Associazione Siciliana  Imprese  - A.S.IM.

Sede legale: Via Domenico Scinà n. 28
90139 – PALERMO

 

Titolare trattamento dati: Sig. Gambino Nicolò

 

Attività svolta: L’Associazione Siciliana Imprese è una Associazione Datoriale. L’Associazione fornisce assistenza e servizi di supporto a favore delle imprese siciliane associate. 

vari ambiti sociali ed è iscritta al n. 300 del Registro Regionale delle Associazioni di promozione ASSOCIAZIONE SICILIANA IMPRESE – A.S.IM. è accreditata a svolgere formazione giusto decreto emesso da Regione Siciliana - Assessorato all’Istruzione e alla Formazione Professionale D.D.G. n.  782   DEL 17/11/2020 - Codice C.I.R.  HBF759.

A.S.IM.  inoltre opera ed eroga formazione secondo un Sistema di Gestione per la Qualità che è stato giudicato conforme alla Norma EN ISO 9001:2015 per il seguente campo di applicazione: “Progettazione ed erogazione di corsi di formazione ed aggiornamento professionale”. EA 37

 

 

 

 

 

0	08/01/2021	PRIMA EMISSIONE	GAMBINO Nicolò	DIR
REV.	DATA	DESCRIZIONE REVISIONE	REDATTO	APPROVATO

 

 

 

1.   DOCUMENTO

 

1.1             SCOPO

 

Il presente è redatto dall’ASSOCIAZIONE SICILIANA IMPRESE - A.S.IM. per soddisfare il REGOLAMENTO (UE) 2016/679  DEL  PARLAMENTO  EUROPEO  E  DEL  CONSIGLIO  del  27  Aprile  2016  relativo  alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

Inoltre costituisce un valido strumento per l’adozione delle misure idonee previste dallo stesso regolamento in accordo alla   “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili, ossia, sull’ adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento). In sostanza rappresenta lo strumento affidato ai titolari per la definizione delle modalità, le garanzie e i limiti del trattamento dei dati personali nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

 

 

1.2             CAMPO DI APPLICAZIONE

Il Documento definisce le politiche e gli standard di sicurezza in merito al rischio inerente al trattamento dei dati adottati dall’azienda.

Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (si vedano art. 75-77); tali impatti saranno analizzati attraverso un apposito processo di valutazione (si vedano artt. 35-36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi. All’esito di questa valutazione di impatto il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’Autorità non avrà il compito di “autorizzare” il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’art. 58: dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento.

 Il presente documento e le relative informative in allegato si applicano:

•        a tutti i lavoratori dipendenti e a tutti i collaboratori della ASSOCIAZIONE SICILIANA IMPRESE - A.S.IM. a prescindere dal rapporto contrattuale con la stessa intrattenuto (lavoratori somministrati, collaboratori a progetto, agenti, stagisti, consulenti, ecc.) che si trovano ad operare sui dati personali di cui la ASSOCIAZIONE SICILIANA IMPRESE - A.S.IM. stessa è Titolare (di seguito “utenti”);

•        a tutte le attività o comportamenti comunque connessi all’utilizzo della rete Internet e della posta elettronica, mediante strumentazione aziendale o di terze parti autorizzate all’uso dell’infrastruttura aziendale.

 

 

 

1.3             RIFERIMENTI NORMATIVI

1.       REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

 

2.       Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679

 

 

 

1.4             Definizioni

1)     «dato personale»: qualsiasi informazione riguardante una persona fisica o giuridica identificata o identificabile («interessato»); come il nome, la ragione sociale di un’azienda , un numero di identificazione, dati relativi all'ubicazione, un identificativo online (e-mail)e recapiti telefoni.

2)   «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

3)   «limitazione di trattamento»: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro;

4)    «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;

5)  «pseudonimizzazione»:il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

6)      «archivio»:  qualsiasi  insieme  strutturato  di  dati  personali  accessibili  secondo  criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

 

7)   «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;

8)   «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

9) «destinatario»: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

10)    «terzo»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile;

11) «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

12)   «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;

 

Dati Considerati particolari (punto 13-14-15)

Art. 9 del GDPR, “Trattamento di categorie particolari di dati personali”, dopo avere affermato il principio per cui “1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”, al comma 2 il Regolamento precisa alcune eccezioni a tale divieto, tra le quali – alla lettera e) – annovera il caso del trattamento che “riguarda dati personali resi manifestamente pubblici dall’interessato”.

13)   «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;

14)   «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;

15)     «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

16)      «stabilimento principale»:  a)  per  quanto  riguarda  un  titolare  del  trattamento  con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione e che quest'ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo

 

stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale; b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento non ha un'amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;

17)     «rappresentante»: la persona fisica o giuridica stabilita nell'Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell'articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;

18)   «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un'attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un'attività economica;

19)   «gruppo imprenditoriale»: un gruppo costituito da un'impresa controllante e dalle imprese da questa controllate;

20)     «norme vincolanti d'impresa»: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune;

21)    «autorità di controllo»: l'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51;

22)    «autorità di controllo interessata»: un'autorità di controllo interessata dal trattamento di dati personali in quanto: a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo; b) gli interessati che risiedono nello Stato membro dell'autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure c) un reclamo è stato proposto a tale autorità di controllo;

23)    «trattamento transfrontaliero»: a) trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure b) trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

 

 

24)    «obiezione pertinente e motivata»: un'obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l'azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all'interno dell'Unione;

25)     «servizio della società dell'informazione»: il servizio definito all'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio (1);

26)    «organizzazione internazionale»: un'organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

 

2.                PRINCIPI APPLICABILI AL TRATTAMENTO DEI DATI PERSONALI

I dati personali di ASSOCIAZIONE SICILIANA IMPRESE - A.S.IM. sono:

a)       trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);

b)    raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);

c)     adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

d)    esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

e)     conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»);

f)    trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

Le informazioni necessarie a definire i trattamenti sono richiamate nell’allegato 1 : Registro delle attività del trattamento

 

 

 

3.     LICEITA’ DEL TRATTAMENTO

 

I trattamenti di ASSOCIAZIONE SICILIANA IMPRESE - A.S.IM. sono leciti in quanto ricorrono almeno una delle seguenti condizioni:

-l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità:

•        il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;

•        il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

•        il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;

•        il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;

•        il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

 

Il regolamento conferma che ogni trattamento deve trovare fondamento in un'idonea base giuridica; i  fondamenti  di  liceità  del  trattamento  sono  indicati  all'art.  6  del  regolamento  e coincidono, in linea di massima, con quelli previsti del Codice privacy - d.lgs. 196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).

 

Le specifiche di liceità sono verificate nell’allegato 1 : Registro delle attività del trattamento

 

4.     CONDIZIONI PER IL CONSENSO

 

ASSOCIAZIONE SICILIANA IMPRESE - A.S.IM. basa le condizioni del consenso sui seguenti punti :

 

1 Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

2.  Se il consenso dell'interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.

3.  L'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l'interessato è informato di ciò.

Il consenso è revocato con la stessa facilità con cui è accordato.

4.  Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto.

 

Le specifiche sul consenso relativamente ai vari trattamenti sono indicate nell’allegato 1: Registro delle attività del trattamento

 

 

 

5.      TRATTAMENTO DI DATI PARTICOLARI

Premesso che il regolamento formalizza che é vietato trattare dati particolari che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona, tale trattamento non si applica per ASSOCIAZIONE SICILIANA IMPRESE - A.S.IM. in quanto l’azienda non tratta dati particolari o si verifica almeno uno dei seguenti casi:

a)     l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati particolari per una o più finalità specifiche;

b)  il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato;

c)   il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;

 

d)       il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati particolari non siano comunicati all'esterno senza il consenso dell'interessato;

e)    il trattamento riguarda dati particolari resi manifestamente pubblici dall'interessato;

f)     il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

g)     il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;

h)    il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione

o degli Stati membri o conformemente al contratto con un professionista della sanità. In questo caso è il Medico competente dell’azienda che tratta i dati particolari dei dipendenti non direttamente l’azienda.

i)  il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale;

J) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.

 

Il trattamento di tali dati è indicato nell’allegato 1 : Registro delle attività del trattamento.

 

 

 

6.    DIRITTI DELL'INTERESSATO

6.1   INFORMAZIONI DA FORNIRE QUALORA I DATI PERSONALI SIANO RACCOLTI PRESSO NL'INTERESSATO

 

ASSOCIAZIONE SICILIANA IMPRESE - A.S.IM. in caso di raccolta presso l'interessato di dati che lo riguardano, il titolare del trattamento fornisce all'interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

a)      l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b)    i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c)     le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d)    i legittimi interessi perseguiti dal titolare del trattamento o da terzi ove richiesto;

e)   gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f) ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

 

In aggiunta alle informazioni di cui sopra, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all'interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

a)    il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b)    l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c)     l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d)    il diritto di proporre reclamo a un'autorità di controllo;

e)     se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

f)   l'esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

 

6.2      INFORMAZIONI DA FORNIRE QUALORA I DATI PERSONALI NON SIANO STATI OTTENUTI PRESSO L'INTERESSATO

Qualora i dati non siano stati ottenuti presso l'interessato, il titolare del trattamento fornisce all'interessato le seguenti informazioni:

a)      l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b)    i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c)     le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d)    le categorie di dati personali in questione;

e)   gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f)    ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

Oltre alle informazioni di cui sopra il titolare del trattamento dei dati di ASSOCIAZIONE SICILIANA IMPRESE - A.S.IM. fornisce all'interessato le seguenti informazioni necessarie per garantire un trattamento corretto e trasparente nei confronti dell'interessato:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

c)    l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

d)      qualora il trattamento sia relativo a dati particolari l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;

e)    il diritto di proporre reclamo a un'autorità di controllo;

f)     la fonte da cui hanno origine i dati personali e, se del caso, l'eventualità che i dati provengano da fonti accessibili al pubblico;

g)    l'esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

Il titolare del trattamento fornisce le informazioni di cui sopra

a)    entro un termine ragionevole dall'ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati;

b)     nel caso in cui i dati personali siano destinati alla comunicazione con l'interessato, al più tardi al momento della prima comunicazione all'interessato;

 

c)       nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.

Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati ottenuti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni informazione pertinente, non fornisce informativa nella misura in cui l'interessato dispone già delle informazioni e negli altri casi provvede a dare informativa relativa a quanto sopra con ausilio di Informative (allegato 5-6)

 

 

 

6.3       DIRITTO   DI   ACCESSO   DELL'INTERESSATO,   DIRITTO   DI   RETTIFICA,   DIRITTO   ALLA CANCELLAZIONE   (DIRITTO   ALL’OBLIO),   DIRITTO   DI   LIMITAZIONE   DI   TRATTAMENTO, OBBLIGO DI NOTIFICA IN CASO DI RETTIFICA O CANCELLAZIONE DEI DATI PERSONALI O LIMITAZIONE DEL TRATTAMENTO, DIRITTO DI PORTABILITA’ DEI DATI E DIRITTO DI OPPOSIZIONE (art 16-21 del Regolamento GDPR 679/2016)

 

 

In relazione a quanto sopra l’interessato di ASSOCIAZIONE SICILIANA IMPRESE - A.S.IM. ha diritto di accesso, diritto di rettifica, diritto alla cancellazione ed eventuale diritto di limitazione di trattamento, ovvero diritto di portabilità dei dati e diritto all’oblio.

 

 

L'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni:

a)    le finalità del trattamento;

b)    le categorie di dati personali in questione;

c)      i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d)    quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

e)    l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;

f)   il diritto di proporre reclamo a un'autorità di controllo;

g)     qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;

 

 

 

 

h)   l'esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

Qualora i dati personali siano trasferiti a un paese terzo o a un'organizzazione internazionale, l'interessato ha il diritto di essere informato dell'esistenza di garanzie adeguate relative al trasferimento.

Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall'interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l'interessato presenta la richiesta mediante mezzi elettronici e salvo indicazione diversa dell'interessato, le informazioni sono fornite in un formato elettronico di uso comune.

L'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa

L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

a)    i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

b)       l'interessato revoca il consenso e se non sussiste altro fondamento giuridico per il trattamento;

c)    l'interessato si oppone al trattamento , e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento

d)    i dati personali sono stati trattati illecitamente;

L'interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

a)    l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l'esattezza di tali dati personali;

b)     il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo;

c)     benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;

d)     l'interessato si è opposto al trattamento, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato.

Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato.

Il titolare del trattamento comunica all'interessato tali destinatari qualora l'interessato lo richieda.

L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

Qualora i dati personali siano trattati per finalità di marketing diretto, l'interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto. Qualora l'interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento per tali finalità.

 

7.       RUOLI,  COMPITI  DELLE  FIGURE  PREVISTE  PER  LA  SICUREZZA  DEI  DATI PERSONALI

7.1   TITOLARE DEL TRATTAMENTO

 

Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento di ASSOCIAZIONE SICILIANA IMPRESE - A.S.IM. mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente documento . Dette misure sono riesaminate e aggiornate qualora necessario ed includono l'attuazione di politiche adeguate in materia di protezione dei dati.

Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento di ASSOCIAZIONE SICILIANA IMPRESE - A.S.IM. mette in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

 

Il titolare del trattamento dati di ASSOCIAZIONE SICILIANA IMPRESE - A.S.IM. mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.

Il Titolare del trattamento dei dati è il Sig. GAMBINO Nicolò.

7.2   RESPONSABILE DEL TRATTAMENTO

Qualora un trattamento debba essere effettuato per conto del titolare del trattamento di

ASSOCIAZIONE SICILIANA IMPRESE - A.S.IM., quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato.

Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento.

Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l'opportunità di opporsi a tali modifiche. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto (delega) che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto (delega) prevede, in particolare, che il responsabile del trattamento:

a)    tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

b)    garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c)    adotti tutte le misure richieste

d)    rispetti le condizioni previste per ricorrere a un altro responsabile del trattamento;

e)    tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato;

f)      assista il titolare del trattamento nel garantire il rispetto degli obblighi sicurezza e consultazione preventiva, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

g)    su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti;

h)     metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. Il Responsabile del trattamento dei dati è GAMBINO Nicolò. 
Si rimanda alla Allegato 2: Nomina del responsabile del trattamento dei dati personali

 

8.    REGISTRI DELLE ATTIVITÀ DI TRATTAMENTO

 

Il titolare del trattamento ed ogni responsabile o gli incaricati tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:

a)  il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati DPO se necessario.

b)    le finalità del trattamento;

c)    una descrizione delle categorie di interessati e delle categorie di dati personali

d)    le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

e)     ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale

f)   ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g)    ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative Si rimanda ai registri riportati nell’allegato 1 : Registro delle attività del trattamento

 

9.    SICUREZZA DEL TRATTAMENTO

Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento di

ASSOCIAZIONE SICILIANA IMPRESE - A.S.IM. ed i responsabili del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a)    la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

b)    la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;

c)      una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Nel valutare l'adeguato livello di sicurezza, il titolare del trattamento dei dati ed i responsabili del trattamento tengono conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Le misure di sicurezza dei trattamenti sono riportate nell’allegato 1 : Registro delle attività del trattamento.

 

10.       NOTIFICA  DI  UNA  VIOLAZIONE  DEI  DATI  PERSONALI  ALL'AUTORITÀ  DI CONTROLLO E COMUNICAZIONE DI UNA VIOLAZIONE DEI DATI PERSONALI ALL'INTERESSATO

In caso di grave violazione dei dati personali, il titolare del trattamento dati, notifica la violazione all'autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

 

Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

 

Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. La notifica contiene:

 

a)  descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

 

b)    comunicazione del nome e dei dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

 

c)    descrizione delle probabili conseguenze della violazione dei dati personali;

 

d)     descrizione delle misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

 

Il titolare del trattamento dati, documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio in apposito registro Data Breach. Tale documentazione consente all'autorità di controllo di verificare il rispetto del REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016

Si rimanda al registro Data Breach (allegato 9) ed al Modello segnalazione Data Breach (allegato 10).

 

Non è richiesta la comunicazione all'interessato se è soddisfatta una delle seguenti condizioni:

a)    il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

b)      il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati

c)     detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

 

11.     VALUTAZIONE D'IMPATTO SULLA PROTEZIONE DEI DATI

 

Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve effettuare, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali.

La valutazione d'impatto sulla protezione è richiesta in particolare nei casi seguenti:

a)  una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b)    il trattamento, su larga scala, di categorie dati particolari.

c)    la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

L’Azienda anche se non rientra nelle casistiche sopracitate, ha provveduto redigere una valutazione dei rischi con il metodo sotto riportato.

 

La valutazione contiene

a)       una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento;

b)    una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

c)    una valutazione dei rischi per i diritti e le libertà degli interessati

d)     le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Nel valutare l'impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati

Il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto nell’ambito della valutazione.

Il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d'impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.

ASSOCIAZIONE SICILIANA IMPRESE - A.S.IM. ha identificato tutti i rischi aziendali analizzando i propri trattamenti e suddividendo in rischi in:

ü  Rischi nei confronti degli individui (es. rischi per la sicurezza fisica, rischi materiali (es. perdite finanziarie causate da frodi o dati inesatti i violazione della sicurezza) e rischi morali (es. preoccupazione per la diffusione di una notizia riservata o per un’intrusione non prevista)

ü  Rischi nei confronti dell’organizzazione possono consistere in danni alla reputazione con conseguente perdita di business o in costi finanziari dovuti alla una violazione di dati ;

 

ü  Rischi di conformità (es. al GDPR, alle indicazioni del garante, ) possono comportare multe o penali

ASSOCIAZIONE SICILIANA IMPRESE - A.S.IM. ha quindi effettuato tale analisi dei rischi per i trattamenti riportati in Allegato 1, Si riserva comunque in futuro di ampliare l’analisi ad altri trattamenti che dovessero essere implementati in azienda.

Con questa fase sono identificati i rischi potenziali nei quali ASSOCIAZIONE SICILIANA IMPRESE - A.S.IM. potrebbe incorrere.

 

Un metodo semplice ed efficace per poter effettuare la stima/analisi del rischio e definirne l’accettabilità o meno, può essere la matrice, in cui le due variabili, gravità dell’impatto (G) e la probabilità (P) e la Proporzionalità delle misure (I); ciascun parametro viene categorizzato (in 4 livelli), ottenendo così un prodotto dei tre parametri che riassume il livello di rischio di ogni situazione individuata.

Il prodotto delle variabili

R = G*P*I  quantificherà la stima del rischio.

Di seguito riportiamo le tabelle dei tre parametri:

 

Tabella delle probabilità di accadimento dell’evento (P)

Criteri	Livello	Valore
L’evento rilevato può provocare un Impatto per la concomitanza di più eventi poco probabili e indipendenti fra loro. Non sono noti episodi già verificatisi.	Improbabile	1
L’Evento   rilevato   può   provocare   un   Impatto   solo   in   circostanze sfortunate di eventi. Sono noti solo rarissimi episodi già verificatisi negli ultimi 5 anni	Poco Probabile	2
L’Evento rilevato può  provocare  un  Impatto  anche  se  non  in  modo automatico o diretto. E’ noto qualche episodio già verificatosi negli ultimi 5 anni	Probabile	3
Esiste  una  correlazione  diretta  tra  evento  ed  il  verificarsi  dell’Impatto ipotizzato. Si sono già verificati danni per lo stesso pericolo rilevato negli ultimi 5 anni.	Altamente Probabile	4

 

Tabella Gravità (G)

Criteri	Livello	Valore
L’impatto risulta pressoché irrilevante	Lieve	1
L’impatto comporta una perdita contenuta	Medio	2
L’impatto comporta una perdita significativa	Grave	3
L’impatto  comporta   una perdita con gravi effetti sulla stabilità economico finanziaria aziendale e sulle libertà e i diritti degli interessati	Gravissimo	4

Tabella necessità e proporzionalità (I)

Criteri	Livello	Valore
Le misure intraprese sono coerenti e proporzionali e secondo necessità rispetto al trattamento oggetto	Conformi	1
Le misure intraprese sono lievemente superiori/inferiori e comunque sproporzionate e quindi oltremodo necessità rispetto al trattamento oggetto	Non proporzionate	2
Le misure intraprese sono inferiori, comunque non proporzionali ed insufficienti rispetto alla necessità del l trattamento oggetto	Inferiori	3

 

Classificazione dei livelli di rischio

Il processo di valutazione che porta ad associare ad uno scenario talvolta complesso, un giudizio espresso in forma numerica, risente ovviamente di tutta una serie di incertezze ed approssimazioni. La molteplicità dei fattori che concorrono a definire una condizione di rischio, porta necessariamente a categorizzare le variabili del problema e a risentire delle incertezze nella definizione delle stesse.

Per tale motivo, il livello di rischio calcolato come di seguito serve ad individuare una classe di rischio per ogni situazione analizzata

 

R = G*P *I

 

Il giudizio espresso quindi in forma lessicale è categorizzato in tre livelli a seconda dell’importanza del rischio stesso.

Stima del rischio (RK = P x I)
R  8	8 < R < 24	R  24
Rischio BASSO (B)	Rischio MEDIO (M)	Rischio ALTO (A)
Area Accettabile	Area medio	Area Inaccettabile

 

Area Rischio basso (accettabile)

In questo caso il rischio è così basso da essere trascurabile e non deve essere necessariamente perseguito il controllo del rischio o attivate azioni correttive.

Area Rischio medio

All’interno di quest’area l’azienda si prodiga per ridurre per quanto possibile i rischi, ponderandone il rischio residuo e la praticabilità di un’ulteriore riduzione, tramite:

•     la praticabilità tecnica;

•     la praticabilità economica.

La praticabilità tecnica ed organizzativa si riferisce alla capacità di ridurre il rischio con misure tecniche ed organizzative , indipendentemente dal costo.

La praticabilità economica fa riferimento alla capacità di ridurre il rischio senza rendere l’intervento economicamente inaccettabile, considerato lo stato dell’area generalmente accettata. Vicino all’area accettabile, si ritiene sufficiente il rapporto rischi/benefici.

 

Le azioni, se ritenute necessarie, andranno inserite all’interno del piano di miglioramento o nella modulistica delle azioni correttive/preventive.

 

Area Rischio alto (inaccettabile)

Il rischio è così alto da non poter essere tollerabile, e dev’essere perseguito il suo controllo per una sua eliminazione o riduzione a livelli accettabili. Sono quindi prescritte azioni correttive o di miglioramento a breve termine.

Le azioni andranno inserite all’interno del piano di miglioramento e documentate

 

Valutazione

Se il risultato dell’analisi ricade nell’area di accettabilità, verrà definito un obiettivo per renderlo tale.

 

Azioni

È costituito dalle fasi:

•     predisposizione delle azioni correttive (interventi migliorativi);

•     monitoraggio del rischio residuo.

Le azioni correttive saranno rivolte, ove possibile, all’eliminazione del pericolo, ovvero alla riduzione del rischio fino ad un livello accettabile, tenuto sempre presente la praticabilità tecnica ed economica.

I tempi di attuazione delle azioni correttive saranno individuati in base al livello di rischio stimato in:

LIVELLO DI RISCHIO	TEMPI DI ATTUAZIONE DELLE AZIONI CORRETTIVE (misure di sicurezza)
Rischio alto (A)	Azioni  correttive/piano   di programmare con urgenza	miglioramento	immediate	o	da
Rischio medio (M)	Eventuali Azioni correttive-preventive/piano di miglioramento da valutare o da programmare nel breve –medio periodo
Rischio basso (B)	Non è richiesta alcuna azione

 

Diagramma di flusso del processo di Valutazione del Rischio

 

Sulle risultanze dei singoli fattori di rischio valutati, si individuano le misure correttive ritenute necessariamente immediate o programmabili.

 

 

Gli impatti sono valutati secondo le seguenti cause riportate nell’Allegato 3 Analisi cause:

-Incendio

-Acqua,

-Incidente

-Cedimento strutturale

-Fenomeni metereologici

-Fenomeni sismici

-Alluvioni ed allagamenti

-Guasti generali

-  Malfunzionamenti

-  Radiazioni

-Violazioni privacy

-  Guasti tecnici

-  Abuso di diritti

-  Errori umani

-  Dipendenza dell'azienda

-  Danneggiamento accidentale

-  Accesso accidentale

 

Si rimanda all’allegato 4 : Valutazione impatto protezione dati

 

12.     DPO DATA PROTECTION OFFICER

E’ obbligatorio nominare il DPO nei seguenti casi:

•        Amministrazione e enti pubblici fatte eccezione per autorità giudiziaria;

•        Soggetti la cui attività principale consiste in trattamenti che, per la loro natura e il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

•        Soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati Particolari, relativi alla saluta o alla vita sessuale genetici, giudiziari e biometrici.

 

Il DPO è Responsabile della Protezione dei Dati e deve:

•        Possedere una adeguata conoscenza della normativa e della prassi di gestione dei dati Personali:

•        Adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse;

•        Operare sulla Base di un contratto; Il DPO deve eseguire i seguenti compiti:

•        Sorvegliare l’osservanza del regolamento;

•        Supportare il titolare in ogni attività connessa al trattamento dei dati Personali anche con riguardo alla tenuta di un registro dell’Attività di Trattamento;

•        Supportare nella valutazione d’impatto sulla protezione dei Dati:

•        Informare e sensibilizzare il Titolare o il Responsabile nonché i dipendenti riguardo agli obblighi del Regolamento;

•        Cooperare con le autorità di controllo e fungere da punto di contatto;

Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

a)       il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b)      le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c)       le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali

Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti .

Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.

Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo.

Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell'esecuzione dei suoi compiti fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.

Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.

Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal presente regolamento.

Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all'adempimento dei propri compiti.

Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi

Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

a)    informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

b)     sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c)    fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento

d)    cooperare con l'autorità di controllo; e

e)      fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva.

Nell'eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo

L’azienda ASSOCIAZIONE SICILIANA IMPRESE - A.S.IM. non rientra tra i casi sopramenzionati, di conseguenza non ha provveduto a nominare un responsabile di protezione dei dati, DPO.

 

.13. RESPONSABILE DEL TRATTAMENTO DEI DATI

 

L’azienda anche se non rientra nell’obbligo di nominare un DPO deve nominare un Titolare del Trattamento dei dati che a suo volta può nominare un Responsabile del trattamenti dati. Titolare del trattamento è la Direzione Aziendale o l’Amministratore.

Responsabile del trattamento la persona fisica o giuridica che tratta i dati personali per conto del Titolare del trattamento.

Il Responsabile del Trattamento può nominare a sua volta degli incaricati per il trattamento dei dati.

In Allegato 12 organigramma funzionale per il Trattamento dei dati.

 

14.            PIANO    DI    FORMAZIONE   DEL    PERSONALE   AUTORIZZATO  AL TRATTAMENTO DEI DATI

 

Al “Titolare del trattamento” è affidato il compito di verificare ogni anno, entro il 31 dicembre, le necessità di formazione del personale “Incaricato del trattamento” dei dati con lo scopo di fornire ogni informazione necessaria a migliorare la sicurezza di trattamento dei dati.

Per ogni utente il “Titolare del trattamento“ definisce, sulla base dell’esperienza e delle sue conoscenze, ed in funzione anche di eventuali variazioni della normativa, le necessità di formazione, i vari partecipanti alle formazioni saranno registrati nell’apposito Allegato 11 Piano di formazione.