GDPR
Privacy - Cookies
Il sito è stato realizzato con "Google sites". Per maggiori informazioni sull'uso dei cookies e sulla privacy
https://policies.google.com/technologies/cookies?hl=it
https://policies.google.com/?hl=it
IN CHE MODO GOOGLE UTILIZZA I COOKIE
In questa pagina vengono descritti i tipi di cookie e altre tecnologie utilizzati da Google. Viene inoltre spiegato in che modo Google e i suoi partner usano i cookie nella pubblicità.
I cookie sono piccoli frammenti di testo inviati al tuo browser da un sito web visitato. Consentono al sito web di memorizzare informazioni sulla tua visita. Ciò può facilitare la tua visita successiva e rendere il sito più utile per te. Per questi scopi possono essere utilizzate anche altre tecnologie, ad esempio identificatori univoci che consentono di identificare un browser, un'app o un dispositivo, pixel e spazio di archiviazione locale. I cookie e altre tecnologie descritti in questa pagina possono essere utilizzati per le finalità descritte di seguito.
Leggi le Norme sulla privacy per scoprire come tuteliamo la tua privacy durante l'utilizzo di cookie e altre informazioni.
TIPI DI COOKIE E ALTRE TECNOLOGIE UTILIZZATI DA GOOGLE
Nel tuo browser, nella tua app o sul tuo dispositivo potrebbero essere memorizzati alcuni o tutti i cookie o le altre tecnologie descritti di seguito. Per gestire la modalità di utilizzo dei cookie, tra cui rifiutare l'uso di alcuni, puoi visitare la pagina all'indirizzo g.co/privacytools. Puoi anche gestire i cookie nel tuo browser (può darsi che i browser per dispositivi mobili non offrano questa possibilità). Le altre tecnologie usate per identificare app e dispositivi possono essere gestite nelle impostazioni del dispositivo o di un'app.
Funzionalità
I cookie e altre tecnologie usati per la funzionalità ti consentono di accedere a funzionalità fondamentali di un servizio. Le funzionalità considerate fondamentali per un servizio includono: preferenze quali la scelta della lingua, informazioni relative alla tua sessione, ad esempio i contenuti di un carrello degli acquisti, e ottimizzazioni del prodotto che consentono di gestire e migliorare il servizio.
Alcuni cookie e altre tecnologie vengono usati per gestire le tue preferenze. Ad esempio, la maggior parte delle persone che usa i servizi Google ha un cookie chiamato "NID" o "ENID" nei browser, in base alle scelte relative ai cookie. Questi cookie vengono usati per memorizzare le tue preferenze e altre informazioni, come la lingua preferita, il numero di risultati che preferisci vengano mostrati in una pagina dei risultati di ricerca (ad esempio 10 o 20) e la tua preferenza relativa all'attivazione del filtro SafeSearch di Google. Ogni cookie "NID" scade 6 mesi dopo l'ultimo utilizzo da parte dell'utente, mentre il cookie "ENID" dura 13 mesi. I cookie "VISITOR_INFO1_LIVE" e "YEC" hanno una finalità simile per YouTube e vengono usati anche per rilevare e risolvere problemi con il servizio. Questi cookie durano, rispettivamente, 6 e 13 mesi.
Altri cookie e tecnologie vengono usati per gestire e migliorare la tua esperienza durante una sessione specifica. Ad esempio, YouTube usa il cookie "PREF" per memorizzare informazioni quali la tua configurazione di pagina preferita e le tue preferenze di riproduzione, ad esempio le scelte esplicite relative alla riproduzione automatica, la riproduzione casuale dei contenuti e le dimensioni del player. Per quanto riguarda YouTube Music, queste preferenze includono volume, modalità di ripetizione e riproduzione automatica. Questo cookie scade 8 mesi dopo l'ultimo utilizzo da parte dell'utente. Anche il cookie "pm_sess" contribuisce a gestire la sessione del browser e dura 30 minuti.
I cookie e altre tecnologie potrebbero essere usati anche per migliorare le prestazioni dei servizi Google. Ad esempio, il cookie "CGIC" migliora la generazione dei risultati di ricerca grazie al completamento automatico delle query di ricerca in base al testo iniziale inserito dall'utente. Questo cookie dura 6 mesi.
Google usa il cookie "CONSENT", che dura 2 anni, per memorizzare le scelte dell'utente relative ai cookie. Un altro cookie, "SOCS", dura 13 mesi e viene usato allo stesso scopo.
Sicurezza
I cookie e altre tecnologie usati per la sicurezza consentono di autenticare gli utenti, impedire l'attività fraudolenta e proteggerti durante la tua interazione con un servizio.
I cookie e altre tecnologie usati per autenticare gli utenti contribuiscono ad assicurare che soltanto l'effettivo proprietario di un account possa accedervi. Ad esempio, i cookie chiamati "SID" e "HSID" contengono record con firma digitale e criptati relativi all'ID dell'Account Google di un utente e alla sua data di accesso più recente. La combinazione di questi cookie permette a Google di bloccare molti tipi di attacchi, ad esempio i tentativi di carpire i contenuti dei moduli inviati nei servizi Google.
Alcuni cookie e altre tecnologie vengono usati per impedire spam, attività fraudolente e abusi. Ad esempio, i cookie "pm_sess", "YSC" e "AEC" assicurano che le richieste all'interno di una sessione di navigazione siano effettuate dall'utente e non da altri siti. Questi cookie impediscono a siti dannosi di agire a insaputa dell'utente e a nome dell'utente. Il cookie "pm_sess" dura 30 minuti, mentre il cookie "AEC" dura 6 mesi. Il cookie "YSC" ha una durata pari a quella della sessione di navigazione dell'utente.
Analisi
I cookie e altre tecnologie usati per l'analisi consentono di raccogliere dati che permettono ai servizi di capire come interagisci con un determinato servizio. Queste informazioni consentono ai servizi di migliorare i contenuti e di creare funzionalità più utili che migliorano la tua esperienza.
Alcuni cookie e altre tecnologie consentono a siti e app di capire come i visitatori interagiscono con i loro servizi. Ad esempio, Google Analytics utilizza un insieme di cookie per raccogliere informazioni e generare statistiche sull'utilizzo dei siti, senza fornire informazioni personali sui singoli visitatori a Google. Il cookie principale usato da Google Analytics, "_ga", consente a un servizio di distinguere un visitatore dall'altro e dura 2 anni. Viene usato da qualsiasi sito che implementa Google Analytics, inclusi i servizi Google. Ogni cookie "_ga" è univoco per la proprietà specifica, quindi non può essere usato per tracciare un utente o un browser specifico tra siti web non correlati.
Anche i servizi Google usano per l'analisi i cookie "NID" ed "ENID" nella Ricerca Google e i cookie "VISITOR_INFO1_LIVE" e "YEC" su YouTube.
Pubblicità
Google usa i cookie per la pubblicità, ad esempio per pubblicare e visualizzare annunci, personalizzare gli annunci (in base alle impostazioni configurate all'indirizzo myadcenter.google.com e adssettings.google.com/partnerads), limitare il numero di visualizzazioni di un annuncio per un utente, disattivare gli annunci che hai deciso di non ricevere più e valutare l'efficacia degli annunci.
Il cookie "NID" viene usato per mostrare annunci Google nei servizi Google agli utenti che sono usciti dopo aver eseguito l'accesso, mentre i cookie "ANID" e "IDE" vengono usati per mostrare annunci Google su siti non Google. Se hai attivato gli annunci personalizzati, il cookie "ANID" viene usato per memorizzare questa impostazione. Questo cookie dura 13 mesi nello Spazio economico europeo (SEE), in Svizzera e nel Regno Unito, 24 mesi nel resto del mondo. Se hai disattivato gli annunci personalizzati, il cookie "ANID" viene usato per memorizzare questa impostazione fino al 2030. Il cookie "NID" scade 6 mesi dopo l'ultimo utilizzo da parte dell'utente. Il cookie "IDE" dura 13 mesi nello Spazio economico europeo (SEE), in Svizzera e nel Regno Unito, 24 mesi nel resto del mondo.
In base alle tue impostazioni annunci, altri servizi Google come YouTube potrebbero usare questi cookie e altri cookie e tecnologie, quali il cookie "VISITOR_INFO1_LIVE", anche per la pubblicità.
Alcuni cookie e altre tecnologie usati per la pubblicità sono rivolti agli utenti che accedono per usare i servizi Google. Ad esempio, il cookie "DSID" viene usato per identificare su siti non Google un utente che ha eseguito l'accesso e per memorizzare le preferenze dell'utente riguardo alla personalizzazione degli annunci. Questo cookie dura 2 settimane.
Tramite la piattaforma pubblicitaria di Google, le attività possono fare pubblicità nei servizi Google e su siti non Google. Alcuni cookie supportano la visualizzazione di annunci da parte di Google su siti di terze parti e vengono impostati nel dominio del sito web visitato. Ad esempio, il cookie "_gads" consente ai siti di mostrare annunci Google. I cookie che iniziano con "_gac_" provengono da Google Analytics e vengono usati dagli inserzionisti per valutare l'attività degli utenti e il rendimento delle proprie campagne pubblicitarie. I cookie "_gads" durano 13 mesi, mentre i cookie "_gac_" durano 90 giorni.
Alcuni cookie e altre tecnologie vengono usati per valutare il rendimento di annunci e campagne, nonché i tassi di conversione degli annunci Google su un sito visitato. Ad esempio, i cookie che iniziano con "_gcl_" sono usati principalmente per aiutare gli inserzionisti a scoprire quante volte gli utenti che fanno clic sui loro annunci poi compiono azioni sul loro sito, come effettuare un acquisto. I cookie usati per valutare i tassi di conversione non vengono usati per personalizzare gli annunci. I cookie "_gcl_" durano 90 giorni.
Leggi qui ulteriori informazioni sui cookie usati per la pubblicità.
Personalizzazione
I cookie e altre tecnologie usati per la personalizzazione migliorano la tua esperienza fornendo funzionalità e contenuti personalizzati, in base alle impostazioni configurate all'indirizzo g.co/privacytools o alle impostazioni configurate a livello di app e dispositivo.
Le funzionalità e i contenuti personalizzati includono, ad esempio, consigli e risultati più pertinenti, una home page di YouTube personalizzata e annunci in linea con i tuoi interessi. Ad esempio, il cookie "VISITOR_INFO1_LIVE" potrebbe consentire di fornire consigli personalizzati su YouTube, basati su visualizzazioni e ricerche precedenti. Il cookie "NID" consente di fornire funzionalità di completamento automatico personalizzate nella Ricerca durante la digitazione dei termini di ricerca. Questi cookie scadono 6 mesi dopo l'ultimo utilizzo da parte dell'utente. Un altro cookie per la personalizzazione, "UULE", invia informazioni sulla posizione esatta dal tuo browser ai server di Google affinché Google possa mostrarti risultati pertinenti per la tua posizione. L'uso di questo cookie dipende dalle impostazioni del browser e dalla tua scelta di attivare o meno la geolocalizzazione per il tuo browser. Il cookie "UULE" dura massimo 6 ore.
Le funzionalità e i contenuti non personalizzati sono diversi dalle funzionalità e dai contenuti personalizzati perché sono influenzati, ad esempio, dai contenuti che stai visualizzando, dalla ricerca che hai fatto su Google e dalla tua posizione generica.
GESTIONE DEI COOKIE NEL BROWSER
La maggior parte dei browser consente di gestire il modo in cui i cookie vengono impostati e usati durante la navigazione, nonché di cancellare i cookie e i dati di navigazione. Il browser potrebbe inoltre avere impostazioni che consentono di gestire i cookie sito per sito. Ad esempio, le impostazioni di Google Chrome all'indirizzo chrome://settings/cookies consentono di eliminare i cookie esistenti, di consentire o bloccare tutti i cookie e di impostare le preferenze relative ai cookie per i siti web. Google Chrome mette a disposizione anche la modalità di navigazione in incognito, che elimina la cronologia di navigazione e cancella i cookie sul dispositivo dopo la chiusura delle finestre di navigazione in incognito.
GESTIONE DI ALTRE TECNOLOGIE NELLE APP E SUI DISPOSITIVI
La maggior parte dei dispositivi mobili e delle applicazioni per dispositivi mobili ti consente di gestire il modo in cui vengono impostate e usate altre tecnologie, ad esempio gli identificatori univoci che consentono di identificare un browser, un'app o un dispositivo. Ad esempio, l'ID pubblicità sui dispositivi Android o l'identificatore pubblicità di Apple possono essere gestiti nelle impostazioni del dispositivo, mentre gli identificatori specifici delle app solitamente possono essere gestiti nelle impostazioni dell'app.
Cookies policy
Nella presente cookie policy viene descritto l'utilizzo dei cookies di questo sito. Preliminarmente si preci- sa che l'uso di c.d. cookies di sessione (che non vengono memorizzati in modo persistente sul computer dell'utente e svaniscono con la chiusura del browser) permette la trasmissione di identificativi di sessione (costituiti da numeri casuali generati dal server) necessari per consentire l'esplorazione sicura ed efficiente del sito.
I c.d. cookies di sessione utilizzati in questo sito evitano il ricorso ad altre tecniche informatiche potenzial- mente pregiudizievoli per la riservatezza della navigazione degli utenti e non consentono l'acquisizione di dati personali identificativi dell'utente.
Che cos'è un cookie?
Per fornirti ogni utile informazione sui cookie e sul loro utilizzo anche solo potenziale e per sapere come modifcare il settaggio del tuo browser relativamente all'uso dei cookie ti invitiamo a leggere questa de- scrizione dettagliata.
Cookie del browser:
I cookie sono porzioni di informazioni che il sito Web inserisce nel tuo dispositivo di navigazione quando visiti una pagina. Possono comportare la trasmissione di informazioni tra il sito Web e il tuo dispositivo, e tra quest'ultimo e altri siti che operano per conto nostro o in privato, conformemente a quanto stabilito nella ris- pettiva Informativa sulla privacy. Possiamo utilizzare i cookie per riunire le informazioni che raccogliamo su di te. Puoi decidere di ricevere un avviso ogni volta che viene inviato un cookie o di disabilitare tutti i cookie modificando le impostazioni del browser. Disabilitando i cookie, tuttavia, alcuni dei nostri servizi potrebbero non funzionare correttamente e non potrai accedere a numerose funzionalità pensate per ottimizzare la tua esperienza di navigazione nel sito. Per maggiori informazioni sulla gestione o la disabilitazione dei cookie del browser, consulta l'ultima sezione della presente Politica sui cookie.
Utilizziamo varie tipologie di cookie con funzioni diverse. Per quanto riguarda i cookie tecnici, potremo utilizzare cookies proprietari persistenti e di sessione al solo fine di favorire la navigazione efficiente del sito. Ci riserviamo di pubblicare una tabella periodicamente aggiornata per indicare i tipi di cookie utilizzati e i riferimenti utili per conoscere le specifiche finalità di utilizzo.
Qui di seguito riportiamo una descrizione sintetica delle principali tipologie di cookie tecnicamente utilizza- bili.
1. Cookie strettamente necessari (cookie tecnici)
Questi cookie sono fondamentali per poter navigare sul sito Web e utilizzare alcune funzionalità. Senza i cookie strettamente necessari, i servizi online che normalmente sono offerti dal sito, potrebbero non essere accessibili se la loro erogazione si basa esclusivamente su cookie di questa natura. Infatti i cookie di questo tipo permettono all’utente di navigare in modo efficiente tra le pagine di un sito web e di utilizzare le diverse opzioni e servizi proposti. Consentono, ad esempio di identificare una sessione, accedere ad aree riservate, ricordare gli elementi che compongono una richiesta formulata in precedenza, perfezionare un ordine di acquisto o la memorizzazione di un preventivo.
Non è necessario fornire il consenso per i cookie tecnici, poiché sono indispensabili per assicurarti i servizi richiesti. E' possibile bloccare o rimuovere i cookie tecnici modificando la configurazione delle opzioni del
proprio browser. Se si disattivano o eliminando i cookie stessi. Tuttavia eseguendo queste operazioni, è possi- bile che non si riesca ad accedere a determinate aree del sito web o ad utilizzare alcuni dei servizi offerti.
Per ulteriori informazioni ci rifacciamo all'informativa sulla privacy del sito. 2. Cookie per le prestazioni (cookie analytics)
È possibile che da parte nostra o dei i fornitori di servizi che operano per nostro conto vengano inseriti dei cookie per le prestazioni nel tuo dispositivo di navigazione. Le informazioni raccolte mediante i cookie per le prestazioni sono utilizzate esclusivamente da noi o nel nostro interesse.
I cookie per le prestazioni raccolgono informazioni anonime relative al modo in cui gli utenti utilizzano il sito Web e le sue varie funzionalità. Ad esempio, i nostri cookie per le prestazioni raccolgono informazioni in merito alle pagine del sito che visiti più spesso e alle nostre pubblicità che compaiono su altri siti Web con cui interagisci, oltre a verificare se apri e leggi le comunicazioni che ti inviamo e se ricevi messaggi di errore. Le informazioni raccolte possono essere utilizzate per personalizzare la tua esperienza online mostrando conte- nuti specifici. I cookie per le prestazioni servono anche per limitare il numero di visualizzazioni di uno stesso annuncio pubblicitario. I nostri cookie per le prestazioni non raccolgono informazioni di carattere personale.
Un collegamento alla nostra Cookie Policy è disponibile tramite un link presente nel sito. Continuando a utilizzare questo sito Web e le sue funzionalità, autorizzi noi (e gli inserzionisti esterni di questo sito Web) a inserire cookie per le prestazioni nel tuo dispositivo di navigazione.
Per eliminare o gestire i cookie per le prestazioni, consultare l'ultima sezione della presente Cookie Policy.
In particolare il sito utilizza Google Analytics che è uno strumento di analisi di Google che aiuta i proprietari di siti web e app a capire come i visitatori interagiscono con i contenuti di loro proprietà. Si può utilizzare un set di cookie per raccogliere informazioni e generare statistiche di utilizzo del sito web senza identificazione personale dei singoli visitatori da parte di Google.
Oltre a generare rapporti sulle statistiche di utilizzo dei siti web, il tag pixel di Google Analytics può essere utilizzato, insieme ad alcuni cookie per la pubblicità descritti sopra, per consentirci di mostrare risultati più pertinenti nelle proprietà di Google (come la Ricerca Google) e in tutto il Web.
Per ulteriori informazioni è possibile consultare questo sito cookie di Analytics e privacy. 3. Cookie per funzionalità (cookie di profilazione)
Ci riserviamo la possibilità di utillizzare da parte nostra (o dei i fornitori di servizi che operano per nostro conto) vengano inseriti dei cookie per funzionalità nel tuo dispositivo di navigazione. Qualora utilizzassimo questi cookies in ogni caso non condividiamo le informazioni raccolte mediante i cookie per funzionalità con eventuali inserzionisti né con terzi.
Questi cookie sono utilizzati per memorizzare le scelte effettuata (preferenza della lingua, paese o altre im- postazioni online) e per fornire le funzionalità personalizzate od ottimizzate selezionate dall'utente. I cookie per funzionalità possono essere utilizzati per offrirti servizi online o per evitare che ti vengano offerti servizi che hai rifiutato in passato.
Peraltro informiamo che tecnicamente è possibile autorizzare inserzionisti o terze parti a fornire contenuti
e altre esperienze online tramite questo sito Web. In questo caso, la terza parte in questione potrebbe inser- ire i propri cookie per funzionalità nel tuo dispositivo e utilizzarli, in modo analogo a noi, al fine di fornirti funzionalità personalizzate e ottimizzare la tua esperienza d'uso. Selezionando opzioni e impostazioni per- sonalizzate o funzionalità ottimizzate, autorizzi l'utilizzo da parte nostra dei cookie per funzionalità necessari
a offrirti tali esperienze.
Eliminando i cookie per funzionalità, le preferenze o le impostazioni selezionate non verranno memorizzate per visite future.
Nel caso in cui vengano utilizzati cookie di parti terze ci riserviamo di indicare dettagliatamente i link alle informative predisposte da tali soggetti.
Il sito utilizza può utilizzare strumento di remarketing di parti terze. In tal caso alcune pagine del sito pos- sono includere un codice definito "codice remarketing". Questo codice permette di leggere e configurare i cookie del browser al fine di determinare quale tipo di annuncio visualizzerai, in funzione dei dati relativi alla tu visita al sito, quali per esempio il circuito di navigazione scelto, le pagine effettivamente visitate o le azioni compiute all'interno delle stesse.
Le liste di remarketing così create sono conservate in un database dei server di Google in cui si conservano tutti gli ID dei cookie associati ad ogni lista o categoria di interessi. Le informazioni ottenute consentono di identificare solo il browser, dato che con queste informazioni la parte terza non è in grado di identificare l'utente.
Questi strumenti consentono di pubblicare annunci personalizzati in base alle visite degli utenti al nostro sito.
L’autorizzazione alla raccolta e all’archiviazione dei dati può essere revocata in qualsiasi momento. L’utente può disattivare l’utilizzo dei cookie da parte di Google attraverso le specifiche opzioni di impostazione dei diversi browser.
In particolare possiamo fare uso di questi strumenti di remarketing
Google Adwords Per maggiori informazioni sul Remarketing di Google è possibile visitare la pagina https:// support.google.com/adwords/answer/2454000?hl=it&ref_topic=2677326
Per maggiori informazioni sulle Norme e Principi Google per la Privacy è possibile visitare la pagina http:// www.google.it/policies/technologies/ads/
Bing Ads Per maggiori informazioni sul Remarketing di Microsoft è possibile visitare la pagina http://choice. microsoft.com/it-IT
Per maggiori informazioni sulle Norme e Principi di Microsoft per la Privacy è possibile visitare la pagina http://www.microsoft.com/privacystatement/it-it/bingandmsn/default.aspx
Facebook Ads Per maggiori informazioni sul Remarketing di Facebbok è possibile visitare la pagina https:// www.facebook.com/help/1505060059715840
Per maggiori informazioni sulle Norme e Principi di Microsoft per la Privacy è possibile visitare la pagina https://www.facebook.com/policy.php
Visitatori registrati
Ci riserviamo il diritto di analizzare le attività online dei visitatori registrati sui nostri siti Web e sui servizi online tramite l'uso dei cookie e di altre tecnologie di tracciabilità. Se hai scelto di ricevere comunicazioni da parte nostra, possiamo utilizzare i cookie e altre tecnologie di tracciabilità per personalizzare le future comu- nicazioni in funzione dei tuoi interessi.
Inoltre, ci riserviamo il diritto di utilizzare cookie o altre tecnologie di tracciabilità all'interno delle comuni- cazioni che ricevi da noi (ad esempio, per sapere se queste sono state lette o aperte o per rilevare con quali contenuti hai interagito e quali collegamenti hai aperto), in modo da rendere le comunicazioni future più rispondenti ai tuoi interessi.
Se non desideri più ricevere comunicazioni mirate, puoi fare clic sul collegamento per l'annullamento dell'is- crizione, disponibile nelle nostre comunicazioni, o accedere al tuo account per revocare il consenso all'invio di comunicazioni a fini di marketing. Se non desideri più ricevere comunicazioni pubblicitarie personalizzate in base alla tua attività online su questo e altri siti Web, segui le istruzioni sopra riportate (per gli annunci pubblicitari mirati).
Abilitazione/disabilitazione di cookie tramite il browser
Esistono diversi modi per gestire i cookie e altre tecnologie di tracciabilità. Modificando le impostazioni del browser, puoi accettare o rifiutare i cookie o decidere di ricevere un messaggio di avviso prima di accettare un cookie dai siti Web visitati. Ti ricordiamo che disabilitando completamente i cookie nel browser potresti non essere in grado di utilizzare tutte le nostre funzionalità interattive.
Se utilizzi più computer in postazioni diverse, assicurati che ogni browser sia impostato in modo da sod- disfare le tue preferenze.
Puoi eliminare tutti i cookie installati nella cartella dei cookie del tuo browser. Ciascun browser presenta procedure diverse per la gestione delle impostazioni. Fai clic su uno dei collegamenti sottostanti per ottenere istruzioni specifiche.
Microsoft Windows Explorer Google Chrome
Mozilla Firefox
Apple Safari
Se non utilizzi nessuno dei browser sopra elencati, seleziona "cookie" nella relativa sezione della guida per scoprire dove si trova la tua cartella dei cookie.
General Data Protection Regulation
Avvocato Alessandro Zeppelli
Data Protection Impact Assessment - (DPIA o Documento di valutazione d’impatto nel trattamento dei dati)
In ottemperanza al disposto di cui al Regolamento europeo 679/2016 in materia di protezione dei dati personali pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016, è entrato in vigore il 24 maggio2016 è applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018.
Lo studio legale ha deliberato di adeguarsi al regolamento che disciplina le modalità di trattamento dei dati personali delle persone fisiche sotto il profilo:
-dell’informativa e consenso nella loro acquisizione
-utilizzo e circolazione dei dati e ciò a tutela del riconosciuto diritto dell’individuo di disporre dei propri dati, quali aspetti del fondamentale diritto di identità e personalità (art. 16 del TFUE, art. 8 della Carta dei diritti fondamentali).
E’ stato adottato il principio della accountability (responsabilità del titolare del trattamento che deve garantire l’efficacia della tutela predisposta ricomprendente il riesame ed aggiornamento costante di tutte le condizioni adottate) a cui consegue la natura in continua evoluzione e tassativa delle procedure adottate.
I dati personali
L’art. 4 del Regolamento definisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile. Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o ad uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.”
Poiché le prescrizioni non riguardano le persone giuridiche, è stato tenuto conto del fatto che spesso i dati degli enti comportano la conoscenza dei dati di persone fisiche ( es. legale rappresentante)-
E’ stata fornita una autonoma rilevanza e attenzione ai c.d. dati sensibili (art.9) (origine razziale o etnica, le opinioni politiche, le convinzioni religiose, politiche o filosofiche, l’appartenenza sindacale, vita sessuale )e fra questi ai:
-dati genetici “dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute della persona fisica, e che risultano in particolare dall’analisi di un campione biologico del soggetto.”
-dati biometrici “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.”
-dati relativi alla salute “dati personali attinenti alla salute fisica o mentale, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative allo stato di salute.”
Il generale divieto di trattamento dei dati sensibili trova deroga nella misura in cui “il trattamento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali”.
I dati raccolti sono:
finalizzati e quindi pertinenti a quanto necessario per lo scopo del trattamento dichiarato.
L’informazione espressa delle finalità deve precedere l’acquisizione del consenso affinché quest’ultimo sia effettivamente consapevole
accurati con verifica quindi della loro correttezza, veridicità e completezza.
Vengono trattati dati esatti a garanzia della loro qualità, e viene approntata una organizzazione che garantisca il relativo controllo con adozione di tutte le misure necessarie alla rettificazione o cancellazione di dati inesatti
limitati quantitativamente a quanto necessario alle finalità dichiarate nell’informativa utilizzati in modo riservato e confidenziale anche attraverso l’utilizzo di sistemi di sicurezza ( es: cifratura – per il momento non applicata a fronte del basso rischio, ma con applicazione di una password di accesso al computer, mentre i dati cartacei sono conservati in luoghi non accessibili a personale non autorizzato )
conservati (archiviati) non oltre il tempo strettamente necessario
agli scopi stabiliti nelle finalità del trattamento e alle disposizioni normative che in Italia impongono la conservazione per 10 anni.
Il trattamento
Il trattamento è definito come “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Il trattamento avviene in maniera:
lecita
Si fonda sul consenso dell’interessato o su altra base giuridica. Il trattamento è considerato sempre lecito quando è necessario ad adempiere un obbligo legale.
corretta
attraverso l’informazione all’interessato circa la raccolta, l’utilizzo e altri eventuali successivi trattamenti dei dati forniti. Eventuali trasferimenti all’estero fuori dall’UE saranno leciti in quanto i trasferimenti saranno effettuati soltanto nei confronti di soggetti inseriti nella privacy shield list. Il Privacy Shield, ovvero lo “scudo per la privacy” fra UE e USA, è un meccanismo di autocertificazione per le società stabilite negli USA che intendano ricevere dati personali dall’Unione europea. In particolare, le società si impegnano a rispettare i principi in esso contenuti e a fornire agli interessati (i.e. ovvero tutti i soggetti i cui dati personali siano stati trasferiti dall’Unione europea) adeguati strumenti di tutela, pena l’eliminazione dalla lista delle società certificate (“Privacy Shield List”) da parte del Dipartimento del Commercio statunitense e possibili sanzioni da parte della Federal Trade Commission (Commissione federale per il commercio). La Commissione europea ha ritenuto che esso offra un livello adeguato di protezione per i dati personali trasferiti da un soggetto nell’UE a una società stabilita negli Stati Uniti che disponga di tale autocertificazione e che, pertanto, lo Shield costituisca una fonte di garanzie giuridiche con riguardo ai trasferimenti di dati in questione. E’ stata verificata la rispondenza dei protocolli di sicurezza dei soggetti indicati nella seguente lista: ttps://www.privacyshield.gov/
trasparente
e quindi realizzato con modalità predefinite e rese note all’interessato in modo chiaro, semplice e accessibile . Trasparente nel senso che l’informazione è resa trasparente dal responsabile del trattamento al cliente non solo sotto il profilo del contenuto della stessa, ma anche nella forma in cui è resa.
Il consenso
Prima di esprimere il proprio consenso l’interessato viene compiutamente informato circa le modalità e finalità di trattamento dei dati.
Il consenso viene quindi essere espresso in modo
libero
inequivoco
specifico ( si riferisce quindi a un preciso trattamento e non è generico ed estendibile a vari possibili trattamenti, come da informativa allegata).
Non sono applicate quindi di forme di consenso tacito o mediante opzioni già preselezionate .
Il Regolamento non prevede obbligatoriamente la forma scritta per il consenso, tuttavia essa è stata applicata in quanto l’at.7 onera il titolare del trattamento di “dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”.
Il consenso raccolto prima del 25 maggio 2018 resta valido in quanto ha tutti i requisiti indicati nel Regolamento 2016/679.
“Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro”.
L’informativa
L’informativa fornisce con linguaggio semplice e chiaro le informazioni relative al trattamento dei dati in forma concisa, trasparente, intellegibile e facilmente accessibile e contiene:
i riferimenti di contatto ( telefono – fax - indirizzo di posta elettronica) per le comunicazioni relative all’esercizio dei diritti;
la precisa e dettagliata descrizione delle finalità per cui viene posto in essere il trattamento;
specifica e chiara indicazione dei diritti di revoca del consenso, di accesso ai dati, di rettifica, di cancellazione ( c.d. diritto all’oblio), di limitazione del trattamento, di portabilità dei dati e di opposizione se le finalità mutano si dovrà quindi acquisire un nuovo consenso
Adempimenti
In attuazione del Regolamento e al fine di garantire il rispetto dei principi in tema di trattamento dei dati personali acquisiti ha deciso di:
predisporre il documento (c.d. registro – art. 30) ed elaborare il servizio per la tutela della privacy con definizione ex ante delle singole fasi il trattamento dei dati, le procedure di sicurezza, le verifiche di tenuta del sistema ( che comprende la necessità di adeguamento degli strumenti informatici) e le responsabilità.
consegnare ai propri clienti l’informativa ( con ricevuta a firma dell’interessato per presa visione). Tale adempimento è ritenuto sufficiente nella totalità dei casi a prescindere dal consenso che si è detto non è prescritto come necessario qualora il trattamento dei dati derivi dall’adempimento di un obbligo legale, ma si è ritenuto opportuno in ogni caso raccoglierlo.
Registro di attività di trattamento
L’obbligo di tenuta del registro delle attività di trattamento quale strumento di monitoraggio degli adempimenti e di garanzia dei diritti previsti nel regolamento, non è obbligatoria per il titolare del trattamento poiché sono occupati meno di 250 dipendenti.
L’obbligo prescinde dal requisito dimensionale solo nel caso in cui i dati oggetto del trattamento possano presentare un rischio per i diritti e le libertà degli interessati, il trattamento non sia occasionale o includano dati sensibili, genetici, biometrici, giudiziari, così come individuati dagli artt. 9 e 10 del Regolamento. Non è quindi necessario, in relazione alla natura dei dati trattati nel caso di specie, dotarsi ex ante del registro che individui il titolare del trattamento, le categorie dei dati trattati ( personali ed eventualmente giudiziali e stragiudiziali) e le finalità. Tuttavia, anche perché sono previsti trasferimenti di dati in paesi terzi ( è previsto l’utilizzo di server esterni per servizi mail e conservazione dei dati quali Dropbox, Google cloud ed altri servizi che comportano la trasmissione dei dati anche fuori dal territorio della UE o comunque trovarsi nella necessità di trasferire a collaboratori o colleghi che fanno uso di tali piattaforme situate al di fuori dello spazio UE) è stato ritenuto opportuno adottare il registro, con una descrizione generale delle misure di sicurezza tecniche e organizzative ( cfr art 32 ). – si veda l’allegato modello. I servizi sopra indicati sono operati da soggetti inseriti nella Privacyshield list e dunque sono estranee ai divieti di cui al GDPR e possono essere considerati leciti.
Nomina autorizzati al trattamento
Date le ridotte dimensioni della struttura e il numero limitato di soggetti autorizzati al trattamento, è stato ritenuto opportuno prevedere che tutti i dipendenti ed i collaboratori siano autorizzati al trattamento, in quanto tutti possono essere delegati ad effettuare materialmente le operazioni di trattamento sui dati personali. Si tratta di persone fisiche che agiscono sotto la diretta autorità del titolare.
Data Protection Officer DPO
Non è obbligatorio né è stato ritenuto opportuno procedere alla nomina del DPO, in quanto le attività principali dello stesso non consistono in trattamenti che, per loro natura richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, e pertanto è stato ritenuto non necessario procedere con la nomina pur informando il proprio modello alla luce del principio di "accountability" che caratterizza il Regolamento.
Data breach
Nonostante sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche coinvolte, clienti e personale, viene preso atto dell’obbligo di notificare all’autorità di controllo le violazioni di dati personali senza ingiustificato ritardo e, dove possibile, entro 72 ore dal momento in cui ne sia venuto a conoscenza.
Quando la violazione dei dati personali presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunicherà senza ritardo e con un linguaggio semplice e chiaro, la violazione all'interessato.
In seguito si riportano le misure di analisi adottate al fine di contrastare le minacce più significative che sono state prese in considerazione e le relative misure di sicurezza tecniche ed organizzative a mitigazione del rischio.
Minaccia
Misura di attenuazione del rischio
Malware
Software creato allo scopo di introdursi in un computer senza autorizzazioni per trafugarne i dati o causare danni al sistema informatico su cui viene eseguito – (Glossario Cert Nazionale Italia)
Adozione di misure antimalware applicate a tutti i canali di comunicazione da/verso l’esterno (server, infrastrutture di rete, personal computer e dispositivi mobili)
Utilizzo di tools per l’analisi dei malware nell’ambito di una gestione degli “incidenti” in grado di assicurare una risposta efficace.
Adozione di politiche di sicurezza per definire preventivamente a tutti i livelli le procedure da seguire nei casi di infezione (da quelli dirigenziali agli operativi, fino agli utenti finali)
Aggiornamento regolare dei controlli di prevenzione dei malware e adeguamento degli stessi a nuovi metodi di attacco
Monitoraggio sistematico dei test antivirus
Web based attack
Attacchi contro componenti Web
Protezione delle postazioni da software non aggiornato contenente vulnerabilità note
Blocco all’installazione di sw dannosi attraverso “programmi potenzialmente indesiderati”
Monitoraggio del comportamento del software per rilevare componenti dannosi (come i plug-in del browser web)
Filtrare il traffico web per individuare gli attacchi apportati con tecniche di oscuramento
Stabilire una classificazione orientata ai rischi delle risorse web (indirizzi web, contenuti web, elenchi e filtri)
Controllare le impostazioni dell’applicazione e del browser per evitare comportamenti indesiderati in base alle impostazioni predefinite (in particolare per i dispositivi mobili)
Evitare l’installazione di plugin del browser a meno che non siano di origine attendibile
Web application attack
Attacchi contro applicazioni e servizi web
Adozione di politiche di sicurezza per lo sviluppo e il funzionamento delle applicazioni
Utilizzo di meccanismi di autenticazione e autorizzazione in stretta correlazione allo stato dell’arte
Installazione di firewall per applicazioni Web
Filtraggio del traffico di tutti i canali rilevanti (web, rete, posta)
Gestione della distribuzione della larghezza di banda
Attività sistematiche di scansione delle applicazioni web finalizzate alla rilevazione di vulnerabilità e di tentativi di intrusione
Denial of Service
Attacchi finalizzati ad impegnare completamente la larghezza di banda di una rete o a sovraccaricare le risorse di un sistema informatico al punto da rendere inutilizzabili per i client i servizi da essi offerti. Una variante di questo attacco è il DDoS (Distributed Denial of Service), dal funzionamento identico ma realizzato utilizzando numerose macchine attaccanti che insieme costituiscono una botnet – (Glossario Cert Nazionale Italia)
Creazione di policy di sicurezza DoS / DDoS comprensive di un piano di reazione agli incidenti rilevati. Utilizzo di ISP che implementano misure di protezione DDoS
Valutazione dell’utilizzo di una soluzione gestita per la protezione DDoS
Scelta di un approccio tecnico di protezione DoS / DDoS
Documentazione e valutazione dei ruoli di tutte le parti coinvolte nell’approccio di protezione DoS / DDoS attuato. Test sistematici del tempo di reazione e dell’efficienza dei ruoli coinvolti
Creazione di interfacce delle soluzioni implementate per raccogliere e elaborare informazioni su incidenti DoS / DDoS
Rivalutare regolarmente l’efficacia dei controlli implementati e prevederne lo sviluppo di nuovi
Un sistema di prevenzione delle intrusioni (IPS) è la base per identificare altri tentativi di intrusione
Physical manipulation
Manipolazione fisica / danno / furto / perdita
L’utilizzo della crittografia in tutti gli archivi e i flussi di informazioni che sono al di fuori del perimetro di sicurezza (dispositivi, reti) non è stata per il momento ritenuta necessaria al fine di tutelare la sicurezza dei dati.
Stabilire e comunicare procedure per la protezione fisica degli asset, a prevenzione dei casi di perdita, danni e furto.
Utilizzare gli inventari degli asset per tenere traccia dei dispositivi e sollecitare sistematicamente gli utenti affidatari a verificare la disponibilità degli stessi
Adottare tutte le misure necessarie per ridurre il tempo per la gestione di furti / danni / incidenti di perdita
Produrre guide utente per diffondere buone pratiche nell’uso dei dispositivi mobili
Exploit kit
Un exploit kit, a volte chiamato anche exploit pack, è un tool software che consente di automatizzare lo sfruttamento di vulnerabilità lato client che affliggono i browser e i programmi che un sito Web può invocare attraverso il browser, come plug-in ed estensioni. Questi strumenti vengono tipicamente utilizzati per diffondere bot, backdoor, spyware e altri tipi di malware. – (Glossario Cert Nazionale Italia)
Attività di aggiornamenti sistematici in accordo alla gestione delle vulnerabilità
La rilevazione di malware deve essere implementata per tutti i canali in entrata e in uscita, inclusi i sistemi di rete, web e applicazioni in tutte le piattaforme utilizzate (ad esempio server, infrastruttura di rete, personal computer e dispositivi mobili)
Utilizzo di un gateway di posta elettronica con la regolare (eventualmente automatizzata) manutenzione di filtri (anti-spam, anti-malware, filtri basati su criteri)
Filtraggio dei contenuti per intercettare allegati indesiderati, messaggi di posta elettronica con contenuti dannosi e spam
Seguire le buone pratiche dei diversi fornitori
Data breaches
(violazione di dati)
Valutare il livello di protezione necessario alle diverse tipologie di dati
Implementare soluzioni per la prevenzione delle perdite di dati sia durante che dopo il loro utilizzo
Utilizzare la crittografia dei dati sensibili
Rivedere i profili di accesso ai dati assegnando il livello minimo necessario
Sviluppare e implementare politiche di sicurezza per tutti i dispositivi utilizzati
Effettuare aggiornamenti sistematici in accordo alle politiche di gestione delle vulnerabilità
Implementare delle policies per la protezione da malware e da minacce interne
Information leakage
(perdita di dati)
Evitare il trattamento di testo in chiaro, specialmente in fase di registrazione e di trasmissione dei dati
Analisi dinamica del codice applicativo per individuarne le vulnerabilità
Revisione manuale del codice sorgente fino a un certo livello di dettaglio (un’analisi più dettagliata richiede l’utilizzo di tools specifici)
Applicare una classificazione delle informazioni elaborate / trasmesse / memorizzate in base al livello di riservatezza
Utilizzare le tecnologie disponibili per evitare possibili perdite di dati quali tools per la ricerca di vulnerabilità, per la ricerca di malware e per la prevenzione delle perdite di dati
Identificazione di tutti i dispositivi e le applicazioni che hanno accesso / elaborano informazioni confidenziali e applicazione delle misure sopra menzionate per proteggere dispositivi e applicazioni da minacce di perdite di dati
Per questi tipi di minacce, oggetto di specifica valutazione, si è ritenuto opportuno applicare misure di attenuazione del rischio ed in particolare:
-la puntuale definizione e implementazione dei diritti di accesso al fine di ridurre al minimo le conseguenze di un attacco;
-la disponibilità di set di back up realizzati secondo schemi affidabili e testati per assicurare un ripristino veloce dei dati;
-l’implementazione di una gestione robusta delle vulnerabilità e degli aggiornamenti e di strumenti di filtraggio dei contenuti finalizzati a bloccare attacchi indesiderati, mail con allegati dannosi, spam e traffico di rete indesiderato;
-l’installazione di strumenti di protezione delle postazioni, costituiti non solo da software antivirus ma anche da componenti in grado di bloccare l’esecuzione di programmi non verificati
- l’adozione di politiche per il controllo di dispositivi esterni e in generale dell’accesso attraverso porte usb;
- la formazione degli utenti sul comportamento consapevole della navigazione web;
- l’attenzione sempre massima agli sviluppi di nuovi ramsomware e ai suggerimenti per la prevenzione;
In ottemperanza alle disposizioni del Regolamento UE 679/16 ed in relazione alle attività svolte nell’ambito studio, i dati personali sono trattati:
a) in osservanza dei criteri di riservatezza;
b) in modo lecito e secondo correttezza;
c) per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti o successivamente trattati;
d) nel pieno rispetto delle misure minime di sicurezza, custodendo e controllando i dati oggetto di trattamento in modo da evitare i rischi, anche accidentali, di distruzione o perdita, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Le misure minime di sicurezza sono obbligatorie e sono distinte in funzione delle seguenti modalità di trattamento dei dati:
1. senza l’ausilio di strumenti elettronici (es. dati in archivi cartacei o su supporto magnetico/ottico); 2. con strumenti elettronici (PC ed elaboratori).
***
1. TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI
I dati personali archiviati su supporti di tipo magnetico e/o ottico sono protetti con le stesse misure di sicurezza previste per i supporti cartacei.
Le misure di sicurezza applicate alle copie o alle riproduzioni dei documenti contenenti dati personali devono essere identiche a quelle applicate agli originali.
CUSTODIA
I documenti contenenti dati personali, sono custoditi in modo da non essere accessibili a persone non incaricate del trattamento (es. armadi o cassetti chiusi a chiave).
I documenti contenenti dati personali che vengono prelevati dagli archivi per l’attività quotidiana sono riposti a fine giornata.
I documenti contenenti dati personali non devono rimanere incustoditi su scrivanie o tavoli di lavoro.
COMUNICAZIONE
L’utilizzo dei dati personali deve avvenire in base al principio del “need to know” e cioè essi non devono essere condivisi, comunicati o inviati a persone che non ne necessitano per lo svolgimento delle proprie mansioni lavorative (anche se queste persone sono a loro volta incaricate del trattamento). I dati non devono essere comunicati all’esterno e comunque a soggetti terzi se non previa autorizzazione.
DISTRUZIONE
Qualora sia necessario distruggere i documenti contenti dati personali, questi devono essere distrutti utilizzando gli appositi apparecchi “distruggi documenti” o, in assenza, devono essere sminuzzati in modo da non essere più ricomponibili.
I supporti magnetici od ottici contenenti dati personali devono essere cancellati prima di essere riutilizzati. Se ciò non è possibile, essi devono essere distrutti.
Ulteriori istruzioni in caso di trattamento di dati sensibili e/o giudiziari
I documenti contenenti dati sensibili e/o giudiziari devono essere controllati e custoditi in modo che non vi accedano persone prive di autorizzazione. Ad esempio, la consultazione di documenti/certificati per l’inserimento in procedure informatiche di gestione/amministrazione del personale di dati relativi a permessi sindacali, assenze per malattie ecc., deve avvenire per il tempo strettamente necessario alla digitazione stessa e, subito dopo, i documenti devono essere archiviati in base alle presenti istruzioni.
L’archiviazione dei documenti cartacei contenenti dati sensibili e/o giudiziari deve avvenire in locali ad accesso controllato, utilizzando armadi o cassetti chiusi a chiave.
Per accedere agli archivi contenenti dati sensibili e/o giudiziari fuori orario di lavoro è necessario ottenere una preventiva autorizzazione da parte del Responsabile oppure farsi identificare e registrare su appositi registri.
TRATTAMENTI CON STRUMENTI ELETTRONICI
Gestione delle credenziali di autenticazione
Incaricati in possesso di “credenziali di autenticazione” che permettano il superamento di una procedura di autenticazione (password di accesso). Le credenziali di autenticazione consistono in un codice per l’identificazione dell’Incaricato (user-id) associato ad una parola chiave riservata (password), oppure in un dispositivo di autenticazione (es. smart card) o in una caratteristica biometrica. Gli Incaricati devono utilizzare e gestire le proprie credenziali di autenticazione attenendosi alle seguenti istruzioni.
• Le user-id individuali per l’accesso alle applicazioni non devono mai essere condivise tra più utenti (anche se Incaricati del trattamento). Nel caso altri utenti debbano poter accedere ai dati è necessario richiedere l’autorizzazione al Responsabile del trattamento.
• Gli strumenti di autenticazione (ad esempio le password) che consentono l’accesso alle applicazioni devono essere mantenute riservate. Essi non vanno mai condivisi con altri utenti (anche se Incaricati del trattamento).
• Le password devono essere sostituite, a cura del singolo Incaricato, al primo utilizzo e successivamente almeno ogni sei mesi.
• Le password devono essere composte da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito. Le password non devono contenere riferimenti agevolmente riconducibili all’Incaricato .
Protezione del PC e dei dati
• Tutti i PC sono dotati di password.
• Tutti i PC sono dotati di software antivirus aggiornato costantemente online.
• Sui PC sono installati esclusivamente software necessari all’attività lavorativa, i software scaricati da Internet o acquisiti autonomamente devono essere scaricati solo dalla casa produttrice.
• Per evitare accessi illeciti, deve essere sempre attivato il salva schermo con password.
• Sui PC devono essere installati, appena vengono resi disponibili (e comunque almeno annualmente), tutti gli aggiornamenti software necessari a prevenirne vulnerabilità e correggerne i difetti.
• Deve essere effettuato, con cadenza almeno settimanale un salvataggio di back-up di eventuali dati personali presenti unicamente sul PC personale (cioè non accessibili tramite i sistemi informatici in cloud).
Cancellazione dei dati dai PC
• I dati personali conservati sui PC devono essere cancellati in modo sicuro (es. formattando i dischi) prima di destinare i PC ad usi diversi.
Ulteriori istruzioni in caso di trattamento di dati sensibili e/o giudiziari
• Le password di accesso alle procedure informatiche che trattano dati sensibili e/o giudiziari devono essere sostituite almeno ogni sei mesi.
• L’installazione degli aggiornamenti software necessari a prevenire vulnerabilità e correggerne i difetti dei programmi per elaboratori deve essere effettuato almeno semestralmente.
ISTRUZIONI DI CARATTERE GENERALE
Come scegliere e usare la password (Normativa sulla costruzione ed utilizzo delle password)
• Usare almeno 8 caratteri, o nel caso in cui lo strumento elettronico non lo permetta, usare un numero di caratteri pari al massimo consentito.
• Usare lettere, numeri e almeno un carattere tra . ; $ ! @ - > <
• Non utilizzare date di nascita, nomi o cognomi propri o di parenti
• Non sceglierla uguale alla matricola o alla user-id
• Custodirla sempre in un luogo sicuro e non accessibile a terzi
• Non divulgarla a terzi
• Non condividerla con altri utenti
Come comportarsi in presenza di clienti o di personale di segreteria, collaboratori o professionsiti ai quali sono trasmesse le informazioni
• Fare attendere i clienti in luoghi in cui non siano presenti informazioni riservate o dati personali.
• Se è necessario allontanarsi dalla scrivania in presenza di ospiti, riporre i documenti e attivare il
salvaschermo del PC .
• Non rivelare o fare digitare le password dal personale di assistenza tecnica.
• Non rivelare le password al telefono né inviarla via fax - nessuno è autorizzato a chiederle.
In caso di trasmissione dei dati a collaboratori o professionisti procedere a fornire adeguata informativa
Come gestire la posta elettronica
• Non aprire messaggi con allegati di cui non si conoscono l’origine, possono contenere virus in grado di cancellare i dati sul PC.
• Evitare di aprire filmati e presentazioni non attinenti l’attività lavorativa per evitare situazioni di pericolo per i dati contenuti sul vostro PC.
Come usare correttamente Internet
• Evitare di scaricare dalla rete file e software di uso non direttamente riferibile all’attività di lavoro, in quanto questo può essere pericoloso per idati e la rete. I software necessari all’attività lavorativa vanno richiesti al provider di assistenza informatica.
• Non leggere le caselle personali esterne via webmail in quanto alcuni provider esterni non proteggono da virus.
Ai fini di garantire la correttezza del trattamento dei dati giudiziari si riporta l’Autorizzazione n. 7/2016 al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici - 15 dicembre 2016
(Pubblicato sulla Gazzetta Ufficiale n. 303 del 29 dicembre 2016) - Registro dei provvedimenti
n. 529 del 15 dicembre 2016 emessa dal GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice");
Visto l'art. 4, comma 1, lett. e) del Codice, il quale individua i dati giudiziari;
Visti, in particolare, gli artt. 21, comma 1, e 27 del Codice, che consentono il trattamento di dati giudiziari, rispettivamente, da parte di soggetti pubblici e di privati o di enti pubblici economici, soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e le precise operazioni eseguibili;
Visti gli artt. 21, comma 2, e 20, commi 2 e 4, e le disposizioni relative a specifici settori di cui alla Parte II del Codice e, in particolare, i Capi III e IV del Titolo IV, nel quale sono indicate finalità di rilevante interesse pubblico che rendono ammissibile il trattamento di dati giudiziari da parte di soggetti pubblici;
Visto l'art. 22 del Codice, che enuncia i princìpi applicabili al trattamento di dati sensibili e giudiziari da parte di soggetti pubblici;
Considerato che il trattamento dei dati in questione può essere autorizzato dal Garante anche d'ufficio con provvedimenti di carattere generale, relativi a determinate categorie di titolari o di trattamenti (art. 40 del Codice);
Considerato che le autorizzazioni di carattere generale sinora rilasciate sono risultate uno strumento idoneo per prescrivere misure uniformi a garanzia degli interessati, rendendo altresì superflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosi titolari del trattamento;
Ritenuto opportuno rilasciare nuove autorizzazioni in sostituzione di quelle in scadenza il 31 dicembre 2016, armonizzando le prescrizioni già impartite alla luce dell'esperienza maturata;
Ritenuto opportuno che anche tali nuove autorizzazioni siano provvisorie e a tempo determinato, ai sensi dell'art. 41, comma 5, del Codice, e, in particolare, efficaci fino al 24 maggio 2018, tenuto conto che a decorrere dal 25 maggio 2018 sarà applicabile il Regolamento (UE) 2016/679, entrato in vigore il 24 maggio 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;
Visto il d. lg. 4 marzo 2010, n. 28, recante "Attuazione dell'articolo 60 della legge 18 giugno 2009, n. 69, aggiornato dalla l. 9 agosto 2013, n. 98, in materia di mediazione finalizzata alla conciliazione delle controversie civili e commerciali" e il Regolamento di cui al d. m. 18 ottobre 2010, n. 180, emanato ai sensi dell'art. 16 del citato decreto legislativo, i quali prevedono che gli organismi di mediazione, gli enti di formazione e il Ministero della giustizia trattino i dati giudiziari per l'accertamento dei requisiti di onorabilità dei mediatori nonché dei soci, associati, amministratori e rappresentanti dei predetti enti di natura privata e attribuiscono al Ministero della giustizia l'esercizio di poteri di vigilanza e controllo in merito a tali requisiti;
Visti gli artt. 51 e 52 del Codice in materia di informatica giuridica e ritenuta la necessità di favorire la prosecuzione dell'attività di documentazione, studio e ricerca in campo giuridico, in particolare per quanto riguarda la diffusione di dati relativi a precedenti giurisprudenziali, in ragione anche dell'affinità che tali attività presentano con quelle di manifestazione del pensiero disciplinate dall'art. 137 del Codice;
Considerata la necessità di garantire il rispetto di alcuni princìpi volti a ridurre al minimo i rischi di danno o di pericolo che i trattamenti potrebbero comportare per i diritti e le libertà fondamentali, nonché per la dignità delle persone, e in particolare, per il diritto alla protezione dei dati personali sancito dall'art. 1 del Codice;
Visto l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;
Visti gli artt. 31 e seguenti del Codice e il disciplinare tecnico di cui all'Allegato B) al medesimo Codice, recanti norme e regole sulle misure di sicurezza;
Visto l'art. 41 del Codice;
Visti gli artt. 42 e seguenti del Codice in materia di trasferimento di dati personali all'estero;
Visto l'art. 167 del Codice;
Visti gli atti d'ufficio;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la dott.ssa Augusta Iannini
Autorizza
il trattamento dei dati giudiziari di cui all'art. 4, comma 1, lett. e), del Codice, per le finalità di rilevante interesse pubblico di seguito specificate ai sensi degli artt. 21 e 27 del Codice, secondo le prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento, i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice.
Capo I - RAPPORTI DI LAVORO
1) Ambito di applicazione e finalità del trattamento.
L'autorizzazione è rilasciata, anche senza richiesta, a persone fisiche e giuridiche, enti, associazioni ed organismi che:
a) sono parte di un rapporto di lavoro;
b) utilizzano prestazioni lavorative anche atipiche, parziali o temporanee;
c) conferiscono un incarico professionale a consulenti, liberi professionisti, agenti, rappresentanti e mandatari.
Il trattamento deve essere indispensabile per:
A. adempiere o esigere l'adempimento di specifici obblighi o eseguire specifici compiti previsti da leggi, dalla normativa dell'Unione europea, da regolamenti o da contratti collettivi, anche aziendali, e ai soli fini della gestione del rapporto di lavoro, anche autonomo o non retribuito od onorario;
B. verificare, limitatamente ai dati strettamente necessari, i requisiti di onorabilità dei dipendenti di società operanti nel settore del rating.
L'autorizzazione è altresì rilasciata a soggetti che in relazione ad un'attività di composizione di controversie esercitata in conformità alla legge svolgono un trattamento indispensabile al medesimo fine.
2) Interessati ai quali i dati si riferiscono.
Il trattamento può riguardare dati attinenti a soggetti che hanno assunto o intendono assumere la qualità di:
a) lavoratori subordinati, anche se parti di un contratto di apprendistato, o di formazione e lavoro, o di inserimento, o di lavoro ripartito, o di lavoro intermittente o a chiamata, ovvero prestatori di lavoro nell'ambito di un contratto di somministrazione, o in rapporto di tirocinio, ovvero di associati anche in compartecipazione o di titolari di borse di lavoro e di rapporti analoghi e, con riferimento a quanto previsto al punto 1), lettera B), limitatamente ai soli lavoratori effettivamente impiegati in attività di rating;
b) amministratori o membri di organi esecutivi o di controllo;
c) consulenti e liberi professionisti, agenti, rappresentanti e mandatari.
Capo II - ORGANISMI DI TIPO ASSOCIATIVO E FONDAZIONI
1) Ambito di applicazione e finalità del trattamento.
L'autorizzazione è rilasciata:
a) ad associazioni anche non riconosciute, ivi compresi partiti e movimenti politici, associazioni ed organizzazioni sindacali, patronati, associazioni a scopo assistenziale o di volontariato, a fondazioni, comitati e ad ogni altro ente, consorzio od organismo senza scopo di lucro, dotati o meno di personalità giuridica, nonché a cooperative sociali e società di mutuo soccorso di cui, rispettivamente, alle leggi 8 novembre 1991, n. 381 e 15 aprile 1886, n. 3818;
b) ad enti ed associazioni anche non riconosciute che curano il patrocinio, il recupero, l'istruzione, la formazione professionale, l'assistenza socio-sanitaria, la beneficenza e la tutela di diritti in favore dei soggetti cui si riferiscono i dati o dei relativi familiari e conviventi.
Il trattamento deve essere indispensabile per perseguire scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o da un contratto collettivo.
2) Interessati ai quali i dati si riferiscono.
Il trattamento può riguardare dati attinenti:
a) ad associati, soci e aderenti, nonché, nei casi in cui l'utilizzazione dei dati sia prevista dall'atto costitutivo o dallo statuto, a soggetti che presentano richiesta di ammissione o di adesione;
b) a beneficiari, assistiti e fruitori delle attività o dei servizi prestati dall'associazione, dall'ente o dal diverso organismo.
Capo III - LIBERI PROFESSIONISTI
1) Ambito di applicazione e finalità del trattamento.
L'autorizzazione è rilasciata anche senza richiesta ai:
a) liberi professionisti tenuti ad iscriversi in albi o elenchi per l'esercizio di un'attività professionale, in forma individuale, associata o societaria, anche in conformità al decreto legislativo 2 febbraio 2001, n. 96 e all'art. 10 della legge 12 novembre 2011, n. 183;
b) soggetti iscritti nei corrispondenti albi o elenchi speciali, istituiti anche ai sensi dell'art. 34 del regio decreto-legge 27 novembre 1933, n. 1578 e successive modificazioni e integrazioni, recante l'ordinamento della professione di avvocato;
c) sostituti e ausiliari che collaborano con il libero professionista ai sensi dell'art. 2232 del codice civile, praticanti e tirocinanti, qualora tali soggetti siano titolari di un autonomo trattamento o siano contitolari del trattamento effettuato dal libero professionista.
2) Interessati ai quali i dati si riferiscono.
Il trattamento può riguardare dati attinenti ai clienti.
I dati relativi a terzi possono essere trattati solo ove ciò sia strettamente indispensabile per eseguire specifiche prestazioni professionali richieste dai clienti per scopi determinati e legittimi.
Capo IV - MEDIAZIONE FINALIZZATA ALLA CONCILIAZIONE DELLE CONTROVERSIE CIVILI E COMMERCIALI
1) Soggetti ai quali è rilasciata l'autorizzazione e finalità del trattamento.
a) Per il perseguimento della finalità di rilevante interesse pubblico individuata dall'art. 69 del Codice (Onorificenze, ricompense e riconoscimenti) sono autorizzati, anche senza richiesta, a trattare i dati giudiziari di cui all'art. 4, comma 1, lett. e), del Codice per adempiere ad obblighi previsti da disposizioni di legge e regolamento in materia di mediazione finalizzata alla conciliazione delle controversie civili e commerciali:
1. gli organismi di mediazione costituiti da enti privati di cui all'art. 1, comma 1, lett. d), del d. lg. 28/2010 e successive modificazioni e integrazioni, con riferimento ai dati dei soci, associati, amministratori e rappresentanti, nonché dei mediatori iscritti;
2. gli organismi di mediazione costituiti da enti pubblici di cui all'art. 1, comma 1, lett. d), del d. lg. 28/2010 e successive modificazioni e integrazioni, con riferimento ai dati dei mediatori iscritti;
3. gli enti di formazione di cui all'art. 16, comma 5, del d. lg. 28/2010 e successive modificazioni e integrazioni, e art. 1, comma 1, lett. n) del d. m. n. 180/2010 con riferimento ai dati dei soci, associati, amministratori e rappresentanti;
b) Per il perseguimento delle finalità di rilevante interesse pubblico individuate dall'art. 69 del Codice (Onorificenze, ricompense e riconoscimenti), nonché dall'art. 67 del Codice (Attività di controllo e ispettive) il Ministero della giustizia è autorizzato a trattare i dati giudiziari di cui all'art. 4, comma 1, lett. e), del Codice ai sensi dell'art. 16 del d. lg. 28/2010 e successive modificazioni e integrazioni, nonché relative disposizioni attuative, per la gestione del registro degli organismi di mediazione e dell'elenco degli enti di formazione e per la verifica dei requisiti di onorabilità di cui al d. m. n. 180/2010 di soci, associati, amministratori e rappresentanti degli organismi di mediazione e degli enti di formazione di natura privata, nonché dei singoli mediatori e formatori.
2) Interessati ai quali i dati si riferiscono.
Il trattamento può riguardare i soli dati giudiziari relativi ai requisiti di onorabilità previsti dal d. m. n. 180/2010 previsti per soci, associati, amministratori e rappresentanti degli organismi di mediazione e degli enti di formazione di natura privata, nonché dei singoli mediatori e formatori ("non avere riportato condanne definitive per delitti non colposi o a pena detentiva non sospesa; non essere incorso nell'interdizione perpetua o temporanea dai pubblici uffici; non essere stato sottoposto a misure di prevenzione o di sicurezza" - art. 4 d. m. n. 180/2010).
3) Categorie di dati e operazioni di trattamento.
Il trattamento può riguardare i soli dati giudiziari e le sole operazioni che risultino indispensabili, pertinenti e non eccedenti in relazione alla specifica finalità perseguita, nei limiti stabiliti dalle norme di legge e regolamento.
4) Comunicazione dei dati.
Il Ministero della giustizia, nell'ambito dei poteri di vigilanza e controllo attribuitigli dalla normativa di settore può comunicare i dati giudiziari di cui all'art. 4, comma 1, lett. e) del Codice:
- agli organismi di mediazione e agli enti di formazione di natura privata in relazione ai requisiti di onorabilità previsti dagli artt. 4, comma 2, lett. c) e 18, comma 2, lett. b), del d. m. n. 180/2010 per i propri soci, associati, amministratori e rappresentanti;
- agli organismi di mediazione di natura pubblica e privata in relazione ai requisiti di onorabilità previsti dall'art. 4, comma 3, lett. c), del d. m. 180/2010 per i mediatori individuati nei propri elenchi.
Capo V - IMPRESE BANCARIE ED ASSICURATIVE ED ALTRI TITOLARI DEI TRATTAMENTI
1) Ambito di applicazione e finalità del trattamento.
L'autorizzazione è rilasciata, anche senza richiesta:
a) ad imprese autorizzate o che intendono essere autorizzate all'esercizio dell'attività bancaria e creditizia, assicurativa o dei fondi pensione, anche se in stato di liquidazione coatta amministrativa, ai fini:
1) dell'accertamento, nei casi previsti dalle leggi e dai regolamenti, del requisito di onorabilità nei confronti di soci e titolari di cariche direttive o elettive;
2) dell'accertamento, nei soli casi espressamente previsti dalla legge, di requisiti soggettivi e di presupposti interdittivi;
3) dell'accertamento di responsabilità in relazione a sinistri o eventi attinenti alla vita umana;
4) dell'accertamento di situazioni di concreto rischio per il corretto esercizio dell'attività assicurativa, in relazione ad illeciti direttamente connessi con la medesima attività. Per questi ultimi casi, limitatamente ai trattamenti di dati registrati in una specifica banca di dati ai sensi dell'art. 4, comma 1, lett. p), del Codice, il titolare deve inviare al Garante una dettagliata relazione sulle modalità del trattamento;
b) a soggetti titolari di un trattamento di dati svolto nell'ambito di un'attività di richiesta, acquisizione e consegna di atti e documenti presso i competenti uffici pubblici, effettuata su incarico degli interessati;
c) alle società di intermediazione mobiliare, alle società di investimento a capitale variabile, alle società di gestione del risparmio e dei fondi pensione e alle società di gestione dei mercati regolamentati o alle società di gestione accentrata di strumenti finanziari ai fini dell'accertamento dei requisiti di onorabilità in applicazione della normativa in materia di intermediazione finanziaria e di previdenza o di forme pensionistiche complementari, e di eventuali altre norme di legge o di regolamento;
d) alle società operanti nel settore del rating, limitatamente alle informazioni strettamente indispensabili a verificare la sussistenza o meno dei requisiti di onorabilità in capo ai soli soci responsabili di incarichi di revisione presso società italiane che abbiano emesso strumenti finanziari quotati su mercati finanziari non nazionali, in relazione ai comportamenti penalmente rilevanti individuati dalla normativa nazionale e al fine di consentire la registrazione della società (e degli stessi soci) presso le organizzazioni governative responsabili della stabilità e trasparenza dei mercati finanziari di riferimento.
2) Ulteriori trattamenti.
L'autorizzazione è rilasciata altresì:
a) a chiunque, per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato, di mediazione e di conciliazione nei casi previsti dalle leggi, dalla normativa dell'Unione europea, dai regolamenti o dai contratti collettivi, sempre che il diritto da far valere o difendere sia di rango pari a quello dell'interessato e i dati siano trattati esclusivamente per tale finalità e per il periodo strettamente necessario per il suo perseguimento;
b) a chiunque, per l'esercizio del diritto di accesso ai dati e ai documenti amministrativi, nei limiti di quanto previsto dalle leggi e dai regolamenti in materia;
c) a persone fisiche e giuridiche, istituti, enti ed organismi che esercitano un'attività di investigazione privata autorizzata con licenza prefettizia (art. 134 del regio decreto 18 giugno 1931, n. 773, e successive modificazioni e integrazioni).
Il trattamento deve essere necessario:
1. per permettere a chi conferisce uno specifico incarico di far valere o difendere in sede giudiziaria un proprio diritto di rango pari a quello del soggetto al quale si riferiscono i dati, ovvero un diritto della personalità o un altro diritto fondamentale ed inviolabile;
2. su incarico di un difensore in riferimento ad un procedimento penale, per ricercare e individuare elementi a favore del relativo assistito da utilizzare ai soli fini dell'esercizio del diritto alla prova (articolo 190 del codice di procedura penale e legge 7 dicembre 2000, n. 397) e nel rispetto delle regole di comportamento dettate dal "Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive" (deliberazione del Garante n. 60 del 6 novembre 2008, G. U. 24 novembre 2008, n. 275) che costituiscono condizione essenziale per la liceità e la correttezza dei trattamenti di dati personali effettuati anche da avvocati, nell'ambito dello svolgimento del proprio incarico professionale ai sensi dell'art. 12, comma 3 del Codice;
d) a chiunque, per adempiere ad obblighi previsti da disposizioni di legge in materia di comunicazioni e certificazioni antimafia o in materia di prevenzione della delinquenza di tipo mafioso e di altre gravi forme di manifestazione di pericolosità sociale, contenute anche nella legge 19 marzo 1990, n. 55, e successive modificazioni ed integrazioni, e nel decreto legislativo 6 settembre 2011, n. 159 recante il "Codice delle leggi antimafia e delle misure di prevenzione, nonché nuove disposizioni in materia di documentazione antimafia, a norma degli artt. 1 e 2 della legge 13 agosto 2010, n. 136", e successive modificazioni ed integrazioni, o per poter produrre la documentazione prescritta dalla legge per partecipare a gare d'appalto;
e) a chiunque, ai fini dell'accertamento del requisito di idoneità morale di coloro che intendono partecipare a gare d'appalto, in adempimento di quanto previsto dalla normativa in materia di appalti;
f) a chiunque per l'attuazione della disciplina in materia di attribuzione del rating di legalità delle imprese ai sensi dell'art. 5-ter del d.l. 24 gennaio 2012, n.1, convertito in legge, con modificazioni, dall'art. 1, comma 1, della l. 24 marzo 2012, n. 27
Capo VI - DOCUMENTAZIONE GIURIDICA
1) Ambito di applicazione e finalità del trattamento
L'autorizzazione è rilasciata per il trattamento, ivi compresa la diffusione, di dati relativi a sentenze e altri provvedimenti giurisdizionali, per finalità di informazione giuridica, ovvero di documentazione, di studio e di ricerca in campo giuridico. Il trattamento, disciplinato dagli artt. 51 e 52 del Codice, deve essere effettuato nel rispetto delle indicazioni fornite nelle "Linee guida in materia di trattamento di dati personali nella riproduzione di provvedimenti giurisdizionali per finalità di informazione giuridica" (deliberazione del Garante del 2 dicembre 2010, G.U. 4 gennaio 2011, n. 2).
Capo VII - PRESCRIZIONI COMUNI A TUTTI I TRATTAMENTI
Per quanto non previsto dai capi che precedono, ai trattamenti ivi indicati si applicano, altresì, le seguenti prescrizioni:
1) Dati trattati.
Possono essere trattati i soli dati essenziali per le finalità per le quali è ammesso il trattamento e che non possano essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa.
2) Modalità di trattamento.
Il trattamento dei dati deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto agli obblighi, ai compiti o alle finalità precedentemente indicati. Fuori dei casi previsti dai Capi V, punto 2 e VI, o nei quali la notizia è acquisita da fonti accessibili a chiunque, i dati devono essere forniti dagli interessati nel rispetto della disciplina prevista dal D.P.R. 14 novembre 2002, n. 313 e successive modificazioni.
3) Conservazione dei dati.
Con riferimento all'obbligo previsto dall'art. 11, comma 1, lett. e) del Codice, i dati possono essere conservati per il periodo di tempo previsto da leggi o regolamenti e, comunque, per un periodo non superiore a quello strettamente necessario per le finalità perseguite.
Ai sensi dell'art. 11, comma 1, lett. c), d) ed e) del Codice, i soggetti autorizzati verificano periodicamente l'esattezza e l'aggiornamento dei dati, nonché la loro pertinenza, completezza, non eccedenza e necessità rispetto alle finalità perseguite nei singoli casi. Al fine di assicurare che i dati siano strettamente pertinenti, non eccedenti e indispensabili rispetto alle finalità medesime, i soggetti autorizzati valutano specificamente il rapporto tra i dati e i singoli obblighi, compiti e prestazioni. I dati che, anche a seguito delle verifiche, risultino eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione è prestata per la verifica dell'essenzialità dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente gli obblighi, i compiti e le prestazioni.
4) Comunicazione e diffusione.
I dati possono essere comunicati e, ove previsto dalla legge, diffusi, a soggetti pubblici o privati nei limiti strettamente indispensabili per le finalità perseguite e nel rispetto, in ogni caso, del segreto professionale e delle altre prescrizioni sopraindicate.
5) Richieste di autorizzazione.
I titolari dei trattamenti che rientrano nell'ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di autorizzazione al Garante, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento, devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante si riserva l'adozione di ogni altro provvedimento per i trattamenti non considerati nella presente autorizzazione.
Per quanto riguarda invece i trattamenti disciplinati nel presente provvedimento, il Garante non prenderà in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformità alle relative prescrizioni, salvo che, ai sensi dell'art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione.
6) Norme finali.
Restano fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa dell'Unione europea che stabiliscono divieti o limiti più restrittivi in materia di trattamento di dati personali e, in particolare, dalle disposizioni contenute nell'art. 8 della legge 20 maggio 1970, n. 300, fatto salvo dall'art. 113 del Codice, che vieta al datore di lavoro ai fini dell'assunzione e nello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore e dall'art. 10 del d. lg. 10 settembre 2003, n. 276, che vieta alle agenzie per il lavoro e agli altri soggetti privati autorizzati o accreditati di effettuare determinate indagini o comunque trattamenti di dati ovvero di preselezione di lavoratori.
Restano fermi, altresì, gli obblighi di legge che vietano la rivelazione senza giusta causa e l'impiego a proprio o altrui profitto delle notizie coperte dal segreto professionale, nonché gli obblighi deontologici o di buona condotta relativi alle singole figure professionali.
7) Efficacia temporale.
La presente autorizzazione ha efficacia dal 1° gennaio 2017 fino al 24 maggio 2018, tenuto conto che a decorrere dal 25 maggio 2018 sarà applicabile il Regolamento (UE) 2016/679 (relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE) entrato in vigore il 24 maggio 2016, salve le modifiche che il Garante ritenga di dover apportare in conseguenza di eventuali novità normative rilevanti in materia e ferme restando le determinazioni eventualmente adottate dall'Autorità in applicazione del citato Regolamento.
La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.
Trattamento dei dati dei dipendenti e dei collaboratori
Con parere dell’8 giugno 2017, il Gruppo di lavoro ex art. 29 (“WP29”) si è pronunciato in merito al trattamento dei dati personali dei lavoratori, integrando quanto già previsto in passato con il Parere n. 8/2001 (“Parere sul trattamento di dati personali nell'ambito dei rapporti di lavoro”) ed il “Documento di lavoro sulla sorveglianza delle comunicazioni elettroniche sul luogo di lavoro” del 2002.
Come precisato dal WP29, tale nuovo parere è finalizzato ad aggiornare le regole per il trattamento dei dati personali dei lavoratori alla luce dell’evoluzione delle tecnologie informatiche (es.: sistemi per il controllo del lavoro da remoto, geolocalizzazione, Data Loss Prevention) nonché della ormai prossima entrata in vigore (25.5.2018) del Regolamento UE n. 679/2016 (cd. “GDPR”).
Il trattamento dei dati – rivolto non solo ai lavoratori dipendenti bensì anche a quelli autonomi, indipendentemente dalla stipula o meno di un contratto di lavoro subordinato – sulla scorta dei principi di cui al WP29 tiene ben presenti i diritti fondamentali dei lavoratori, ivi incluso il diritto alla loro riservatezza, precisando che i trattamenti dei dati possono ravvisarsi, alternativamente: (i) nell’esecuzione di obblighi derivanti da un contratto di lavoro, ove presente (es.: finalità retributive - ai sensi dell’art. 6.1, lett. b) del GDPR); (ii) nell’adempimento di obbligazioni previste dalla legge (es.: calcolo della ritenuta d’imposta - ex art. 6.1, lett. c) del GDPR); (iii) nell’interesse legittimo del datore di lavoro (es.: prevenzione della perdita di materiali aziendali e/o miglioramento della produttività dei lavoratori - ex art. 6.1, lett. f) del GDPR).
Sono ritenute escluse dalle basi giuridiche del trattamento dei dati personali dei lavoratori il mero consenso di questi ultimi in quanto, a causa del rapporto di “dipendenza” nei confronti del datore di lavoro, lo stesso consenso non potrebbe mai ritenersi liberamente prestato né, per le medesime ragioni, liberamente revocabile. Con particolare riferimento all’interesse legittimo del datore di lavoro, poi, il WP29 ricorda a ciascun datore di lavoro di valutare preventivamente se il trattamento da porre in essere sia necessario e proporzionato per il perseguimento di una finalità legittima, nonché di adottare apposite misure di sicurezza volte a bilanciare tale finalità con i diritti e le libertà fondamentali dei lavoratori, redigendo, se del caso (cfr. art. 35 del GDPR), anche una valutazione di impatto del trattamento (cd. “DPIA”).
Sulla scorta delle WP29 sono state individuati alcuni scenari tipici di trattamento di dati personali dei lavoratori - per lo più basati su un interesse legittimo del titolare del trattamento - che possono presentare dei rischi per i diritti e le libertà fondamentali di questi ultimi nel rispetto dei principi di “privacy by design” e “privacy by default” previsti dal GDPR.
Trattamento dei dati dei candidati/collaboratori presenti sui social network
Viene effettuato il trattamento dei dati dei candidati presenti sui loro profili social (opinioni personali, abitudini, interessi, ecc.) solo nelle ipotesi in cui tali profili siano utilizzati dagli interessati per finalità lavorative – e non personali – e laddove gli stessi siano necessari e rilevanti per l’esecuzione della prestazione lavorativa cui la domanda del candidato è rivolta. E’ prevista lainformativa preventiva del candidato al trattamento dei suoi dati personali (mediante, ad esempio, l’inserimento di una specifica indicazione all’interno dell’annuncio di lavoro).
Trattamento dei dati dei lavoratori presenti sui social network
Vengono richiesti i medesimi presupposti previsti per il trattamento dei dati dei candidati (necessaria pubblicità del profilo social dell’interessato, preventiva informativa del trattamento resa agli interessati, sussistenza della necessità e rilevanza del trattamento rispetto al legittimo interesse perseguito), con astensione dall’utilizzo di tali strumenti qualora vi siano strumenti meno invasivi per il raggiungimento delle finalità del trattamento (es.: è consentito monitoraggio del profilo Linkedin dell’ex dipendente in regime di non concorrenza con la propria società al fine di verificare il rispetto di tale obbligo da parte dell’ex dipendente).
Monitoraggio della strumentazione informatica dei lavoratori
Viene effettuato il monitoraggio della strumentazoine informatica dei collaboratori e degli eventuali lavoratori dipendenti (Data Loss Prevention, Next-Generation Firewalls, Unified Threat Managment, eDiscovery technologies, BYOD), previa informazione di tale trattamento (es.: e-mail ricevute/inviate; siti web visitati; telefonate effettuate).
Viene fornita ai dipendenti e a coloro che utilizzano gli strumenti informatici una informativa sui siti in cui la navigazione è vietata; la predisposizione di un’apposita policy per l’uso della strumentazione informatica.
Se in virtù di un approccio preventivo alla protezione dei dati viene configurata una procedura di Data Loss Prevention, al fine di individuare e prevenire la trasmissione non autorizzata di informazioni riservate si procede a: (i) informare i lavoratori dell’implementazione della stessa, (ii) determinare, in modo chiaro, le regole sulla base delle quali il sistema informatico qualifica una e-mail in uscita come in violazione della riservatezza aziendale e (iii) in caso di effettiva violazione, informarne l’interessato al fine di consentire a quest’ultimo di cancellare – e non inviare – tale comunicazione.
Viene previsto l’utilizzo della strumentazione informatica da remoto (es. BYOD), ed è stata data informativa del rischio di accessi non autorizzati ai dati personali da parte di soggetti terzi. Non vengono adottate misure di sicurezza quali il monitoraggio dei movimenti del mouse, l’utilizzo di webcam o di tecnologie di “screen capture” – in quanto non proporzionate ed eccessive rispetto alle finalità perseguite.
Mobile Device Management
Le tecnologie di Mobile Device Management consentono al datore di lavoro di gestire (rectius, geolocalizzare, installare software/applicazioni, cancellare dati personali) da remoto i dispositivi mobili affidati ai lavoratori. In relazione a tali tecnologie, nel caso, prima dell’inizio del trattamento, occorrerà verificare la necessità del trattamento rispetto alle finalità perseguite e garantire il rispetto dei principi di proporzionalità e sussidiarietà e il trattamento non dovrà essere volto all’esclusivo controllo dell’attività dei lavoratori e dei collaboratori.
Wearable Devices
Non è previsto l’utilizzo di strumenti utilizzati dal datore di lavoro al fine di monitorare lo stato di salute e l’attività fisica dei propri lavoratori e collaboratori.
Rilevazione della presenza dei lavoratori
E’ previsto che in futuro alcuni strumenti aziendali utilizzati dal datore di lavoro per finalità del tutto legittime possano comportare l’indiretto monitoraggio della presenza e dell’attività dei lavoratori sul luogo di lavoro (si pensi, ad esempio, all’installazione di un sistema di rilevazione dei dati biometrici dei lavoratori, volto a monitorare l’accesso degli stessi ad aree contenenti informazioni altamente riservate, ma in grado di consentire al datore di lavoro di verificare l’effettivo svolgimento della prestazione lavorativa). Tali trattamenti di dati, nel rispetto del WP29, si fondano sul legittimo interesse del titolare finalizzato a tutelare la perdita e/o la sottrazione di informazioni riservate di natura aziendale (es.: dati dei clienti) ma, per poter essere effettuati nel rispetto della normativa vigente, devono essere preceduti da una idonea informativa fornita ai lavoratori.
Trattamenti di dati mediante sistemi di videosorveglianza
Nel rispetto del WP29, l’utilizzo delle tecnologie che consentono il video monitoraggio dei lavoratori (es.: monitoraggio dell’espressione facciale mediante la videocamera dello smartphone affidato ai lavoratori) non viene applicato in quanto sproporzionato rispetto alla tutela dei diritti e delle libertà fondamentali degli interessati.
Geolocalizzazione dei veicoli
Come precisato dal WP29, la installazione di impianti GPS sui veicoli aziendali loro affidati, al solo fine di monitorare il comportamento dei lavoratori e/o la loro posizione geografica, è considerata illecita. Se diversamente, il trattamento è effettuato per il perseguimento di finalità legittime del datore di lavoro quali, ad esempio, la tutela della sicurezza dei veicoli e/o dei lavoratori ovvero, ancora, per la pianificazione in tempo reale di alcune attività lavorative, tale trattamento risulta lecito (cfr. sul punto anche WP29 parere n. 5/2005). In ogni caso, il WP29 suggerisce ad ogni datore di lavoro di inserire all’interno di ciascun veicolo una informativa privacy ben visibile recante l’indicazione dell’installazione del GPS e di valutare, prima del trattamento, se i veicoli aziendali concessi ai lavoratori possono essere utilizzati dagli stessi anche per finalità private, suggerendo, in tal caso, di garantire ai lavoratori la possibilità di disattivare il sistema GPS nel caso di destinazioni private.
Trasferimento dei dati personali dei lavoratori e dei collaboratori a terzi
In relazione al trasferimento dei dati dei lavoratori a terzi, si distingue da un lato, il caso in cui tali dati siano trasferiti ai clienti finali e, dall’altro, l’ipotesi in cui i dati siano comunicati tra società del medesimo gruppo aventi sede fuori dall’Italia. Con riferimento alla prima fattispecie, il WP29 ritiene che il trasferimento può avvenire se correlato allo svolgimento delle attività lavorative, oppure previo consenso se non fondato su un legittimo interesse del titolare; in relazione alla seconda, invece, il WP29 richiama i principi generali per il trasferimento dei dati previsti dalla Direttiva 95/46/CE e, attualmente, trasposti all’interno del GDPR (garanzia di un adeguato livello di protezione dei dati da parte dello Stato estero e, ove mancante, presenza di una apposita deroga) Viene quindi effettuato il trasferimento dei dati per finalità correlate alle attività.
Conclusioni
Con il parere in esame, il WP29 - che è stato tenuto inconsiderazione per la realizzazione del presente documento - si è introdotto, alla luce delle nuove tecnologie informatiche esaminate al precedente punto 2 ed alla nuova disciplina introdotta dal GDPR, delle specifiche regole per il trattamento dei dati dei lavoratori e dei collaboratori.
Tali disposizioni forniscono un grande valore aggiunto per i soggetti che intendono trattare i dati personali dei propri lavoratori, in quanto, da un lato, definiscono le basi giuridiche di tale tipologia di trattamento e, dall’altro, tramite esempi pratici, approfondiscono il generico concetto di “legittimo interesse” del titolare, così come previsto dall’art. 6.1 lett. f) del GDPR.
Il parere, inoltre, ricorda di adottare sempre, nel rispetto del principio di “accountability” previsto dal GDPR, misure preventive volte alla protezione della riservatezza dei lavoratori e dei collaboratori redigendo, se del caso, anche una valutazione di impatto del trattamento che abbia ad oggetto il bilanciamento tra il proprio legittimo interesse e l’impatto delle nuove tecnologie informatiche utilizzate sui diritti e le libertà fondamentali degli interessati.
INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI (ART. 13 e14 REG. UE 2016/679) di Avv. Alessandro Zeppelli
Il sottoscritto Sig./Sig.ra _______________________________________(interessato) nato a _____________________
_______________il ,residente_______________, c.f_______________
tel_______________________ mail ______________________________
ai fini previsti dal Regolamento Ue n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, La informo che il trattamento dei dati personali da Lei forniti ed acquisiti, saranno oggetto di trattamento nel rispetto della normativa prevista dal premesso Regolamento nel rispetto dei diritti ed obblighi conseguenti e che: a) FINALITÀ DEL TRATTAMENTO - Il trattamento è finalizzato alla corretta e completa esecuzione delle obbligazioni assunte tra le parti. I suoi dati saranno trattati anche al fine di: adempiere agli obblighi previsti in ambito fiscale e contabile; rispettare gli obblighi incombenti e previsti dalla normativa vigente.
I dati personali potranno essere trattati a mezzo sia di archivi cartacei che informatici (ivi compresi dispositivi portatili) e trattati con modalità strettamente necessarie a far fronte alle finalità sopra indicate oltre che per la diffusione, di dati relativi a sentenze e altri provvedimenti giurisdizionali, per finalità di informazione giuridica, ovvero di documentazione, di studio e di ricerca, per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato, di mediazione e di conciliazione nei casi previsti dalle leggi, dalla normativa dell'Unione europea, dai regolamenti o dai contratti collettivi, sempre che il diritto da far valere o difendere sia di rango pari a quello dell'interessato e i dati siano trattati esclusivamente per tale finalità e per il periodo strettamente necessario per il suo perseguimento; per l'esercizio del diritto di accesso ai dati e ai documenti amministrativi, nei limiti di quanto previsto dalle leggi e dai regolamenti in materia; per ricercare e individuare elementi a favore del relativo assistito da utilizzare ai soli fini dell'esercizio del diritto alla prova, per i trattamenti di dati personali effettuati per svolgere investigazioni difensive" (deliberazione del Garante n. 60 del 6 novembre 2008, G. U. 24 novembre 2008, n. 275) che costituiscono condizione essenziale per la liceità e la correttezza dei trattamenti di dati personali effettuati anche da avvocati, nell'ambito dello svolgimento del proprio incarico professionale ai sensi dell'art. 12, comma 3 del Codice; b) MODALITÀ DEL TRATTAMENTO DEI DATI PERSONALI - Il trattamento è realizzato attraverso operazioni, effettuate con o senza l’ausilio di strumenti elettronici e consiste nella raccolta, registrazione, organizzazione conservazione, consultazione ,elaborazione, modificazione, selezione, estrazione, raffronto utilizzo interconnessione, profilazione, promozione commerciale, blocco, comunicazione cancellazione e distruzione dei dati. Il trattamento è svolto dal titolare e dagli incaricati espressamente autorizzati dal titolare. c) CONFERIMENTO DEI DATI E RIFIUTO - Il conferimento dei dati personali comuni, sensibili e giudiziari è necessario ai fini dello svolgimento delle attività di cui al punto a) e il rifiuto da parte dell’interessato di conferire i dati personali comporta l’impossibilità di adempiere all’attività di cui al punto a). Il trattamento è facoltativo per i trattamenti di cui al capo B. d) COMUNICAZIONE DEI DATI - I dati personali possono venire a conoscenza dagli incaricati del trattamento e possono essere comunicati per le finalità di cui al punto a) a collaboratori esterni , autorità di polizia locale e autorità giudiziarie, e in generale a tutti i soggetti i quali la comunicazione è necessaria per il corretto espletamento delle attività professionali. e) TRASFERIMENTO DEI DATI ALL’ESTERO - I dati personali possono essere trasferiti verso paesi dell’unione europea o verso paesi terzi rispetto a quelli dell’unione europea o ad un’organizzazione internazionale, nell’ambito delle finalità di cui al punto a) e b). Sarà comunicato all’interessato se esista o meno una decisione di adeguatezza della Commissione Ue. I dati saranno comunicati a siti al di fuori dello spazio UE con verifica del rispetto delle condizioni di cui al Privacy shield concluso tra USA e UE. Per le finalità di cui ai punti precedenti I dati personali sono soggetti a diffusione.f) CONSERVAZIONE DEI DATI - I dati sono conservati per il periodo necessario all’espletamento dell’attività e comunque non superiore a dieci anni g) TITOLARE DEL TRATTAMENTO - Il titolare del trattamento il sig. Avv. Alessandro Zeppelli . h) DIRITTI DELL’INTERESSATO - l’interessato ha diritto : - all’ accesso, rettifica, cancellazione, limitazione e opposizione al trattamento dei dati - ad ottenere senza impedimenti dal titolare del trattamento i dati in un formato strutturato di uso comune e leggibile da dispositivo automatico per trasmetterli ad un altro titolare del trattamento - a revocare il consenso al trattamento, senza pregiudizio per la liceità del trattamento basata sul consenso acquisito prima della revoca - proporre reclamo all’Autorità Garante per la Protezione dei dati personali www.garanteprivacy.it
L’esercizio dei premessi diritti può essere esercitato mediante comunicazione scritta da inviare a mezzo pec
all’indirizzo studiolegale@pec.zeppelli.it o lettera raccomandata a/r all’indirizzo Avv. Alessandro Zeppelli via Malmusi 99 Modena (Mo).
Base giuridica del trattamento: i Suoi dati personali sono trattati lecitamente, laddove il trattamento: sia necessario all’esecuzione del mandato, di un contratto di cui Lei è parte o all’esecuzione di misure precontrattuali adottate su richiesta; sia necessario per adempiere un obbligo legale; sia basato sul consenso espresso
Il/la sottoscritto/a dichiara di aver ricevuto l’informativa che precede. ,
LUOGO E DATA Firma del dichiarante (per esteso e leggibile)
______________ ____________________________________
CONSENSO AL TRATTAMENTO DEI DATI (ART. 4, COMMA 11, REGOLAMENTO UE 2016/679)
In favore di Avv. Alessandro Zeppelli
il/la sottoscritto/a Sig./Sig.ra _____________________________________________(interessato)
nato _______________il , c.f_______________ residente_______________,
Finalità del trattamento I dati personali da Lei forniti sono necessari per gli adempimenti previsti per legge e per i trattamenti di cui alla allegata informativa.
Modalità di trattamento e conservazione Il trattamento sarà svolto in forma automatizzata e/o manuale, nel rispetto di quanto previsto dall’art. 32 del GDPR 2016/679 e dall’Allegato B del D.Lgs. 196/2003 (artt. 33-36 del Codice) in materia di misure di sicurezza, ad opera di soggetti appositamente incaricati e in ottemperanza a quanto previsto dagli art. 29 GDPR 2016/ 679. Le segnaliamo che, nel rispetto dei principi di liceità, limitazione delle finalità e minimizzazione dei dati, ai sensi dell’art. 5 GDPR 2016/679, previo il Suo consenso libero ed esplicito espresso in calce alla presente informativa, i Suoi dati personali saranno conservati per il periodo di tempo necessario per il conseguimento delle finalità per le quali sono raccolti e trattati.
Ambito di comunicazione e diffusione Informiamo inoltre che i dati raccolti in seguito al suo consenso potranno essere diffusi e potranno essere oggetto di comunicazione ad enti pubblici, a consulenti, collaboratori o ad altri soggetti per l’adempimento degli obblighi di legge, oltre che per eventuali comunicazioni informative e commerciali.
Trasferimento dei dati personali I dati potranno essere trasferiti in Stati membri dell’Unione Europea ed in Paesi terzi non appartenenti all’Unione Europea.
Categorie particolari di dati personali Ai sensi degli articoli 26 e 27 del D.Lgs. 196/2003 e degli articoli 9 e 10 del Regolamento UE n. 2016/679, Lei potrebbe conferire dati giudiziari e dati qualificabili come “categorie particolari di dati personali” e cioè quei dati che rivelano “l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”. Tali categorie di dati potranno essere trattate avendo lei con la sottoscrizione della presente prestato il suo libero ed esplicito consenso, manifestato in forma scritta in calce alla presente informativa.
Esistenza di un processo decisionale automatizzato, compresa la profilazione Potranno essere utilizzati processi decisionale automatizzati, compresa la profilazione, di cui all’articolo 22, paragrafi 1 e 4, del Regolamento UE n. 679/2016.
Diritti dell’interessato In ogni momento, Lei potrà esercitare, ai sensi dell’art. 7 del D.Lgs. 196/2003 e degli articoli dal 15 al 22 del Regolamento UE n. 2016/679, il diritto di:
a) chiedere la conferma dell’esistenza o meno di propri dati personali; b) ottenere le indicazioni circa le finalità del trattamento, le categorie dei dati personali, i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati e, quando possibile, il periodo di conservazione; c) ottenere la rettifica e la cancellazione dei dati; d) ottenere la limitazione del trattamento; e) ottenere la portabilità dei dati, ossia riceverli da un titolare del trattamento, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad un altro titolare del trattamento senza impedimenti; f) opporsi al trattamento in qualsiasi momento ed anche nel caso di trattamento per finalità di marketing diretto;
g) opporsi ad un processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione.
h) chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
i) revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca; j) proporre reclamo a un’autorità di controllo.
Può esercitare i Suoi diritti con richiesta scritta inviata all'indirizzo postale della sede legale o all’indirizzo mail PEC studiolegale@pec.zeppelli.it
Io sottoscritto/a dichiaro di aver ricevuto l’informativa che precede e alla luce dell’informativa ricevuta
◻ esprimo il consenso ◻ NON esprimo il consenso al trattamento dei miei dati personali inclusi quelli considerati come categorie particolari di dati.
◻ esprimo il consenso ◻ NON esprimo il consenso alla comunicazione dei miei dati personali di enti pubblici e società di natura privata per le finalità indicate nell’informativa.
◻ esprimo il consenso ◻ NON esprimo il consenso al trattamento delle categorie particolari dei miei dati personali così come indicati nell’informativa che precede.
Luogo data Firma
_____________________________ ______________________________