Privacy Policy
Privacy Policy
1. OBIETTIVI
Siamo consapevoli dell’importanza della tutela dei dati personali, in linea con le normative vigenti: per questo abbiamo definito questa Privacy Policy, espressione dell’approccio complessivo che intendiamo adottare per essere pienamente conformi ai requisiti normativi del GDPR.
Il presente documento ha l’obiettivo di rappresentare l’approccio complessivo adottato da Ipothesi al fine di garantire un adeguato livello di tutela dei dati personali di cui effettua un trattamento nel rispetto della normativa di riferimento, in particolare del Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679).
Tale norma ha introdotto significativi cambiamenti nel contesto della gestione dei dati personali inducendo Ipothesi a rinnovare le proprie politiche, procedure e prassi al fine di allinearsi al quadro normativo vigente e ad armonizzarlo con le normative nazionali per le specifiche peculiarità. I
Il Sistema di Gestione Privacy adottato viene concretamente applicato facendo ricorso alla metodologia Plan-Do-Check-Act in ottica di miglioramento continuo e ponendo particolare attenzione alla fase di “analisi del rischio” che permette all’organizzazione di determinare preventivamente i fattori che potrebbero rendere inefficace il Sistema di Gestione e di porre in atto i controlli necessari ad assicurare che questo non accada.
La struttura di riferimento del presente documento è inoltre ispirata alla High Level Structure (“HLS”) delle norme ISO, ovvero all’insieme delle clausole che compongono le norme emanate dall’ente di standardizzazione internazionale.
Tale scelta è dettata dai vantaggi offerti dall’adozione di un approccio riconosciuto a livello internazionale ed allineato a quello degli altri sistemi di gestione.
2 DEFINIZIONI
Ai fini della presente Policy si applicano le seguenti definizioni, coerenti con quanto previsto dalla normativa di settore:
TERMINE | DEFINIZIONE |
Autorità di Controllo Nazionale | L’autorità pubblica indipendente istituita dai singoli Stati membri, ai sensi dell’art. 51 del GDPR. |
Consenso dell’Interessato | Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. |
Dato Personale | Qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”). Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. |
Dato Personale Particolare | Sono i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. |
Dato Giudiziario | Sono i dati personali che rivelano l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (quali, ad es., i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione). Rientrano in questa categoria anche la qualità di imputato o di indagato. |
Delegati del trattamento | Il personale di Ipothesi che ha la responsabilità di garantire l’applicazione delle disposizioni privacy impartite dal Titolare, nonché l’osservanza delle prescrizioni in materia di misure adeguate di sicurezza. Promuovono, nelle strutture assegnate, l’adozione di prassi conformi al GDPR e alle correlate norme interne di attuazione. |
Destinatario | La persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari. Esempi di destinatari: organismi sanitari, enti previdenziali ed assistenziali, ecc. |
DPO | Persona fisica o giuridica che informa e consiglia il Titolare o il Responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal GDPR e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati. Inoltre, sorveglia sull’osservanza del GDPR e di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali. |
Interessato | Persona fisica identificata o identificabile per mezzo di un trattamento dei suoi dati personali effettuato da Ipothesi |
Persona Autorizzata al trattamento o Incaricata al trattamento | Persone fisiche che sono state autorizzate dal Titolare o dal Responsabile all’esecuzione di trattamenti di dati per |
Paesi Terzi | Paesi non appartenenti all’UE o allo Spazio Economico Europeo. |
Regolamento | Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE (c.d. GDPR – Regolamento Generale sulla Protezione dei Dati). |
Trattamento | Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. |
Titolare del trattamento | La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali e mette in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato conformemente alle normative vigenti (cfr. GDPR – artt. 4, 24). |
Responsabile del trattamento | La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento sulla base di un contratto o altro atto giuridico a norma del diritto dell’Unione o degli Stati membri (cfr. GDPR – artt. 4, 28) |
- POLITICA
Ipothesi si impegna a garantire e dimostrare che il trattamento dei dati avviene in maniera conforme a quanto previsto dalla normativa e secondo i seguenti principi applicabili al trattamento dei dati personali, ai sensi anche dell’Art. 5 UE 679/2016:
- Liceità, correttezza e trasparenza: i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
- Limitazione della finalità: raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
- Minimizzazione dei dati: adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- Esattezza: esatti e, se necessario, aggiornati; a tal proposito sono state adottate misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
- Limitazione della conservazione: conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
- Integrità e riservatezza: trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
Le presenti indicazioni sono valide anche per tutti quei trattamenti per cui Ipothesi è nominata Responsabile del Trattamento da altri Titolari, salvo la presenza di misure più restrittive in materia di protezione dei dati personali. La stessa garanzia di protezione e di adozione di adeguate misure di sicurezza è richiesta altresì a quei soggetti terzi ai quali la società ha affidato l’incarico della gestione di alcuni trattamenti.
PRINCIPI
- Liceità, correttezza e trasparenza
Ipothesi si assicura che le loro attività di raccolta dei dati personali non infrangano la legge e che non nascondano nulla agli interessati.
- Limitazione della finalità
I dati personali sono raccolti solamente per uno scopo preciso. Inoltre, tali dati vanno tenuti solo per il tempo necessario a completare lo scopo per cui sono stati raccolti.
- Minimizzazione dei dati
Ipothesi raccoglie, elabora e gestisce solo i dati personali necessari al raggiungimento della finalità per i quali sono trattati.
- Esattezza
Ipothesi adotta tutte le misure per cancellare o rettificare tempestivamente i dati inesatti. Gli interessati hanno il diritto di chiedere che i propri dati personali inesatti o incompleti vengano cancellati o rettificati (Articoli 16 e 17).
- Limitazione della conservazione
Ipothesi elimina i dati personali quando non sono più necessari ai propri scopi.
- Integrità e riservatezza
Ipothesi tratta i dati personali in maniera da garantire un’adeguata sicurezza , compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
4 RUOLI, RESPONSABILITÀ, AUTORITÀ
Sulla base di quanto riportato in precedenza si illustrano di seguito i principali ruoli organizzativi previsti nel Modello Privacy di Ipothesi.
TITOLARE DEL TRATTAMENTO
Il Titolare del trattamento è l’entità che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali. Al Titolare, in persona del suo rappresentante legale, sono affidate le responsabilità di:
- Adottare il sistema e le regole di indirizzo e di attuazione della normativa vigente ed assegnare di conseguenza i compiti alle diverse strutture in essa previste;
- Nominare e designare il Data Protection Officer (DPO), laddove richiesto dalla normativa vigente ovvero adottato su base volontaria;
- Approvare la nomina degli Incaricati del Trattamento e degli Amministratori di Sistema ;
- Definire e fornire tramite, specifiche disposizioni, le finalità, le modalità, gli strumenti e le misure di sicurezza per il trattamento dei dati personali;
- Approvare il piano delle verifiche periodiche e disporre gli interventi necessari alla risoluzione delle anomalie riscontrate;
- Approvare le nomine dei Responsabili del Trattamento, vigilando sul rispetto delle istruzioni a questi impartite;
- Approvare il Registro dei trattamenti ;
- Garantire l’informazione e la formazione delle persone autorizzate al trattamento (incaricati) sulle tematiche relative alla protezione dei dati personali e sul Sistema di Gestione adottato;
- Garantire autonomia e indipendenza di giudizio alle figure che svolgono attività di controllo del rispetto ed attuazione del Regolamento UE, con particolare riferimento al DPO.
DPO
È la persona fisica con il compito di garantire che i diritti e le libertà degli interessati non siano pregiudicati dalle operazioni di trattamento effettuate dal Titolare.
Ha le seguenti responsabilità:
- Verificare l’attuazione e l’applicazione del GDPR e delle altre disposizioni relative alla protezione dei dati, nonché delle politiche di Ipothesi adottate nel suo ruolo da Titolare o da Responsabile in materia di protezione dei dati personali;
- Fungere da punto di contatto per gli Interessati, gestendo anche eventuali controversie e reclami, informando il Titolare nei casi ritenuti critici;
- Rappresentare il punto di contatto per il Garante oppure, eventualmente, consultare il Garante di propria iniziativa;
- Essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali;
- Essere coinvolto tempestivamente in caso di una violazione dei dati personali (Data Breach) al fine di supportare il Titolare nella valutazione del possibile impatto della violazione sulle libertà e i diritti degli interessati stessi e della necessità di notificare la violazione all’Autorità di Controllo e/o agli Interessati;
- Informare il Titolare dei cambiamenti e delle novità del Regolamento EU e della normativa in materia di dati personali.
INCARICATO AL TRATTAMENTO
È la persona fisica, dipendente da Ipothesi, autorizzata dal Titolare, a compiere operazioni di trattamento dei dati attraverso uno specifico atto di nomina interno.
Ha la responsabilità di:
- Osservare le prescrizioni impartite dal Titolare;
- Trattare solo ed esclusivamente i dati personali strettamente necessari all’espletamento delle proprie mansioni;
- Conservare i dati personali, trattati per necessità lavorative, esclusivamente sulla risorsa di rete messa a disposizione da Ipothesi;
- Contribuire all’aggiornamento del Registro delle attività di Trattamento;
- Trattare i dati personali acquisiti nel rispetto delle norme e delle procedure aziendali;
- Assicurarsi, prima di inviare e/o consentire a colleghi e/o terzi l’accesso ai dati personali dei quali si ha l’autorizzazione al trattamento, che i destinatari abbiano titolo per riceverli, e viceversa;
- Informare tempestivamente il DPO qualora identifichi o venga informato di una violazione di sicurezza sia essa intenzionale o accidentale (Data Breach);
- Rispettare le misure di sicurezza adottate dal Titolare per la protezione dei dati personali
AMMINISTRATORE DI SISTEMA (ADS)
L’Amministratore di Sistema è una persona fisica che professionalmente opera nell’ambito dei sistemi informativi, intervenendo sulle componenti hardware e software con il compito di sovraintenderne l’utilizzo.
Ha la responsabilità di:
- Concorrere a mantenere gli adeguati livelli di sicurezza del trattamento dei dati;
- Essere parte attiva nella riduzione del rischio di comunicazioni non autorizzate di dati personali; Contribuire alla definizione delle policy aziendali di sicurezza, fornendo un feedback di quanto accade nell’operatività quotidiana;
- Adempiere alle altre attività operative previste nell’atto di designazione.
RESPONSABILE DEL TRATTAMENTO
È la persona fisica o giuridica, l’autorità pubblica, il servizio o ogni altro organismo che tratta dati personali per conto del Titolare del Trattamento.
Ha la responsabilità di:
- Trattare i dati personali solo su istruzione documentata del Titolare del Trattamento;
- Adottare tutte le misure di sicurezza previste dal GDPR e dall’atto di nomina del Titolare;
- Assistere il Titolare con misure tecniche e organizzative adeguate a proteggere i dati personali; Assistere il Titolare nel garantire il rispetto degli obblighi previsti dal GDPR;
- Garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- Collaborare alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un altro soggetto da questi incaricato.
5 METODOLOGIE
5.1 REGISTRO DELLE ATTIVITÀ’ DI TRATTAMENTO
L’art. 30 del Regolamento (EU) n. 679/2016 prevede tra gli adempimenti principali del Titolare e del Responsabile del trattamento la tenuta del registro delle attività di trattamento.
Il Registro dei Trattamenti costituisce uno dei principali elementi di accountability del Titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.
Ipothesi ha realizzato il Registro dei Trattamenti che consente di soddisfare i principali requisiti di compliance e sicurezza delle informazioni, nonché requisiti circa le modalità di conservazione e aggiornamento dello stesso. In ottica di compliance al GDPR, il portale adottato consente infatti di effettuare accessi sicuri al registro: ogni utente accede ai documenti a seconda del livello di autorizzazione impostato, permettendo così l’accesso anche a personale esterno, garantendo comunque la riservatezza dei dati in esso contenuti.
La struttura del Registro è stata predisposta alla luce dell’art. 30 del GDPR, e contiene le seguenti informazioni:
- il nome e i dati di contatto del Titolare del trattamento;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale;
- ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, paragrafo 1.
5.2 DIRITTI DEGLI INTERESSATI
Gli Interessati sono, di fatto, i proprietari dei dati personali oggetto di trattamento, forniti a Ipothesi per l’esecuzione delle finalità concordate, nel rispetto dei diritti e delle libertà fondamentali.
Gli Interessati hanno diritto alla protezione dei propri dati personali. Tale tutela deve essere garantita dal Titolare anche in caso di dati personali non ottenuti presso l’Interessato.
Ipothesi garantisce agli Interessati l’esercizio dei seguenti diritti:
Accesso – L’Interessato ha il diritto di ottenere dal Titolare la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle relative informazioni;
Rettifica – L’Interessato ha il diritto di ottenere dal Titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo;
Cancellazione – L’Interessato ha il diritto di ottenere dal Titolare la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo, nei casi previsti dalla norma;
Limitazione del trattamento – L’Interessato ha il diritto di ottenere dal Titolare la limitazione del trattamento, se sussistono le condizioni previste dal Regolamento;
Portabilità – L’Interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti al Titolare e ha il diritto di trasmettere tali dati a un altro Titolare senza impedimenti;
Opposizione – L’Interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano, compresa la profilazione;
Revoca del consenso – L’Interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca;
Esenzione da trattamenti automatizzati, compresa la profilazione, che producano effetti giuridici che riguardano gli Interessati o che incidano in modo analogo significativamente sulle loro persone.
Tali istanze, come prevede il Regolamento UE, sono riscontrate entro un mese dalla ricezione della richiesta, estendibile fino a 3 mesi in casi di particolare complessità. I
Ipothesi fornisce all’Interessato le informazioni in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
Il riscontro all’Interessato avviene in forma scritta anche attraverso strumenti elettronici; può essere dato oralmente a richiesta dell’Interessato stesso.
5.3 INFORMATIVE AGLI INTERESSATI
Il regolamento europeo prevede che, in base alla finalità del trattamento, il Titolare debba fornire agli Interessati una informativa ogni qual volta vi sia un trattamento di dati.
Questa è una comunicazione rivolta all’interessato che ha lo scopo di informare lo stesso sulle finalità e le modalità dei trattamenti operati dal Titolare del trattamento, nonché di permettere che l’Interessato possa rendere un valido consenso, se richiesto come base giuridica del trattamento.
Ipothesi, in tutti i casi in cui è Titolare del trattamento, attraverso l’informativa specifica la propria identità, le finalità del trattamento, i diritti degli Interessati, quali sono i destinatari dei dati, i dati di contatto del Titolare, la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti di garanzia. Inoltre, al fine di garantire un trattamento corretto e trasparente specifica il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo competente.
In tutti i casi l’Informativa deve avere una forma concisa, trasparente, intelligibile per l’Interessato e facilmente accessibile che prevede l’utilizzo di un linguaggio chiaro e semplice.
Come previsto dagli Artt. 13 e 14 del GDPR Ipothesi fornisce l’Informativa all’Interessato prima di effettuare la raccolta dei dati, se gli stessi sono raccolti direttamente presso l’Interessato. Se invece i dati non sono raccolti direttamente presso l’Interessato, l’Informativa è fornita dalla Società entro un termine ragionevole.
5.4 VALUTAZIONE D’IMPATTO ( DPIA)
Come espressamente richiesto dal GDPR, “il Titolare effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali , ove ritenuto necessario.
Una valutazione dell’impatto è un processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando tali rischi e determinando le misure per affrontarli.
La realizzazione di un DPIA è obbligatoria ogni qualvolta il trattamento “possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.
La valutazione di impatto viene effettuata nei seguenti casi:
- Introduzione di nuovi trattamenti nell’ambito di nuovi processi e/o nuove attività aziendali;
- Importanti revisioni del modello organizzativo, con effetti su processi e relativi trattamenti;
- Nuovi servizi informativi e/o modifica dei servizi informatici in essere a supporto di trattamenti esistenti;
- Variazioni significative a Trattamenti in essere.
Una volta attivato il processo è compito del Titolare determinare il rischio inerente al trattamento analizzando gli impatti potenziali sugli Interessati attraverso un apposito processo di valutazione che tenga conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il Titolare ritiene di dover adottare per mitigare tali rischi.
Una corretta esecuzione del processo di DPIA prevede le seguenti fasi:
Descrizione sistematica del trattamento: sono presi in considerazione la natura, l’ambito di applicazione, il contesto, i principi di liceità e le finalità del trattamento; sono registrati i dati personali, i destinatari e il periodo di conservazione dei dati personali; viene fornita una descrizione funzionale del trattamento;
sono individuate le risorse sulle quali si basano i dati personali (hardware, software, reti, persone, canali cartacei o di trasmissione cartacea).
Valutazione delle necessità e della proporzionalità del trattamento: sono determinate le misure previste per garantire il rispetto del Regolamento.
Gestione dei rischi per i diritti e le libertà degli interessati: l’origine, la natura, la particolarità e la gravità dei rischi o, più in particolare, per ciascun rischio (accesso illegittimo, modifica indesiderata e perdita dei dati) vengono determinate dalla prospettiva degli Interessati, comprese le tutele circa il formato di Informative e Consensi e l’esercizio dei diritti da parte degli interessati; sono determinate le misure previste per gestire tali rischi.
Determinazione di eventuali azioni correttive e validazione del trattamento: si identificano le azioni di miglioramento che si rendono necessarie per mitigare i possibili rischi per l’interessato e si effettua la validazione da parte del Titolare della DPIA.
Si tratta di un processo di miglioramento continuo, pertanto, può richiedere diverse iterazioni per ottenere un sistema accettabile di protezione. Richiede, inoltre, un monitoraggio periodico e aggiornamenti ogniqualvolta si verifichi un cambiamento significativo.
6 MISURE DI SICUREZZA
Ipothesi implementa un insieme di misure di sicurezza tecniche ed organizzative che garantiscono un livello minimo di protezione per tutti i dati ed i trattamenti.
Tali misure, definite nel Sistema di Gestione Qualità e Privacy, consistono, a titolo esemplificativo, in: impianto documentale (policy, manuali, procedure, istruzioni operative, ecc.);
assetto organizzativo (ruoli e responsabilità formalizzati,, gestione delle competenze delle risorse, ecc.); definizione ed attuazione di processi di business e di supporto strutturati;
certificazione rispetto a standard internazionali (qualità);
definizione ed attuazione – in ambito IT – di processi in grado di governare efficacemente la gestione dei cambiamenti, la gestione della sicurezza e degli accessi, la gestione dell’esercizio); implementazione di soluzioni tecnologiche robuste a supporto della gestione della sicurezza dei dati (autenticazione tramite user e password per l’accesso ai sistemi, sistemi di sicurezza perimetrale, backup automatizzati, siti di disaster recovery, ecc.).
6.1 MISURE ORGANIZZATIVE
Politiche per la sicurezza : Ipothesi adotta un impianto documentale e un Sistema di Gestione qualità e privacy .
Ruoli e responsabilità: Ipothesi definisce i ruoli e le responsabilità relativi alla sicurezza delle informazioni con particolare riguardo al trattamento dei dati personali;
Politica di controllo degli accessi: per ciascun ruolo coinvolto nel trattamento di dati personali, sono identificati profili di autorizzazioni diversificati, in base al principio del minimo privilegio e necessità per il ruolo di accedere e conoscere i dati;
Gestione degli incidenti e delle violazioni dei dati personali: in materia di incidenti di sicurezza sui dati personali Ipothesi forma tutti gli Incaricati del trattamento sule procedure operative per l’identificazione e la gestione degli eventuali “data breach”;
Continuità operativa: Ipothesi adotta le procedure ed i controlli da eseguire per garantire il necessario livello di continuità e disponibilità del sistema IT su cui si effettuano i trattamenti di dati personali;
Riservatezza del personale: Ipothesi garantisce che tutte le persone autorizzate al trattamento comprendano le proprie responsabilità e gli obblighi di riservatezza sui dati personali oggetto del trattamento da essi svolto;
Formazione: Ipothesi assicura che tutti gli incaricati del trattamento siano adeguatamente formati e informati in merito ai requisiti e agli obblighi legali in materia di protezione dei dati attraverso iniziative di formazione specifica.
Dispositivi mobili e portatili: Ipothesi garantisce la gestione e l’utilizzo dei dispositivi mobili e portatili stabilendo regole chiare per il loro corretto utilizzo;
6.2 MISURE TECNICHE
Gestione dei cambiamenti: Ipothesi assicura che tutte le modifiche al sistema IT siano registrate, classificate, valutate, autorizzate e pianificate anche tenendo conto degli standard di sicurezza adottati.
Backup: Ipothesi definisce e documenta le procedure di backup e ripristino dei dati; il backup dei dati è realizzato regolarmente, coerentemente con quanto richiesto dai fabbisogni delle Società;
Sicurezza dei server, dei database e delle postazioni di lavoro: Ipothesi assicura la protezione degli apparati mediante l’adozione di misure di sicurezza adeguate;
Sicurezza di reti e comunicazioni: Ipothesi utilizza tecniche e strumenti di sicurezza e le relative procedure di gestione (e.g. firewalls, dispositivi di sicurezza, segmentazione della rete e rilevazione delle intrusioni) per autorizzare l’accesso ed il controllo del flusso di informazioni da e per la rete aziendale, anche tramite canale cifrato (e.g. VPN) per gli accessi da remoto;
Protezione dei dati: in fase di conservazione e invio a terzi di dati personali, dove possibile Ipothesi ricorre alla crittografia e alla pseudonimizzazione dei dati
Cancellazione e dismissione dei dati: Ipothesi assicura che i documenti ed i supporti che contengono dati personali, al termine del periodo di definito, o sulla base delle richieste fatte dagli interessati devono essere “cancellati” o distrutti in maniera sicura, secondo la normativa vigente.
Per questo la procedura seguita da Ipotesi è quella di creare degli archivi sul server anche in cloud (di provata affidabilità) ben identificati, o delle caselle di posta elettronica ad hoc, dove vengono archiviati tutti i dati personali relativi ad una commessa. In tal modo sarà facile, al termine degli interventi cancellare i dati.
Il periodo di conservazione è quello stabilito dal GDPR tali tempistiche servono a garantire Ipothesi in caso di contestazioni da parte del committente. Possono essere concordate anche tempistiche inferiori con il committente stesso, purché ci sia una liberatoria da parte di quest’ultimo
Riservatezza: qualora i dati siano rilevati nel corso di interviste (telefoniche o in videoconferenza) Ipothesi si assicura che la persona intervistata si trovi in un luogo riservato a garanzia che terze parti non possano venire a conoscenza delle informazioni rilasciate nel corso delle suddette interviste
6.3 RELAZIONE CON TERZE PARTI
All’interno della categoria “terze parti” rientra “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.” Il Regolamento Europeo in particolare distingue tra:
Destinatario: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.
Contitolari del trattamento: quando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento.
Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal Regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informative.
Responsabile del Trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o ogni altro organismo che tratta dati personali per conto di un Titolare del Trattamento.
Per quest’ultima categoria, Ipothesi si impegna a nominare Responsabili del trattamento, ai sensi dell’art.28 del GDPR, tutte le società fornitrici che trattano dati personali per conto del Titolare, mediante un apposito contratto o atto giuridico scritto.
6.4 DATA BREACH NOTIFICATION
Un Data Breach, o violazione dei dati personali, è un evento che provoca la perdita di riservatezza, integrità o disponibilità dei dati personali trattati da Ipothesi.
Il GDPR lo definisce (cfr. art. 4) come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Una violazione dei dati personali è tale anche se i suoi effetti sono temporanei e non permanenti.
I possibili impatti per gli Interessati derivanti da un Data Breach possono includere, tra gli altri, perdita di controllo sui propri dati personali, limitazione dei propri diritti, discriminazione, frode, furto di identità, perdite finanziarie, danni reputazionali, ecc.
Ipothesi garantisce la tempestiva comunicazione di un Data Breach al Garante e, ove necessario, anche agli Interessati, nonché l’attuazione delle attività richieste per contenere l’incidente e ripristinare le normali condizioni operative.
Il Data Breach va comunicato dal DPO per conto del Titolare, o dal Titolare stesso, all’Autorità di Controllo entro 72 ore dalla rilevazione, e senza ingiustificato ritardo agli Interessati laddove comporti un elevato rischio per i diritti e le libertà degli stessi (cfr. artt. 33-34 del GDPR), eventuali ritardi saranno evidenziati con le relative motivazioni.
L’attenzione è posta sulla pronta investigazione di ciascun incidente per determinare il possibile impatto sui dati personali e le appropriate azioni di remediation al fine di limitare i danni per gli Interessati.
6.5 FORMAZIONE E SENSIBILIZZAZIONE
Ipothesi si occupa anche della sensibilizzazione e della formazione del personale che effettua i trattamenti e alle connesse attività di controllo.
7 MONITORAGGIO
Ipothesi si accerta che l’organizzazione sia conforme al Regolamento Europeo e a tutta la normativa in materia di tutela dei dati personali.
Per raggiungere tali obiettivi Ipothesi effettua audit annuali sul sistema di gestione per la qualità e la privacy.
8 RIESAME DELLA DIREZIONE
Almeno una volta l’anno la Ipothesi effettua un riesame delle possibili azioni correttive conseguenti ai risultati dei controlli e dei monitoraggi interni e la definizione di obiettivi per le funzioni aziendali coinvolte nella gestione della Privacy.