1. INTRODUZIONE
La normativa contenuta nel Regolamento UE 2016/679 si propone di tutelare la riservatezza dei dati personali, per evitare che un uso non corretto di essi possa danneggiare o ledere le libertà fondamentali e la dignità personale di ognuno.
I trattamenti necessari all'erogazione delle prestazioni sono utilizzati dal personale nel rispetto del segreto professionale, del segreto d’ufficio e dei diritti dell'interessato (articoli da 12 a 22 del GDPR) e pertanto improntato a principi di legittimità, correttezza, liceità, indispensabilità, pertinenza e non eccedenza rispetto agli scopi per i quali i dati medesimi sono stati raccolti.
In tal senso NABO.DIGITAL SRLS ha redatto la presente procedura al fine di garantire, secondo un processo standardizzato, la tutela dei diritti dell'interessato e la gestione delle richieste di esercizio degli stessi.
2. SCOPO
Questo documento descrive le modalità operative adottate da NABO.DIGITAL SRLS al fine di garantire la gestione, in maniera standardizzata e nel rispetto di quanto previsto dal GDPR, delle richieste di esercizio dei diritti dell’Interessato.
Nello specifico si individuano le misure procedurali disposte dal Titolare del trattamento per permettere all'utente interessato di ottenere in qualsiasi momento informazioni sull’utilizzo dei suoi dati e nello specifico ai sensi degli artt.15‐21 del Regolamento UE, sull'esercizio del diritto di:
- accedere ai dati personali ed ottenere la conferma dell’esistenza o meno degli stessi, conoscere l’indicazione dell’origine, delle finalità e delle modalità di trattamento;
- conoscere gli estremi identificativi dei responsabili del trattamento dei dati personali dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati;
- chiederne l'aggiornamento o la rettifica;
- chiederne la cancellazione, in tutto o in parte (“diritto all’oblio”), purché non sussistano obblighi di conservazione per legge;
- chiedere la limitazione del trattamento nelle ipotesi previste dall’art.18 del Regolamento UE;
- chiederne la trasmissione ad altro Titolare (“diritto alla portabilità”).
3. CAMPO DI APPLICAZIONE
Il presente documento determina i processi di gestione e di tutela dei diritti dell'interessato nel rispetto di quanto previsto dagli artt.15‐21 del Regolamento UE, specificatamente:
- diritto di informazione, comunicazione e trasparenza (artt. 12, 13 e 14);
- diritto di accesso (art. 15);
- diritto di rettifica (art. 16);
- diritto alla cancellazione (art. 17);
- diritto di limitazione del trattamento (art. 18);
- obbligo di notifica (art. 19);
- diritto alla portabilità dei dati (art. 20);
- diritto di opposizione al trattamento (art. 21).
4. DEFINIZIONI
Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (art. 4, punto 1).
Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (art. 4, punto 2).
Archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia digitalizzato o meno, centralizzato, decentralizzato o ripartito in modo funzionale o geografico (art. 4, punto 6).
Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri (art. 4, punto 7).
Data Protection Officer: la persona fisica individuata come Responsabile della protezione dei dati personali ai sensi del GDPR (in particolare artt. 37, 38, 39).
Autorizzato al trattamento: la persona fisica, espressamente designata, che opera sotto l'autorità del titolare del trattamento, con specifici compiti e funzioni connessi al trattamento dei dati personali (art. 4, punto 10).
Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (art. 4, punto 8).
Violazione dei dati personali (c.d. Data breach):la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali
trasmessi, conservati o comunque trattati (art. 4, punto 12).
5. DESCRIZIONE DELLE ATTIVITÀ
Nel presente paragrafo sono descritte le modalità operative adottate da NABO.DIGITAL SRLS per assicurare all’interessato l’esercizio dei propri diritti e si applicano a tutti i trattamenti definiti nel “Registro delle attività di trattamento”, secondo l'informativa fornita all'interessato e nel rispetto di quanto previsto dal GDPR.
5.1. Informazioni sui diritti dell'interessato
NABO.DIGITAL SRLS ha predisposto una Informativa generale, nel rispetto di quanto previsto dagli artt. 13 e 14 del Regolamento UE 679/2016, relativa alle informazioni da fornire all'interessato in merito al trattamento dei propri dati personali.
Nell'informativa sono indicati:
- L'identità e i dati di contatto del Titolare del trattamento;
- i dati di contatto del responsabile della protezione dei dati (se nominato);
- le finalità del trattamento e la sua base giuridica;
- le modalità di comunicazione e gestione dei dati;
- i diritti dell'interessato.
Tale informativa è inserita nella scheda socio, e fornita ai volontari al momento della stipula del contratto. Una copia della stessa è conservata presso la sede legale.
5.2. Richiesta chiarimenti, comunicazioni di servizio e richieste formali di esercizio dei diritti da parte dell'interessato
Durante l’espletamento delle attività istituzionali di erogazione dei servi forniti da AIIC, in particolare per tutte le attività che prevedono il trattamento dei dati personali, l'interessato può chiedere alla scrivente informazioni circa le modalità di trattamento e l’esercizio dei propri diritti dell’interessato, attraverso le seguenti modalità:
a) Richieste informazioni e chiarimenti in forma scritta direttamente al Titolare del Trattamento, NABO.DIGITAL SRLS con sede legale in Corso Inghilterra 41 - 10121 Torino (TO)
b) Segnalazioni formali, in caso di presunta violazione dei dati o di immotivata ottemperanza alle richieste di esercizio dei diritti, allegando copia del documento d’identità, da inviare tramite pec al Titolare del Trattamento all’indirizzo —--- o all’indirizzo —--
Si precisa che NABO.DIGITAL SRLS ha predisposto la presente procedura per le richieste formali per assicurare il rispetto dei seguenti parametri qualitativi:
- Acquisizione delle richieste in data certa;
- Identificazione dell’Interessato richiedente;
- Non ricusabilità delle richieste;
- Tracciamento dei tempi di risposta da parte di NABO.DIGITAL SRLS;
- Verifica del destinatario della documentazione prodotta in adempimento alle richieste.
5.4. Tipologia di richieste di esercizio dei diritti
L'Interessato al trattamento dei dati personali, attraverso le forme di comunicazioni succitate, può esercitare i seguenti diritti di cui agli artt. 15‐22 del Regolamento (UE) 2016/679:
- Accesso ai dati personali ‐ (art. 15 del GFPR). L'Interessato chiede conferma che sia o meno in corso un trattamento di dati personali che lo riguardano ed eventualmente chiedere di ottenere l'accesso a tali dati, una copia degli stessi, e tutte le informazioni previste alle lettere da a) a h) dell’art. 15, paragrafo 1, del GDPR;
- Richiesta di intervento sui dati ‐ (artt. 16‐18 del GDPR). L'Interessato chiede di effettuare le operazioni di rettificazione e/o aggiornamento dei dati (art. 16 del GDPR) ovvero la cancellazione dei dati (art. 17, GDPR);
- Richiesta di limitazione del trattamento (art. 18) perché contesta l’esattezza dei dati personali oppure ritiene che il trattamento dei dati è illecito, oppure i dati sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
- Richiesta di Portabilità dei dati ‐ (art. 20 del GDPR). L'Interessato chiede di ricevere tali dati in un formato strutturato, oppure trasmetterli direttamente ad altro titolare del trattamento;
- Opposizione al trattamento ‐ (art. 21, GDPR). L'Interessato si oppone al trattamento dei suoi dati personali.
5.5. Limitazioni all'esercizio dei diritti
Diritto di accesso e di cancellazione: La presente procedura non regolamenta l’esercizio del diritto di accesso ai dati personali nei seguenti casi:
- Dati personali raccolti a seguito di prestazioni a pagamento che non risultino saldate al momento della richiesta di accesso;
- Dati personali di qualsiasi tipologia non più disponibili presso NABO.DIGITAL SRLS a seguito di:
- cessazione dei termini di custodia/archiviazione;
- cessazione di utilità ai fini dei trattamenti in essere;
- anonimizzazione dei riferimenti direttamente o indirettamente volti a rilevare l’identità dell’interessato.
- Dati personali per i quali non è esercitabile il diritto di accesso, in base a specifiche norme di legge (es. dati riconducibili ai rapporti tra NABO.DIGITAL SRLS e le Autorità Giudiziarie o di Polizia).
Diritto di rettifica: La presente procedura non regolamenta l’esercizio del diritto di rettifica/integrazione di dati personali relativi a:
- Dati relativi alla fatturazione;
- Dati anagrafici identificativi e di recapito acquisiti da fonti autoritative;
- Dati personali non più disponibili presso NABO.DIGITAL SRLS a seguito di:
- cessazione dei termini di custodia/archiviazione;
- cessazione di utilità ai fini dei trattamenti in essere;
- anonimizzazione dei riferimenti direttamente o indirettamente volti a rilevare l’identità dell’interessato.
5.6. Modalità operativa di gestione delle richieste formali
L’Interessato può inviare una richiesta formale di esercizio dei propri diritti oppure una segnalazione di presunta inottemperanza o violazione tramite i canali di comunicazione descritti al par.5.3.
Il Titolare del trattamento dei dati personali, provvede alla gestione e all'espletamento delle richieste di esercizio dei diritti, secondo la presente procedura e nel rispetto del GDPR.
Si precisa che:
- Il termine per ottemperare alla richiesta dell'Interessato è di 30 giorni e può essere prorogato di ulteriori 60 giorni, se necessario, tenuto conto della complessità e del numero delle richieste. In tal caso il Titolare del Trattamento informa l’interessato di tale proroga e dei motivi del ritardo, entro 30 giorni dal ricevimento della richiesta.
- Le informazioni fornite dall’interessato ed eventuali comunicazioni e azioni intraprese sono gratuite.
- Le richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può:
- addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta;
Oppure
- rifiutare di soddisfare la richiesta.
Il Titolare del Trattamento:
- riceve e identifica univocamente la richiesta di esercizio dei diritti, verifica la completezza della richiesta e la presenza di idoneo documento identificativo dell'Interessato con il supporto del personale autorizzato;
- valuta in maniera preliminare la congruità e la ricusabilità della richiesta, eventualmente chiedendo il parere di competenza al Responsabile Protezione Dati;
- nel caso la richiesta di esercizio sia da ritenersi "ricusabile", fornisce tempestiva comunicazione all'Interessato ai riferimenti indicati nella richiesta;
- nel caso in cui la richiesta di esercizio sia da ritenersi "non ricusabile", si adopera per ottemperare a quanto richiesto dall'Interessato indicando i tempi massimi di risposta;
- comunica all’Interessato le informazioni relative alla richiesta entro 30 giorni dal ricevimento della
- richiesta stessa;
- comunica all'Interessato le motivazioni dell’eventuale inottemperanza.
5.7. Archiviazione e Registro delle richieste di esercizio dei diritti
Tutte le richieste di esercizio dei diritti dell'Interessato, vengono individuate univocamente, registrate ed archiviate.
Il Titolare del Trattamento custodisce ed aggiorna il registro delle richieste di esercizio, contenente le seguenti informazioni:
- Identificativo univoco della richiesta;
- Dati identificativi e recapiti dell'interessato richiedente;
- Descrizione sintetica dell'oggetto della richiesta;
- Esito della richiesta;
- Data di accettazione della richiesta;
- Data di comunicazione all'Interessato circa gli esiti della richiesta;
- Note e Segnalazioni.