PETSFESTIVAL S.r.l.

Documento Privacy GDPR

IN CONFORMITA’ ALLE DISPOSIZIONI DEL REGOLAMENTO EUROPEO GDPR UE 2016/679

CAPITOLO 1. PREMESSA

Il presente Documento Privacy GDPR ha lo scopo di formalizzare le modalità di raccolta, gestione e trattamento dei dati personali effettuate da PETSFESTIVAL Srl.

Tale documento è stato redatto sulla base delle indicazioni contenute nel Regolamento Europeo 2016/679 (GDPR) e sulla base della Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali pubblicato sul sito del Garante della Privacy Italiano.

Il presente Documento viene aggiornato periodicamente direttamente dallo stesso Titolare del Trattamento.

CAPITOLO 2. SCOPO

Il “Documento Privacy GDPR” rappresenta il manuale di gestione dei dati trattati e detenuti dalla società. E’ uno strumento che nasce per gestire al meglio tutti gli aspetti relativi alla tutela e alla governance dei dati, tenendo conto degli obblighi di riservatezza e accessibilità previsti dal GDPR, a partire dal coinvolgimento delle risorse umane e dagli strumenti di elaborazione utilizzati.

Il presente documento, che vuole essere un manuale operativo, sarà tenuto aggiornato apportando le modifiche direttamente sugli allegati interessati dalle voci di cambiamento ed eventualmente sullo stesso.

Il GDPR è costituito da tre principi ispiratori, che permeano e sostengono l’intero impianto normativo ed il cui rispetto è protetto da un sistema sanzionatorio, delineato dagli artt. 83 e ss., caratterizzato dalle rilevanti cifre che arrivano a colpire Titolari e Responsabili del trattamento con sanzioni amministrative fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo, cui si aggiungono le sanzioni penali previste dalla normativa nazionale.

Tali principi essenziali sono quelli di:

  1. Accountability, ossia il principio di responsabilizzazione: il Regolamento non effettua una tipizzazione puntuale delle misure tecniche e organizzative, esprimendosi unicamente in termini di loro adeguatezza al rischio “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 GDPR). Si tratta di una innovazione profonda in quanto viene attribuito ai Titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali nel rispetto delle disposizioni normative ed alla luce di alcuni criteri specifici indicati nel Regolamento. Ciò impone un approccio integrato, che interessi tutte le aree aziendali, concreto e risk-based e che dia luogo a comportamenti proattivi;

  2. Privacy by design, che impone l’adozione di misure di protezione fin dalla base di progettazione del trattamento;

  3. Privacy by default, che prescrive un utilizzo che si limiti, per impostazione predefinita, ai soli dati necessari a rispondere alle finalità specifiche della gestione dei dati.

I trattamenti devono essere leciti e sicuri. A tale scopo, l’Azienda si impegna a istituire:

  1. un adeguato impianto documentale dato da:

  • Informative;

  • Nomine;

  • Registro dei Trattamenti;

  • Procedure;

  • Analisi del rischio (verifiche e controlli);

  1. un opportuno sistema di sicurezza fisica;

  2. un congruo sistema di sicurezza logica;

  3. un appropriato piano di formazione e informazione.

Tutti gli attori aziendali sono chiamati a collaborare nel buon funzionamento e nella gestione ottimale del sistema di gestione privacy.

Il Manuale Privacy GDPR coinvolge tutti i trattamenti di dati personali – elettronici o cartacei che siano -, di cui PETSFESTIVAL Srl è titolare o responsabile. Il contenuto del presente documento deve essere noto a tutti gli autorizzati al trattamento dati (i trattamenti includono sia le operazioni di elaborazione che quelle di mero accesso ai fini della manutenzione e sicurezza).

Definizioni

Di seguito sono riportate alcune definizioni, cosi come specificate dal nuovo regolamento al fine di esplicitare alcuni concetti chiave:

  1. «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile (l’interessato)

  2. «interessato»; si considera interessato e identificabile, la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

  3. «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

  4. «limitazione di trattamento»: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;

  5. «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;

  6. «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

  7. «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

  8. «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

  9. «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

  10. «destinatario»: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

  11. «terzo»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;

  12. «consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

  13. «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

  14. «dati particolari»: dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.;
  15. «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;

  16. «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;

  17. «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

  18. «stabilimento principale»: a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale; b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;

  19. «rappresentante»: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;

  20. «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica;

  21. «gruppo imprenditoriale»: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;

  22. «norme vincolanti d’impresa»: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune;

  23. «autorità di controllo»: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;

  24. «autorità di controllo interessata»: un’autorità di controllo interessata dal trattamento di dati personali in quanto: a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo; b) gli interessati che risiedono nello Stato membro dell’autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure c) un reclamo è stato proposto a tale autorità di controllo;

  25. «trattamento transfrontaliero»: a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

  26. «obiezione pertinente e motivata»: un’obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all’interno dell’Unione;

  27. «servizio della società dell’informazione»: il servizio definito all’articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio (19);

  28. «organizzazione internazionale»: un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

CAPITOLO 3. PETSFESTIVAL SRL

PETSFESTIVAL S.r.l. nasce nel 2014 e si occupa principalmente dell’organizzazione di un’importante mostra mercato di animali da compagnia.

Oggetto sociale: […] l’attività di ideazione, organizzazione e gestione, sia per conto proprio che per conto terzi, di eventi dedicati al settore degli animali da compagnia […]

Sede legale: via Susa 35, 10138 Torino

n° dipendenti: 0

CAPITOLO 4. ELENCO DEI TRATTAMENTI E FINALITA’

Al centro degli obblighi previsti dal GDPR vi sono i trattamenti effettuati: l’azienda deve censire e poi mappare i trattamenti per dimostrare di averne il governo.

Principale disposizione di riferimento: art. 4.2).

        1. Trattamento. E’ l’attività, di qualsiasi genere, svolta sui dati personali. Il trattamento si articola in una o più operazioni sui dati.

        2. Operazioni di trattamento. Indica la singola tipologia di intervento che viene svolta sui dati personali e non necessariamente, o non sempre, il singolo intervento.

L’elenco delle operazioni di cui all’art. 4.2) va inteso come meramente esemplificativo, benché copra uno spettro assai ampio delle operazioni più comuni. “Trattamento” è in effetti qualsiasi attività svolta sui dati personali, anche di tipo non trasformativo, quale ad esempio un mero accesso.

PRINCIPI GENERALI DEL TRATTAMENTO

Principale disposizione di riferimento: art. 5(1)

  1. Principio di liceità, correttezza e trasparenza

  2. Principio di limitazione della finalità

  3. Principio di minimizzazione dei dati

  4. Principio di esattezza di e aggiornamento

  5. Principio di limitazione della conservazione

  6. Principio di integrità e riservatezza

Principale disposizione di riferimento: art. 5(2)

Il titolare del trattamento è competente per il rispetto dei principi applicabili al trattamento e in grado di comprovarlo.

Il trattamento è lecito allorché trovi fondamento in una base giuridica che, fermo restando in ogni caso l’obbligo di informativa a carico del Titolare del trattamento, può consistere in quanto segue:

  1. Consenso dell’interessato che deve essere libero, specifico, informato e inequivocabile, non essendo ammesso il consenso tacito o presunto: deve, in altri termini, essere manifestato attraverso una “dichiarazione o azione positiva inequivocabile”. Inoltre, per i dati particolari di cui all’art. 9, esso deve essere anche “esplicito”, non necessariamente “documentato per iscritto” né da prestare in “forma scritta”, sebbene tale modalità sia quella maggiormente idonea a dimostrare la sua prestazione, la sua inequivocabilità e il suo essere “esplicito”;

  2. Adempimento di obblighi contrattuali, ossia il trattamento è lecito se è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

  3. Obblighi di legge cui è soggetto il titolare del trattamento, nel qual caso la finalità è specificata per legge;

  4. Interessi vitali della persona interessata o di terzi: ossia se è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; utilizzabile però come base giuridica solo se nessuna delle altre condizioni di liceità può trovare concreta applicazione;

  5. Legittimo interesse prevalente del titolare o di terzi cui i dati vengono comunicati, ossia quando il trattamento è necessario per il perseguimento dei legittimi interessi del Titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore;

  6. Interesse pubblico o esercizio di pubblici poteri, ovvero necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare del trattamento (tramite normativa statale o dell’Unione Europea) ed anche il tal caso la finalità deve essere specificata per legge.

Il trattamento dei dati personali è corretto se trasparente nei confronti degli interessati, ossia i dati personali devono essere trattati per scopi determinati, espliciti e legittimi, e senza scorrettezze nei confronti degli interessati. Quello della trasparenza non è solo un principio fondamentale del trattamento, ma anche un vero e proprio diritto dell’interessato: devono cioè essere trasparenti e corrette le modalità di raccolta dei dati e di utilizzo degli stessi.

I trattamenti rilevati in PETSFESTIVAL Srl sono:

              1. Gestione dati socio e amministratore unico;

              2. Gestione dati collaboratori;

              3. Gestione dei clienti e referenti

              4. Gestione potenziali clienti

              5. Gestione dei fornitori e referenti

              6. Gestione dati giornalisti

              7. Gestione foto e video visitatori fiere

              8. Gestione dati sito web

L’analisi e mappatura di ogni singolo processo/trattamento, fatta eccezione per quanto indicato al punto 8, troverà spazio nell’allegato_1_Registro dei Trattamenti del Titolare e nell’allegato_7_Dati Trattati.

CAPITOLO 5. STRUTTURA ORGANIZZATIVA GDPR

PETSFESTIVAL S.r.l. si attiene a quanto previsto dal Nuovo Regolamento Europeo, in merito alla previsione di compiti e responsabilità.

Nello specifico si sta parlando dei “Soggetti” previsti ed indicati dal GDPR.

Ossia:

  1. Titolare del Trattamento o Data Controller, la persona fisica o giuridica che determina le finalità e i mezzi del trattamento;
  2. Responsabili del Trattamento (tutti i soggetti, persone fisiche o giuridiche cui sono affidati interni trattamenti o porzioni di essi);
  3. Autorizzato/Incaricato del Trattamento (tutti gli addetti – dipendenti e non – autorizzati ad effettuare un trattamento e che accedono o hanno accesso a dati ed informazioni).

Quanto a tale ultima categoria di soggetti si specifica che sebbene il Regolamento Europeo non preveda espressamente la figura dell’“incaricato” del trattamento disciplinata dall’art. 30 del Codice Privacy, non ne esclude la presenza, in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (art. 4, n. 10 GDPR).

La struttura organizzativa GDPR è opportunamente illustrata nell’allegato_2_Organigramma privacy.

La distribuzione dei compiti e delle responsabilità è gestita attraverso le nomine distribuite secondo le logiche che sono indicate nell’organigramma privacy e opportunamente gestite dal Titolare.

Si rammenta che tutte le lettere di incarico devono essere sottoscritte.

Il Titolare, attraverso il personale in amministrazione, è in grado di tenere aggiornato l’elenco degli incaricati preposti, tenendo conto di assunzioni, cambio mansioni, licenziamenti e/o qualsiasi altra evenienza.

CAPITOLO 6. LE CATEGORIE DEGLI INTERESSATI E LE INFORMATIVE

La mappatura dei trattamenti porta ad identificare i soggetti Interessati, ossia i soggetti cui le informazioni si riferiscono. Detti soggetti hanno dei diritti che possono vantare nei confronti dell’azienda.

Per ciascuna categoria di interessati PETSFESTIVAL S.r.l. gestisce correttamente l’opportuna informativa corredata di consenso, laddove richiesto e necessario.

Nello specifico si ricorda a tutti gli addetti che è, e dev’essere prassi, predisporre e rilasciare l’informativa prima della raccolta dei dati, se questa avviene direttamente presso l’interessato.

Se i dati non sono raccolti direttamente presso l’interessato l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione dei dati a terzi o all’interessato.

Si rammenta altresì che ogni volta che le finalità cambiano, il regolamento impone di informarne l’interessato prima di procedere a un trattamento ulteriore.

L’Allegato_3_Informative riporta i format delle singole informative relative ai singoli trattamenti effettuati, tenuti aggiornati, gestiti e governati:

  • Informativa socio-amministratore unico;

  • Informativa collaboratori- agente;

  • Informativa clienti;

  • Informativa referenti Clienti;

  • Informativa visitatori fiera;

  • Informativa potenziali Clienti;

  • Informativo potenziali clienti uso sito;

  • Informativa fornitori;

  • Informativa referenti Fornitori;

  • Informativa giornalisti;

  • Privacy Policy.

CAPITOLO 7. PRIVACY BY DESIGN

L’approccio PRIVACY BY DESIGN, richiede un utilizzo al minimo dei dati, insieme ad un impianto di misure di sicurezza dato da nomine, informative, accorgimenti tecnici e controlli, tali da garantire riservatezza e disponibilità delle informazioni.

PETSFESTIVAL S.r.l. ha dato indicazioni a tutti i responsabili di attenersi ai principi fondamentali. Gli stessi dovranno organizzare i processi di lavoro prevedendo l’utilizzo dei soli dati necessari, e con un’impostazione dei sistemi informativi tale per cui questa richiesta sia e possa essere soddisfatta.

La gestione documentale di nomine interne, nomine esterne con garanzie e addendum di contratto, la gestione delle informative e dei relativi consensi, laddove richiesti e necessari, insieme con le misure di sicurezza in essere, controllate e verificate periodicamente, sono l’impianto privacy by design dell’azienda.

CAPITOLO 8. FORMAZIONE

PETSFESTIVAL S.r.l. si impegna ad effettuare corsi di formazione e sensibilizzazione a tutto il personale che effettua la raccolta, trasferimento, gestione, memorizzazione e trattamento dei dati.

Si precisa che la formazione per il personale incaricato direttamente o indirettamente al trattamento dei dati è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni o di introduzione di nuovi significativi strumenti rilevanti rispetto al trattamento di dati personali.

Il Titolare gestisce la documentazione relativa ai corsi effettuati dal personale incaricato direttamente o indirettamente al trattamento dei dati.

CAPITOLO 9. DATA RETENTION

Ogni documento ha un proprio ciclo di vita. Una volta che un documento non è più utile alle finalità stabilite, deve essere cancellato o altrimenti conservato per uno specifico periodo di tempo.

La durata di ogni trattamento e la conservazione dei dati è indicata nel Registro dei Trattamenti (allegato_1_Registro dei Trattamenti).

Relativamente alla cancellazione sono previste e in atto ulteriori accorgimenti e indagini sui sistemi al fine di perseguire l’obiettivo e la necessità sollevati dalla norma.

CAPITOLO 10. OBBLIGHI E DIRITTI DEGLI INTERESSATI

Il GDPR assegna all’interessato, salve le eccezioni di cui all’art. 23, i seguenti diritti:

  1. Trasparenza;

  2. Informativa;

  3. Accesso;

  4. Rettifica;

  5. Oblio;

  6. Limitazione del trattamento;

  7. Portabilità dei dati;

  8. Opposizione al trattamento.

Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.

Come raccomandato dal Garante e’ opportuno che il titolare adotti le misure tecniche e organizzative eventualmente necessarie per favorire l’esercizio dei diritti e il riscontro alle richieste presentate dagli interessati, che dovrà avere per impostazione predefinita forma scritta (anche elettronica).

L’interessato vanta anzitutto il diritto alla trasparenza (art. 12) dell’organizzazione e dell’attività da parte del Titolare, nonché il diritto all’informativa (artt. 13 e 14) di cui si è già parlato in precedenza.

L’interessato ha altresì il diritto di accedere ai dati personali raccolti che lo riguardano.

Il diritto di accesso (art. 15) prevede il diritto di ricevere una copia dei dati personali oggetto di trattamento.

Il titolare può consentire agli interessati di consultare direttamente, da remoto e in modo sicuro, i propri dati personali.

All’interessato deve inoltre essere garantito il diritto di ottenere dal Titolare la rettifica (art. 16) dei dati personali inesatti che lo riguardano, nonché l’integrazione dei dati incompleti.

Il diritto all’oblio (art. 17) è il diritto di ottenere dal Titolare la cancellazione dei dati che lo riguardano che vanno parimenti cancellati al ricorrere delle ipotesi di cui all’art. 17.

Qualora il Titolare abbia “reso pubblici” i dati personali dell’interessato ad esempio, pubblicandoli su un sito web, deve informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione”.

ll diritto di limitazione del trattamento (art. 18) può essere richiesto dall’interessato quando:

  1. l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza degli stessi;

  2. il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;

  3. benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

  4. l’interessato si è opposto a un trattamento (necessario per l’esecuzione di un compito di interesse pubblico o basato sul legittimo interesse del titolare, compresa la profilazione), in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

Quando il titolare procede a limitare il trattamento, tali dati personali sono trattati solo per la conservazione, ed ulteriori trattamenti saranno possibili soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro.

Come si limita il trattamento

Le modalità per limitare il trattamento dei dati personali sono individuate nel considerando 67 in maniera esemplificativa e non tassativa e consistono:

  1. nel trasferire temporaneamente i dati selezionati verso un altro sistema di trattamento,

  2. nel rendere i dati personali selezionati inaccessibili agli utenti,

  3. nel rimuovere temporaneamente i dati pubblicati da un sito web.

PETSFESTIVAL S.r.l. prende atto di tutti i diritti dell’interessato al fine di predisporre gli accorgimenti del caso

Il diritto alla portabilità (art. 20) comporta il diritto dell’interessato di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:

  • il trattamento si basi sul consenso o su un contratto

  • il trattamento sia effettuato con mezzi automatizzati.

 

Nell’esercitare i propri diritti relativamente alla portabilità dei dati, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile.

Da ultimo, all’interessato è riconosciuto il diritto di opposizione (art. 21), ovverosia il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano.

CAPITOLO 11. ASSET AZIENDALI (INFORMATICI E FISICI)

PETSFESTIVAL S.r.l. ha provveduto a censire e mappare l’elenco degli asset informatici e fisici coinvolti nel ciclo di vita dei dati trattati. Questa attività è necessaria per la redazione del Registro Trattamento dati e per la corretta Analisi del Rischio.

Allegato_4_Asset Aziendali

CAPITOLO 12. ANALISI DEL RISCHIO

Il nuovo regolamento generale ha un approccio basato sulla valutazione del rischio. Con tale valutazione si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. Quindi, il rischio inerente al trattamento è da intendersi come l’impatto negativo sulle libertà e i diritti degli interessati.

Principali richiami diretti alla valutazione dei rischi:

EU REG. 679

Articolo

Descrizione

5 (par. 1 lett. f)

Principi applicabili al trattamento di dati personali

24

Responsabilità del titolare

25

Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

28 (par. 3 lett. e)

Responsabile del trattamento

32

Sicurezza del trattamento

33 (par. 3 lett. c)

Notificazione dei una violazione dei dati personali all’autorità di controllo

35 (par. 1, 7 lett c, d)

Valutazione d’impatto sulla protezione dei dati

39 (par. 2)

Compiti del Responsabile della protezione dei dati

47 (par 2. lett d)

Norme vincolanti d’impresa

49 (par. 6)

Deroghe in specifiche situazioni

PETSFESTIVAL S.r.l. effettua su base annua l’analisi del rischio dei trattamenti.

I criteri di valutazione sono descritti nella tabella seguente:

Valutazione

Gravità (G)

Probabilità (P)

4

II potenziale danno è molto grave, può portare alla chiusura dell’azienda. A. La probabilità è alta, c’è traccia di eventi analoghi in letteratura ed è già accaduto all’interno dell’organizzazione (con frequenza di 1 volta ogni 2 mesi).

B. Non è prevista formazione agli addetti. C. I dati vengono comunicati e diffusi senza controllo. D. Il sistema non è sottoposto ad alcuna certificazione.

3

Il danno può causare seri problemi tra cui perdita di clienti e l’attivazione di procedure legali. A. La probabilità è media, c’è traccia di eventi analoghi in letteratura e all’interno dell’organizzazione (con frequenza di 1 volta ogni 10 mesi). B. E’ prevista una formazione aspecifica e vengono effettuati controlli. C. I dati vengono comunicati senza controllo preventivo. D. Il sistema è sottoposto a certificazione aspecifica.

2

Il danno pur non causando significativi problemi sull’equilibrio economico aziendale può portare alla perdita di clienti e opportunità. A. La plrobabilità è bassa, c’è traccia di eventi analoghi in letteratura e all’interno dell’organizzazione (con frequenza di 1 volta ogni 2 anni). B. E’ prevista una formazione aspecifica e vengono effettuati controlli. C. I dati vengono comunicati ma sottoposti a controllo preventivo. D. Il sistema è sottoposto a certificazione aspecifica.

1

Il danno non causa significativi problemi e risulta accettabile A. La probabilità è molto bassa, non c’è traccia di eventi analoghi in letteratura e all’interno dell’organizzazione è avvenuto con una frequenza di 1 volta ogni 10 anni.

 

L’indice di rischio vene determinato moltiplicando i termini G*P.

Sulla base del prodotto ottenuto vengono attuate le seguenti azioni:

Indice di rischio determinato

Contromisure

1

I.R. 3

Non necessarie ulteriori contromisure

2

3<I.R. 8

Valutare con la Direzione la necessità di mettere in atto azioni correttive

3

I.R. > 8

Necessità di attuare azioni correttive immediate

GRAVITA’

4

4

8

12

16

3

3

6

9

12

2

2

4

6

8

1

1

2

3

4

1

2

3

4

PROBABILITA’

 

L’analisi dei rischi viene rivalutata periodicamente almeno con cadenza annuale e ogni qualvolta si verifichi un cambiamento nei trattamenti effettuati o se ne vogliano introdurre di nuovi (privacy by design).

Allegato_5_Analisi del Rischio

CAPITOLO 13. PROCEDURA DATA BREACH

Art. 33:

1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.

3. La notifica di cui al paragrafo 1 deve almeno:

  1. descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

  1. comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

  1. descrivere le probabili conseguenze della violazione dei dati personali;

  1. descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.

Dal momento che un data breach comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, se ne evince che è data breach anche la perdita di una chiavetta, un cellulare, un tablet.

Deve considerarsi “a conoscenza” il titolare che abbia un ragionevole grado di certezza in merito alla verificazione di un incidente di sicurezza. Durante la fase di investigazione, il titolare può essere considerato come privo di un grado di conoscenza tale da far scattare immediatamente l’obbligo di notifica; tuttavia il diligente comportamento del titolare sarà in ogni caso valutato sulla base della sua tempestiva attivazione in caso venga informato di una possibile infrazione. La fase investigativa, quindi, non deve essere abusata per prorogare illegittimamente il termine di notifica.

Quanto alla struttura organizzativa predisposta dal titolare e al ruolo del responsabile del trattamento in caso di data breach il WP29 raccomanda ai titolari di predisporre un piano di sicurezza che evidenzi le procedure organizzative interne da adottare nella gestione di eventuali violazioni e l’organigramma dei soggetti o dei livelli direttivi a cui è necessario fare riferimento per riportare l’accadimento. Quanto al responsabile questi è tenuto ad informare tempestivamente il titolare dell’avvenuta violazione, atteso che, in linea di principio, il titolare deve considerarsi a conoscenza della violazione nel momento in cui il proprio responsabile ne sia venuto a conoscenza.

Qualora il titolare non abbia appurato con ragionevole certezza l’esistenza di una violazione, potrà ricorrere alle seguenti tecniche:

  1. utilizzo dell’“approssimazione”. Il titolare che non sia ancora in grado di conoscere con certezza il numero di persone e di dati personali interessati dalla violazione può comunicarne in prima battuta un ammontare approssimativo, provvedendo a specificare il numero esatto a seguito di accertamenti.

  1. la “notificazione in fasi”. In questo caso il titolare, per la complessità o estensione della violazione, potrebbe non essere in grado di fornire con immediatezza all’autorità tutte le informazioni necessarie. Potrà allora ottemperare agli obblighi di notifica comunicando, dopo una prima e rapida notifica di alert, tutte le informazioni per fasi successive, aggiornando di volta in volta l’autorità sui nuovi riscontri.

Il Garante raccomanda che i titolari di trattamento in ogni caso documentino le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati, essendo peraltro tenuti a fornire tale documentazione, su richiesta, al Garante stesso in caso di accertamenti.

Il modello segnalazione Data Breach è disponibile aggiornato sul sito del Garante per la protezione dei dati personali (https://www.garanteprivacy.it)

Allegato_6_ Registro degli incidenti