1. CAMPO D’APPLICAZIONE, SCOPO E DESTINATARI
L’Azienda si impegna a rispettare le leggi e i regolamenti applicabili relativi alla protezione dei dati personali nei paesi in cui l’Azienda opera. Questa Politica stabilisce i principi di base con cui l’Azienda tratta i dati personali di consumatori, clienti, fornitori, partner commerciali, dipendenti e altre persone e indica le responsabilità dei propri dipartimenti aziendali e dipendenti durante il trattamento dei dati personali.
La presente politica si applica all’Azienda e alle aziende che controlla direttamente o indirettamente che svolgono attività all'interno dello Spazio Economico Europeo (SEE) o che trattano i dati personali degli interessati all'interno del SEE.
I destinatari di questo documento sono tutti i dipendenti, permanenti o temporanei, e tutti i collaboratori che lavorano per conto dell’Azienda.
2. DOCUMENTI DI RIFERIMENTO
3. OGGETTO E FINALITÀ
Il GDPR stabilisce le norme per la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché le norme per la libera circolazione di tali dati (articolo 1).
4. AMBITO DI APPLICAZIONE MATERIALE
Nell'ambito di applicazione materiale del Regolamento vi sono:
Fuori dall'ambito di applicazione materiale vi sono:
5. AMBITO DI APPLICAZIONE TERRITORIALE
Il Regolamento si applica:
6. DEFINIZIONI
Rispetto al Codice della Privacy (Decreto legislativo n. 196 del 30/06/2003) è stata eliminata la definizione di dati sensibili e di dati giudiziari; ora si parla di:
7. PRINCIPI APPLICABILI AL TRATTAMENTO DEI DATI PERSONALI
I principi applicabili alla protezione dei dati delineano le responsabilità delle organizzazioni nella gestione dei dati personali. Il Titolare è competente per il rispetto dei principi, e deve essere in grado di comprovarlo.
LICEITÀ, CORRETTEZZA E TRASPARENZA
I dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato.
Il trattamento è lecito solo se e nella misura in cui ricorre almeno UNA delle seguenti condizioni:
LIMITAZIONE DELLE FINALITÀ
I dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità.
MINIMIZZAZIONE DEI DATI
I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per cui sono trattati. L’azienda deve applicare l'anonimizzazione o la pseudonimizzazione ai dati personali, se possibile, per ridurre il rischio per gli interessati.
ESATTEZZA
I dati personali devono essere esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.
LIMITAZIONE DEL PERIODO DI CONSERVAZIONE
I dati devono essere conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
INTEGRITÀ E RISERVATEZZA
Tenendo conto delle tecnologie e di altre misure di sicurezza disponibili, dei costi di attuazione e la probabilità e gravità dei rischi per i dati personali, l’Azienda ha messo in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato per i dati personali, inclusa la protezione dalla distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l'accesso non autorizzati.
RESPONSABILIZZAZIONE
Il Titolare del trattamento dei dati è competente per il rispetto dei principi sopra descritti e attraverso la corretta applicazione ed osservazione della presente politica è in grado di comprovarlo.
8. PRINCIPI DI PROTEZIONE DEI DATI NELLE ATTIVITÀ COMMERCIALI
L’Azienda ha implementato i principi della protezione dei dati nel proprio sistema gestionale privacy, garantendo la conformità normativa delle diverse fasi operative, dalla raccolta al trattamento.
NOTIFICA AGLI INTERESSATI
(Vedi il capitolo Linee guida sul corretto trattamento.)
SCELTA E CONSENSO DELL’INTERESSATO
(Vedi il capitolo Linee guida sul corretto trattamento.)
RACCOLTA
Obiettivo dell’Azienda è adottare e migliorare costantemente i propri processi organizzativi ed operativi per raccogliere il minor numero di dati personali possibile. Se i dati personali sono raccolti da terzi, il responsabile del trattamento deve garantire che i dati personali siano raccolti legalmente. Manuale del Modello Organizzativo Privacy ai sensi del Regolamento (UE) 2016/679 Rev. 01 del 14/09/2018 DOCUMENTO AD USO INTERNO Pag. 13 di 44
USO, CONSERVAZIONE E SMALTIMENTO
Le finalità, i metodi, il limite di registrazione e il periodo di conservazione dei dati personali devono essere coerenti con le informazioni contenute nell'Informativa sulla Privacy. L’azienda deve mantenere l'esattezza, l'integrità, la riservatezza e la rilevanza dei dati personali in base allo scopo del trattamento. È necessario utilizzare adeguati meccanismi di sicurezza volti a proteggere i dati personali per impedire che vengano rubati, utilizzati in modo improprio o abusati e prevenire le violazioni dei dati personali. Il Titolare è responsabile della conformità con i requisiti elencati in questa sezione.
DIVULGAZIONE A TERZI
Ogni volta che la Società utilizza un fornitore o un partner commerciale terzo per il trattamento dei dati personali per suo conto, è necessario ottenere garanzie che questo fornisca misure di sicurezza per salvaguardare i dati personali adeguate ai rischi associati (per esempio uso inappropriato dei dati personali, divulgazione non autorizzata ecc). L’Azienda si impegna a richiedere contrattualmente al fornitore o partner commerciale di fornire un adeguato livello di protezione dei dati (Modulo GDPR-NRET Nomina Responsabile Esterno Trattamento). I fornitori o i partner commerciali devono trattare i dati personali solo per adempiere ai propri obblighi contrattuali nei confronti dell’Azienda o dietro istruzioni dell’Azienda e non per altri scopi. Quando l’Azienda tratta i dati personali congiuntamente con un terzo indipendente, essa deve specificare esplicitamente le responsabilità proprie e quelle del terzo nel relativo contratto o qualsiasi in altro documento legalmente vincolante.
TRASFERIMENTO TRANSFRONTALIERO DEI DATI PERSONALI
L’Azienda non esegue trasferimenti di dati personali all’estero, comunque eventualmente prima di trasferire i dati personali dallo Spazio Economico Europeo (SEE) devono essere utilizzate misure di protezione adeguate, compresa la firma di un accordo sul trasferimento dei dati, come richiesto dall'Unione Europea e, se necessario, deve essere ottenuta l'autorizzazione della relativa Autorità per la Protezione dei Dati.
DIRITTO D’ACCESSO DA PARTE DEGLI INTERESSATI
L’azienda è responsabile di fornire agli interessati un ragionevole meccanismo di accesso per consentire loro di accedere ai propri dati personali e deve consentire loro di aggiornare, rettificare, cancellare o trasmettere i propri dati personali, se del caso o richiesto dalla legge. Il meccanismo di accesso sarà ulteriormente dettagliato nella Procedura di richiesta di accesso ai dati da parte dell’Interessato.
PORTABILITÀ DEI DATI
Gli interessati hanno il diritto di ricevere, su richiesta, una copia dei dati che ci hanno fornito in un formato strutturato e di trasmettere tali dati a un altro Titolare, gratuitamente. L’azienda è responsabile di garantire che tali richieste vengano elaborate entro un mese, non siano eccessive e non incidano sui diritti relativi ai dati personali di altre persone.
DIRITTO ALL’OBLIO
Su richiesta, gli interessati hanno il diritto di ottenere dall’Azienda la cancellazione dei propri dati personali se sussiste uno dei seguenti motivi:
9. LINEE GUIDA SUL CORRETTO TRATTAMENTO
I dati personali devono essere trattati solo se esplicitamente autorizzati dal Titolare del trattamento. Il Titolare stabilisce se eseguire la Valutazione d'Impatto sulla protezione dei dati per ciascuna attività di trattamento dei dati in base alle Linee guida sulla Valutazione d'Impatto sulla protezione dei dati.
COMUNICAZIONI AGLI INTERESSATI
Al momento della raccolta o prima della raccolta di dati personali per qualsiasi tipo di attività di trattamento, ma non limitata alla vendita di prodotti, servizi o attività di marketing, il Titolare è responsabile di informare adeguatamente gli interessati di quanto segue:
Queste informazioni sono fornite tramite l’Informativa sulla Privacy (Modello GDPR-IC per i Clienti; GDPR-IF per i Fornitori). L’azienda inoltre, in osservanza del principio di Accountability (responsabilizzazione) dovrà ottenere dall’interessato la conferma che lo stesso ha letto e compreso il contenuto dell’informativa mediante apposita dichiarazione sulla copia della stessa.
OTTENERE I CONSENSI
Ogni volta che il trattamento dei dati personali si basa sul consenso dell'interessato, o su altri motivi legittimi, il Titolare è responsabile:
Laddove la raccolta di dati personali si riferisca a un minore di età inferiore ai 16 anni, il Titolare deve garantire che il consenso del titolare della responsabilità genitoriale sia fornito prima della raccolta utilizzando il modulo specifico. Quando si richiede di correggere, modificare o distruggere le registrazioni dei dati personali, il Titolare deve garantire che tali richieste siano gestite entro un ragionevole lasso di tempo e deve anche registrare le richieste e tenere un registro di queste. I dati personali devono essere trattati solo per le finalità per cui sono stati originariamente raccolti. Nel caso in cui l’Azienda desideri trattare i dati personali raccolti per un altro scopo, l’Azienda deve richiedere il consenso degli interessati in forma scritta chiara e concisa. Qualsiasi richiesta di questo tipo dovrebbe includere lo scopo originale per cui sono stati raccolti i dati e anche gli scopi nuovi o aggiuntivi. La richiesta deve includere anche il motivo del cambiamento di scopo. Ora e in futuro, il Titolare deve garantire che i metodi di raccolta siano conformi alla legge, alle buone pratiche e alle norme industriali pertinenti. Il Titolare è responsabile della creazione e della manutenzione di un registro delle Informative sulla Privacy.
TRATTAMENTO DI CATEGORIE PARTICOLARI DI DATI PERSONALI
È vietato trattare dati personali che rivelino:
Eccezioni: l'interessato ha prestato il proprio consenso esplicito;
La liceità del trattamento è un prerequisito.
10. REQUISITI PER IL TRATTAMENTO DEI DATI PERSONALI DEI DIPENDENTI
Qualsiasi trattamento dei dati personali dei dipendenti da parte di dipartimenti e individui all’interno dell’Azienda deve avvenire per uno scopo legittimo e deve soddisfare i seguenti requisiti.
COMUNICAZIONE AI DIPENDENTI
Ai fini della trasparenza del trattamento dei dati personali dei dipendenti, quando un dipartimento o un individuo all’interno dell’Azienda raccoglie i dati personali di un dipendente, il dipendente deve essere informato dei tipi di dati raccolti, delle finalità e dei tipi di trattamento, dei diritti del dipendente e delle misure di sicurezza adottate per proteggere i dati personali. Queste informazioni sono fornite da apposita Informativa al trattamento dei dati personali (Modulo GDPR-ID).
COMUNICAZIONE AI CANDIDATI
La stessa trasparenza garantita per il trattamento dei dati personali dei dipendenti è assicurata anche per la raccolta dei dati personali di un candidato in fase di colloquio per una possibile assunzione. ll candidato deve essere informato dei tipi di dati raccolti, delle finalità e dei tipi di trattamento, dei suoi diritti e delle misure di sicurezza adottate per proteggere i dati personali. Queste informazioni sono fornite da apposita Informativa al trattamento dei dati personali (modello GDPR-ICL).
SCELTA E CONSENSO DEI DIPENDENTI
In linea di principio, l’Azienda può trattare i dati personali dei dipendenti per finalità legittime come datore di lavoro e generalmente può farlo senza ottenere il consenso del dipendente, per migliorare l'efficienza delle operazioni interne. Le attività di sicurezza e di gestione delle risorse umane come colloqui, assunzioni, cessazione del rapporto di lavoro, presenza, compensi e benefici, servizi dei dipendenti, salute e sicurezza sul lavoro possono comportare il trattamento di dati personali sensibili.
RACCOLTA
I dipartimenti aziendali e le persone fisiche devono raccogliere i dati personali dei dipendenti per finalità legittime e devono rispettare il principio della Minimizzazione dei Dati. Se i dati personali di un candidato a un lavoro o di un dipendente sono raccolti da un terzo (ad esempio agenzie di lavoro interinale), l’Azienda deve fare il possibile per garantire che questo terzo ottenga i dati personali con mezzi legittimi. Nessun dipartimento aziendale o individuo può raccogliere i dati personali di candidati o dipendenti in modo non conforme alla legge o all'etica aziendale.
USO, CONSERVAZIONE E SMALTIMENTO
I dipartimenti aziendali e le persone fisiche devono utilizzare, conservare e disporre dei dati personali dei dipendenti in modo coerente con la comunicazione al dipendente. Devono inoltre garantire la sua esattezza, integrità e rilevanza. L’azienda ha messo in atto misure di sicurezza adeguate a proteggere i dati personali dei dipendenti da distruzione accidentale o illecita, perdita, modifica, accesso non autorizzato o divulgazione, in accordo alla politica di sicurezza delle informazioni e altri documenti che descrivono la sicurezza dei dati. I dipartimenti aziendali e le persone fisiche non devono distruggere o modificare illecitamente i dati personali dei dipendenti. Non devono accedere, vendere o fornire illecitamente o senza autorizzazione, Dati personali dei dipendenti a terzi. Nel corso delle operazioni aziendali, il Titolare deciderà se i dati personali dei dipendenti saranno trattati nei modi seguenti per ridurre al minimo il rischio per la protezione dei dati: i dati personali dei dipendenti possono essere anonimizzati ai fini della irreversibile deidentificazione; o i dati possono essere aggregati in risultati statistici o di ricerca. (I principi di trattamento dei dati personali non si applicano ai dati resi anonimi e ai dati aggregati in quanto non sono dati personali).
DIVULGAZIONE A TERZI
Quando i dipartimenti aziendali e gli individui devono comunicare i dati personali dei dipendenti a un fornitore,a un partner commerciale o a terzi, devono cercare di garantire che il fornitore, il partner commerciale o altri terzi forniscano misure di sicurezza per salvaguardare i dati personali dei dipendenti che siano adeguate ai rischi associati. Dovrebbero inoltre richiedere al terzo di fornire lo stesso livello di protezione dei dati che forniscono all’Azienda per contratto o altro accordo (Modulo GDPR-NRET). Inoltre, quando i dipartimenti aziendali e gli individui rivelano i dati personali dei dipendenti in risposta a una richiesta da parte delle forze dell’ordine o di un’autorità giudiziaria, devono prima informare il Responsabile della protezione dei dati (DPO) che è autorizzato dall’Azienda a compiere uno sforzo coordinato per gestire la richiesta.
TRASFERIMENTO TRANSFRONTALIERO DEI DATI PERSONALI DEI DIPENDENTI
L’azienda non effettua trasferimenti transfrontalieri dei dati, comunque nel caso in cui si rendesse necessario farlo, prima di trasferire i dati personali, i dipartimenti aziendali e le persone fisiche devono consultare il Responsabile della Protezione dei dati (DPO) o il Titolare del trattamento per determinare se il trasferimento transfrontaliero sia necessario e legittimo.
ACCESSO DEI DIPENDENTI
I dipartimenti aziendali devono fornire mezzi ragionevoli ai dipendenti per accedere ai dati personali detenuti su di essi e consentire ai dipendenti di aggiornare, correggere, cancellare o trasmettere i propri dati personali se necessario o richiesto dalla legge. Quando si risponde a una richiesta di accesso di un dipendente, i dipartimenti aziendali possono non fornire alcun dato personale fino a quando non abbiano verificato l'identità del dipendente. L'azienda deve assicurarsi di conoscere l'identità della persona che effettua la richiesta prima di poter inviare i dati personali alla persona stessa.
RESPONSABILITÀ
Il Reparto Risorse Umane è competente per la gestione della protezione dei dati personali dei dipendenti.
11. ORGANIZZAZIONE AZIENDALE
Il GDPR introduce nuovi obblighi organizzativi. La responsabilità di garantire un adeguato trattamento dei dati personali spetta a chiunque lavori per o con l’Azienda e abbia accesso ai dati personali trattati dall’Azienda; a tal fine l'Azienda ha implementato un proprio organigramma Privacy.
Le principali aree di responsabilità sono identificabili nei seguenti ruoli organizzativi: Il Titolare del trattamento dei dati, prende decisioni e approva le strategie generali della Società in materia di protezione dei dati personali. Tale ruolo è ricoperto dal legale rappresentante pro-tempore. Il Responsabile della Protezione dei Dati (RPD/DPO), è responsabile della gestione del programma di protezione dei dati personali ed è responsabile dello sviluppo e della promozione delle politiche di protezione dei dati personali dall’inizio alla fine, come definito nella Descrizione del Ruolo del Responsabile della Protezione dei Dati. L’Amministratore di sistema, è responsabile di:
L'Internal Audit, è responsabile delle verifiche interne volte al rispetto delle procedure e delle politiche sulla protezione dei dati personali. Le Persone autorizzate, dipendenti formalmente autorizzati a compiere operazioni di trattamento dal titolare.
12. OBBLIGHI GENERALI
REGISTRI DELLE ATTIVITÀ DI TRATTAMENTO
Il Titolare del trattamento deve tenere un registro delle attività di trattamento contenente le seguenti informazioni:
RISPOSTA AGLI INCIDENTI DI VIOLAZIONE DEI DATI PERSONALI
Quando l'Azienda viene a conoscenza di una presunta o effettiva violazione dei dati personali, il Titolare coadiuvato dal DPO deve eseguire un'indagine interna e adottare misure correttive appropriate in modo tempestivo, in base alla Procedura di risposta e comunicazione della violazione dei dati.
AUDIT E RESPONSABILIZZAZIONE
L’Internal Audit è responsabile di verificare in che modo i reparti aziendali implementino questa politica. Qualsiasi dipendente che violi questa Politica sarà soggetto ad azioni disciplinari e potrebbe anche essere soggetto a responsabilità civili o penali qualora la sua condotta violasse leggi o regolamenti.
CONFLITTI CON LA LEGGE
Questa politica è intesa a rispettare le leggi e i regolamenti del luogo di stabilimento e dei paesi in cui opera l’Azienda.
Air Fire S.p.A. dispone di diversi mezzi omologati per qualsiasi tipo di intervento o trasporto.