Premessa
In funzione dell’approvazione, in data 25 Maggio 2016, del nuovo Regolamento U.E. n. 679/2016 che mira a garantire una disciplina sulla protezione dei dati personali uniforme ed omogenea in tutta l’Unione Europea; rilevato che detta normazione comunitaria costituisce fonte sovraordinata rispetto alle normazioni nazionali e che, per quanto riguarda l’Italia, esso costituisce norma di riferimento e parametro di legittimità delle normativa nazionale vigente e, quindi, del “Codice della Privacy in vigore dal 01 Gennaio 2004, d. lgs 196/2003, con le modifiche introdotte dal d. lgs. 101/2018, vigente dal 19.09.2018, (adeguamento normativa italiana a Regolamento UE 679_2016) il presente regolamento si prefigge di rendere conforme alla nuova normativa il trattamento dei dati personali che viene eseguito all’interno del “Circolo della Stampa di Trieste”.
Si chiarisce che le novità introdotte dal Regolamento UE si traducono in obblighi organizzativi, documentali e tecnici che tutti i titolari del trattamento dei dati personali devono considerare per consentire la piena e consapevole applicazione del nuovo quadro normativo in materia di Privacy, e per tali ragioni, questo titolare del trattamento (il “Circolo della Stampa di Trieste”, d’ora innanzi così denominato) ha inteso dotarsi di una procedura generale di attuazione del Regolamento (da qui in poi definito “GDPR”), al fine di ottemperare agli obblighi previsti e di comprovare l’adeguamento alla normativa.
Sommario
Introduzione
- Oggetto
- Finalità
- Sensibilizzazione
- Titolare del trattamento
- Responsabili del trattamento
- Incaricati interni del trattamento
- I dati trattati
- Principi applicabili al trattamento dei dati personali
- Il trattamento dei dati personali
- Il trattamento dei dati sensibili
- Il trattamento dei dati del personale del titolare
- Registro delle attività di trattamento
- Valutazione d’impatto sulla protezione dei dati
- Informative
- Consenso al trattamento dei dati
- Diritti dell’interessato
- Modalità di esercizio dei diritti dell’interessato
- Ambienti fisici e virtuali – Videosorveglianza
- Misure di sicurezza
- Formazione del personale
- Modulistica
- Responsabilità in caso di violazione delle disposizioni in materia di Privacy
- Comunicazione della violazione dei dati personali (“Data Breach”)
- Conclusioni
INTRODUZIONE
Il presente regolamento sulla privacy è uno strumento di applicazione del Decreto Legislativo 30 Giugno 2003, n.196 (“Codice sulla Privacy”) come modificato ed integrato dal d.lvo 101/2018 e del Regolamento UE 2016/679, nell’ambito dell’organizzazione del Titolare “Circolo della Stampa di Trieste”; il medesimo verrà periodicamente aggiornato, in linea con le novità normative, giurisprudenziali e con le pronunce del Garante della Privacy.
Dall’esame della materia emerge come sia ormai naturale un cambiamento di mentalità che porti alla piena tutela della Privacy, da considerare non solo come un onere burocratico ma anzitutto come garanzia di una riservatezza sostanziale.
Il diritto alla privacy è un vero e proprio diritto inviolabile della persona che non si limita alla tutela della riservatezza o alla protezione dei dati, ma si estende alla pienezza dei diritti e delle libertà fondamentali.
1. OGGETTO
Il presente regolamento disciplina, all’interno della struttura del Titolare “Circolo della Stampa di Trieste” la tutela delle persone e degli altri soggetti in ordine al trattamento dei dati personali, nel rispetto ed in conformità di quanto previsto dalla nuova normativa sovranazionale, il Regolamento UE n. 679 del Parlamento Europeo e del Consiglio del 27 Aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
2. FINALITÀ
Il Titolare “Circolo della Stampa di Trieste” garantisce che il trattamento dei dati, a tutela delle persone fisiche, si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale ed al diritto di protezione dei dati personali, a prescindere dalla loro nazionalità o dalla loro residenza.
La protezione delle persone fisiche con riguardo al trattamento dei dati personali è un diritto fondamentale: “Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano” (art. 8, paragrafo 1, Carta dei Diritti Fondamentali dell’UE).
3. SENSIBILIZZAZIONE
Il Titolare “Circolo della Stampa di Trieste” sostiene e promuove al suo interno ogni strumento di sensibilizzazione che possa consolidare il pieno rispetto del diritto alla riservatezza e migliorare la qualità del proprio operato: uno degli strumenti essenziali di sensibilizzazione è l’attività formativa del personale. Per garantire la conoscenza reale delle disposizioni del presente regolamento, al momento dell’assunzione viene consegnata a ciascun dipendente copia della presente documentazione ed egli si impegna a prenderne visione ed attenersi alle sue prescrizioni.
4. TITOLARE DEL TRATTAMENTO
In generale, il “titolare” del trattamento dei dati personali è la persona fisica, giuridica, la PA e qualsiasi altro Ente, Associazione od organismo cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali ed agli strumenti utilizzati, compreso il profilo della sicurezza.
Il “trattamento” è qualunque operazione effettuata con o senza l’ausilio di strumenti elettronici concernente la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, l’estrazione, l’utilizzo, la comunicazione, la diffusione, la cancellazione, la distruzione dei dati (GDPR, art.4).
Il titolare del trattamento dei dati personali ai sensi e per gli effetti del GDPR è il “Circolo della Stampa di Trieste”, in persona del legale rappresentante pro tempore, con sede in Trieste, corso Italia n. 136, 34121 TS – c.f. 80015990320, email: assostampafvg@tiscali.it ; internet: http://www.circolodellastampatrieste.it/
5. RESPONSABILI DEL TRATTAMENTO
Ai fini del presente regolamento s’intende per “Responsabile” la persona fisica, giuridica, la PA e qualsiasi altro Ente, Associazione ed Organismo preposti dal titolare al trattamento di dati personali.
Il titolare, in considerazione della complessità e della molteplicità delle funzioni dell’Azienda, designa quali Responsabili del trattamento di dati personali unicamente i soggetti che presentino garanzie sufficienti per metter in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato (GDPR art.28).
Tutti i soggetti esterni che effettuano operazioni di trattamento sui dati del Titolare “Circolo della Stampa di Trieste”, per conto e nell’interesse della stessa, per finalità connesse all’esercizio delle funzioni, sono nominati “Responsabili Esterni” del trattamento, qualora siano in possesso dei requisiti di esperienza, capacità ed affidabilità.
I Responsabili esterni del trattamento hanno l’obbligo di:
Trattare i dati in modo lecito, secondo correttezza e nel pieno rispetto della normativa vigente in materia di privacy;
Rispettare le misure di sicurezza ed adottare tutte le misure che siano idonee a prevenire e/o evitare la comunicazione o diffusione dei dati, il rischio di distruzione o perdita, anche accidentale, di accesso non autorizzato o di trattamento non autorizzato o non conforme alle finalità della raccolta;
Trattare i dati personali esclusivamente per le finalità previste dal contratto o dagli obblighi di legge;
Attenersi alle disposizioni impartite dal titolare del trattamento.
Nel caso di mancato rispetto delle predette disposizioni ne risponde direttamente, verso l’Azienda, il Responsabile esterno del trattamento.
La designazione del Responsabile esterno viene effettuata mediante “atto di nomina” da parte del titolare del trattamento (Allegato 1. – Lettera di nomina del Responsabile Esterno al trattamento dei dati personali) e mediante le Istruzioni operative ivi incluse, da allegare agli accordi, convenzioni o contratti che prevedono l’affidamento di trattamenti di dati personali esternamente al Titolare.
L’accettazione della nomina è condizione necessaria per l’instaurarsi del rapporto giuridico fra le parti.
6. INCARICATI INTERNI DEL TRATTAMENTO
Gli “Incaricati” del trattamento sono le persone fisiche, direttamente dipendenti del Titolare “Circolo della Stampa di Trieste”, incaricati di svolgere le operazioni di trattamento dei dati personali di loro competenza con l’indicazione dei compiti, dell’ambito di trattamento consentito e delle modalità.
Ogni dipendente preposto ad un determinato servizio e tenuto ad effettuare operazioni tecniche di trattamento è da considerare “Incaricato”. La designazione dell’incaricato al trattamento dei dati personali è di competenza del titolare del trattamento e la nomina è effettuata per iscritto, in modo da individuare puntualmente i compiti spettanti all’incaricato e le modalità cui deve attenersi per l’espletamento degli stessi e l’ambito del trattamento consentito (Allegato 2. – Lettera di nomina dell’incaricato interno al trattamento di dati personali).
L’incaricato collabora con il titolare segnalando eventuali situazioni di rischio nel trattamento dei dati e fornendo ogni informazione necessaria per l’espletamento delle funzioni di controllo.
In particolare, l’incaricato deve assicurare che, nel corso del trattamento, i dati siano:
Trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
Raccolti e registrati per scopi determinati, espliciti e legittimi e, successivamente, trattati in modo compatibile con tali finalità;
Adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
Esatti e, se necessario, aggiornati: devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
Conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore a quello necessario per il conseguimento delle finalità;
Trattati in modo tale che venga ad essere garantita un’adeguata sicurezza dei dati, compresa la protezione mediante misure organizzative e tecniche adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale.
L’incaricato è tenuto alla completa riservatezza sui dati di cui sia venuto a conoscenza in occasione dell’espletamento della sua attività, impegnandosi a comunicare i dati esclusivamente ai soggetti indicati dal titolare e nei soli casi previsti dalla legge.
Gli incaricati devono ricevere idonee ed analitiche istruzioni, anche per gruppi omogenei di funzioni, riguardo le attività sui dati affidate e gli adempimenti a cui sono tenuti.
7. I DATI TRATTATI
Il Titolare, nell’esercizio delle sue funzioni, tratta dati, in modo anche automatizzato (totalmente o parzialmente), delle seguenti categorie di interessati:
Dati del personale dipendente
Dati dei fornitori
Dati degli Amministratori
Dati degli iscritti al Circolo
I dati che sono o possono essere trattati dal Titolare “Circolo della Stampa di Trieste” rientrano nelle seguenti categorie di dati:
Dati personali comuni: rappresentano qualunque informazione relativa alla persona fisica, identificata o identificabile.
Dati sensibili: sono i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione ai partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale nonché i dati personali idonei a rivelare lo stato di salute dell’interessato.
8. PRINCIPI APPLICABILI AL TRATTAMENTO DEI DATI PERSONALI
I dati personali sono:
Trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
Raccolti per finalità determinate, esplicite e legittime;
Adeguati, pertinenti e non eccedenti (limitati) a quanto necessario rispetto alle finalità perseguite (“principio di minimizzazione dei dati”);
Esatti e, se necessario, aggiornati;
Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni (GDPR art. 5 e 6):
L’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi e le libertà dell’interessato che richiedono la protezione dei dati personali
9. IL TRATTAMENTO DEI DATI PERSONALI
Con l’espressione “trattamento” si intendono tutte le operazioni o complesso di operazioni, compiuti con o senza l’ausilio di processi automatizzati applicati a dati personali o all’insieme di dati personali, concernenti le tipologie indicate dall’art. 4 del GDPR.
Il trattamento dei dati è esercitabile solo da parte del titolare, dei Responsabili e degli incaricati. Non è consentito il trattamento da parte di persone non autorizzate.
10. IL TRATTAMENTO DEI DATI SENSIBILI
Il Titolare “Circolo della Stampa di Trieste” può trattare i dati sensibili solo quando il trattamento è autorizzato da espressa disposizione di legge.
In ogni ipotesi di trattamento di dati sensibili occorre verificare, preliminarmente e durante il trattamento, che i dati trattati siano indispensabili per svolgere l’attività consentita e non sia sufficiente utilizzare dati anonimi.
Tale trattamento deve essere effettuato con modalità volte a prevenire la violazione dei diritti delle libertà fondamentali e della dignità dell’interessato.
11. IL TRATTAMENTO DEI DATI PERSONALI DEL PERSONALE DELL’AZIENDA
Il Titolare “Circolo della Stampa di Trieste” tratta i dati, anche di natura sensibile, dei propri dipendenti per le finalità di instaurazione e di gestione di rapporti di lavoro di qualunque tipo.
Per i trattamenti dei dati connessi alla gestione del rapporto di lavoro (o di tirocinio o di altro tipo) con il personale dipendente, è predisposta apposita informativa (Allegato 3 – Informativa per il trattamento dei dati dei dipendenti).
Secondo la normativa, il Titolare adotta le massime cautele nel trattamento di informazioni personali del proprio dipendente che siano idonee a rivelare lo stato di salute, le abitudini sessuali, le convinzioni politiche, sindacali, religiose, filosofiche o d’altro genere e l’origine razziale ed etnica. Il trattamento dei dati sensibili del dipendente deve avvenire secondo i principi di necessità e di indispensabilità che impongono di ridurre al minimo l’utilizzo dei dati personali e sensibili e, quando non vi si possa prescindere, di trattare solo le informazioni che si rivelino indispensabili per la gestione del rapporto di lavoro.
Il Titolare, nel trattamento dei dati sensibili relativi alla salute dei propri dipendenti, rispetta i principi di necessità e indispensabilità.
12. REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO
Il titolare del trattamento Circolo della Stampa di Trieste, pur non essendovi tenuto a norma del punto 5) dell’art. 30 del Regolamento Europeo, sceglie di istituire un registro, in forma scritta anche elettronica, delle attività di trattamento svolte sotto la propria responsabilità, che terrà aggiornato.
Tale registro contiene le seguenti informazioni:
Il nome e i dati di contatto del titolare del trattamento;
Le finalità del trattamento;
La descrizione delle categorie di interessati e delle categorie dei dati personali;
Le categorie dei trattamenti effettuati;
Le categorie dei destinatari a cui i dati personali sono o saranno comunicati;
L’indicazione delle misure di sicurezza applicate;
Eventuale possibilità di trasferimenti di dati all’estero;
Indicazione dei termini ultimi previsti per la cancellazione delle diverse categorie di dati trattati.
13. VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI
La valutazione dell’impatto dei trattamenti sulla protezione dei dati personali deve essere realizzata dal titolare quando un tipo di trattamento, considerata la natura, il contesto, le finalità possono presentare un rischio per i diritti e le libertà delle persone fisiche.
La valutazione deve contenere almeno:
Una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare;
Una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
Una valutazione dei rischi per i diritti e le libertà degli interessati;
Le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza ed i meccanismi per la protezione dei dati e per dimostrare la conformità al presente regolamento ed alla normativa in vigore.
Quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento, il titolare del trattamento, se necessario, procede ad un riesame della valutazione d’impatto sulla protezione dei dati.
Il titolare Circolo della Stampa di Trieste, pur non essendovi tenuto a norma dell’art. 35 del Regolamento Europeo, sceglie di redigere ed aggiornare la valutazione di impatto, conglobandola in unico documento assieme al Registro dei Trattamenti suddetto.
Il Registro dei Trattamenti e La valutazione di impatto costituiscono l’allegato n. 4 al presente regolamento
14. INFORMATIVA
Il titolare del trattamento, al momento della raccolta dei dati personali, è tenuto a fornire all’interessato, avvalendosi del personale incaricato, l’informativa prevista, redatta per iscritto, mediante idonei strumenti:
Attraverso appositi moduli da consegnare agli interessati;
Avvisi agevolmente visibili al pubblico, tramite pubblicazione ad es. sull’eventuale sito web.
L’informativa contiene:
Le finalità e le modalità del trattamento;
L’indicazione della natura facoltativa del conferimento dati;
L’indicazione del titolare;
Il trattamento dei dati in casi particolari;
L’indicazione dei diritti dell’utente, paziente, cliente;
L’ambito di comunicazione e diffusione dei dati.
(Allegato n. 3, informativa dipendenti; allegato 4: informativa fornitori; allegato 5: informativa Iscritti al Circolo)
15. CONSENSO AL TRATTAMENTO DEI DATI
Nei trattamenti dei dati personali o sensibili effettuati per il perseguimento di finalità diverse da quelle cogenti, quindi in attuazione di obblighi di legge o di esecuzione di contratti, il Titolare organizza modalità atte a facilitare l’espressione del consenso da parte dell’interessato (GDPR art. 81 e 82).
Il consenso deve essere reso da parte dell’interessato attraverso la compilazione dell’apposito modulo (Allegato n. 6 – Modulo per espressione di consenso), previa consegna e presa d’atto dell’apposita informativa.
La manifestazione del consenso sarà valida ed efficace fino alla revoca della stessa: il consenso è validamente prestato al ricorrere di determinate caratteristiche, ovvero sia reso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato e se è documentato per iscritto.
L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento, con la stessa facilità con la quale lo ha espresso. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.
16. DIRITTI DELL’INTERESSATO
L’”interessato” è il soggetto, persona fisica, alla quale si riferiscono i dati oggetto del trattamento.
Il titolare “Circolo della Stampa di Trieste” attua ogni misura necessaria a facilitare l’esercizio dei diritti dell’interessato ai sensi degli art. 12-22 del GDPR.
A tal fine, la normativa europea prevede che l’interessato ha il diritto di ottenere dal titolare del trattamento:
Conferma dell’esistenza o meno dei dati personali che lo riguardano e:
Origine dei dati;
Finalità e modalità di trattamento;
La logica applicata ed i criteri utilizzati nell’elaborazione elettronica dei dati;
Gli estremi identificativi del titolare e del Responsabile;
I soggetti e le categorie di soggetti ai quali i dati possono essere comunicati;
Periodo di conservazione dei dati ed i criteri utilizzati per la determinazione di tale periodo;
Comunicazione dei dati;
Rettifica, aggiornamento od integrazione dei dati;
Cancellazione dei dati (“diritto all’oblio”);
Trasformazione in forma anonima o blocco nel caso in cui siano trattati in violazione di legge;
Limitazione del trattamento ex art. 18, lettera a), b), c) e d) del GDPR;
Ricezione in formato strutturato, di uso comune e leggibile i dati personali che lo riguardano;
Proposizione di opposizione al trattamento dei dati;
Copia dei dati personali oggetto di trattamento.
17. MODALITA’ DI ESERCIZIO DEI DIRITTI DELL’INTERESSATO
La richiesta per l’esercizio dei diritti di cui all’art.16 del presente regolamento può essere fatta pervenire:
Direttamente dall’interessato;
Tramite altra persona fisica o associazione a cui abbia conferito per iscritto delega o procura;
Tramite chi esercita la potestà o la tutela.
L’interessato può presentare o inviare la richiesta di esercizio dei diritti tramite la modulistica predisposta (Allegato 7 – Modulo per l’esercizio dei diritti dell’interessato).
Il soggetto competente alla valutazione dell’istanza è il Titolare, il quale decide sull’ammissibilità della richiesta d’accesso.
All’istanza deve essere dato riscontro entro 30 giorni dalla data di ricezione della stessa
18. AMBIENTI FISICI E VIRTUALI – VIDEOSORVEGLIANZA
Il Titolare dispone di uno spazio all’interno dei locali del Circolo della Stampa di Trieste, sito in corso Italia n. 13, L’attività del titolare è emanazione dell’Assostampa FVG; associazione culturale senza fini di lucro con compiti di organizzazione di eventi culturali, che si svolgono nella sala Alessi in corso Italia 13, al primo piano: detta zona è in comodato gratuito da Assostampa. Non vi è sistema di videosorveglianza: vi è soltanto un videocitofono che non effettua registrazione; le porte sono provviste di barre di sicurezza. Durante il periodo di apertura l’ingresso e gli uffici sono presidiati dal personale.
Il Circolo della Stampa non dispone di proprio ambiente virtuale, in quanto le operazioni di trattamento dei dati si svolgono sui pc e sui supporti del’Assostampa, ovvero 6 pc (accessibili in rete pubblica) ed un portatile. Esiste una stampante multifunzione in leasing da Italcopy; la connessione Fibra è garantita da Tim; l’hardware è gestito da Spin, che cura il server, il sito web, le mail ed il gestionale di Assostampa: il fornitore di servizi IT è Energetica – già Computerway – di via Cicerone, Trieste. La connessione wi-fi è garantita da Tim.
Nella saletta al primo piano riservata ai collaboratori vi è un pc (uno dei sei suddescritti) che serve gli ospiti, iscritti ad Assostampa: l’accesso è consentito con apposite credenziali.
Su ciascun pc, in generale, si può accedere solo con credenziali: funzionano sistemi di antivirus , firewall e backup.
19. MISURE DI SICUREZZA
Il Titolare garantisce l’applicazione di idonee e preventive misure di sicurezza che consentono di ridurre al minimo i rischi di distruzione o perdita, anche accidentale dei dati trattati, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta.
Le misure di sicurezza comprendono:
Eventuale anonimizzazione e cifratura dei dati personali;
Procedure per assicurare la riservatezza, l’integrità e la disponibilità dei sistemi e dei servizi di trattamento;
Modalità per garantire il ripristino tempestivo nell’accesso ai dati personali in caso di incidente fisico o tecnico.
20. FORMAZIONE DEL PERSONALE
Il titolare organizza interventi di formazione e aggiornamento in materia di tutela della riservatezza e di protezione dei dati personali, finalizzati alla conoscenza delle norme, all’adozione di idonei modelli di comportamento e procedure di trattamento, alla conoscenza delle misure di sicurezza per il trattamento e la conservazione dei dati, dei rischi individuati e dei modi per prevenire danni ai dati stessi.
21. MODULISTICA
All’interno della struttura del Titolare sono adottati modelli uniformi di informativa come da allegati al presente regolamento che sono periodicamente aggiornati.
22. RESPONSABILITA’ IN CASO DI VIOLAZIONE DELLE DISPOSIZIONI IN MATERIA DI PRIVACY
Il mancato rispetto delle disposizioni in materia di riservatezza dei dati personali con le sanzioni previste dalla nuova normativa; il titolare del trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento.
Il Responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi previsti nel presente regolamento e a lui specificatamente diretti o ha agito in modo difforme o contrario rispetto alle legittime istruzioni impartitegli dal titolare.
Il titolare o il Responsabile sono esonerati da responsabilità solo se dimostrano che l’evento dannoso non gli è in alcun modo imputabile.
23. COMUNICAZIONE DELLA VIOLAZIONE DEI DATI PERSONALI (“Data Breach”)
La comunicazione dell’avvenuta violazione dei dati personali è effettuata dal titolare al Garante della Privacy entro 72 ore dalla conoscenza dell’evento.
La notifica deve:
Descrivere la natura della violazione;
Descrivere le probabili conseguenze della violazione;
Descrivere le misure adottate o di cui si propone l’adozione.
Quando la violazione dei dati presenta un rischio elevato per i diritti delle persone fisiche, il titolare comunica la violazione e la natura della stessa all’interessato, attraverso un linguaggio semplice e chiaro.
24. CONLUSIONI
Per quanto non previsto nel presente regolamento si applicano le disposizioni previste per la protezione dei dati personali dal Regolamento Europeo 2016/679 del 27 Aprile 2016 nonché il Codice della privacy, come vigente in funzione delle modifiche ed integrazioni operate con d.lvo 101/2018, vigente dal 19 settembre 2018.
Il presente regolamento sarà aggiornato a seguito di ulteriori modificazioni alla vigente normativa in materia di riservatezza e protezione dei dati personali.
ALLEGATI
Di seguito viene presentato l’elenco della modulistica predisposta ai fini dell’adeguamento al dettato del presente regolamento e della nuova normativa europea nell’ambito del trattamento dei dati personali:
Lettera di nomina del Responsabile esterno del trattamento dei dati personali
Nomina incaricato del trattamento
Informativa per il trattamento dei dati per i dipendenti
Informativa per il trattamento dei dati per altri soggetti – fornitori
Informativa per il trattamento per altri soggetti – clienti
Modulo per espressione del consenso
Modulo per l’esercizio dei diritti dell’interessato
Registro dei trattamenti e valutazione di impatto