Regolamento interno Ge.Se.Co. Arzachena Surl

Regolamento interno Ge.Se.Co. Arzachena Surl relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati

Art. 1 – Oggetto
Art. 2 – Titolare del trattamento
Art. 3 – Attribuzione di compiti a soggetti designati
Art. 4 – Autorizzati al trattamento
Art. 5 – Responsabile della protezione dei dati
Art. 6 – Registro delle attività di trattamento
Art. 7 – Procedimento in caso di violazione dei dati personali (data breach)
Art. 8 – Misure di sicurezza per il trattamento dei dati
Art. 9 – Valutazione d’impatto sulla protezione dei dati (DPIA)
Art. 10 – Rinvio

Art. 1
Oggetto

1. Il presente regolamento interno (di seguito indicato come regolamento interno) adottato ai sensi dello Statuto della Ge.Se.Co. Arzachena Surl ha per oggetto le misure organizzative e procedimentali mediante le quali la Ge.Se.Co. Arzachena Surl attua i principi e le disposizioni del Regolamento (UE) 2016/679 del Parlamento e del Consiglio del 27 aprile 2016 (di seguito indicato come Regolamento) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

Art. 2
Titolare del trattamento

  1. Con riferimento ai dati trattati dalla Ge.Se.Co. Arzachena Surl, il titolare del trattamento è Ge.Se.Co. Arzachena Surl in persona del suo rappresentante legale pro tempore.
  2. Il titolare del trattamento assicura il rispetto dei principi e delle disposizioni del Regolamento anche mediante delega di alcune attività di trattamento ai direttori dei servizi, secondo le rispettive competenze e responsabilità. Ge.Se.Co. Arzachena Srl – Società Unipersonale – R.E.A. 150020 – Capitale Sociale €. 300.000,00 int. vers. – Trib. di Tempio P. n. 692 Sede Legale ed amministrativa : Viale Costa Smeralda n° 56 – 07021 Arzachena Telefono 0789 83401 – 82106 – 81391 – Fax 0789 845352 –Pec ge.se.co.srl@pec.it P. Iva e Codice Fiscale 02 117 340 907
  3. Qualora per specifiche finalità previste dalla normativa nazionale e regionale, il trattamento dei dati, debba essere effettuato, in tutto o in parte, da Ge.Se.Co. Arzachena Surl e da altri soggetti, questi possano essere individuati quali contitolari, secondo quanto dispone il Regolamento UE, previo accordo di contitolarità.

Art. 3
Attribuzione di compiti a soggetti designati

  1. Con proprio provvedimento, il titolare del trattamento (nella persona del Legale Rappresentante) nomina sotto la sua autorità soggetti designati allo svolgimento di specifici
    compiti e funzioni in ottemperanza dei principi dettati in materia di trattamento dei dati personali dall’Art. 5 del Regolamento.
    In particolare, ai soggetti designati verranno affidati i seguenti compiti previsti dal Regolamento aventi ad oggetto:
  1. la comunicazione delle informazioni nei termini indicati dall’Art. 13 del Regolamento qualora i dati personali siano raccolti presso l’interessato;
  2. la comunicazione delle informazioni nei termini indicati dall’Art. 14 del Regolamento qualora i dati personali non siano stati ottenuti presso l’interessato;
  3. l’esercizio del diritto di accesso dell’interessato ai sensi dell’Art. 15 del Regolamento;
  4. l’esercizio del diritto di rettifica da parte dell’interessato ai sensi dell’Art. 16 del Regolamento;
  5. l’esercizio del diritto alla cancellazione da parte dell’interessato ai sensi dell’Art. 17 del Regolamento;
  6. l’esercizio del diritto di limitazione del trattamento da parte dell’interessato ai sensi dell’Art. 18 del Regolamento;
  7. la notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento ai sensi dell’Art. 19 del Regolamento;
  8. l’esercizio del diritto alla portabilità dei dati ai sensi dell’Art. 20 del Regolamento;
  9.  l’esercizio del diritto di opposizione ai sensi dell’Art. 21 del Regolamento;
  10. l’esercizio del diritto di cui all’Art. 22 del Regolamento;
  11. l’adozione, e ove necessario riesame e aggiornamento, delle misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al Regolamento. Tali misure devono comunque essere adeguate a garantire un livello di sicurezza adeguato al rischio secondo quanto statuito dall’Art. 32 del Regolamento. Fatte salve eventuali misure particolari correlate alle specificità delle finalità del trattamento, le Ge.Se.Co. Arzachena Srl – Società Unipersonale – R.E.A. 150020 – Capitale Sociale €. 300.000,00 int. vers. – Trib. di Tempio P. n. 692 Sede Legale ed amministrativa : Viale Costa Smeralda n° 56 – 07021 Arzachena Telefono 0789 83401 – 82106 – 81391 – Fax 0789 845352 –Pec ge.se.co.srl@pec.it P. Iva e Codice Fiscale 02 117 340 907 predette misure possono consistere in interventi conformi a linee guida e policy da applicare secondo standard comuni a tutti gli uffici dell’Amministrazione.
  12.  l’adozione delle misure tecniche e organizzative adeguate ad attuare in modo efficace e fin dalla progettazione i principi di protezione dei dati personali e integrare nel trattamento le garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati (privacy by design);
  13. l’adozione delle misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari in relazione a ciascuna specifica finalità del trattamento (privacy by default);
  14. lo svolgimento degli adempimenti correlati, per quanto di competenza, all’attuazione degli articoli 26 e 28 del Regolamento, concernenti, rispettivamente, gli obblighi correlati alla situazione di contitolarità del trattamento e disciplina del responsabile del trattamento;
  15. la formale individuazione, nelle rispettive strutture, degli incaricati del trattamento;
  16. la tenuta del registro delle attività di trattamento in modo da assicurarne, per gli aspetti di competenza, la corretta compilazione e il costante aggiornamento e revisione;
  17. la rilevazione e la segnalazione al responsabile delle protezione dei dati (RPD), secondo quanto indicato nell’Art. 35 del Regolamento e nelle Linee guida adottate sul tema dal Gruppo di lavoro europeo (WP29), dei casi nei quali effettuare la valutazione d’impatto sulla protezione dei dati personali e lo svolgimento della valutazione di impatto secondo le direttive e previa consultazione del RPD, provvedendo, ove necessario anche alla consultazione preventiva ai sensi dell’Art. 36 del Regolamento.
  18. la collaborazione, per quanto di competenza, con il responsabile della protezione dei dati della Ge.Se.Co. Arzachena Surl, nell’esecuzione dei compiti ad esso attribuiti;
  19. la cooperazione, per quanto di competenza, con l’autorità di controllo, nell’esecuzione dei compiti ad essa attribuiti.

2. Il precedente comma 1 si applica anche in caso di accordo contitolarità di cui al precedente
Art.3, ultimo comma.

Art. 4
Autorizzati al trattamento

  1. Sono soggetti autorizzati al trattamento i dipendenti e collaboratori che agiscono sotto la diretta autorità del titolare del trattamento, i quali ai sensi dell’Art. 29 del Regolamento hanno accesso ai dati personali e al loro trattamento previa formale designazione e dopo essere stati debitamente istruiti e formati.
  2. Il precedente comma 1 si applica anche in caso di accordo contitolarità di cui al precedente Art. 3, ultimo comma.

Art. 5
Responsabile della protezione dei dati RPD

  1. Il responsabile della protezione dei dati della Ge.Se.Co. Arzachena Surl, con le competenze e le prerogative previste dagli articoli 37, 38 e 39 del regolamento, è Centro Studi Enti Locali Spa nella persona del Dott. Stefano Paoli.
    Il RPD è incaricato dei seguenti compiti:
  1. informare e fornire consulenza al Titolare ed al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD e dalle altre normative relative alla protezione dei dati. In tal senso il RPD può indicare al Titolare e/o al Responsabile del trattamento i settori funzionali ai quali riservare un audit interno o esterno in tema di protezione dei dati, le attività di formazione interna per il personale che tratta dati personali, e a quali trattamenti dedicare maggiori risorse e tempo in relazione al rischio riscontrato;
  2. sorvegliare l’osservanza del RGPD e delle altre normative relative alla protezione dei dati, fermo restando le responsabilità del Titolare e del responsabile del trattamento. Fanno parte di questi compiti la raccolta di informazioni per individuare i trattamenti svolti, l’analisi e la verifica
    dei trattamenti in termini di loro conformità, l’attività di informazione, consulenza e indirizzo nei confronti del Titolare e del Responsabile del trattamento;
  3. sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e controllo poste in essere dal Titolare e dal Responsabile del trattamento;
  4. fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati (DPIA) e sorvegliarne lo svolgimento.
  5. cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto per detta Autorità per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’Art. 36 RGPD, ed effettuare, se del caso, consultazioni relativamente a ogni altra questione. A tali fini il nominativo del RPD è comunicato dal Titolare e/o dal Responsabile del trattamento al Garante; Il Titolare ed il Responsabile del trattamento assicurano che il RPD sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
    Il titolare del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’Art. 39 del Regolamento fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti.

Art. 6
Registro delle attività di trattamento

  1. Il registro delle attività di trattamento, il cui modello è allegato al presente atto, svolte sotto la responsabilità della Ge.Se.Co. Arzachena Surl, è compilato, per gli aspetti di competenza, da ciascuna articolazione organizzativa dirigenziale della Ge.Se.Co. Arzachena Surl, che ne cura il costante aggiornamento e revisione;
  2. Il registro delle attività di trattamento è detenuto dal titolare.

Art. 7
Procedimento in caso di violazione dei dati personali (data breach)

  1. Per violazione dei dati personali (data breach) si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati dalla Ge.Se.Co. Arzachena Surl;
  2. Al fine della corretta gestione dei casi di data breach il titolare del trattamento designa un dirigente responsabile e un suo sostituto con competenze adeguate a valutare le conseguenze sui diritti degli interessati e gestire la notifica delle violazioni, nonché il responsabile IT con competenze sugli aspetti tecnici al fine di prevenire e gestire le violazioni;
  3. Ogni dipendente o collaboratore che agisce sotto l’autorità del titolare del trattamento, qualora abbia conoscenza del verificarsi di una violazione dei dati personali, avvisa, con immediatezza e comunque entro 24 ore, utilizzando il modello di comunicazione allegato al presente atto, il titolare del trattamento e il dirigente responsabile per la gestione dei data breach di cui al comma 2. In ogni caso, entro il medesimo termine, il dipendente o collaboratore avvisa anche il dirigente preposto all’articolazione organizzativa presso la quale presta servizio;
  4. Non appena viene a conoscenza di un data breach che comporta un rischio per i diritti e le libertà delle persone fisiche, il titolare del trattamento, per il tramite del dirigente responsabile di cui al comma 2, notifica la violazione dei dati personali al Garante, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, secondo quanto previsto dall’Art. 33 del Regolamento;
  5. Il titolare del trattamento, per il tramite del dirigente responsabile di cui al comma 2, comunica all’interessato la violazione dei dati personali senza indebito ritardo, qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, secondo quanto previsto dall’Art. 34 del Regolamento;
  6. Il dirigente responsabile di cui al comma 2 inserisce nel registro delle violazioni, il cui schema è allegato al presente atto, la notifica effettuata al Garante e all’interessato.

Art. 8
Misure di sicurezza per il trattamento dei dati

  1. La Ge.Se.Co. Arzachena Surl individua idonee misure tecniche ed organizzative al fine di garantire un livello di sicurezza adeguato al rischio tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
  2. Le misure tecniche ed organizzative di sicurezza da mettere in atto per ridurre i rischi del trattamento ricomprendono: la pseudonimizzazione; la minimizzazione; la cifratura dei dati personali; la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
  3. Costituiscono u l t e r i o r i misure tecniche ed organizzative che possono essere adottate da ciascun Responsabile del trattamento:
    – sistemi di autenticazione; sistemi di autorizzazione; sistemi di protezione (antivirus; firewall; antintrusione);
    – misure antincendio; sistemi di rilevazione di intrusione; sistemi di sorveglianza; sistemi di protezione con videosorveglianza; registrazione accessi; porte, armadi e contenitori dotati di serrature e ignifughi; sistemi di copiatura e conservazione di archivi elettronici; altre misure per ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico.

Art. 9
Valutazione d’impatto sulla protezione dei dati (DPIA)

  1. Nel caso in cui un tipo di trattamento, specie se prevede in particolare l’uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare, prima di effettuare il trattamento, deve attuare una valutazione dell’impatto del medesimo trattamento (DPIA) ai sensi dell’Art. 35 RGDP, considerati la natura, l’oggetto, il contesto e le finalità dello stesso trattamento. La DPIA è una procedura che permette di realizzare e dimostrare la conformità alle norme del trattamento di cui trattasi.
  2. Ai fini della decisione di effettuare o meno la DPIA si tiene conto degli elenchi delle tipologie di trattamento soggetti o non soggetti a valutazione come redatti e pubblicati dal Garante Privacy ai sensi dell’at. 35, pp. 4-6, RGDP.
  3. La DPIA è effettuata in presenza di un rischio elevato per i diritti e le libertà delle persone fisiche. Fermo restando quanto indicato dall’Art. 35, p. 3, RGDP, i criteri in base ai quali sono evidenziati i trattamenti determinanti un rischio intrinsecamente elevato, sono i seguenti:
    a) trattamenti valutativi o di scoring, compresa la profilazione e attività predittive, concernenti aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato;
    b) decisioni automatizzate che producono significativi effetti giuridici o di analoga natura, ossia trattamenti finalizzati ad assumere decisioni su interessati che producano effetti giuridici sulla persona fisica ovvero che incidono in modo analogo significativamente sudette persone fisiche;
    d) trattamenti dei dati particolari di cui all’Art. 9, RGDP;
    e) trattamenti di dati su larga scala, tenendo conto: del numero di numero di soggetti interessati dal trattamento, in termini numerici o di percentuale rispetto alla popolazione di riferimento; volume dei dati e/o ambito delle diverse tipologie di dati oggetto di trattamento; durata o persistenza dell’attività di trattamento; ambito geografico dell’attività di trattamento;
    f) utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative.
  4. Il Titolare garantisce l’effettuazione della DPIA ed è responsabile della stessa. Il Titolare può affidare la conduzione materiale della DPIA ad un altro soggetto, interno o esterno alla Ge.Se.Co. Arzachena Surl. Il Titolare può consultarsi con il RPD anche per assumere la decisione di effettuare o
    meno la DPIA; tale consultazione e le conseguenti decisioni assunte dal Titolare devono essere documentate nell’ambito della DPIA. Il RPD monitora lo svolgimento della DPIA. Il Responsabile del trattamento deve assistere il Titolare nella conduzione della DPIA fornendo ogni informazione necessaria. Il responsabile della sicurezza dei sistemi informativi, o l’ufficio competente per detti sistemi, forniscono supporto al Titolare per lo svolgimento della DPIA.
  5. Il Titolare deve consultare il Garante Privacy prima di procedere al trattamento se le risultanze della DPIA condotta indicano l’esistenza di un rischio residuale elevato. Il Titolare consulta il Garante Privacy anche nei casi in cui la vigente legislazione stabilisce l’obbligo di consultare e/o ottenere la previa autorizzazione della medesima autorità, per trattamenti svolti per l’esecuzione di compiti di interesse pubblico, fra cui i trattamenti connessi alla protezione sociale ed alla sanità pubblica.
  6. La DPIA deve essere effettuata – con eventuale riesame delle valutazioni condotte – anche per i trattamenti in corso che possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, nel caso in cui siano intervenute variazioni dei rischi originari tenuto conto della natura, dell’ambito, del contesto e delle finalità del medesimo trattamento.

Art. 10
Rinvio

  1. Per quanto non specificatamente previsto dalle presenti disposizioni, si applica il RPGD e le sue norme applicative vigenti tempo per tempo.
Articoli
Pagine
Categorie
Mensile