1. Principi generali.

1.1. ANGOPI (di seguito "il titolare del trattamento" o anche solo "il titolare") si impegna per la tutela dei diritti e la privacy degli individui. Il trattamento dei dati personali come la raccolta, la registrazione, l'utilizzo e la conservazione dei dati personali verrà affrontata in modo lecito è corretto In conformità con questa politica.

1.2. Tutte le informazioni contenenti dati personali oppure sensibili, devono essere protetti contro l'accesso non autorizzato, la perdita accidentale o la distruzione, la modifica o la divulgazione illecita.

1.3. Il titolare ritiene il raggiungimento della conformità normativa in tema di trattamento dei dati personali come prioritario per il raggiungimento dei propri scopi, e per il mantenimento della fiducia con il nostro staff interno, l'utenza e le altre parti interessate.

2. Obiettivo e scopo

2.1. Il titolare ha necessità di trattare determinati dati personali per svolgere le sue funzioni. I dati si riferiscono a:

• Dati del personale interno, in relazione al proprio contratto di lavoro:

• Potenziali candidati che presentino il loro curriculum per opportunità di lavoro o di collaborazione con il titolare, e che abbiano necessità di essere adeguatamente e praticamente informati delle opportunità di lavoro presso il titolare.

• Dati dei consulenti e fornitori.

• Altri soggetti terzi con i quali intrattiene rapporti.

2.2. Il titolare ha bisogno di raccogliere, archiviare, trattare, trasferire e cancellare questi dati, ai fini del raggiungimento dei propri scopi statutari in conformità con la legge italiana e della Comunità Europea. A tale scopo, è stata elaborata la presente politica generale di protezione dei dati per assicurare che tutti i dati siano trattati In conformità al regolamento Ue 2016 679 del Parlamento Europeo e del consiglio (GDPR), relativo alla tutela delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati, e del decreto legislativo italiano numero 101/2018, il cui combinato disposto fornisce la base normativa del presente documento.

2.3. La presente politica generale stabilisce ciò il titolare è tenuto a fare per garantire la correttezza e la legittimità del trattamento dei dati personali, con l'obiettivo di garantire che tutto il personale, gli appaltatori esterni e gli altri lavoratori che trattano dati personali per conto del titolare seguono le medesime linee guida In conformità con i principi generali qui riportati.

2.4. La presente politica generale di protezione dei dati si applica nell'interesse generale della, a tutto il personale, la dirigenza, i fornitori, gli appaltatori e tutti coloro con i quali il titolare intrattenga rapporti.

3. Rapporti con le altre politiche, procedure e linee guida.

3.1. Il presente documento, periodicamente rinnovato ed aggiornato, fornisce le linee guida per il trattamento ed è stato redatto ai fini di libera consultazione. Deve essere consultato e gestito congiuntamente a:

• Politiche di gestione dell'archiviazione e della conservazione dei dati del titolare;

• Informative specifiche sui singoli servizi offerti;

• Procedura di comunicazione violazioni e data breach;

• Codice etico del titolare

4. Definizioni

4.1. Normativa sulla protezione dei dati, si riferisce sia al regolamento Ue 679/2016 che al Decreto Legislativo italiano numero 101 del 2018.

4.2. Dato personale, sta ad indicare qualsiasi informazione che permetta l'identificazione di una persona fisica può essere direttamente o indirettamente identificata mediante il riferimento a quel dato.

4.3. Categorie particolari di dati, fa riferimento a quei dati personali relativi a: origine etnica;salute fisica e mentale (tra cui, ad esempio, dettagli di motivi per assenze per malattia in un lavoratore, ricette mediche, esami diagnostici eccetera);vita sessuale;caratteristiche genetiche;dati biometrici, se usati a scopo di identificazione;religione o convinzioni ideologiche;opinioni politiche e appartenenza sindacale;il trattamento dei dati riferibili a queste categorie particolari richiede cautele aggiuntive.

4.4. Trattamento del dato, fa riferimento alle operazioni di elaborazione comunque intese: raccolta, registrazione, detenzione, aggiunte alle informazioni i dati, qualunque operazione o insieme di operazioni che viene effettuata sui dati inclusa la cancellazione.

4.5. Interessato, fa riferimento alla persona fisica a cui i dati si riferiscono.

4.6. Titolare del trattamento, fa riferimento ad una persona fisica o giuridica che da sola o congiuntamente con altre persone fisiche determina gli scopi e le modalità in cui qualsiasi trattamento di dati personali effettuato. Nel caso della presente politica il titolare del trattamento è ANGOPI Associazione Nazionale Gruppi Ormeggiatori e Barcaioli Porti Italiani, Via Salaria, 89 00189 Roma (Rm) – CF 97039640582, in persona del legale rappresentante pro-tempore, o di altro soggetto appositamente designato dal legale rappresentante con propria deliberazione che abbia facoltà e poteri per agire in nome e per conto del titolare per dare riscontro alle richieste degli interessati nell'esercizio dei propri diritti garantiti dalla legge in tema di trattamento dei dati personali.

4.7. Responsabile del trattamento, fa riferimento a qualsiasi soggetto diverso da un membro del personale organico al titolare, o organizzazione che tratta dati per conto del titolare, sotto direttive dello stesso.

4.8. Valutazione di impatto sulla protezione dei dati, fa riferimento ad un processo formalizzato di valutazione dei rischi che il trattamento comporta sulla libertà e i diritti dell'interessato.

4.9. Le espressioni violazione della sicurezza ovvero data breach, fanno riferimento a qualunque incidente, reale o potenziale, suscettibile di provocare divulgazione non autorizzata, danneggiamento distruzione o perdita di dati personali.

4.10. Informativa sulla privacy, fa riferimento ad un documento redatto per informare l'interesse della base giuridica e delle finalità del trattamento. Può essere generale o speciale per singoli trattamenti o insiemi di esse.

4.11. Data Protection Officer, abbreviato in DPO oppure RPD, fa riferimento ad un professionista di riferimento del titolare del trattamento, che lo nomina con la responsabilità principali osservare, valutare e organizzare la gestione del trattamento dei dati personali, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

5. Indirizzi di legge e politiche del titolare.

5.1. Le politiche messe in atto dal titolare del trattamento sono un insieme di procedure in modo che le varie organizzazioni che gestiscono i dati personali lo facciano in modo responsabile. Le politiche stabiliscono, conformemente agli obblighi di legge, come i dati personali vadano trattati in relazione al raccolto il loro utilizzo, l'archiviazione, il tempo di conservazione, la distruzione, il trasferimento e la divulgazione necessaria o autorizzata.

5.2. La normativa si applica a tutte le informazioni delle persone fisiche che interagiscono con il titolare e tutti coloro che trattamento dati per conto dello stesso in modo autonomo. Pertanto il personale che gestisce le informazioni relative a persone fisiche, come parte integrante del proprio lavoro viene formato informato alla responsabilizzazione perché si conformi alla presente politica di protezione dei dati.

6. Che forma può assumere un dato personale.

6.1. I dati personali possono essere tanto relativi a circostanze (ad esempio nome, indirizzo, immagini fotografie, videoriprese) che all'espressione di opinioni relative ad una persona fisica (come ad esempio una valutazione della performance lavorativa, o commenti relativi alla situazione personale), compresi i rapporti contrattuali con il titolare o con qualunque altra persona per tale individuo. Definizione include anche le informazioni genetiche, dati biometrici utilizzati a scopo identificativo.

6.2. La definizione di dato personale copre tutte le informazioni riferibili ad un individuo in qualsiasi formato, scritto od orale. Ad esempio:

• Un file personale contenente valutazioni mediche

• Una mail di qualcuno inoltrata senza consenso

• Informazioni fornite oralmente su circostanze personali di un dipendente

7. Principi di protezione dei dati

7.1. Il gdpr stabilisce alcuni principi fondamentali per le organizzazioni che trattano dati sensibili. A norma dell'articolo 5, il titolare deve garantire che i dati personali siano:

7.1.1. Trattati in modo lecito, equo e trasparente nel rispetto dei diritti delle persone fisiche a cui i dati facciano riferimento (interessati).

7.1.2. Rilevati per finalità determinate, esplicite e legittime e successivamente trattati in modo compatibile con tale scopo. L'eventuale ulteriore elaborazione a fini di archiviazione per pubblico interesse, scopi di ricerca scientifica o storica, o scopi statistici, non devono essere ritenuti incompatibili con le finalità iniziali del trattamento.

7.1.3. Adeguati, pertinenti, e limitati allo stretto necessario per lo scopo per il quale sono trattati.

7.1.4. Esatti e, qualora necessario, tenuti aggiornati: ogni ragionevole cautela deve essere presa per assicurare che i dati personali imprecisi, visti gli scopi per cui sono trattati, vengono cancellati o rettificati senza ritardo dalla scoperta.

7.1.5. Conservati in modo da consentire l'identificazione delle persone interessate per un periodo non superiore a quello strettamente necessario per gli scopi per cui il dato personale è stato raccolto. I dati personali possono essere conservati per periodi più lunghi, qualora venga trattata per finalità di archiviazione nel pubblico interesse, Ricerca Scientifica, storica, fini statistici, o adempimento di obblighi contrattuali.

7.1.6. Archiviati in modo da garantire adeguata sicurezza del dato personale, compresa la protezione contro accesso non autorizzato o illegale incontro distruzione e danneggiamento accidentale. Questo scopo viene raggiunto adottando idonee misure tecniche e organizzative interne al titolare.

7.2. Il titolare del trattamento oltre ad essere responsabile della conformità normativa, deve essere in grado di dimostrare il momento io rispetto dei principi di cui sopra.

8. Base legale del trattamento.

8.1. Il titolare del trattamento del trattamento prima di iniziare qualsiasi operazione su dati personali, inclusa la raccolta degli stessi. Le tipologie di basi legali sono contenute nell'articolo 6 del regolamento ue 679 del 2016, e almeno una di esse deve poter trovare applicazione ogni volta che i dati personali vengono trattati dal titolare:

8.1.1. Il consenso: la persona fisica ha dato un consenso chiaro per elaborare i propri dati personali per uno scopo specifico,

8.1.2. Un contratto: il trattamento è necessario per un contratto tra il titolare e la persona fisica, ovvero sia necessario in fase precontrattuale.

8.1.3. Obbligo di legge: il trattamento è necessario che la legge impone al titolare.

8.1.4. Stato di necessità: il trattamento è necessario per salvaguardare la vita, la salute o l'integrità fisica dell’interessato.

8.1.5. Funzione pubblica: il trattamento necessario per svolgere un compito di pubblico interesse quando il compito o la funzione hanno un chiaro fondamento giuridico in un provvedimento di un ente pubblico.

8.1.6. Interesse legittimo: il trattamento è necessario per gli interessi del titolare, o di terzi soggetti, come ad esempio il recupero dei propri crediti o altre forme di tutela legale.

8.2. Oltre ad avere almeno una delle basi legali di cui sopra, il trattamento per essere legittimo deve essere anche necessario.

8.3. Al fine di elaborare i dati appartenenti a categorie speciali, il titolare deve inoltre assicurare la presenza di almeno una delle seguenti condizioni:

8.3.1. La persona interessata ha dato esplicito consenso al trattamento dei dati per uno o più scopi determinati;

8.3.2. Il trattamento è necessario ai fini della formazione delle obbligazioni nell'esercizio dei diritti del titolare del trattamento ovvero di terzi responsabili del trattamento o della persona fisica nel campo del lavoro e della sicurezza e protezione sociale.

8.3.3. Il trattamento è necessario per proteggere l'integrità fisica dell'interessato o di altra persona fisica a cui l'interessato è nella incapacità fisica o giuridica di dare il consenso come ad esempio minori, interdetti inabilitati ecc.

8.3.4. Il trattamento riguardi dati resi manifestamente pubblici dall'interessato;

8.3.5. Il trattamento sia necessario per agire in giudizio per la tutela dei diritti del titolare;

8.3.6. Il trattamento sia necessario per motivi di pubblico interesse, sulla base della legislazione nazionale o comunitaria, comunque proporzionale allo scopo perseguito rispettando il contenuto essenziale della normativa sulla protezione dei dati personali, e comunque nella previsione di misure adeguate e specifiche per salvaguardare diritti e interessi fondamentali del soggetto interessato dal trattamento.

8.3.7. Il trattamento sia necessario per le finalità di medicina preventiva e del lavoro, per la valutazione della capacità di lavoro del dipendente, diagnosi medica, prestazioni di sanità assistenza sociale obbligatoria oppure il trattamento e la gestione di sistemi sanitari o previdenziali sempre e comunque possibile su base giuridica, legale o contrattuale.

8.3.8. Il trattamento sia necessario per motivi di pubblico interesse nel perseguimento di scopi di salute pubblica come ad esempio la protezione contro minacce transfrontaliere per la salute o la garanzia di standard dell'assistenza sanitaria, comprese le forniture di medicinali e presidi medici, sulla base del diritto nazionale e comunitario, laddove preveda adeguate e specifiche misure volte a garantire i diritti fondamentali degli interessati.

8.4. A seguito della determinazione della base giuridica per il trattamento, questa sarà documentata all'interno delle registrazioni per ogni forma di trattamento.

8.5. In caso di persecuzione degli interessi legittimi del titolare, la base legale è implicita.

9. Diritti dell'interessato

9.1. Il titolare si impegna a rispettare i diritti delle persone fisiche interessate dal trattamento di dati personali. Questi sono sanciti nella legislazione come segue:

9.1.1. Diritto a ricevere una corretta informazione, intellegibile, sui trattamenti che riguardano i propri dati personali.

9.1.2. Diritto all'accesso ai dati personali.

9.1.3. Il diritto alla rettifica, cancellazione e di limitare il trattamento qualora ecceda le finalità in cui viene dato il consenso.

9.1.4. Il diritto alla portabilità, ossia al trasferimento senza limitazioni per quanto possibile dei propri dati da un operatore ad un altro equivalente.

9.1.5. Il diritto di opporsi ad ogni processo decisionale automatizzato (profilazione).

9.2. L'esercizio del diritto è condizionato alla base legale del trattamento. Ad esempio, il diritto alla cancellazione trova applicazione solo se la base legale per l'elaborazione è il consenso. In caso di persecuzione di interessi legittimi, pubblico interesse, obbligazione legale o contrattuale, la cancellazione non può essere richiesta.

9.3. Il diritto alla corretta informazione, tuttavia, è un diritto fondamentale e si applica in tutte le circostanze, anche nelle forme e nei modi dell'accesso civico, così come disciplinato dall'articolo 5 del decreto legislativo n. 33/2013, da ultimo modificato dal dlgs 97 del 2016 (decreto trasparenza).

10. Privacy by default

10.1. Qualora il titolare stia avviando un nuovo trattamento, ad esempio raccoglie un nuovo tipo di dati o sta attuando un nuovo sistema di processo che coinvolga un trattamento mai effettuato prima, deve considerare la costruzione dei meccanismi di protezione dei dati fin dall'inizio, comprese le misure organizzative e tecniche per garantire la sicurezza appropriata.

10.2. Quanto al paragrafo precedente può includere l'avviamento di una valutazione d'impatto sulla protezione dei dati (dpia), se sia significativo oppure necessario. Nel caso non ricorra l'obbligo, il titolare comunque effettua un'analisi dei rischi per i diritti e le libertà degli interessati, prevedendo contromisure adeguate per la mitigazione del rischio. La documentazione e la raccolta delle evidenze di questa operazione viene effettuata ogni volta che sia necessario e comunque almeno una volta l'anno.

10.3. Ogni nuovo trattamento deve essere sottoposto all'attenzione del dpo.

11. Minimizzazione dei dati

11.1. Il titolare ha l'obbligo di assicurare la raccolta solo dei dati strettamente necessari al trattamento per i quali sono raccolti. I soggetti fisicamente preposti alla raccolta del dato, sono pertanto formati ed informati al fine di assicurare che la raccolta del dato sia strettamente aderente a quanto necessario.

12. Trasparenza

12.1. Il titolare deve fornire informazioni specifiche agli interessati su come elaborano i dati personali degli stessi. Le informative devono essere rese agli interessati in modalità attiva (condivisione), in un linguaggio:

12.1.1. Coinciso

12.1.2. Trasparente

12.1.3. Intellegibile

12.1.4. Facilmente accessibile

12.1.5. Con la massima attenzione a chiarezza semplicità, se possibile utilizzando anche grafica utile a superare le barriere linguistiche

12.2. Le informative devono essere strutturate tenuto conto del livello di istruzione del soggetto destinatario, in particolare i bambini. È stato determinato dalla normativa italiana che l'età in cui i bambini posso acconsentire al trattamento dati, è il tredicesimo anno di età, fatte comunque salve le disposizioni speciali per determinate materie.

12.3. Tutte le informative emesse dal titolare contengono:

12.3.1. I dati di contatto (indirizzi postali e recapiti di posta elettronica)

12.3.2. Almeno un dato di contatto del responsabile della protezione dei dati - data Protection officer

12.3.3. Le finalità del trattamento

12.3.4. La base legale del trattamento

12.3.5. Le categorie di dati personali trattati

12.3.6. I destinatari o le categorie di destinatari dei dati

12.3.7. I dettagli del trasferimento dei dati personali eventuali paesi terzi oppure organizzazioni internazionali

12.3.8. Il periodo di conservazione dei dati personali

12.3.9. I diritti per i singoli interessati nei confronti del trattamento

12.3.10. L'eventuale diritto alla revoca del consenso

12.3.11. Il diritto di presentare una denuncia presso l'autorità garante della privacy

12.3.12. La fonte dei dati personali raccolti

12.3.13. La specificazione se gli interessati sono sotto obbligo legale o contrattuale di fornitura dei dati personali

12.3.14. Se esista un processo decisionale automatizzato, cosiddetta profilazione

12.4. Tutte le informative saranno pubblicate sul sito del titolare e messe a disposizione delle persone interessate. In caso di nuovi trattamenti verranno pubblicate informative ad hoc, ovvero integrato il presente documento.

12.5. In aggiunta alle pubblicazioni e alle modalità di condivisione generali, il titolare è inoltre tenuto ad informare gli interessati sulle finalità e lui dei dati a semplice richiesta nel punto di raccolta.

12.6. Tutte le pagine web che contengono dei form di contatto o raccolta dati, devono indicare obbligatoriamente

12.6.1. Perché i dati vengono raccolti e come verranno utilizzati;

12.6.2. Se i dati vengono trattati internamente oppure comunicati a terzi soggetti;

12.6.3. Una modalità, ad esempio una casella di spunta, che indichi che il consenso è stato volontariamente prestato e non sia implicito

12.7. Il personale del titolare può elaborare solo dati per le finalità specifiche comunicate alla persona interessata quando i dati sono stati raccolti precedentemente o per altri scopi espressamente consentiti dalla legislazione. Ciò significa che i dati personali non devono essere raccolti per uno scopo e poi utilizzato per un altro scopo. Se si rende necessario modificare lo scopo per cui i dati vengono elaborati, la persona interessata deve essere informata del nuovo scopo prima che si verifichi qualsiasi elaborazione.

12.8. L'unica eccezione è l'uso di dati a fini di ricerca scientifica o statistica.

13. Responsabilità del personale delle attività di trattamento.

13.1. Il personale interno al titolare del trattamento ha le responsabilità appresso descritte nella tutela dei diritti alla riservatezza delle persone fisiche che assumono la qualità di interessato, compreso il personale stesso, durante le operazioni di trattamento:

13.1.1. La dirigenza del titolare si assume la responsabilità di condividere e supervisionare l'implementazione delle politiche di privacy all'interno delle specifiche aree di responsabilità e di funzione.

13.1.2. Direttamente ovvero attraverso un sistema di deleghe, le figure all'interno del titolare non vengo archiviazioni accurate dei dati trattati in conformità con i requisiti della normativa del presente documento. Come non previste, verranno implementate politiche specifiche per la gestione dei diversi archivi.

13.1.3. Personale: tutto il personale dipendente o indipendente che tratta dati personali sotto la direzione del titolare, deve essere formato ed informato, tanto in ordine alla comprensione dei diversi problemi ed obblighi in termini di privacy, quanto avere chiaramente le figure di riferimento a cui rivolgersi in caso di dubbi, problemi o rischi di data breach.

13.1.4. Tutto il personale di qualunque livello è responsabile ai fini della segnalazione di qualsiasi violazione o incidente, suscettibile di provocare divulgazione non autorizzata, distruzione o perdita di dati personali direttamente al dpo,

13.2. Il dpo svolge le seguenti funzioni:

13.2.1. Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento privacy ue 2016/679 (gdpr), nonché da altre disposizioni dell’unione o degli stati membri relative alla protezione dei dati;

13.2.2. Sorvegliare l’osservanza del regolamento privacy ue 2016/679 (gdpr), di altre disposizioni dell’unione o degli stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

13.2.3. Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

13.2.4. Cooperare con l’autorità di controllo (garante)

13.3. Formazione nella protezione dei dati.

13.3.1. Il personale è sottoposto ad una periodica formazione sulla protezione dei dati. La stessa può essere erogata in modalità e-learning, attraverso seminari di formazione, corsi in aula eccetera, per aumentare la comprensione di doveri, poteri e responsabilità legati alla gestione dei dati personali.

13.3.2. Il mancato assolvimento dell'obbligo di formazione per causa imputabile al dipendente può essere causa di azioni disciplinari.

13.3.3. Il personale è responsabile del corretto utilizzo degli elaboratori di dati degli altri strumenti informatici di cui è in possesso per finalità di servizio.

13.4. Il titolare, qualora si avvalga di responsabili trattamento sottoposti alla propria supervisione, deve preventivamente acquisire garanzie che i requisiti della normativa saranno soddisfatti, e che i diritti degli interessati saranno tutelati.

13.5. I contratti, in special modo quelli di forniture di servizi informatici e telematici, dovranno definire oggetto e durata del trattamento di dati, natura e finalità degli stessi, tipo di dati personali e categorie di persone interessate. È sempre possibile far riferimento, all'interno della documentazione, a documenti generali pubblicati on-line, come l'informativa per le ditte appaltatrici.

13.6. Le istruzioni per i responsabili del trattamento includono sempre:

13.6.1. L'indicazione che il responsabile agisce sempre in base alle istruzioni scritte del titolare;

13.6.2. L'indicazione che il personale del responsabile è soggetto ad un obbligo di riservatezza oppure documenti programmatici similari;

13.6.3. L'obbligo per il titolare di adottare misure appropriate per garantire la sicurezza del trattamento;

13.6.4. L'obbligo di sub-incaricare altri soggetti solo con il consenso scritto del titolare;

13.6.5. L'obbligo di assistenza da parte del responsabile del trattamento offerto al titolare nel garantire l'accesso ai soggetti interessati per l'esercizio dei loro diritti ai sensi del regolamento europeo 679 del 2016;

13.6.6. L'obbligo di assistenza attiva per il titolare i suoi incaricati per il raggiungimento della conformità legislativa con il regolamento europeo 679 del 2016, ad esempio nel caso di valutazione di impatto o valutazione di sicurezza, notificazione di violazione dei dati personali, e similari.

13.6.7. L'obbligo di corretta informazione circa le criticità nella sicurezza dei trattamenti, la presenza e la garanzia di accesso agli audit per la conformità normativa, l'obbligo di rispondere a questionari, e similari

14. Gestione documentale.

14.1. Il titolare, ai fini del rispetto della normativa e dei requisiti per la documentazione, ha implementato una politica di gestione dei registri che documenta la posizione e conservazione di tutti gli archivi in gestione all'interno di un programma organico.

14.2. In particolare, i dettagli qui di seguito devono essere Documentati per tutti dal personale per le relative aree di responsabilità:

14.2.1. Le finalità del trattamento

14.2.2. Una descrizione delle categorie di interessati e di dati personali raccolti

14.2.3. Le categorie dei destinatari dei dati personali raccolti

14.2.4. Dettagli di eventuali trasferimenti a paesi terzi, con segnalazione di garanzie offerte e richieste nel trasferimento del dato.

14.2.5. Ubicazione degli archivi

14.2.6. Descrizione sommaria delle misure tecniche e organizzative di sicurezza.

14.3. Qualora venga raccolto il consenso come base legale per l'elaborazione tutti gli atti di consenso devono essere conservati per un periodo di almeno cinque anni, anche in formato elettronico.

14.4. Il titolare deve Inoltre conservare:

14.4.1. Copia dei contratti con le istruzioni con i vari responsabili del trattamento

14.4.2. Rapporti di valutazione di impatto sulla protezione dei dati

14.4.3. Registro delle violazioni dei dati personali

14.4.4. Registri del trattamento

14.4.5. Politiche di conservazione e cancellazione del dato

15. Misure di sicurezza.

15.1. La normativa richiede che i dati personali vengono trattati in modo da garantire la sicurezza, includendo protezione contro trattamenti non autorizzati o illegali, contro la perdita accidentale, distruzione o danneggiamento, con misure tecniche e organizzative adeguate.

15.2. L'amministratore di sistema, di concerto con il dpo, è responsabile delle misure generali di sistema relative al comparto information technology, al censimento delle infrastrutture informatiche e dei device, dei software di produzione, firewall, politiche di gestione delle password, e similari.

15.3. Tutto il personale è responsabile della sicurezza della propria area di lavoro e degli strumenti fisici ed informatici a loro affidati, per fare sì che i dati personali siano conservati in modo sicuro è accessibile solo a chi ha necessità di utilizzarli. Vengono prese le opportune misure di sicurezza per prevenire la perdita accidentale o il danneggiamento dei dati degli interessati, tramite uso di password, tecnologie crittografiche per documenti elettronici è l'utilizzo di cassetti con chiave per la conservazione delle credenziali.

15.4. Il trasporto fisico dei dati personali in qualsiasi formato (laptop, copia cartacea memorystick, chiavetta usb non crittografata) deve essere evitato per quanto possibile. Questo vale in particolare per dati di categorie speciali, grandi volumi di dati personali, oppure informazioni che potrebbero causare gravi danni o disagi in caso di smarrimento o distruzione accidentale. Tranne che in casi eccezionali, queste informazioni su supporto fisico non dovrebbero essere trasportati al di fuori dei locali del titolare.

15.5. Il personale obbligato al trasporto del dato su formato fisico dovrebbe sempre per quanto possibile tenere i supporti sotto stretta sorveglianza.

15.6. Quando possibile, il titolare favorisce sempre il trasferimento dei dati in forma dematerializzata o crittografata.

15.7. Il personale deve, ove possibile:

15.7.1. Utilizzare sempre e comunque il login remoto al proprio account aziendale;

15.7.2. Portare all'esterno solo la quantità minima di dati (ad esempio evitando di asportare un intero faldone se è necessario solo un documento)

15.7.3. All'interno del proprio piano di miglioramento, il titolare gestisce, acquista, implementa e controlla che tutti i dispositivi mobili (laptop, smartphone, tablet) e supporti di memorizzazione esterni (chiavette usb, dischi rigidi esterni dvd, cd, memorystick, eccetera) utilizzati per il trasporto dei dati personali al di fuori degli uffici aziendali vengono garantiti implementando una crittografia forte.

15.7.4. L'eventuale perdita, oppure il furto di un supporto esterno deve essere immediatamente segnalato al data protection officer come da procedura per il data breach.

15.8. Durante le operazioni lavorative da remoto il personale dovrebbe:

15.8.1. Utilizzare strutture sicure di accesso remoto e protocolli vpn se si lavora da casa.

15.8.2. Non salvare documenti contenenti dati personali, nel proprio computer personale, ma utilizzare sempre apparecchi aziendali sottoposte ad apposite politiche di controllo, oppure cartelle su server remoti

15.8.3. Considerare sempre i propri mezzi di connessione come non sicuri, se non diversamente implementati.

15.9. Tutta la struttura del titolare concorre a cercare di garantire che la sicurezza delle informazioni sia conforme agli indirizzi e requisiti stabiliti in normativa, standard e buone pratiche. Le buone prassi interne sono la risposta del titolare all'obbligo di legge di mettere in atto procedure e tecnologie per mantenere sicurezza e integrità dei dati trattati, dal punto di raccolta al punto di destinazione. Le buone prassi interne, vengono consultate e forniscono una guida sul mezzo e di sicurezza da utilizzare quando si utilizzano strumenti informatici del titolare stesso.

16. Trasferimenti internazionali di dati

16.1. In conformità alla legislazione vigente, il titolare non trasferisce dati personali verso paesi al di fuori dello spazio economico europeo - see (composto dagli stati membri dell'unione europea oltre Islanda, Liechtenstein, Norvegia), a meno che non sussista nel paese destinatario del trasferimento un livello adeguato di protezione per i dati personali.

16.2. Ci sono tuttavia una serie di paesi all'esterno dello spazio economico europeo riconosciuti dalla commissione europea come aventi un adeguato livello di protezione dei dati personali. I trasferimenti verso questi paesi non sono soggetti ad aggravamenti di procedura per soddisfare l'obbligo di sicurezza imposto dalla legge punti l'elenco completo dei paesi aggiornato è disponibile sul sito web dell'autorità garante della protezione dei dati personali.

16.3. Il titolare può trasferire dati personali all'estero qualora l'organizzazione che riceve i dati personali abbia un adeguato livello di protezione del quale abbia fornito garanzie come ad esempio l'adeguamento certificato allo standard di qualità della sicurezza delle informazioni iso 27001 o similari. Tali garanzie adeguate possono essere previste da:

16.4. Un accordo giuridicamente vincolante tra le autorità di regolazione della privacy dei vari paesi oggetto del trasferimento.

16.5. Norme vincolanti che regolano i trasferimenti effettuati tra le organizzazioni all'interno del gruppo societario interne all'azienda.

16.6. Clausole di protezione dei dati standard conformi a modelli adottati dalla commissione europea.

16.7. Conformità ad un codice di condotta approvato dalla ico clausole contrattuali concordate autorizzate dalla ico

16.8. La normativa consente sempre che un trasferimento o una categoria di trasferimenti possa essere effettuata, qualora il trasferimento sia:

16.9. Realizzato con il consenso informato dell'interessato.

16.10. Necessario per l'esecuzione di un contratto tra l'interessato e il titolare o per fasi precontrattuali su consenso informato dell'interessato.

16.11. Necessario per l'esecuzione di un contratto stipulato nell'interesse dell'interessato tra il titolare ed un soggetto terzo.

16.12. Necessario per comprovati motivi di interesse pubblico.

16.13. Necessario per costituire, esercitare o difendere un diritto in via giudiziaria.

16.14. Necessario per tutelare l’integrità fisica dell'interessato o di altro soggetto di cui l'interessato è nell'impossibilità fisica o giuridica di prestare il consenso.

16.15. Necessario per ottemperare obblighi documentali previsti dai trattati internazionali di cui l'Italia o l'unione europea siano parte.

17. Violazioni

17.1. Tutte le violazioni accertate nella protezione dei dati devono essere segnalate al responsabile della protezione dei dati (dpo) e al proprio dirigente secondo la procedura per il data breach.

17.2. È essenziale che il personale segnali la violazione, o potenziale violazione, immediatamente. Questo consente un intervento rapido dall'intraprendere, oltre a permettere al titolare di rispettare gli obblighi di legge di notifica delle violazioni accertate.

17.3. Se ci sia stata negligenza o dolo evidente in relazione a qualsiasi violazione della politica della protezione dei dati da parte dei membri del personale, il titolare prenderà in considerazione la situazione utilizzando i poteri disciplinari ad esso attribuiti in qualità di datore di lavoro, decidendo come meglio gestire le fasi successive.

18. Data storage, conservazione ed eliminazione.

18.1. È responsabilità della dirigenza, che può delegare tale funzione, che i registri siano tenuti accentrati quando ciò sia compatibile con le necessità operative del titolare, nel rispetto degli interessati. Una frammentazione eccessiva degli archivi, infatti può pregiudicare il diritto di accesso e gli altri che la legge riconosce.

18.2. I database centrali devono essere configurati per evitare la pubblicazione inutile informazioni per garantire la massima sicurezza dei dati tutti i database gestiti localmente sui singoli device dal personale nel corso delle loro funzioni, che contengano dati personali devono essere adeguatamente protetti.

18.3. Il titolare, determina e pianifica il periodo di conservazione massimo per le varie tipologie di documenti, anche in relazione ai dati in essi contenuti. Il personale viene formato ed informato per tenere aggiornate le proprie registrazioni al fine di garantire una regolare distruzione dei dati non necessari.

18.4. Tutta la documentazione che contiene dati personali, distrutta in modo autonomo e confidenziale utilizzando ad esempio processo di frantumazione, smaltimento dei rifiuti riservati, modalità di eliminazione elettronica definitiva.

19. Divulgazione

19.1. Il personale non deve divulgare dati personali a terzi, tranne in casi in cui c'è un obbligo legale oppure statutario di divulgazione. Oppure dove sia necessario per garantire il diritto alla salute e all'integrità fisica. Tutto il personale deve pertanto prestare la massima attenzione per far sì che i dati personali non siano comunicati a terzi non autorizzati come ad esempio i membri della famiglia della persona interessata, amici, enti governativi e forze dell'ordine senza il consenso dell'interessato ovvero di una specifica autorizzazione in materia.

19.2. In caso di richiesta dei dati da parte di forze di polizia, questa è autorizzata dal dirigente previa acquisizione del relativo provvedimento del magistrato competente.

19.3. L'interessato deve essere sempre informato delle richieste di informazioni da parte di soggetti terzi, anche rifiutate.

20. Diritti di accesso

20.1. Tutte le persone fisiche che detengano la qualità giuridica di interessato, ovverosia i cui dati sensibili siano oggetto di trattamento da parte del titolare anno in ogni momento il diritto di accedere ai propri dati richiedendone copia. Qualsiasi persona che intende esercitare il diritto di accesso deve compilare l'apposito modello di richiesta predisposto dal titolare presentandolo insieme ad una copia di un documento d'identità in corso di validità.

20.2. Il termine di legge per dare riscontro ad una richiesta di accesso è di 30 giorni. In ogni caso il titolare cercherà di rispondere più rapidamente possibile.

20.3. In determinati casi il titolare potrebbe dare riscontro negativo alla richiesta di accesso in quanto potrebbe esserci una esenzione di legge (ad esempio in caso di indagini giudiziarie), oppure perché la divulgazione dato riferibile ad un soggetto interessato non è possibile senza divulgare illecitamente dati di altri soggetti ugualmente titolari della medesima qualifica.

20.4. Tutti i membri del personale sono preventivamente autorizzati previo appuntamento alla consultazione dei propri fascicoli personali.

21. Utilizzo di email, applicazioni di messaggistica e social media

21.1. In assenza di politiche appositamente predisposte per i singoli casi, il personale dovrebbe evitare per quanto possibile l'utilizzo delle email, applicazione di messaggistica e social media per l'invio di dati sensibili, questo perché la posta elettronica è un mezzo insicuro e il mittente non ha alcun controllo sulla conservazione o utilizzo dopo che è stato inviato.

21.2. Il personale non deve comunicare internamente utilizzando i social media come facebook o whatsapp poiché il titolare non ha alcun controllo su questi sistemi.

21.3. Il titolare si riserva il diritto di monitorare l'uso dei tuoi servizi email e altro traffico internet in conformità con le direttive in materia di telecomunicazioni e le relative legal business practices

22. Scopo di ricerca

22.1. Tutti i dati personali raccolti a scopo di ricerca e/o statistica trovano la loro base della tutela nello svolgimento dei compiti statutari.

I dati personali raccolti per scopi di ricerca non verranno mai utilizzati nella formazione di giudizi oppure in processi decisionali relativi ad un particolare individuo, mantenendo al minimo le possibilità che l'utilizzo di un dato raccolto a scopo di ricerca e/o statistica possa causare disagio all'interessato.