REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO del 27 Aprile 2016
relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati
Con l’introduzione del Regolamento Europeo 2016/679 del 27.04.2016, se da un lato non vi è più l’obbligo di redazione del documento programmatico della sicurezza dei dati come da D.Lgs. 196/03, dall’altro, permane l’obbligo di mettere in atto misure tecniche ed organizzative adeguate per la protezione dei dati ed adottare comportamenti proattivi e tali da dimostrare la concreta attuazione delle disposizioni contenute nel Regolamento.
Il presente documento si pone come obiettivo quello di tener traccia delle misure di sicurezza adottate in materia di trattamento dei dati e renderle quanto più efficaci ed effettive possibile.
Il presente documento è stato redatto a cura della società di consulenza su espressa richiesta ed indicazione del Titolare del Trattamento della società “PESCHIULLI INSURANCE BROKER S.R.L. con sede a LECCE , Piazza Mazzini 64/a
Tutte le informazioni ivi contenute sono state fornite dal datore di lavoro o da persona da questi espressamente ed appositamente delegata.
Con la sottoscrizione del presente documento il Titolare del Trattamento ne fa proprio il contenuto, declinando ogni e qualsivoglia responsabilità in capo al redattore per eventuali informazioni incomplete o errate ivi riportate.
Il presente documento non ha scadenza. Questa organizzazione si impegna a tenerlo aggiornato qualora le informazioni qui contenute, per motivi diversi, non risultassero più coerenti con l’organizzazione stessa o con il trattamento dei dati da essa svolto.
La cura e l’aggiornamento è affidato al Titolare del Trattamento che potrà avvalersi, di volta in volta, a seconda del contesto, di altro personale dell’organizzazione o di consulenti esterni alla stessa.
Il Regolamento Europeo 2016/679 del 27.04.2016 ritiene che il trattamento dei dati personali dovrebbe essere al servizio dell’uomo, stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione dei dati e protegge i diritti e le libertà fondamentali delle persone fisiche.
Definizioni
Trattamento
Qualsiasi operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
Limitazione del trattamento
il contrassegno dei dati personali conservati con l'obiettivi di limitarne il trattamento in futuro.
Profilazione
Qualsiasi forma di trattamento automatizzato di dati personali consistenti nell'utilizzo di talo dato personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica.
Pseudonimizzazione
Il trattamento dei dati personali in modo tale che i dati personali non possono più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.
Archivio
Qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico.
Dato personale
Qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Dati sensibili
I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
Destinatario
La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia le autorità pubbliche che possono ricevere comunicazione di dati di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'unione o degli stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento.
Titolare
La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
Responsabile del trattamento
La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.
Incaricati
Le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.
Rappresentante
la persona fisica o giuridica stabilita nell'Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell'articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento.
Violazione dei dati personali
La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso di dati personali trasmessi, conservati o comunque trattati,
Dati genetici
I dati personali relativi alle caratteristiche ereditarie acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione
Interessato
La persona fisica cui si riferiscono i dati personali.
Comunicazione
L’atto di dare conoscenza dei dati personali in qualunque forma, anche mediante la loro messa a disposizione o consultazione, ad uno o più soggetti che non siano l'interessato, il rappresentante del titolare nel territorio dello Stato, il responsabile e gli incaricati.
Diffusione
L’atto di dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
Dato anonimo
Il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile.
Blocco
La conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento.
Banca dati
Qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti.
Comunicazione elettronica
Ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico.
Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile.
Misure minime
Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31.
Strumenti elettronici
Gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento.
Autenticazione informatica
L'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità.
Credenziali di autenticazione
I dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l' autenticazione informatica.
Parola chiave
Componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica.
Profilo di autorizzazione
L'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti.
Sistema di autorizzazione
L'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione.
Autorità di controllo
L'autorità pubblica indipendente istituita da uno stato membro ai sensi dell'articolo 51,
Il Titolare del trattamento è la “ PESCHIULLI INSURANCE BROKER S.r.l. ”, con sede a LECCE in Piazza Mazzini 64/a Cap 73100. L’ azienda si occupa di mediazione assicurativa
Il trattamento avviene presso lo stabile in cui l’azienda ha sede. L'ambiente è quello tipico di un ufficio costituito da scrivanie, cassettiere chiuse a chiave, pc e stampanti, da tavoli da lavoro.
E' stato elaborato il registro di trattamento che individua per ogni specifico processo aziendale i diversi trattamenti dei dati che viene effettuato.
Il Titolare del Trattamento è, altresì in possesso di organigramma e relativo mansionario circa le funzioni ed i compiti delle figure inerenti il trattamento dei dati. Tali ultimi documenti formano parte integrante e sostanziale del presente documento.
Le figure contemplate nel registro di trattamento sono:
A. il titolare del trattamento dei dati;
B. il responsabile del trattamento dei dati
C. il responsabile del trattamento dei dati (D.P.O. - Data Protection Officer).
Di seguito si riportano i dati anagrafici di ogni ruolo.
A. il titolare del trattamento dei dati
PESCHIULLI INSURANCE BROKER S.r.l.
P.IVA 01929360749
Referente: Sig. PESCHIULLI ANDREA
PIAZZA Mazzini 64/A, LECCE
0832/240534
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
B. il responsabile del trattamento dei dati
ELENCO RESPONSABILI DEL TRATTAMENTO DATI MANSIONE
01- LQ CENTRO DATI S.r.l. STUDIO COMMERCIALISTA
02- DOTT. VINCENZO PASCALI STUDIO CONSULENTE DEL LAVORO
03- DOTT. DANIELE FRASSINATO MEDICO COMPETENTE
04- HITEK di MAURO SANTO Manutenzione PC
A seguito delle valutazioni effettuate ed in virtù della natura e tipologia dei dati trattati, il Titolare del Trattamento non ritiene di nominare un Responsabile Protezione Dati (DPO).
BASE GIURIDICA DEL TRATTAMENTO
La Società tratterà i dati personali solo se avrà una base legale per farlo.
La normativa in materia di protezione dei dati personali stabilisce che il trattamento dei dati personali è lecito solo se e nella misura in cui ricorra almeno una delle seguenti condizioni (di cui all’art. 6 del Regolamento):
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
La base legale per il trattamento, quindi, dipenderà dai motivi per i quali la Società ha raccolto ed utilizza i dati.
Tali motivi consistono, in alcuni casi (come ad esempio per le istanze pervenute attraverso la sezione contatti), nella necessità di fornire il dovuto riscontro alle richieste ricevute (in tal caso, quindi, base giuridica è l’esecuzione di un contratto e/o di misure precontrattuali), in altre ipotesi nel dovere di dare seguito a obblighi legali e/o regolamentari, ovvero, in altre ipotesi ancora, nella possibilità di perseguire il legittimo interesse della Società che sarà di volta in volta individuato. Laddove, invece, sia necessario il consenso dell’interessato, il detto consenso sarà richiesto nelle forme di legge.
TIPI DI DATI TRATTATI E FINALITÀ DEL TRATTAMENTO
Per dati personali si intendono tutte le informazioni relative all’utente, per mezzo delle quali è possibile identificarlo. Sono quindi dati personali, ad esempio, il nome, il cognome, i recapiti, il numero di telefono, l’indirizzo e-mail, l’indirizzo IP e le informazioni concernenti l’accesso dell’utente al Sito.
A seguito della consultazione del Sito, nonché a seguito dell’utilizzo dei servizi messi a disposizione tramite lo stesso, la Società può raccogliere dati personali degli utenti a seguito di comunicazioni telefoniche ai recapiti riportati sul Sito, a seguito della ricezione di mail agli indirizzi riportati sul Sito, ovvero attraverso la compilazione dei moduli presenti nella sezione contatti, ovvero, ancora attraverso l’utilizzo dei plug-in dei social network in uso sul Sito.
Segnatamente i tipi di dati trattati possono essere classificati nel modo che segue:
DATI DI NAVIGAZIONE
I sistemi informatici e le procedure software preposte al funzionamento del Sito acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet.
Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti.
In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI/URL (Uniform Resource Identifier/Locator) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, etc.) ed altri parametri riguardanti il sistema operativo e l’ambiente informatico dell’utente.
Tali dati, necessari per la fruizione dei servizi web, vengono anche trattati allo scopo di:
- ottenere informazioni statistiche sull’uso dei servizi (pagine più visitate, numero di visitatori per fascia oraria o giornaliera, aree geografiche di provenienza, ecc.);
- controllare il corretto funzionamento dei servizi offerti;
- identificare anomalie e/o abusi.
I dati di navigazione non persistono per più di sette giorni (salve eventuali necessità di accertamento di reati da parte dell'Autorità giudiziaria).
DATI PERSONALI FORNITI VOLONTARIAMENTE DAGLI UTENTI
L’invio facoltativo, esplicito e volontario di messaggi agli indirizzi di contatto della Società, i messaggi privati inviati dagli utenti ai profili/pagine istituzionali sui social media (laddove questa possibilità sia prevista), nonché la compilazione e l’inoltro dei moduli presenti sul sito della Società, comportano l’acquisizione dei dati di contatto del mittente, necessari a rispondere, nonché di tutti i dati personali inclusi nelle comunicazioni.
Specifiche informative saranno pubblicate nelle pagine del Sito predisposte per l’erogazione di determinati servizi.
COOKIE E ALTRI SISTEMI DI TRACCIAMENTO
CONSEGUENZE IN CASO DI MANCATO CONFERIMENTO DEI DATI
L’eventuale non indicazione di dati necessari a riscontrare le richieste potrebbe comportare l’impossibilità, per la Società, di fornire una risposta esaustiva o i servizi disponibili.
Qualora necessario, la Società, informerà, di volta in volta, l’utente circa il carattere obbligatorio o facoltativo del conferimento dei dati personali (es. per effettuare una specifica richiesta).
In particolare, sarà evidenziato il carattere obbligatorio o facoltativo della comunicazione dei dati, mediante un avviso o un apposito carattere alle informazioni di carattere obbligatorio.
DESTINATARI DEI DATI
È destinatario dei dati il personale della Società, che agisce sulla base di specifiche istruzioni fornite in ordine a finalità e modalità del trattamento medesimo.
Sono altresì destinatari dei dati raccolti a seguito della consultazione del Sito i soggetti designati dalla Società, ai sensi dell’articolo 28 del Regolamento, quali responsabili del trattamento.
In caso di utilizzo dei plug-in dei social media presenti sul Sito, i dati saranno condivisi con il servizio di social media ed eventualmente con il profilo dell’utente presente sui social media stessi. In tale ipotesi si prega di fare riferimento all’Informativa sul trattamento dei dati personali pubblicata dai social media stessi.
In ogni caso, i dati personali trattati non saranno diffusi.
È fatta salva, in conformità alle previsioni di legge, la comunicazione o la diffusione dei dati richiesti da Forze di Polizia, dall’Autorità Giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.
MODALITÀ E SICUREZZA DEL TRATTAMENTO
I dati saranno trattati:
- attraverso strumenti manuali, informatici e telematici ed in modo da garantire la disponibilità, integrità e riservatezza dei dati stessi;
- con modalità organizzative e con logiche strettamente correlate alle finalità indicate, nel rispetto del principio di minimizzazione;
- da soggetti specificatamente incaricati, identificati ed autorizzati, opportunamente istruiti e resi edotti dei vincoli imposti dalla normativa in argomento;
- con l’impiego di misure di sicurezza tecniche ed organizzative atte a prevenire e/o ridurre i rischi di accesso illecito e distruzione o perdita dei dati stessi.
LUOGO DEL TRATTAMENTO
La gestione e la conservazione dei dati personali avverrà in Italia e, comunque, all’interno dell’Unione Europea.
Attualmente i server utilizzati dalla Società sono situati all’interno del territorio europeo.
I dati non saranno oggetto di trasferimento al di fuori dell’Unione Europea.
Resta in ogni caso inteso che, ove lo ritenesse necessario e/o opportuno, la Società avrà facoltà di mutare l’ubicazione dei server in Italia e/o Unione Europea e/o Paesi extra-UE. In tal caso, la Società si assicurerà che il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge applicabili, stipulando, se necessario, accordi che garantiscano un livello di protezione adeguato, e/o adottando le clausole contrattuali standard previste dalla Commissione Europea, e/o, in ogni caso, soddisfacendo le condizioni previste dalla normativa applicabile.
TEMPI DI CONSERVAZIONE
I dati raccolti dal Sito durante saranno utilizzati esclusivamente per le finalità indicate e saranno conservati per il tempo strettamente necessario a svolgere le attività della Società.
Non saranno conservati i dati per un periodo di tempo superiore a quello necessario per soddisfare lo scopo per cui sono stati trattati. Per determinare il periodo di conservazione appropriato, la Società prenderà in considerazione la quantità, la natura e la sensibilità dei dati personali, gli scopi per i quali sono trattati e la possibilità di raggiungere i detti scopi con altri mezzi.
I dati raccolti dal Sito saranno quindi conservati per tutta la durata necessaria al riscontro delle richieste e, anche dopo la cessazione, per gestire tutti gli eventuali adempimenti contrattuali, precontrattuali, amministrativi, o di legge, connessi ovvero da essi derivanti, ovvero per il tempo permesso dalla legge italiana a tutela degli interessi legittimi della Società.
DIRITTI DEGLI INTERESSATI
Gli interessati hanno il diritto di ottenere dalla Società, nei casi previsti, l’accesso ai propri dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda, di opporsi al trattamento o di richiedere la c.d. portabilità dei dati.
Gli interessati possono altresì, in qualsiasi momento, revocare il consenso prestato (cfr. artt. 15 e ss. del Regolamento).
L’apposita istanza alla Società è presentata contattando il Responsabile della Protezione dei Dati, ai recapiti riportati innanzi.
Gli interessati che ritengano che il trattamento dei dati personali a loro riferiti effettuato attraverso il Sito avvenga in violazione di quanto previsto dal Regolamento hanno il diritto di proporre reclamo al Garante, come previsto dall’art. 77 del Regolamento stesso, o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).
MODIFICHE E AGGIORNAMENTI ALLA PRESENTE PRIVACY POLICY
La Società potrà modificare o semplicemente aggiornare, in tutto o in parte, la presente informativa, anche in considerazione di eventuali modifiche normative e/o regolamentari in materia.
La Società si impegna a non limitare eventuali diritti riconosciuti in precedenza, senza prima raccogliere l’esplicito consenso dell’interessato.
Le modifiche e gli aggiornamenti saranno resi disponibili nella home page del Sito. Le modifiche più rilevanti saranno evidenziate tramite un avviso più evidente (ad esempio, laddove i servizi ed i dati raccolti lo permettano, attraverso una notifica via email).