MODELLO PRIVACY AI SENSI DEL REGOLAMENTO 679/2016 (GDPR)
SOMMARIO
PREMESSA ……………………………………………………………………………………………………………………….Pag. 3
DEFINIZIONI …………………………………………………………………………………………………………………….Pag. 3
OBIETTIVO E STRUTTURA DEL MODELLO …………………………………………………………………….Pag. 5
POLICY AZIENDALE ………………………………………………………………………………………………………..Pag. 5
TITOLARI, RESPONSABILI E INCARICATI ………………………………………………………………………Pag. 6
ALLEGATI (modello di informativa per il cliente – ex art. 13 D.Lgs. n. 196/2003)………………..Pag. 7
PREMESSA
Il presente Modello raccoglie le misure tecniche ed organizzative che lo Studio Professionale Prof. Claudio Bianchi attua per garantire la conformità al Regolamento UE 2016/679 delle attività di trattamento dei dati personali delle persone fisiche, Cittadini Europei e residenti nell’Unione Europea, che lo Studio effettui direttamente o che soggetti terzi effettuino per suo conto.
Il Regolamento del 27 aprile 2016, cosiddetto “General Data Protection Regulation” (GDPR), pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016, diviene definitivamente operativo ed applicabile in tutti i Paesi membri dell’Unione Europea a partire dal 25 maggio 2018 e persegue il fine di rafforzare la protezione dei dati personali delle persone fisiche, sia all’interno che all’esterno dei confini europei, armonizzando le regole privacy di tutti gli Stati membri, a prescindere dal principio di territorialità.
L’adozione delle misure imposta dagli articoli del GDPR, ai sensi dei quali le politiche interne e le misure da attuare per soddisfare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default, devono tener conto, in concreto, della natura, dell’ambito di applicazione, del contesto e delle finalità di trattamento nonché del rischio per i diritti e le libertà delle persone fisiche.
DEFINIZIONI
Ai fini del GDPR ed in relazione ai soggetti coinvolti dall’attività dello Studio Professionale Prof. Claudio Bianchi, si intendono per:
1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
3) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;
4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
5) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
6) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
7) «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
8) «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
9) «destinatario»: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;
10) «terzo»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;
11) «consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
13) «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
14) «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
15) «rappresentante»: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;
16) «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica;
17) «gruppo imprenditoriale»: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;
18) «norme vincolanti d’impresa»: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune;
19) «autorità di controllo»: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;
20) «autorità di controllo interessata»: un’autorità di controllo interessata dal trattamento di dati personali in quanto:
- a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo;
- b) gli interessati che risiedono nello Stato membro dell’autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure
- c) un reclamo è stato proposto a tale autorità di controllo.
OBIETTIVO E STRUTTURA DEL MODELLO
L’obiettivo del presente Modello Privacy è di garantire e dimostrare che il trattamento dei dati personali da parte dello Studio Professionale Prof. Claudio Bianchi avviene in modo lecito, corretto e trasparente, da raggiungere attraverso la realizzazione di una gestione interna ben strutturata che promuova la cultura della privacy e della sicurezza dei dati personali, consolidando i principi comportamentali idonei a garantire la trasparenza, la sicurezza e la correttezza dei trattamenti, aumentando la propria affidabilità verso i propri clienti, partners, consulenti e dipendenti; potendo, con la sua adozione, dimostrare l’attuazione concreta, efficiente ed efficace delle misure tecniche ed organizzative adeguate alla protezione dei dati personali da essa trattati, direttamente o tramite soggetti terzi che li effettuano per suo conto.
Il presente Modello Privacy è composto in modo da fornire una panoramica sul sistema complessivo delle misure tecniche e organizzative che, sulla base delle concrete esigenze sistematiche ed operative dello Studio Professionale Prof. Claudio Bianchi, si ritengono adeguate, contenendo i principi, le regole organizzative e gli strumenti di controllo per garantire il trattamento lecito, corretto e trasparente dei dati personali.
POLICY AZIENDALE
All’esito dell’attività di risk assessment è emerso che i professionisti impegnati all’interno dello studio svolgono incarichi in:
- organismi di controllo di società di capitali quotate e non;
- board di società di capitali quotate e non;
- attività di consulenza in ambito aziendalistico su specifiche richieste di persone giuridiche o fisiche.
Con riferimento alle attività sub 1 e 2: va chiarito che i dati ricevuti e scambiati con le società, in via elettronica o cartacea in quanto da conservare sono trattati nel rispetto delle norme di cui ai successivi punti del presente modello.
Con riferimento alle attività sub 3, quando viene definito l’incarico si chiede al conferente dello stesso di sottoscrivere il modello di cui all’allegato n. 1.
Il trattamento dei dati rivenienti dalle attività sub 3 in forma elettronica e/o cartacea saranno trattati secondo le norme del presente modello.
Relativamente ai dati in forma elettronica, gli stessi ed i relativi documenti vengono trattati mediante personal computers fissi, ognuno dei quali protetto da una diversa password. I computers sono protetti da un sistema antivirus NOD32 così schematizzato:
- Anti-Virus file (Esamina tutti i file aperti, salvati o eseguiti);
- Anti-Virus Web (Esamina il traffico Web in entrata ed impedisce l’esecuzione di script pericolosi nel computer);
- Controllo sistema (monitora le attività e previene i pericoli associati al malware «incluso il rasomware»);
- Anti-Virus IM (esegue la scansione della messaggistica istantanea in entrata ed in uscita per verificare la presenza di collegamenti dannosi e di phishing);
- Anti-Virus Posta (esegue la scansione dei messaggi in entrata ed in uscita per verificare la presenza di oggetti pericolosi).
I dati presenti in ogni personal computer confluiscono in un sistema NAS interno allo studio, anch’esso protetto da una password.
Lo stesso sistema NAS è impostato in RAID 0 per copia backup dei dati contenuti sui vari personal computers.
Per quanto concerne i documenti gestiti in forma cartacea, tutti i documenti contenenti dati sensibili sono custoditi in armadi chiusi a chiave. Sono impartite a tutti gli incaricati precise istruzioni sul trattamento dei dati e delle pratiche cartacee, in particolare sulla duplicazione elettronica mediante fotocopiatrice o scansione dei documenti cartacei.
Nello svolgimento della propria attività, lo Studio Professionale Prof. Claudio Bianchi può ricevere presso la propria sede, persone fisiche e/o rappresentanti legali di società, con le quali dopo un colloquio conoscitivo, potrebbe avviare un’attività di consulenza. In tal caso lo Studio dopo la formalizzazione dell’incarico, utilizza un apposito modello (Informativa per il cliente ex art. 13 D.Lgs. n. 196/2003 – Allegato n. 1) da far firmare prima dell’inizio dell’attività consulenziale.
Lo Studio Professionale Prof. Claudio Bianchi si avvale, inoltre, di un proprio sito internet ufficiale per scopi divulgativi, informativi e pubblicitari della propria attività, nell’ambito del quale i dati comunicati dall’utenza o comunque raccolti nel corso della navigazione non sono di norma accompagnati da alcuna informazione personale aggiuntiva rispetto agli usuali dati la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet (quali ad esempio nomi di dominio, indirizzi IP, sistema operativo utilizzato, tipo di device e di browser utilizzati per la connessione) e vengono trattati per gestire esigenze di controllo delle modalità di utilizzo dello stesso, accertare responsabilità in caso di ipotetici reati informatici e ricavare informazioni statistiche anonime sull’uso del sito. La base giuridica che legittima il trattamento di tali dati è la necessità di rendere utilizzabili le funzionalità del sito a seguito dell’accesso dell’utente.
Nel caso di invio da parte di un utente del sito informatico di curriculum vitae a scopi di recruiting i dati personali aggiuntivi sono raccolti e trattati esclusivamente per finalità di selezione ed in tal caso la base giuridica che legittima il trattamento è l’esecuzione di misure precontrattuali adottate su richiesta dello stesso candidato.
TITOLARI, RESPONSABILI E INCARICATI
Le figure e le funzioni coinvolte nello Studio Professionale Prof. Claudio Bianchi nelle attività di protezione con riguardo al trattamento dei dati di carattere personale sono:
- a) TITOLARE DEL TRATTAMENTO.
Il titolare del trattamento è il Prof. Claudio Bianchi.
- b) RESPONSABILI DEL TRATTAMENTO.
Il responsabile del trattamento è il Dott. Luigi Pascuzzi.
Il GDPR definisce all’art. 28 il Responsabile del trattamento come il soggetto che effettua trattamenti di dati personali per conto del Titolare, presentando garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che i trattamenti stessi soddisfino i requisiti del GDPR e garantiscano la tutela dei diritti dell’interessato.
- c) INCARICATI DEL TRATTAMENTO.
La figura dell’incaricato del trattamento è definibile come la persona autorizzata al trattamento dei dati personali sotto l’autorità diretta del Titolare o del Responsabile.
Gli incaricati del trattamento dello Studio Professionale Prof. Claudio Bianchi sono coloro i quali, facenti parte dell’organico del suddetto Studio, provvedono materialmente al trattamento dei dati personali sotto la supervisione del relativo Responsabile.
ALLEGATI
(modello di informativa per il cliente – ex art. 13 D.Lgs. n. 196/2003)
IL TITOLARE DEL TRATTAMENTO
Prof. Claudio Bianchi
__________________________________
IL RESPONSABILI DEL TRATTAMENTO
Dott. Luigi Pascuzzi
____________________________________
Informativa per il cliente
(ex art. 13 D.Lgs. n. 196/2003)
Spett.le/Gentile,
desideriamo informarLa che il D.Lgs. n. 196 del 30 giugno 2003 (“Codice in materia di protezione dei dati personali”) prevede la tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali.
Secondo la normativa indicata, tale trattamento sarà improntato ai principi di correttezza, liceità e trasparenza e di tutela della Sua riservatezza e dei Suoi diritti.
Ai sensi dell’articolo 13 del D.Lgs. n. 196/2003, pertanto, Le forniamo le seguenti informazioni:
- i dati da Lei forniti (identificativi – sensibili e giudiziari) verranno trattati nel rispetto della normativa vigente e fermi gli obblighi di riservatezza e di segreto professionale – esclusivamente per le finalità del mandato di cui alla lettera di incarico del ………… ………….., escluso – pertanto – ogni utilizzo diverso e/o confliggente con gli interessi del Cliente.
- Il conferimento dei dati personali identificativi – sensibili e giudiziari – deve intendersi quale mera facoltà e non obbligo. Qualora però alcuni dati dovessero rivelarsi necessari ai fini dello svolgimento dell’incarico, l’eventuale rifiuto di fornire gli stessi potrebbe comportare la mancata prosecuzione del rapporto professionale.
- Nell’espletamento dell’incarico professionale, i dati di cui sopra potranno venire a conoscenza del sottoscritto Studio, degli eventuali responsabili e/o incaricati designati, nonché dei collaboratori/personale dello Studio che potranno trattare i dati personali dei Clienti anche ai fini della redazione delle note spese.
- Gli estremi identificativi del titolare del trattamento sono:
Prof. Claudio Bianchi
- Gli estremi identificativi del responsabile del trattamento sono:
Dott. Luigi Pascuzzi
- I dati personali identificativi – sensibili e giudiziari – nell’espletamento del mandato conferito e nei limiti di legge così come stabilito ex art. 25 del D.Lgs. n. 196/2003 potranno essere soggetti anche a comunicazione quando ciò sia richiesto dalla legge. Non saranno, invece, soggetti a diffusione.
- Il trattamento dei dati avverrà in modo idoneo a garantire la sicurezza e la riservatezza e potrà essere effettuato anche attraverso strumenti automatizzati che consentano la memorizzazione, la gestione e la trasmissione degli stessi.
- In ogni momento potrà esercitare i Suoi diritti nei confronti del titolare del trattamento, ai sensi dell’art. 7 del D.lgs. n. 196/2003.
Formula di acquisizione del consenso dell’interessato
Luogo ……………………………….. Data …………………………………………
Nome ……………………………….. Cognome …………………………………….
Il/La sottoscritto/a, acquisite le informazioni fornite dal titolare del trattamento ai sensi dell’articolo 13 del D.Lgs. n. 196/2003, presta il suo consenso al trattamento dei dati personali per i fini indicati nella suddetta informativa.
Firma cliente
___________________________________