Privacy Policy (Regolamento UE 2016/679)
Il Regolamento Generale sulla Protezione dei Dati
Come noto, il 6 aprile 2016, l'Unione Europea ha approvato un’importante riforma del quadro normativo relativo alla tutela dei dati personali adottando il “Regolamento generale sulla protezione dei dati” (G.D.P.R. o Regolamento), direttamente applicabile negli Stati membri. Il Regolamento sostituisce la Direttiva 95/46/CE ("Direttiva sulla protezione dei dati") e la sua applicazione diventa obbligatoria a partire dal 25 maggio 2018, due anni dopo la sua entrata in vigore.
Il G.D.P.R. ha come principale obiettivo la protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Il G.D.P.R. nasce da precise esigenze, come indicato dalla stessa Commissione UE, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali all’interno dell’Unione e la disciplina dei trasferimenti verso altre parti del mondo. Il nuovo Regolamento rafforza la tutela del diritto alla protezione dei dati personali (Data Protection), in linea con il riconoscimento della protezione dei dati personali quale diritto fondamentale dell’UE.
Il Regolamento rappresenta inoltre una risposta, necessaria e urgente, alle sfide poste dagli sviluppi tecnologici che consentono la raccolta e l’elaborazione di grandi quantità di dati personali in tempo reale, permettendo lo sviluppo di decisioni automatizzate che esulano dall’intervento umano. Il Regolamento viene incontro all’esigenza di tutela della sfera privata sempre più avvertita dai cittadini europei.
Consapevole di ciò, il Consorzio ha implementato un “Modello Organizzativo Privacy” (per brevità “MOP”), che qui viene descritto nelle sue linee generali, finalizzato ad analizzare tutti i trattamenti dei dati, organizzarli in modo funzionale e gestirli in sicurezza e trasparenza. In questa sezione del sito istituzionale si riportano, inoltre, le informazioni sui diritti dell’interessato e le modalità del relativo esercizio.
1. Responsabile della protezione dei dati (R.P.D. o D.P.O.)
Ai sensi dell'art. 37 del Regolamento UE 2016/679 (relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) il Consorzio ha designato proprio Responsabile della protezione dei dati, con i compiti e le prerogative di cui agli artt. 38 e 39 del medesimo regolamento:
FORM YOU SRL
Silvia Bellei (Referente)
Sede legale e operativa: Via Pietro Verri, 27 46100 Mantova (MN)
Tel. +39 345 2309421
P.IVA 02447390200
e-mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. - PEC: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
2. Titolare del trattamento
Il titolare del trattamento è il Consorzio di bonifica Garda Chiese, in persona del Presidente e dunque del legale rappresentante ai sensi dell'art. 13 del vigente Statuto approvato con D.G.R. Lombardia n. 6621 del 19 maggio 2017, con sede in Corso Vittorio Emanuele II n. 122 a Mantova (tel. 0376/321278 - e-mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.).
3. Modello Organizzativo Privacy (MOP)
Incaricati del trattamento
Il MOP prevede che ciascun dipendente/collaboratore del Consorzio tratti solamente i dati indispensabili per svolgere le proprie mansioni, in funzione dell’organizzazione interna e soprattutto delle finalità indicate e proposte all’interessato, in ossequio al principio di “limitazione della finalità e minimizzazione dei dati”, di cui all’art. 5, par. 1, lett. b) e c) del GDPR. Pertanto, è stata predisposta una segmentazione dei trattamenti, per aree omogenee di “Incaricati del trattamento”, vincolando i dipendenti/collaboratori preposti a ciascuna area ad un ambito specifico di trattamento. A tal fine, by design, anche il sistema informativo è costituito a “compartimenti stagni”. Il dipendente/collaboratore potrà accedere dalla propria postazione informatica solo ai dati indispensabili per svolgere le proprie mansioni. La designazione alle specifiche aree di trattamento avviene per il tramite del Registro delle attività di Trattamento, documento interno che individua puntualmente l’ambito di trattamento e conferisce l’autorizzazione in merito agli addetti preposti all’area medesima. Il dipendente/collaboratore ha, altresì, ricevuto un regolamento interno sull’uso degli strumenti informatici e delle regole di condotta, anche etiche, su tutte le informazioni alle quali accede in virtù della sua specifica mansione.
Per garantire in maniera efficace l’adeguamento ai principi in materia di trattamento dei dati personali, il Consorzio eroga frequentemente corsi di formazione ed aggiornamento in materia ai propri dipendenti/collaboratori che, in virtù delle proprie mansioni, svolgono trattamenti di dati personali.
Amministratori di sistema (interni ed esterni)
Il Consorzio utilizza sistemi informatici evoluti per gestire e organizzare la propria attività. Per tale ragione, da sempre, l’attenzione alla costruzione dei software e l’utilizzo e sicurezza dei dati sono alla base dell’attività prevalente. I soggetti con privilegi di “amministratore” interni al Consorzio sono specificamente nominati e formati. Anche le società esterne specializzate, che accedono a dati consortili, sono specificamente nominate quali “Responsabili Esterni” o “Amministratori di Sistema Esterni”, ai sensi dell’art. 28 del GDPR.
I fornitori di servizi informatici esterni sono scelti con particolare attenzione alla professionalità non solo tecnica ma anche del rispetto e della protezione dei dati, privilegiando società certificate ISO 27001.
Responsabili esterni del trattamento
In linea di principio il Consorzio gestisce internamente quasi tutte le attività di trattamento. I casi di affidamento in outsourcing a terzi di alcune attività che implicano un trattamento di dati sono opportunamente indicati nel Registro delle attività di trattamento e segnalate all’interno delle singole informative. In questi casi il rapporto con il soggetto terzo è disciplinato con contratto di nomina a “Responsabile Esterno del Trattamento” ai sensi dell’art. 28 del GDPR.
4. Analisi dei rischi in materia di privacy e misure di prevenzione
Secondo i principi della c.d. accountability (responsabilizzazione) spetta al Consorzio, in quanto titolare del trattamento, implementare una serie di misure (organizzative, fisiche, giuridiche, tecniche ed informatiche) volte a prevenire il rischio di violazione dei diritti e delle libertà personali degli interessati. Per raggiungere questo obiettivo viene effettuata una costante analisi dei rischi, in funzione dei trattamenti, degli strumenti utilizzati, della tipologia e della mole di dati trattati.
Registro delle attività di trattamento (art. 30, par. 1, GDPR) e analisi dell'impatto
Il MOP prevede un’attenta e costante analisi dei rischi per il trattamento dei dati personali, individuati per ciascuna attività o servizio erogato attraverso un Registro delle attività di Trattamento ai sensi dell’art. 30, par. 1, del GDPR.
Il Registro delle attività di trattamenti del MOP è uno strumento operativo che contiene elementi ulteriori rispetto a quelli previsti dall’art. 30 del GDPR, in quanto consente di effettuare una prima analisi dei rischi per i diritti e la libertà degli interessati, collegate a ciascun trattamento (cd. PRE DPIA). Analizzata l’attività di trattamento svolta dal Consorzio, si ritiene che ad oggi non vi siano attività a rischio tale da necessitare una specifica valutazione di impatto ai sensi dell’art. 35 del GDPR.
L’analisi su rischi informatici e sulle infrastrutture hardware e software consortili e sulle misure informatiche di adeguamento è stata realizzata sia dai nostri Amministratori di Sistema con appositi tool e check list (es. circolare Agid 2/2017) sia da un’azienda esterna specializzata, che ha effettuato un audit approfondito con test di sicurezza. Gli esiti dell’indagine hanno permesso ai nostri tecnici di migliorare ulteriormente le misure di protezione dai cyber attacchi e dalle minacce informatiche, gradatamente e proporzionalmente al rischio per i diritti e le libertà degli interessati.
Le misure (organizzative, fisiche, giuridiche, tecniche ed informatiche) programmate ed attuate per abbattere i rischi “privacy” dell’interessato sono illustrate nell’apposita sezione del “Registro delle attività di trattamento” e nei relativi allegati informatici.
5. Trasparenza e diritti dell'interessato
Diritti in materia di protezione dei dati personali
Il Consorzio, anche in questa sede, ritiene fondamentale informare gli interessati dell'esistenza di alcuni diritti in materia di protezione dei dati personali, di seguito elencati.
• Diritto di essere informato (trasparenza nel trattamento dei dati)
L’interessato ha diritto di essere informato su come il Consorzio tratta i Suoi dati personali, per quali finalità e sulle altre informazioni previste dall’art. 13 del Reg. (UE) 2016/679. A tale fine, il Consorzio ha predisposto dei processi organizzativi che permettono, all’atto di acquisizione o richiesta dei dati personali, il rilascio di un modello di Informativa creato “ad hoc” a seconda della “categoria di interessati” a cui l’interessato stesso appartiene (dipendente, consorziato, fornitore ecc.). Questo documento permette di informare adeguatamente tutti i soggetti cui i dati si riferiscono su come venga effettuato il trattamento da parte del Consorzio. Il modello di informativa potrà essere richiesto con apposita domanda a quest’ultimo. In ogni caso il DPO è a sua disposizione per ogni ulteriore spiegazione sul contenuto e sulle modalità di esercizio di tale diritto.
• Diritto di revoca del consenso (art. 13)
L’interessato ha il diritto di revocare il consenso in qualsiasi momento per tutti quei trattamenti il cui presupposto di legittimità è una Sua manifestazione di consenso. La revoca del consenso non pregiudica la liceità del trattamento precedente.
• Diritto di accesso ai dati (art. 15)
L’interessato ha il diritto di ottenere dal titolare la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso di ottenere l’accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un'autorità di controllo; g) qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine; h) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'art. 22, par. 1 e 4, GDPR, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.
L’interessato ha il diritto di richiedere una copia dei dati personali oggetto di trattamento. Il diritto di ottenere una copia non deve ledere i diritti e le libertà altrui.
• Diritto di rettifica (art. 16)
L’interessato ha il diritto di ottenere dal Consorzio la rettifica dei dati personali inesatti che lo riguardano senza giustificato ritardo nonché, tenendo conto delle finalità del trattamento, di ottenere l'integrazione dei dati personali incompleti.
• Diritto all’oblio (art. 17)
L’interessato ha il diritto di ottenere dal Consorzio la cancellazione dei dati personali che lo riguardano senza giustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza giustificato ritardo i dati personali: se i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati, se l’interessato revoca il consenso, se non sussiste alcun motivo legittimo prevalente per procedere al trattamento di profilazione, se i dati sono stati trattati illecitamente, se vi è un obbligo legale di cancellarli; se i dati sono relativi a servizi web resi a minori senza il relativo consenso. La cancellazione può avvenire salvo che sia prevalente il diritto alla libertà di espressione e di informazione, che siano conservati per l'adempimento di un obbligo di legge o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri, per motivi di interesse pubblico nel settore della sanità, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici o per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
• Diritto di limitazione del trattamento (art. 18)
L’interessato ha il diritto di ottenere dal Consorzio, titolare del trattamento, la limitazione del trattamento: quando ha contestato l'esattezza dei dati personali (per il periodo necessario al titolare del trattamento per verificare l'esattezza di tali dati personali), se il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo, se sono necessari all’interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria, mentre al Titolare non sono più necessari, se l’interessato si è opposto al trattamento ai sensi dell’art. 21, par. 1, GDPR, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del Consorzio rispetto a quelli dell’interessato.
• Diritto alla portabilità (art. 20)
L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che la riguardano forniti al Consorzio ed ha il diritto di trasmetterli a un altro titolare del trattamento senza impedimenti da parte del titolare cui li ha forniti qualora il trattamento si sia basato sul consenso, sul contratto e se il trattamento sia effettuato con mezzi automatizzati, salvo che il trattamento sia necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento e che tale trasmissione non leda il diritto di terzi.
• Diritto di rivolgersi all’autorità Garante per la protezione dei dati personali (art. 77)
Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il regolamento in materia di protezione dei dati personali, ha il diritto di proporre reclamo ad un'autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.
Modalità di esercizio dei diritti
Per l’esercizio effettivo dei Suoi diritti può chiedere informazioni al Consorzio, in qualità di titolare del trattamento, o al DPO, oppure compilare adeguatamente la modulistica di accesso, messa a disposizione qui sotto.
Documenti privacy rilevanti
- Informativa sul trattamento dei dati personali derivanti dall’installazione di un impianto di videosorveglianza ai sensi dell’art. 13, gdpr - scarica
- Informativa in materia di trattamento dei dati personali in relazione alle richieste di accesso civico - scarica
- Modello di esercizio dei diritti dell'interessato - scarica
- Informativa privacy per fornitori - scarica
- Informativa privacy per candidati a selezioni - scarica
- Informativa privacy per consorziati - scarica
- Informativa consulenti e collaboratori -scarica