1. Nell'ambito del Regolamento UE 679/2016 ("GDPR"), la "violazione dei dati personali" (c.f. data breach) si ha nei casi in cui (a) accidentalmente o in modo illecito (a seguito di violazione del sistema di sicurezza della Società), (b) si verifica l'accesso e/o la distruzione e/o la perdita e/o la modifica e/o la divulgazione non autorizzata, (c) di dati personali conservati o trasmessi su reti elettroniche dalla Società.
Nei casi di violazione di dati personali, il GDPR prevede che il titolare del trattamento notifichi la violazione all'autorità di controllo competente (per l'Italia, il Garante per la protezione dei dati personali) entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Anche nei casi in cui alla violazione dei dati non segua la notifica al Garante, sarà necessario redigere e conservare un verbale interno della violazione, riportandone tutte le caratteristiche principali (ad esempio, strumento informatico interessato, durata, numero di soggetti interessati coinvolti nella violazione, modalità di risoluzione della violazione).
Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione anche all'interessato salvo che (a) il titolare del trattamento abbia messo in atto le misure tecniche e organizzative adeguate di protezione (ad esempio la cifratura); (b) il titolare abbia adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati; o (c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
2. In ragione delle relative mansioni e competenze, è stato deciso di incaricare della gestione della presente policy la seguente funzione aziendale: Responsabile Interno. Tutte le comunicazione relative alla presente procedura - in uscita e in entrata, interne ed esterne - devono avvenire all'indirizzo immobaetylus@gmail.com
Il GDPR prevede che i dati personali siano conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore a quello necessario per il conseguimento delle finalità per le quali sono trattati (c.d. principio di "limitazione della conservazione"). Al fine di dare attuazione al principio di "limitazione della conservazione", la Società ha valutato i trattamenti da essa effettuati, e determinato le regole relative al periodo di conservazione delle diverse categorie di dati da essa trattati come sotto indicate.
|
Dati dei dipendenti - Categorie di dati e periodo di conservazione |
|||||
|
Categorie di dati |
Tipologia dei dati |
Periodo di conservazione |
Modalità di determinazione del periodo di conservazione |
||
|
Comuni |
Sensibili |
Giudiziari |
|||
|
Dati di identificazione (nome, cognome, data e luogo di nascita, sesso, codice fiscale, indirizzo di residenza, recapiti telefonici e informatici). |
X |
10 anni dalla cessazione del contratto di lavoro. |
Il periodo di 10 anni è giustificato dal termine di prescrizione previsto nel nostro ordinamento per far valere un diritto in giudizio. Entro questo lasso di tempo la Società può trovarsi nella necessità di trattare i dati dei propri dipendenti per difendere o far valere in giudizio i propri diritti nei confronti dell’ex dipendente e dei suoi aventi causa, della pubblica amministrazione e degli enti previdenziali. |
||
|
Dati relativi a esperienze pregresse (titoli di studio, esperienze di lavoro, retribuzione pregressa). |
X |
Fino alla cessazione del contratto di lavoro. |
Il periodo è giustificato dalla necessità di elaborare simili dati per l’esecuzione degli adempimenti connessi al contratto di lavoro. |
||
|
Dati relativi a carichi familiari e situazioni personali. |
X |
Fino alla cessazione del contratto di lavoro. |
Il periodo è giustificato dalla necessità di elaborare simili dati per l’esecuzione degli adempimenti connessi al contratto di lavoro. |
||
|
Dati economici, finanziari ed assicurativi. |
X |
Fino alla cessazione del contratto di lavoro. |
Il periodo è giustificato dalla necessità di elaborare simili dati per l’esecuzione degli adempimenti connessi al contratto di lavoro. |
||
|
Dati relativi a retribuzioni, voci variabili, TFR e contributi versati a enti previdenziali. |
X |
10 anni dalla cessazione del contratto di lavoro. |
Il periodo di 10 anni è giustificato dal termine di prescrizione previsto nel nostro ordinamento per far valere un diritto in giudizio. Entro questo lasso di tempo la Società può trovarsi nella necessità di trattare i dati dei propri dipendenti per difendere o far valere in giudizio i propri diritti nei confronti dell’ex dipendente e dei suoi aventi causa, della pubblica amministrazione e degli enti previdenziali. |
||
|
Dati relativi a infortuni sul lavoro. |
X |
X |
10 anni dalla cessazione del contratto di lavoro. |
Il periodo di 10 anni è giustificato dal termine di prescrizione previsto nel nostro ordinamento per far valere un diritto in giudizio. Entro questo lasso di tempo la Società può trovarsi nella necessità di trattare i dati dei propri dipendenti per difendere o far valere in giudizio i propri diritti nei confronti dell’ex dipendente e dei suoi aventi causa, della pubblica amministrazione e degli enti previdenziali. |
|
|
Dati relativi a contestazioni mosse o ricevute dal dipendente. |
X |
10 anni dalla cessazione del contratto di lavoro. |
Il periodo di 10 anni è giustificato dal termine di prescrizione previsto nel nostro ordinamento per far valere un diritto in giudizio. Entro questo lasso di tempo la Società può trovarsi nella necessità di trattare i dati dei propri dipendenti per difendere o far valere in giudizio i propri diritti nei confronti dell’ex dipendente e dei suoi aventi causa, della pubblica amministrazione e degli enti previdenziali. |
||
|
Dati relativi a trasferte, performance, accesso/uscita dai locali della Società. |
X |
10 anni dalla cessazione del contratto di lavoro. |
Il periodo di 10 anni è giustificato dal termine di prescrizione previsto nel nostro ordinamento per far valere un diritto in giudizio. Entro questo lasso di tempo la Società può trovarsi nella necessità di trattare i dati dei propri dipendenti per difendere o far valere in giudizio i propri diritti nei confronti dell’ex dipendente e dei suoi aventi causa, della pubblica amministrazione e degli enti previdenziali. |
||
|
dati dei clienti - categorie di dati e periodo di conservazione |
|||||
|
Categorie di dati |
Tipologia dei dati |
Periodo di conservazione |
Modalità di determinazione del periodo di conservazione |
||
|
Comuni |
Sensibili |
Giudiziari |
|||
|
Nome, cognome, indirizzo, numero di telefono, email dell’esercizio commerciale o del privato. |
X |
10 anni dalla cessazione del contratto con il cliente. |
Il periodo di 10 anni è giustificato dal termine di prescrizione previsto nel nostro ordinamento per far valere un diritto in giudizio. Entro questo lasso di tempo la Società può trovarsi nella necessità di trattare i dati dei propri clienti per difendere o far valere in giudizio. |
||
|
Servizio richiesto, eventuali problematiche relative al servizio. |
X |
10 anni dalla cessazione del contratto con il cliente. |
Il periodo di 10 anni è giustificato dal termine di prescrizione previsto nel nostro ordinamento per far valere un diritto in giudizio. Entro questo lasso di tempo la Società può trovarsi nella necessità di trattare i dati dei propri clienti per difendere o far valere in giudizio. |
||
|
videosorveglianza - categorie di dati e periodo di conservazione |
|||||
|
Categorie di dati |
Tipologia dei dati |
Periodo di conservazione |
Modalità di determinazione del periodo di conservazione |
||
|
Comuni |
Sensibili |
Giudiziari |
|||
|
Immagini degli interessati. |
X |
24 ore |
Nel Provvedimento generale in materia di videosorveglianza del 8 aprile 2010, il Garante ha stabilito che, salvo casistiche eccezionali, la conservazione delle immagini può essere predisposta per un periodo massimo di 24 ore successive alla rilevazione. |
||
1. Nell'ambito del GDPR sono previsti i seguenti diritti a favore dell'interessato:
- accesso
- rettifica
- cancellazione (oblio)
- limitazione
- portabilità
Il diritto di accesso è il diritto dell'interessato di ottenere comunicazioni in relazione alle finalità per cui i suoi dati personali sono eventualmente trattati, al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali, alla logica cui risponde un eventuale trattamento automatizzato dei dati e (quando è basato sulla profilazione) alle possibili conseguenze di tale trattamento.
Il diritto di rettifica è il diritto dell'interessato di ottenere la rettifica o integrazione dei dati personali inesatti che lo riguardano (senza ritardo).
Il diritto di cancellazione (o "oblio") è - per quanto qui interessa - il diritto dell'interessato di ottenere la cancellazione dei dati personali che lo riguardano nei seguenti casi: (a) i dati non sono più necessari per le finalità per le quali sono stati raccolti; (b) l'interessato ha ritirato il proprio consenso; (c) l'interessato si è opposto al trattamento dei dati personali che lo riguardano; o (d) il trattamento dei suoi dati personali non è conforme alla legge. Tuttavia, l'ulteriore conservazione dei dati personali da parte della Società è lecita qualora sia necessaria per consentirle di adempiere un obbligo legale o per accertare, esercitare o difendere un diritto in sede giudiziaria.
Il diritto di limitazione è il diritto dell'interessato di ottenere che i dati personali che lo riguardano siano solo conservati senza che di essi sia fatto altro uso - per quanto qui interessa - nei seguenti casi (a) l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l'esattezza di tali dati personali; (b) il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo; (c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria; (d) l'interessato si è opposto al trattamento, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato.
Il diritto di opposizione è il diritto dell'interessato di ottenere la cessazione del trattamento nei casi in cui i suoi dati personali siano trattati per finalità di marketing diretto (o qualora i dati personali siano trattati per il legittimo interesse del titolare e l'interessato contesti l'esistenza di questo interesse). Questa policy non copre invece i casi di opposizione al trattamento effettuato per legittimo interesse del titolare in quanto non risulta che la Società compia trattamenti su questa base giuridica.
Il diritto di portabilità è il diritto dell'interessato di ricevere in un formato di uso comune, leggibile da dispositivo automatico e interoperabile i dati personali che lo riguardano trattati con mezzi automatizzati, se essi siano trattati in forza di contratto o sulla base del consenso.
2. Qualsiasi richiesta inerente ai diritti di cui sopra, inviata da parte di una persona fisica i cui dati personali sono oggetto di trattamento da parte della Società, dovrà essere gestita senza ritardo.
È stato deciso di incaricare della gestione della presente policy la seguente funzione aziendale: Responsabile Interno. Tutte le comunicazione relative alla presente procedura - in uscita e in entrata, interne ed esterne - devono avvenire all'indirizzo immobaetylus@gmail.com
