coloro che, in qualsiasi maniera, gestiscono, in modo individuale e separato (es. attività libero professionale) rispetto alla singola struttura di appartenenza, dati personali di terzi, assumono singolarmente la qualità di autonomi “Titolari” del trattamento.

ART. 9 – RESPONSABILI ESTERNI DEL TRATTAMENTO

Tutti i soggetti esterni che effettuano operazioni di trattamento sulle banche dati dell’Associazione, per conto e nell’interesse della stessa, per finalità connesse all’esercizio delle funzioni dell’ Associazione stessa, sono nominati “Responsabili esterni” del trattamento.
I Responsabili esterni hanno l’obbligo:

  • di trattare i dati in modo lecito, secondo correttezza e nel pieno rispetto della normativa vigente in materia di privacy;
  • di rispettare le misure di sicurezza previste dal Codice sulla privacy e di adottare tutte le misure che siano idonee a prevenire e/o evitare la comunicazione o diffusione dei dati, il rischio di distruzione o perdita, anche accidentale, di accesso non autorizzato o di trattamento non autorizzato o non conforme alle finalità della raccolta;
  • di nominare al loro interno i soggetti incaricati del trattamento;
  • di garantire che i dati trattati siano portati a conoscenza soltanto del personale incaricato del trattamento;
  • di attenersi alle disposizioni impartite dal Titolare del trattamento;
  • di specificare i luoghi dove fisicamente avviene il trattamento dei dati.

Nel caso di mancato rispetto delle predette disposizioni, i Responsabili esterni del trattamento devono intendersi autonomi “Titolari” del trattamento e quindi soggetti ai rispettivi obblighi e pertanto rispondono direttamente e in via esclusiva per le eventuali violazioni alla legge.
La designazione viene effettuata mediante “atto di nomina” inserito negli accordi, convenzioni o contratti che prevedono l’affidamento di trattamenti di dati personali esternamente all’Azienda.

ART. 10 – INCARICATI DEL TRATTAMENTO

Ogni dipendente preposto ad un determinato servizio e tenuto ad effettuare operazioni tecniche di trattamento è da considerare, a tutti gli effetti, “Incaricato” ai sensi dell’art. 30 del Codice sulla privacy.
L’Incaricato, nello svolgimento delle operazioni strettamente connesse all’adempimento delle sue funzioni, deve attenersi scrupolosamente alle istruzioni impartite dal Titolare e dal Responsabile, impegnandosi ad adottare tutte le misure di sicurezza previste dal presente Regolamento nonché ogni altra misura che sia idonea a prevenire e/o evitare la comunicazione o diffusione dei dati, il rischio, anche accidentale, di distruzione o perdita, di accesso non autorizzato o di trattamento non autorizzato o non conforme alle finalità della raccolta.
L’Incaricato collabora con il Titolare ed il Responsabile segnalando eventuali situazioni di rischio nel trattamento dei dati e fornendo ogni informazione necessaria per l’espletamento delle funzioni di controllo.
In particolare, l’Incaricato deve assicurare che, nel corso del trattamento, i dati siano:

  • trattati in modo lecito e secondo correttezza;
  • raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni di trattamento in termini compatibili con questi scopi;
  • esatti e, se necessario, aggiornati, pertinenti, completi, non eccedenti e, se dati sensibili, indispensabili rispetto alle finalità per le quali sono raccolti o successivamente trattati;
  • conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente

L’incaricato è tenuto alla completa riservatezza sui dati di cui sia venuto a conoscenza in occasione dell’espletamento della sua attività, impegnandosi a comunicare i dati esclusivamente ai soggetti indicati dal Titolare e dal Responsabile, nei soli casi previsti dalla legge e/o nello svolgimento dell’attività istituzionale dell’Azienda.
La designazione dell’Incaricato viene effettuata mediante preposizione del dipendente, con provvedimento di assunzione od ordine di servizio, alla singola unità di servizio per la quale è individuato l’ambito di trattamento consentito per mezzo delle schede di censimento dati .
Gli Incaricati devono ricevere idonee ed analitiche istruzioni, anche per gruppi omogenei di funzioni, riguardo le attività sui dati affidate (inserimento, aggiornamento, cancellazione, ecc.) e gli adempimenti a cui sono tenuti

ART. 11 – INCARICATI ESTERNI DEL TRATTAMENTO

I soggetti che, pur non facendo parte del personale dipendente, operano temporaneamente all’interno dell’Associazione, quali, ad esempio, tirocinanti e professionisti esterni, sono nominati “Incaricati esterni”, con assunzione degli stessi obblighi cui sono sottoposti tutti gli Incaricati in modo da garantire il pieno rispetto della tutela della riservatezza dei dati.
Nel caso di Incaricati esterni, l’accesso ai dati deve essere limitato, con particolare rigore, ai soli dati personali la cui conoscenza sia strettamente necessaria per l’adempimento dei compiti assegnati e connessi all’espletamento dell’attività.
La designazione viene effettuata mediante “atto di nomina”

ART. 12 – DIRITTI DELL’INTERESSATO

L’interessato è il soggetto, persona fisica, alla quale si riferiscono i dati oggetto del trattamento.
Quando l’interessato è rappresentante legale di una società o di qualsiasi altro soggetto giuridico titolare di diritti giuridicamente rilevanti, tutti i diritti a lui ascrivibili si estendono all’entità di cui lo stesso è rappresentante.
L’Associaizone attua tutte le misure necessarie a facilitare l’esercizio dei diritti dell’interessato ai sensi dell’art. 7 del Codice.
A tal fine il Codice sulla privacy prevede che l’interessato, con richiesta fatta senza formalità, ha diritto di ottenere:

  1. la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati;
  2. la comunicazione dei dati che lo riguardano in forma comprensibile (anche attraverso l’utilizzo di una grafia leggibile; in caso di comunicazione di codici o sigle sono forniti i parametri per la comprensione del relativo significato);
  3. l’indicazione:
    1. dell’origine dei dati personali;
    2. delle finalità e modalità del trattamento;
    3. della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
    4. degli estremi identificativi del Titolare e dei responsabili;
    5. dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati;
  4. l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;
  5. la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
  6. l’attestazione che le operazioni di cui ai punti 4 e 5 sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto

L’interessato ha diritto di opporsi, in tutto o in parte, per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta.
Se la persona alla quale si riferiscono i dati è deceduta, i diritti summenzionati possono essere esercitati:

  • da chi ha un interesse proprio;
  • da chi agisce a tutela dell’interessato;
  • da chi agisce per ragioni familiari meritevoli di protezione.

ART. 13 – DIRITTO DI RETTIFICA

L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo.
Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Unilavoro PMI si impegna affinché appena rettificati od integrati i dati sia data pronta comunicazione al soggetto referente dell’avvenuto adeguamento.

ART. 14 – DIRITTO ALL’OBLIO O ALLA CANCELLAZIONE DEI DATI

L’interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il Titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

  1. i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
  2. l’interessato revoca il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico per il trattamento;
  3. l’interessato si oppone al trattamento;
  4. i dati personali sono stati trattati illecitamente;
  5. i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il Titolare del trattamento;
  6. i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.

Il Titolare del trattamento, se ha reso pubblici dati personali ed è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione, adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
Tali disposizioni non si applicano nella misura in cui il trattamento sia necessario:

  1. per l’esercizio del diritto alla libertà di espressione e di informazione;
  2. per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il Titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il Titolare del trattamento;
  3. per motivi di interesse pubblico nel settore della sanità pubblica;
  4. a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
  5. per l’accertamento, l’esercizio o la difesa di un diritto in sede

ART. 15 – DIRITTO ALLA PORTABILITÀ DEI DATI

È opportuno sviluppare formati interoperabili che consentano la portabilità dei dati, a richiesta dell’interessato (attraverso un procedimento semplificato), vale a dire il diritto di trasferire i propri dati tra diversi sistemi elettronici senza che il Responsabile del trattamento possa impedirlo.

ART. 16 – IL PRINCIPIO DELLA TRASPARENZA

Le informazioni e le comunicazioni relative al trattamento di tali dati personali devono essere facilmente accessibili e comprensibili e deve essere utilizzato un linguaggio semplice e chiaro.
Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del Titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione del trattamento di dati personali che li riguardano.

ART. 17 – IL TRATTAMENTO DEI DATI

Con l’espressione “trattamento” deve intendersi qualunque operazione o complesso di operazioni, svolti con o senza l’ausilio di mezzi elettronici, concernenti:

  1. la raccolta dei dati;
  2. la registrazione dei dati, cioè il loro inserimento su supporti, automatizzati o manuali, al fine di rendere i dati disponibili per successivi trattamenti;
  3. l’organizzazione dei dati in senso stretto, cioè il processo di lavorazione che ne favorisca la fruibilità attraverso l’aggregazione o la disaggregazione, l’accorpamento, la catalogazione, ;
  4. la conservazione dei dati alla quale la legge dedica particolari attenzioni sotto il profilo della sicurezza;
  5. la consultazione;
  6. l’elaborazione, ovvero le operazioni che attribuiscono significato ai dati in relazione allo scopo per i quali essi sono stati raccolti;
  7. la modificazione dei dati registrati in relazione a variazioni o a nuove acquisizioni;
  8. la selezione, l’estrazione, e il raffronto, ipotesi specifiche che rientrano nell’ipotesi più generale dell’elaborazione;
  9. l’utilizzo;
  10. l’interconnessione, ovvero la messa in relazione di banche dati diverse e distinte tra loro al fine di compiere ulteriori processi di elaborazione, selezione, estrazione o raffronto;
  11. il blocco, ovvero la conservazione dei dati con sospensione temporanea dei trattamenti;
  12. la comunicazione, ovvero la trasmissione dei dati ad uno o più soggetti determinati, in qualunque forma, anche mediante messa a disposizione o consultazione; non è comunicazione la trasmissione dei dati allo stesso interessato, al Responsabile e agli Incaricati del trattamento;
  13. la diffusione, ovvero il dare conoscenza dei dati personali a soggetti indeterminati (es.: pubblicazione all’albo, giornale, );
  14. la cancellazione;
  15. la distruzione.

ART. 18 – PRINCIPI FONDAMENTALI DEL TRATTAMENTO DEI DATI

I dati personali oggetto del trattamento devono essere:

  • trattati in modo lecito, corretto e trasparente nei confronti dell’interessato; raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
  • esatti, e se necessario, aggiornati;
  • pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti;
  • conservati in una forma che consenta l’identificazione dell’interessato per un periodo non superiore a quello necessario agli scopi per i quali sono stati

ART. 19 – NOTIFICAZIONE

L’Associazione ha provveduto, nei termini di legge, alla notificazione per via telematica al Garante per la protezione dei dati personali, ai sensi dell’art. 37 del Codice.
La notificazione è stata inserita nel registro dei trattamenti predisposto dal Garante ed è accessibile a chiunque per via telematica.

ART. 20 – CENSIMENTO DEI TRATTAMENTI DEI DATI

Tutti i trattamenti effettuati all’interno dell’Associazione sono rilevati, con riferimento a ciascuna Unità Operativa, mediante censimento.
Le schede dettagliate specificanti l’ambito di trattamento autorizzato all’interno di ogni Unità Operativa sono raccolte e conservate presso la sede legale e contengono l’indicazione di:

  • dati trattati;
  • finalità perseguite nel trattamento;
  • incaricati del trattamento;
  • modalità;
  • operazioni compiute;
  • ambito della comunicazione e diffusione dei dati.

L’individuazione dell’ambito di trattamento di ogni Unità Operativa consente:

  • la valutazione dei rischi presenti connessi alla tutela della riservatezza;
  • la possibilità di designare gli Incaricati del trattamento mediante la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima ai sensi dell’art. 30 del Codice sulla Privacy e dell’art. 10 del presente Regolamento.

ART. 21 – TRATTAMENTO DEI DATI PERSONALI ORDINARI

Il trattamento dei dati personali ordinari da parte dell’Associazione, e’ consentito solo per lo svolgimento delle funzioni per cui Unilavoro PMI opera e necessarie allo svolgimento dei servizi richiesti da parte o per conto dell’ interessato.
L’eventuale comunicazione dei dati personali ad un altro soggetto pubblico per finalità legislativamente consentite è ammessa quando è prevista da una norma di legge o di regolamento o, in mancanza, quando è necessaria per lo svolgimento delle finalità relative al documento. In quest’ultima ipotesi la comunicazione non può essere effettuata se non dopo il decorso del termine di cui all’art. 39, comma 2 del Codice in materia di protezione dei dati personali.
La comunicazione a soggetto privato è ammessa soltanto quando è prevista da una norma di legge o regolamento e cogentemente nel rispetto delle finalità intrinseche allo stesso.
Per il trattamento dei dati personali ordinari non deve essere richiesto il consenso dell’interessato, né l’eventuale acquisizione del consenso serve a sanare un trattamento effettuato senza i presupposti di legge.

ART. 22 – TRATTAMENTO DEI DATI SENSIBILI E GIUDIZIARI

L’Associazione, può trattare i dati sensibili, che non siano di natura sanitaria, e i dati giudiziari, solo quando il trattamento è autorizzato da espressa disposizione di legge, così come disciplinato dall’art. 10 del Regolamento UE 2016 – 679.
In ogni ipotesi di trattamento dei dati sensibili e giudiziari occorre verificare, sia preliminarmente sia durante il trattamento, che i dati trattati siano indispensabili per svolgere le attività in processo e non sia possibile utilizzare solo dati anonimi.
Tale trattamento deve essere effettuato in modo da prevenire la violazione dei diritti, delle libertà fondamentali e della dignità delle persone.
Per il trattamento dei dati sensibili e giudiziari di cui è necessaria l’acquisizione nelle modalità suindicate non deve essere richiesto il consenso dell’interessato, né l’eventuale acquisizione del consenso serve a sanare un trattamento effettuato senza i presupposti di legge di cui sarà responsabile il trasgressore.
Il consenso è invece necessario per il solo trattamento di dati sensibili di natura sanitaria, secondo quanto stabilisce l’art. 26 del presente Regolamento.

ART. 23 – REGOLAMENTO DATI SENSIBILI E GIUDIZIARI

Se la disposizione di legge, di cui all’articolo precedente, prevede solo la possibilità, da parte dell’Azienda, di trattare i dati sensibili e giudiziari per il perseguimento delle finalità di interesse pubblico elencate agli artt. 85 e 86 del Codice sulla Privacy. considerandosi di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità, perseguite mediante trattamento di dati sensibili e giudiziari, relative alle attività amministrative correlate all’applicazione della disciplina in materia di:

L’Azienda recepisce ed applica al suo interno il regolamento sui dati sensibili e giudiziari predisposto dalla Regione.

ART. 24 – INFORMATIVA RELATIVA A TRATTAMENTI PARTICOLARI

Nelle ipotesi di trattamento di dati personali ordinari, sensibili e giudiziari di cui ai precedenti articoli, l’Associazione deve fornire all’interessato specifica informativa.
A titolo esemplificativo si individuano alcune formule da utilizzare in alcuni procedimenti specifici.
Per i trattamenti dei dati connessi alla gestione del rapporto di lavoro con il personale dipendentedell’Associazione è predisposta apposita informativa

Art. 25 – GESTIONE DEL PERSONALE

L’Associazione tratta i dati, anche di natura sensibile , dei propri dipendenti per le finalità, considerate di rilevante interesse pubblico, di instaurazione e di gestione di rapporti di lavoro di qualunque tipo, così come specificato dall’art. 112 del Codice.
Tra tali trattamenti sono compresi quelli effettuati al fine di accertare il possesso dei requisiti previsti per l’accesso a specifici impieghi, la sussistenza dei presupposti per la sospensione o la cessazione dal servizio, di adempiere agli obblighi connessi alla definizione dello stato giuridico od economico del personale, nonché ai relativi obblighi retributivi, fiscali e contabili, di adempiere a specifici obblighi in materia di igiene e sicurezza del lavoro, di accertare la responsabilità civile, disciplinare e contabile dei dipendenti.
Per il trattamento dei dati del personale dipendente non è necessario richiedere il consenso dell’interessato.
Per i trattamenti dei dati connessi alla gestione del rapporto di lavoro con il personale dipendentedell’Associazione è predisposta apposita informativa
La pubblicazione di dati riguardanti il personale deve essere effettuata dopo un’attenta verifica che le indicazioni contenute non comportino la divulgazione di dati idonei a rivelare lo stato di salute, utilizzando, piuttosto, diciture generiche o codici numerici.
Non sono infatti ostensibili, se non nei casi previsti dalla legge, le notizie concernenti la natura delle infermità e degli impedimenti personali o familiari che causino l’astensione dal lavoro, nonché le componenti della valutazione o le notizie concernenti il rapporto di lavoro tra il personale dipendente e l’amministrazione, idonee a rivelare taluna delle informazioni di natura sensibile.
Unilavoro PMI disciplina, inoltre, l’utilizzo delle risorse informatiche e di comunicazione mobile secondo le disposizioni normative in essere e secondo le Linee Guida adottate in materia dal Garante, assolvendo in tal modo alla funzione di garanzia a favore di tutti coloro che svolgono un rapporto di lavoro o di servizio a beneficio dell’Associazione, anche al fine di costituire una informativa preventiva, fornita a tutti questi soggetti, circa termini, casi e modalità di verifica del corretto utilizzo degli strumenti informatici e telematici messi a loro disposizione per le attività di lavoro o di servizio.
L’Associazione, pertanto, informa i lavoratori delle condizioni di utilizzo della mail aziendale (e anche della stessa rete, in orario di lavoro o comunque con gli strumenti messi a disposizione dal datore), dei controlli che il datore di lavoro si riserva di effettuare per fini legittimi, nonché delle eventuali conseguenze disciplinari suscettibili di derivare dalla violazione di tali regole.
Gli eventuali controlli restano comunque soggetti alla disciplina del Codice privacy e, in particolare, ai principi di necessità, finalità, legittimità e correttezza, proporzionalità e non eccedenza del trattamento, nonché all’obbligo di previa informativa del lavoratore e al divieto di profilazione.

ART. 26 – MODALITÀ SEMPLIFICATE PER INFORMATIVA E CONSENSO

L’Associazione si avvale delle modalità semplificate relative all’informativa e al consenso in riferimento ad una pluralità di prestazioni erogate anche da distinti reparti ed unità, in distinte strutture dalla stessa.
Le strutture annotano l’avvenuta informativa e il consenso con modalità uniformi e tali da permettere una verifica al riguardo da parte di altri reparti ed unità che, anche in tempi diversi, trattano dati relativi al medesimo interessato.
Così come da norma “il consenso dovrà essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potràe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non si dovrà pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovàe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrà essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta sarà essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso“.
Per addivenire al rispetto di tali requisiti normativi si darà predisposizione ad una modulistica improntata ai fattori della chiarezza, semplicità, facilità applicativa.

ART. 27 – INFORMATIVA

L’Associazione, mediante le proprie strutture, si avvale della facoltà di fornire un’unica informativa per la pluralità dei trattamenti di dati effettuati, anche ai fini amministrativi e in tempi diversi, rispetto a dati raccolti presso l’interessato e presso terzi.
L’informativa è fornita per iscritto, attraverso carte pieghevoli ed è integrata da appositi e idonei cartelli ed avvisi agevolmente visibili dal pubblico, affissi nei locali di accesso dell’Utenza
L’informativa contiene:

  1. le finalità e le modalità del trattamento;
  2. l’indicazione della natura facoltativa del conferimento dei dati;
  3. le conseguenze di un eventuale rifiuto di rispondere;
  4. l’ambito di comunicazione e diffusione dei dati;
  5. i diritti dell’interessato;
  6. l’indicazione del Titolare e del Responsabile del Trattamento

Art. 28 – PRESTAZIONE DEL CONSENSO

Gli interessati devono sottoscrivere il consenso al momento in cui lo stesso è richiesto in rapporto all’attività espletata con Unilavoro PMI. Qualora il trattamento sia basato sul consenso, il titolare del trattamento previamente dimostrerà che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali nei modi e forme previsti dalla Legge e dal regolamento UE 2016 – 679.
Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche alter attività, la richiesta di consenso è presentata in un modello separato chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile all’utente, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del Regolamento UE è vincolante.
L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento, rendendosi disponibile l’Azienda a facilitare il compimento di tale attività. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso dato dall’utente prima della revoca. Prima di esprimere il proprio consenso, l’interessato deve essere informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.
Nel valutare se il consenso sia stato liberamente prestato si ha massimo riguardo a quanto stabilito dall’art. 7 comma 4 del Regolamento UE
Nel formare il documento di assenso al trattamento dei dati personali si terrà conto della facilità di compresnione dello stesso, delle tecnologie disponibili e del permanente rispetto della volontà del soggetto concedente.

ART. 29 – DIRITTO DI ACCESSO ALLA DOCUMENTAZIONE AMMINISTRATIVA E DIRITTO ALLA RISERVATEZZA

La disciplina del diritto di accesso, così come regolata dalla Legge 7 agosto 1990, n. 241, non viene né annullata né modificata dalla introduzione delle norme tese a tutelare il diritto alla riservatezza.
L’Associazione garantisce e contempera tra loro i due diritti.
In osservanza alle normative vigenti in materia di accesso ai documenti amministrativi, l’Associazione valuterà caso per caso la possibilità di accedere a tali documenti, avendo riguardo alla sussistenza delle condizioni per l’esercizio del diritto di accesso previste dalla Legge 241/90.

ART. 30 – INDAGINI DI CUSTOMER SATISFACTION

I sondaggi per verificare la customer satisfaction degli associati – effettuati per telefono, per posta, per email, tramite questionari cartacei o form su siti istituzionali – possono riguardare esclusivamente informazioni sulla qualità del servizio (accoglienza, tempi di attesa, informazioni ricevute,), senza entrare nella valutazione degli aspetti specifici delle prestazioni erogate.
Prima di iniziare il sondaggio, l’Associazione deve valutare se vi sia la reale necessità di raccogliere dati personali o se non sia invece possibile raggiungere gli stessi obiettivi utilizzando dati anonimi. In questo secondo caso non si applicano le disposizioni in materia di privacy.
Qualora invece si ritenga necessario acquisire dati personali, questi devono essere comunque distrutti o resi anonimi subito dopo la registrazione.
La partecipazione al sondaggio deve essere sempre facoltativa.
Non potranno essere utilizzati dati sulla vita sessuale e le informazioni raccolte nel corso delle attività di customer satisfaction non potranno essere utilizzate per profilare gli utenti o inviare materiale pubblicitario.
La comunicazione o la diffusione dei risultati dei sondaggi dovrà avvenire sempre in forma anonima o aggregata.
Agli Utenti, infine, dovrà essere sempre assicurata una dettagliata informativa in cui risultino chiari tutti gli aspetti e le modalità del sondaggio e dell’informativa richiesta

ART. 31 – MISURE DI SICUREZZA

Il trattamento dei dati personali all’interno dell’Associazione è garantito dall’applicazione di idonee e preventive misure di sicurezza che consentono di limitare secondo quanto tecnologicamente e professionalmente possibile i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta.
Il sistema di sicurezza identifica le scelte organizzative e le modalità operative in materia di sicurezza nel trattamento dei dati personali, in particolare riguardo a:

  1. l’elenco dei trattamenti di dati personali;
  2. la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;
  3. l’analisi dei rischi che incombono sui dati;
  4. le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità. Nello specifico i dati cartacei già assunti verranno conservati in maniera sicura, certa e protetta all’interno degli uffici, in locali e spazi a ciò appositamente dedicati. I nuovi dati assunti in via informatica verranno tutelati attraverso l’accesso limitato da codici e salvaguardie proprie del’attuale conoscenza informatica;
  5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
  6. la previsione di interventi formativi per gli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal Titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
  7. la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al Codice, all’esterno della struttura del Titolare;
  8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.

Responsabili in caso di videosorveglianza

I soggetti responsabili dovranno avere cura di seguire tutte le misure idonee anche relativamente all’installazione di un sistema di videosorveglianza, cominciando dal preventivo assenso della DTL – Provinciale.
Il Responsabile designa per iscritto tutte le persone fisiche, incaricate del trattamento, autorizzate sia ad accedere ai locali dove sono situate le postazioni di controllo, sia ad utilizzare gli impianti e, nei casi in cui sia indispensabile per gli scopi perseguiti, a visionare le immagini (art. 30 del Codice).
Deve trattarsi di un numero delimitato di soggetti, specie quando il Titolare si avvale di collaboratori esterni. Occorre altresì individuare diversi livelli di accesso in corrispondenza delle specifiche mansioni attribuite ad ogni singolo operatore, distinguendo coloro che sono unicamente abilitati a visionare le immagini dai soggetti che possono effettuare, a determinate condizioni, ulteriori operazioni (es. registrare, copiare, cancellare, spostare l’angolo visuale, modificare lo zoom, ecc.).
In caso di mancata designazione, il Responsabile è l’unico autorizzato a visionare le immagini.

ART. 32 – RESPONSABILITÀ IN CASO DI VIOLAZIONE DELLE DISPOSIZIONI SULLA PRIVACY

Il mancato rispetto delle disposizioni in materia di riservatezza dei dati personali è punito con le sanzioni di natura amministrativa e di natura penale nelle ipotesi previste dagli articoli da 161 a 172 del Codice, nonché con sanzioni di natura disciplinare.
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del Codice Civile (responsabilità per esercizio di attività pericolosa). In tale ipotesi vi è una presunzione di responsabilità che può essere superata solo con la dimostrazione di aver adottato tutte le misure idonee ad evitare il danno.

ART. 33 – NORMA FINALE

Per quanto non previsto nel presente Regolamento si applicano le disposizioni del Codice in materia di protezione dei dati personali (Decreto Legislativo 30 giugno 2003, n. 196 e successive modificazioni ed integrazioni) e dei provvedimenti specifici del Garante per la protezione dei dati personali nonché quanto disposto nel Regolamento UE 2016 – 679.
Al presente Regolamento saranno allegati come parte integrante e propedeutica tutti quei documenti necessari al rilascio del consenso affini alle attività svolte dall’associazione e collegate a quanto da essa svolto nell’ambito istituzionale.
Qualsiasi elemento o fatto qua espressamente non previsto si confermerà in sostanza e in fattispecie a quanto previsto del Regolamento 2016 – 679, che si ritiene dato per assunto e applicato in ogni parte e capitolo.

Questo sito fa uso di cookie per migliorare l’esperienza di navigazione degli utenti e per raccogliere informazioni sull’utilizzo del sito stesso. Utilizziamo sia cookie tecnici sia cookie di parti terze per inviare messaggi promozionali sulla base dei comportamenti degli utenti. Può conoscere i dettagli consultando la nostra privacy policy qui. Proseguendo nella navigazione si accetta l’uso dei cookie; in caso contrario è possibile abbandonare il sito.