POLITICA IN MATERIA DI PROTEZIONE
DEI DATI PERSONALI
La Politica definisce:
(i) i principi generali applicabili a AMADUCCI IMPIANTI S.R.L. in qualità di titolare del trattamento di dati personali e i presìdi generali adottati per ottemperare a tali principi; AMADUCCI IMPIANTI S.R.L. provvede, con cadenza almeno annuale, a rivedere la Politica e a valutare eventuali modifiche da apportare. Eventuali modifiche derivanti da:
i) cambiamenti organizzativi,
ii) emanazione o modifica della normativa di secondo livello (es. Provvedimenti del Garante Privacy) sono apportate alla presente da AMADUCCI IMPIANTI S.R.L.
La Politica entra in vigore il 28 Luglio 2020
Principi e presidi generali sul trattamento di dati personali
La Politica identifica i principali presìdi individuati da AMADUCCI IMPIANTI S.R.L. per assicurare il rispetto dei principi generali contenuti nel GDPR, con particolare riguardo a:
(i) liceità del trattamento;
(ii) diritti degli interessati;
(iii) registro dei trattamenti e valutazione d’impatto sulla protezione dei dati;
(iv) sicurezza dei trattamenti
(v) gestione degli eventi di data breach.Al riguardo,AMADUCCI IMPIANTI S.R.L.:
(i) adotta processi, strumenti e controlli idonei, che consentano il pieno rispetto dei principi generali sul trattamento dei dati personali;
(ii) garantisce adeguati flussi informativi da e verso le strutture di controllo e operative;
(iii) assicura lo svolgimento delle attività di formazione del personale in materia di protezione dei dati personali, al fine di garantire il rispetto della normativa applicabile da parte di chiunque ponga in essere attività di trattamento dei dati personali all’interno della struttura aziendale sotto l’autorità del titolare.
I trattamenti di dati personali delle diverse categorie di soggetti interessati (es. clienti, dipendenti, fornitori) svolti da AMADUCCI IMPIANTI S.R.L. si fondano sui seguenti principi:
1.liceità, correttezza e trasparenza: i dati personali sono raccolti e trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
2.limitazione della finalità: i dati personali sono raccolti e trattati per finalità determinate, esplicite e legittime;
3.minimizzazione dei dati: i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
4.esattezza: i dati personali sono mantenuti esatti ed aggiornati e sono adottate misure ragionevoli per cancellare o rettificare, tempestivamente, i dati inesatti o superati;
5.limitazione della conservazione (c.d. data retention): i dati personali sono conservati per un arco temporale non superiore al conseguimento delle finalità per cui sono stati raccolti;
6.integrità e riservatezza: i dati personali sono trattati in modo da garantirne un’adeguata sicurezza, attraverso l’adozione di misure tecniche ed organizzative adeguate;
7.privacy by design e privacy by default: gli aspetti in materia di protezione dei dati personali devono essere considerati fin dalle fasi di progettazione, implementazione e configurazione di tutte le tecnologie utilizzate per le operazioni di trattamento.
8.responsabilizzazione (c.d. accountability): i trattamenti dei dati personali sono svolti secondo i principi che precedono e il loro rispetto è adeguatamente documentato.
Informativa sul trattamento.
In conformità ai principi di trasparenza, correttezza, limitazione delle finalità e data retention, le procedure devono prevedere che ai soggetti interessati, all’atto della raccolta dei dati personali, vengano fornite chiare informazioni (Informativa) circa:
i)l’identità di AMADUCCI IMPIANTI S.R.L.
ii) le caratteristiche del trattamento (es. le finalità e la base giuridica dello stesso, il periodo di conservazione dei dati)
iii)i diritti del soggetto interessato.
Qualora i dati non siano stati ottenuti presso l’interessato, l’informativa indica anche la fonte da cui hanno origine i dati personali e se si tratta di dati provenienti da fonti accessibili al pubblico.
Sicurezza dei dati e loro protezione
Per garantire un livello di sicurezza del trattamento dei dati adeguato al rischio, le procedure devono definire misure tecniche e organizzative, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi del trattamento e alla natura dei dati personali, in accordo ai principi di “privacy by design” e “privacy by default”. Tenendo conto dei rischi presentati dal trattamento che derivano, in particolare, dalla distruzione, dalla perdita o dalla modifica non autorizzata di dati personali, le procedure devono definire le misure di sicurezza che possono garantire un adeguato livello di protezione dei dati personali di default e in via preventiva rispetto allo stesso trattamento dei dati personali.
Gestione degli eventi di data breach
Sempre al fine di assicurare il rispetto dei principi di integrità e riservatezza dei dati personali, laddove sia identificata una violazione di sicurezza, accidentale o illecita, che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata dei dati compromettendone la riservatezza, la disponibilità o l’integrità, le procedure devono assicurare, che la notifica all’Autorità di Controllo avvenga entro 72 ore dal momento in cui sia stata ravvisata la violazione. Tale notifica contiene:
- la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati;
- le probabili conseguenze della violazione;
- le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e attenuarne i possibili effetti negativi.
Qualora la notifica non sia effettuata entro 72 ore, devono essere indicati i motivi del ritardo. Nei casi in cui la violazione possa comportare elevati rischi per i diritti e le libertà dei soggetti interessati, le procedure devono prevedere che sia fornita agli interessati informativa sulla violazione senza ingiustificato ritardo. Tale comunicazione non è necessaria se comporterebbe uno sforzo sproporzionato, oppure se sono state adottate misure tecniche ed organizzative adeguate alla tutela dei dati (es. cifratura). AMADUCCI IMPIANTI S.R.L. ha elaborato idonea procedura per la gestione dei DATA BREACH.
Sistema di Gestione Privacy Aziendale
AMADUCCI IMPIANTI S.R.L. ha sviluppato nell’ottica di una precisa conformità al GDPR un insieme di documentazioni, prassi operative, policy e check list idonee a garantire un attenta e puntuale verifica degli adempimenti Privacy e soprattutto una corretta gestione dei dati ritenuti durante le attività lavorative.