Policy Privacy
Enterprise Engineering srl si impegna a svolgere il trattamento dei dati personali dei clienti, dipendenti e di tutti gli altri interessati, nel rispetto delle normative vigenti in materia di protezione dati personali (Regolamento UE 2016/679, D. Lgs. 196/2003 così come modificato dal D. Lgs. 101/2018, provvedimenti dell’Autorità garante per la protezione dei dati personali).
Questo documento intende definire le regole e le scelte operative che devono essere rispettate all’interno di Enterprise Engineering srl al fine di proteggere i dati personali degli interessati.
Lo scopo di questo documento è:
– stabilire le procedure per disciplinare le attività di trattamento dei dati personali;
– evidenziare i principi generali della normativa in materia di protezione dei dati personali applicabili a Enterprise Engineering srl (come periodi di conservazione, sicurezza delle informazioni e gestione di dati personali di terzi, …);
– stabilire i criteri e descrivere le scelte che sono state compiute per garantire il rispetto del Regolamento sulla protezione dei dati 2016/679 (d’ora in avanti anche GDPR).
Scopo e applicazione
Le regole e i criteri individuati nel presente documento dovranno essere recepiti e rispettati da Enterprise Engineering srl, e, conseguentemente, applicati a tutte le operazioni di trattamento di dati personali svolti nella struttura.
Dato personale: qualsiasi informazione relativa ad una persona fisica identificata o identificabile (“interessato”); una persona fisica identificabile è colui che può essere identificato, direttamente o indirettamente, in particolare facendo riferimento a un identificatore come un nome, un numero di identificazione, dati relativi all’ubicazione, un identificatore online o uno o più fattori specifici per l’aspetto fisico, fisiologico, identità genetica, mentale, economica, culturale o sociale di quella persona naturale.
Le categorie di soggetti cui appartengono i dati personali oggetto di trattamento da parte di Enterprise Engineering srl sono i clienti attuali e potenziali e i dipendenti.
Ruoli e responsabilità
Titolarità del trattamento – Enterprise Engineering srl è titolare del trattamento dei dati raccolti nell’ambito della propria struttura. Enterprise Engineering srl affida a soggetti esterni lo svolgimento di determinati servizi nominandoli responsabili del trattamento. Il Titolare è responsabile della liceità e correttezza dei trattamenti posti in essere nell’ambito della propria struttura e dell’adozione della modulistica predisposta.
Il Responsabile dell’area legale – Il responsabile dell’area legale, con le proprie competenze giuridiche e, in particolare, con la propria conoscenza della legislazione vigente nel settore di riferimento, presta particolare attenzione alle attività di trattamento svolte.
Il Responsabile dell’Information Technology– Il Responsabile IT supporta il Titolare mettendo a disposizione le proprie competenze e, in particolare, le proprie conoscenze sulla sicurezza del sistema informativo, con l’assistenza del Chief Information Security Officer (CISO). Il reparto IT riveste inoltre un ruolo chiave per la compliance al GDPR, in quanto i sistemi informativi sono fondamentali per i seguenti aspetti: periodi di conservazione dei dati, gestione dei diritti degli interessati, valutazioni dell’impatto sulla privacy (DPIA) e misure logiche di sicurezza.
Il Responsabile IT, inoltre, provvede al controllo e alla gestione dell’attività degli Amministratori di sistema, ad indicare la persistenza dei requisiti di professionalità con cadenza annuale, ad indicare i ruoli e compiti assegnati a ciascun Amministratore di sistema, a garantire la tracciabilità dei relativi log, anche mediante l’impiego di un fornitore di servizi esterno.
I Responsabili degli Uffici – I Responsabili degli Uffici sono necessariamente coinvolti nella gestione della protezione dei dati personali, in considerazione del fatto che le attività principali di Enterprise Engineering srl si basano sul trattamento di dati personali: una gestione non corretta degli stessi potrebbe avere un impatto sui diritti e sulle libertà fondamentali delle persone interessate. I Responsabili degli Uffici devono pertanto essere a conoscenza delle questioni relative alla privacy e devono essere coinvolti nell’attuazione della politica aziendale in tema di protezione dei dati.
Dipendenti (autorizzati al trattamento) – È importante sottolineare che è responsabilità e compito della direzione e di tutti i dipendenti osservare le istruzioni ricevute su come svolgere correttamente i trattamenti di dati personali.
Le riunioni si svolgono regolarmente tra le persone coinvolte nella governance della privacy (vertici aziendali, IT, Area Legale, Audit interno), al fine di garantire il rispetto dei principi fondamentali in materia di protezione dei dati personali.
I dati Personali.
Enterprise Engineering srl tiene conto dei principi in materia di protezione dei dati personali durante tutto il ciclo di gestione delle informazioni: dalla raccolta, alla conservazione ed organizzazione, ai trasferimenti, alla portabilità (se applicabile) e alla distruzione.
Raccolta
Il primo passo del ciclo di gestione dei dati è la raccolta, che deve avvenire attraverso determinati canali, rispettando il principio di minimizzazione dei dati e individuando un fondamento giuridico per il relativo trattamento.
Base giuridica del trattamento – Enterprise Engineering srl garantisce che l’attività di trattamento dei dati personali trovi fondamento giuridico in una delle seguenti fattispecie:
– Consenso dell’interessato (ad esempio per le attività di marketing);
– Adempimento di un contratto di cui l’interessato sia parte o l’esecuzione di misure precontrattuali (ad esempio per la gestione dei dati relativi alla fornitura di servizi accessori);
– Osservanza di un obbligo legale (ad esempio fatturazione);
– Esecuzione di un compito svolto nell’interesse pubblico;
– Interesse legittimo del Titolare del trattamento.
Consenso – Quando il fondamento giuridico di un’attività di trattamento è il consenso dell’interessato, Enterprise Engineering srl deve, in qualità di Titolare del trattamento, essere in grado di dimostrare che le persone interessate hanno espresso il consenso all’uso dei loro dati per l’attività di trattamento. E’ stata prevista una procedura specifica per la gestione del consenso, in particolare per garantire che quest’ultimo venga conferito dall’interessato mediante “un chiaro atto affermativo” e che sia “liberamente prestato, specifico, informato e non ambiguo”.
Canali di raccolta dei dati personali: i dati personali vengono raccolti attraverso diversi canali (ad esempio moduli cartacei, moduli digitali, e-mail, fax, …). Tutte le modalità di raccolta dei dati devono prevedere idonee misure di sicurezza (ad es. crittografia e-mail, campagne di sensibilizzazione riguardanti l’immissione di dati in formato libero, sicurezza fisica).
Principio di minimizzazione dei dati: Enterprise Engineering srl raccoglie solo i dati strettamente necessari per realizzare le finalità di trattamento. In caso di modifiche al trattamento, Enterprise Engineering srl verifica che i dati memorizzati siano ancora pertinenti e necessari per le nuove finalità o modalità.
Archiviazione
Il secondo step del ciclo di gestione dei dati personali è l’archiviazione. Enterprise Engineering srl utilizza sistemi di archiviazione sicura, con controlli di gestione degli accessi per garantire riservatezza, integrità e disponibilità dei dati personali.
Sistemi di trattamento: esiste una gamma di sistemi utilizzati nelle attività di trattamento (e quindi diverse realtà di archiviazione dei dati personali). Enterprise Engineering srl deve stabilire una procedura per censire tutti i sistemi e per adottare le misure di sicurezza idonee a proteggere i dati personali e ridurre al minimo il rischio di violazioni degli stessi.
Riservatezza dei dati e accesso – Le regole di riservatezza generalmente applicabili devono essere osservate anche per quanto riguarda i dati personali. Enterprise Engineering srl si impegna per l’adozione di una procedura specifica per la gestione degli accessi, che definisce le misure logiche di sicurezza in atto nonché quelle relative alla gestione degli accessi (separazione delle funzioni, gestione degli accessi, revisione degli accessi).
I documenti cartacei contenenti dati personali particolari, come i dati sensibili, devono essere conservati in stanze / armadi chiusi a chiave. Dopo un congruo lasso temporale questi dati, se non in formato digitale, vanno in archiviazione sicura presso fornitori esterni che offrono adeguate misure di sicurezza.
4.3. Comunicazione
La terza fase del ciclo di gestione dei dati è la loro comunicazione, che coinvolge diversi principi fondamentali del diritto alla protezione dei dati personali come, ad esempio, quello di minimizzazione delle informazioni.
Destinatari: chiunque abbia accesso ai dati personali è considerato un destinatario. Enterprise Engineering srl condivide i dati personali solo con i destinatari che sono strettamente necessari per il perseguimento delle finalità del trattamento. I destinatari possono includere: ufficio legale, dipartimento IT, dipartimento risorse umane, subappaltatori, ecc.
4.4. Conservazione e distruzione dei dati personali
Il quarto step del ciclo di vita dei dati è la distruzione, che si verifica quando il periodo di conservazione è terminato.
Periodo di conservazione – I periodi di conservazione sono limitati nel tempo e coincidono con i tempi necessari al raggiungimento delle finalità che si intendono perseguire con il trattamento. Per determinare i tempi di conservazione occorre considerare da un lato, le caratteristiche del trattamento e, quindi, i tempi necessari per perseguirne le finalità e dall’altro, le normative nazionali di settore che impongono, anche indirettamente, i tempi di conservazione per alcune tipologie di dati, stabilendo inoltre termini di prescrizione per far valere in giudizio determinati diritti. Stabiliti i tempi di conservazione, Enterprise Engineering srl adotta procedure, anche informatiche, volte alla cancellazione dei dati personali.
Archiviazione di dati personali – I dati che non sono più oggetto di trattamento vengono archiviati per tutta la durata del periodo di conservazione. L’accesso a questi archivi è limitato e vengono adottate misure di sicurezza supplementari per proteggerli. Inoltre, laddove possibile, viene applicata l’anonimizzazione o la pseudonimizzazione.
Distruzione – Una volta scaduto il periodo di conservazione, tutti i dati vengono cancellati dal database attivo e dagli archivi (inclusi ad esempio carta, e-mail e dati contenuti nelle applicazioni, nei server …), da parte di personale autorizzato, secondo un processo definito. I dati vengono cancellati anche nei database dei fornitori. Il Titolare o i membri del reparto IT possono procedere a riscontri occasionali per verificare che i dati siano stati correttamente cancellati, in conformità con i periodi di conservazione definiti.
Secondo quanto previsto nel Provvedimento generale del Garante per la protezione dei dati personali del 13 ottobre 2008, è necessario distinguere la distruzione dei dati personali contenuti in documenti elettronici da quelli contenuti in documenti cartacei; e quindi, nel primo caso, distinguere ulteriormente le misure da adottare nel periodo precedente a quello di effettiva distruzione, dalle modalità da applicare al momento della distruzione. In entrambe le ipotesi, le misure e gli accorgimenti possono essere attuati anche con l’ausilio di terzi tecnicamente qualificati (quali centri di assistenza, produttori e distributori di apparecchiature, che però attestino l’esecuzione delle operazioni effettuate o che si impegnino ad effettuarle). Si tenga presente che se l’apparato è destinato ad essere riutilizzato, il soggetto che riusa è tenuto ad assicurarsi dell’inesistenza o della non intelligibilità di dati personali sui suoi supporti di memoria, acquisendo dal precedente utente, ove possibile, l’autorizzazione a cancellarli o a renderli non più comprensibili nel caso siano ancora presenti. Vediamo nel dettaglio le differenti ipotesi. Per quanto riguarda i documenti elettronici, l’intervento volto a garantire la sicurezza delle informazioni personali contenute in apparati elettronici destinati alla dismissione o al riuso può essere preventivo, cioè avvenire sin dal momento dell’utilizzo di tali apparecchiature nella propria struttura (privacy by design). Così, secondo il provvedimento del Garante, si può procedere alla cifratura di singoli file o gruppi di file, di volta in volta protetti con parole-chiave riservate, note al solo utente proprietario dei dati, che può con queste procedere alla successiva decifratura; tale metodologia può inoltre essere utilizzata nella fase di memorizzazione dei dati sui dischi rigidi (hard-disk) dei personal computer, o su altro genere di supporto magnetico od ottico (CD-ROM, DVD-R, pen drive, …) in forma automaticamente cifrata al momento della loro scrittura, anche in questo caso tramite l’uso di parole-chiave riservate, note al solo utente. In entrambe le ipotesi senza modificare in alcun modo il comportamento e l’uso dei programmi software con cui i dati vengono trattati, magari grazie alla predisposizione “a monte” dei sistemi di cifratura, e quindi in modo non invasivo per l’attività dell’utente.
Nel momento in cui si decida poi di cambiare l’utente del sistema informatico (ad esempio, si sposta il computer da un ufficio a un altro della propria struttura), o comunque nel momento in cui si decida di dismettere l’apparato, le cautele da predisporre riguardano proprio la cancellazione dei dati sulle memorie ausiliarie, che può avvenire con diverse modalità. Si procede alla cancellazione sicura delle informazioni, ottenibile con programmi informatici che provvedono, una volta che l’utente abbia eliminato dei file da un’unità disco o da analoghi supporti di memorizzazione con i normali strumenti previsti dai diversi sistemi operativi, a scrivere ripetutamente nelle aree vuote del disco (precedentemente occupate dalle informazioni eliminate) sequenze casuali di cifre “binarie”, in modo da ridurre al minimo le probabilità di recupero di informazioni anche tramite appositi apparati elettronici di analisi e recupero di dati. Ancora, laddove l’operazione risulti effettuabile, si può formattare “a basso livello” il dispositivo di tipo hard disk, attenendosi comunque alle istruzioni fornite dal produttore del dispositivo e tenendo conto (chiaramente nel caso si debba riutilizzare l’apparato) delle possibili conseguenze tecniche su di esso, che potrebbero portare alla sua successiva inutilizzabilità. Non solo, il provvedimento del Garante prevede anche la possibilità, nel caso si tratti di dispositivi non più funzionanti (ai quali potrebbero non essere applicabili le procedure di cancellazione software che richiedono l’accessibilità del dispositivo), di procedere alla “demagnetizzazione” dei dispositivi di memoria basati su supporti magnetici o magneto-ottici (dischi rigidi, floppy-disk, nastri magnetici su bobine aperte o in cassette), in grado di garantire la cancellazione rapida delle informazioni. Infine, nel caso si debba dismettere l’apparato elettronico, l’effettiva cancellazione dei dati personali dai supporti in esso contenuti può anche risultare da procedure che, nel rispetto delle normative di settore, comportino la distruzione fisica dei supporti di memorizzazione; questo attraverso il ricorso a metodi o strumenti diversi a seconda del loro tipo, quali ad esempio sistemi di punzonatura o deformazione meccanica, di distruzione fisica o di disintegrazione (usata per supporti quali CD-ROM, DVD o pen drive), di demagnetizzazione ad alta intensità.
Più semplice, almeno a livello tecnico, la distruzione dei documenti cartacei, che può essere attuata attraverso appositi “distruggi documenti”, oramai di uso comune, ma anche a prescindere da tali specifici apparecchi. La difficoltà maggiore che si incontra in questo caso dipende dall’attenzione che deve essere prestata all’operazione, vincendo abitudini e “distrazioni” del singolo incaricato del trattamento di dati personali.
Registro delle attività di trattamento
Il registro delle attività di trattamento deve essere detenuto da Enterprise Engineering srl come richiesto dal GDPR. Questo registro elenca tutte le attività di trattamento svolte sui dati personali.
Enterprise Engineering srl detiene un registro delle proprie attività di trattamento dei dati personali in conformità a quanto richiesto dal GDPR. Per compilare il registro, Enterprise Engineering srl prende in considerazione le attività di trattamento eseguite in proprio (dunque svolte in qualità di Titolare del trattamento) e quelle svolte in nome e per conto di soggetti esterni (dunque svolte in qualità di Responsabile esterno del trattamento). Il Titolare vigila sull’aggiornamento del registro con il supporto dell’Ufficio legale e dell’area IT. Il registro viene riesaminato almeno una volta all’anno e ulteriormente aggiornato ogni volta che si intraprenda una nuova attività di trattamento o sia apportata una modifica sostanziale delle attività di trattamento già svolte.
Il Registro deve essere reso disponibile all’Autorità Garante su richiesta, come indicato dal GDPR: è il documento principale che viene richiesto in caso di controllo. Per garantire il rispetto del principio di accountability da parte del Titolare si procede in un primo momento ad una mappatura di tutti i processi di trattamento, tracciando le tipologie di dati e le infrastrutture tecniche impiegate in ciascun processo. Tale mappatura è validata dai Responsabili degli Uffici. Successivamente si provvede all’inserimento delle informazioni mappate nel registro.
6. Valutazione di impatto privacy.
Una valutazione dell’impatto sulla privacy (DPIA) mira a valutare i rischi di un’attività di trattamento e a definire le misure idonee per ridurli al minimo.
Qualora un’attività di trattamento rappresenti un rischio elevato per i diritti e le libertà degli interessati, deve essere eseguita una valutazione dell’impatto sulla privacy dei dati (DPIA). Enterprise Engineering srl è obbligato a svolgere un DPIA per tutte le attività di trattamento che possono comportare un rischio per i diritti e le libertà degli interessati, anche se l’attività di trattamento è già in corso.
Per stabilire se un’attività di trattamento è soggetta a una valutazione di impatto sulla privacy, deve verificarsi la presenza dei seguenti elementi:
– dati particolari o informazioni relative a condanne penali o reati;
– dati trattati su larga scala (ad esempio una mailing list per le newsletter);
– monitoraggio sistematico di un’area accessibile al pubblico;
– trattamenti automatizzati, compresa la profilazione, sui quali si fondano decisioni che hanno effetti giuridici o incidono significativamente sugli interessati.
Il Titolare, l’ufficio legale, il dipartimento di audit interno e il dipartimento IT forniranno assistenza per svolgere la valutazione del rischio.
Per l’adempimento dell’obbligo occorrerà, come minimo, svolgere le seguenti azioni:
– descrivere le operazioni di trattamento e i relativi scopi;
– valutare la necessità e la proporzionalità dell’attività di elaborazione;
– valutare i rischi per i diritti e le libertà degli interessati;
– adottare misure per affrontare i rischi e comprovare la compliance con il GDPR.
Una volta eseguita l’analisi, se l’attività di trattamento comporta un rischio per i diritti degli interessati, il Titolare avrà l’obbligo di ridurlo al minimo con l’applicazione di adeguate misure di sicurezza, accorgimenti e meccanismi. Laddove i rischi residui non possano essere ridotti da misure idonee in termini di tecnologia disponibile e costi di attuazione, il Titolare comunicherà i risultati della DPIA all’Autorità Garante prima di svolgere l’attività di trattamento. L’Autorità deve quindi fornire, entro un termine di circa otto settimane (o più, a seconda della complessità dell’attività di trattamento), un parere scritto al Titolare. Quest’ultimo, l’ufficio legale, il dipartimento di audit interno e il dipartimento IT daranno il proprio supporto per stabilire se il rischio residuo sia accettabile o se sia necessario consultare l’Autorità.
Gestione delle terze parti
Le regole e i criteri contenuti nel presente documento si applicano non solo a Enterprise Engineering srl, ma anche ai relativi fornitori di servizi.
Quando il Titolare del trattamento ha bisogno di demandare un servizio a un soggetto esterno deve valutare se lo svolgimento di tali attività implichino un trattamento di dati personali: se il soggetto esterno, per erogare il servizio, deve raccogliere, ricevere, elaborare, conservare o svolgere qualsiasi altra attività su dati personali che appartengono al Titolare, occorre regolamentare i rapporti giuridici intercorrenti tra le parti procedendo alla nomina del fornitore a responsabile del trattamento. Quest’ultimo è, infatti, colui (persona fisica o giuridica) che svolge una parte di trattamento dei dati personali in nome e per conto del Titolare, al fine di erogare un servizio al Titolare stesso o agli interessati.
Come Titolare, Enterprise Engineering srl verifica che tutti i responsabili esterni del trattamento con cui lavora forniscano sufficienti garanzie in materia di protezione dei dati personali degli interessati. A tale riguardo, il GDPR richiede la conclusione e la sottoscrizione di un contratto, che include, tra l’altro, le istruzioni che devono essere seguite dal responsabile del trattamento, la distribuzione delle responsabilità tra le parti, l’obbligo di un’autorizzazione preventiva e scritta del responsabile del trattamento per subappaltare ad un terzo una parte o tutta l’attività a lui demandata, l’obbligo di informare in caso di violazione dei dati, i poteri di controllo e l’assetto di responsabilità.
E’ stato predisposto un addendum contrattuale da adottare, allegandolo in tutti i contratti che comportano una attività di trattamento di dati personali.
I diritti degli interessati
Enterprise Engineering srl si impegna a proteggere i diritti degli interessati come stabilito nel GDPR, nonché nella legislazione nazionale e di settore.
Tutti gli interessati del trattamento, ovvero le persone fisiche a cui si riferiscono i dati personali sottoposti a trattamento, hanno determinati diritti, che devono essere rispettati da Enterprise Engineering srl.
Tutti gli interessati, compresi i clienti e i dipendenti, hanno i seguenti diritti (talora condizionati alla sussistenza di determinate condizioni previste dalla legge):
– Il diritto di informazione: essere informati sulle caratteristiche delle attività di trattamento svolte da Enterprise Engineering srl e della facoltà di esercitare i diritti riconosciuti dalla legge;
– Il diritto di accesso: ottenere, su richiesta, una copia dei propri dati personali conservati e trattati da Enterprise Engineering srl;
– Il diritto di rettifica: far rettificare, su richiesta, eventuali dati personali inesatti;
– Il diritto di cancellazione (il “diritto all’oblio”): far cancellare a Enterprise Engineering srl, su richiesta, i propri dati personali (alle condizioni indicate nel GDPR);
– Il diritto di revocare il consenso al trattamento;
– Il diritto di limitare il trattamento: per limitare, su richiesta, il trattamento da parte di Enterprise Engineering srl dei propri dati personali, ove non sussista più la necessità di trattarli;
– Il diritto alla portabilità dei dati: per ricevere su richiesta i propri dati in un formato strutturato e leggibile, o per trasferire i dati in tale formato a un altro Titolare dei dati;
– Il diritto di opporsi al trattamento: opporsi ad un’attività di trattamento, ad esempio se i dati sono raccolti per scopi di marketing o di ricerca (condizioni dettagliate nel GDPR);
– Il diritto di non essere valutato sulla base del trattamento esclusivamente automatizzato;
– Il diritto di presentare reclamo all’Autorità Garante per la protezione dei dati personali.
Enterprise Engineering srl ha implementato una procedura per la gestione delle richieste degli interessati, compreso l’esercizio dei loro diritti, specificando le diverse fasi per gestire una richiesta (ricezione, risposta, misure tecniche da attuare …).
A fronte di tali diritti riconosciuti all’interessato, la normativa stabilisce in capo al Titolare un generale obbligo di rendere possibile l’esercizio degli stessi: necessità che si configura come un vero e proprio adempimento cui ottemperare all’interno della struttura, stabilendo le procedure da seguire per soddisfare le richieste collegate a tale esercizio.
Obbligo generale che ha due finalità: da un lato, quella di agevolare un controllo da parte dell’interessato sulle informazioni che lo riguardano e dall’altra, quella di semplificare le modalità e di ridurre i tempi per il riscontro al richiedente. Il Titolare, per consentire il raggiungimento di questi scopi, deve consentire dunque un corretto (ed agevole) esercizio dei diritti e, proprio per tale finalità, deve predisporre una procedura interna, che coinvolge anche il Responsabile per la protezione dei dati (RPD o Data Protection Officer, DPO), qualora nominato.
In ossequio al principio dell’accountability, ovvero di responsabilizzazione del Titolare, è opportuno organizzare innanzitutto una modalità attraverso la quale si possano sottoporre all’attenzione del Titolare (o del DPO, se presente) tali istanze, modulando il mezzo mediante il quale l’interessato può veicolarle (parametrando lo stesso a seconda della tipologia di attività svolte e alla familiarità dei “clienti” alle tecnologie). Infine scegliere la modalità più opportuna per rispondere alle richieste, cercando di ridurre i tempi del loro riscontro.
Il Regolamento non impone una formalità particolare per proporre le istanze, che potranno dunque essere avanzate dall’interessato con modalità del tutto libere.
Il Titolare, ricevuta la richiesta, può chiedere all’istante di identificarsi, esibendo o allegando copia di un documento di riconoscimento. Nel caso in cui, invece, l’interessato si avvalga di soggetto delegato che agisca per suo conto, questi è tenuto a esibire, o ad allegare, copia della procura ovvero della delega sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di riconoscimento del delegante. Qualora l’interessato non fornisca tale documentazione, il Titolare può rigettare la richiesta avanzata, opponendo la mancata identificazione del soggetto; nel caso in cui, invece, si sia proceduto correttamente all’identificazione dell’istante, il Titolare è tenuto a soddisfare la richiesta.
In particolare, la risposta che deve essere data all’interessato dovrà comprendere tutte le informazioni personali che lo riguardano, in relazione al diritto esercitato (di cancellazione, di opposizione, di limitazione, ecc.): informazioni che sono estratte a cura dei soggetti sopra individuati, e che possono essere comunicate al richiedente anche oralmente, ovvero offerte in visione mediante strumenti elettronici (sempre che in queste ipotesi la comprensione dei dati sia agevole, considerata anche la qualità e la quantità delle informazioni). Se poi vi è richiesta, si provvede alla trasposizione dei dati su supporto cartaceo o informatico, o comunque alla loro trasmissione per via telematica.
Una volta venuto a conoscenza delle informazioni che lo riguardano, l’interessato può esercitare tutte le facoltà che la legge gli riconosce, chiedendo la rettifica, l’aggiornamento, la cancellazione, la portabilità o la limitazione, qualora ne ricorrano i rispettivi presupposti.
Infine si tenga presente che, nel caso in cui l’interessato chieda un’ulteriore copia dei dati in possesso del Titolare, quest’ultimo gli può addebitare un contributo spese “ragionevole”, ovvero parametrato sulle spese amministrative effettivamente sostenute (art. 15 par. III del Regolamento).
Sicurezza
I Titolari del trattamento adottano misure idonee a garantire un livello di sicurezza adeguato al rischio, rispettando almeno la politica di sicurezza del sistema di informazione di Enterprise Engineering srl.
Una panoramica delle principali misure di sicurezza è riportata nel registro delle attività di trattamento. Una descrizione più dettagliata è fornita nelle valutazioni d’impatto sulla privacy per ciascun trattamento documentato.
Le misure di sicurezza possono essere suddivise in tre categorie:
Misure di sicurezza fisica – Misure di sicurezza fisica per proteggere l’accesso fisico non autorizzato alle strutture di archiviazione dei dati e ai dati personali su carta, comprendono controlli di accesso fisico, misure contro i rischi connessi a inondazioni, incendi, ecc.
Misure di sicurezza logiche – Per proteggere i dati nei sistemi di informazione, esistono misure logiche di sicurezza, tra cui: crittografia, pseudonimizzazione, tracciabilità, reti dedicate, ecc. Vengono anche attuate misure riguardanti la gestione degli accessi: principio di privilegio minimo, gestione degli accessi (inclusa convalida per assegnare e rimuovere l’accesso e accedere alla revisione).
Misure organizzative – Esistono anche misure organizzative, tra cui: un quadro di governance appropriato (definizione dei ruoli e delle responsabilità dei dipendenti con un ruolo di privacy dei dati), politiche e procedure (gestione degli accessi, DPIA, mantenimento del registro delle attività di trattamento, informazione i dati delle modalità di utilizzo dei loro dati), una metodologia di progetto, ecc.
Utilizzo delle dotazioni informatiche
Enterprise Engineering srl, in qualità di Titolare del trattamento, deve adottare un “Disciplinare interno” che indichi con chiarezza le corrette modalità di utilizzo degli strumenti informatici da parte dei dipendenti e se, in che misura e con quali modalità vengono effettuati controlli.
Uso delle dotazioni informatiche – I dipendenti sono tenuti ad utilizzare le dotazioni informatiche fornite da Enterprise Engineering srl per scopi esclusivamente legati all’attività di lavoro. Spetta al datore di lavoro stabilire le configurazioni da impostare sull’elaboratore elettronico e la responsabilità connessa, e di conseguenza procedere nelle relative decisioni.
Uso delle credenziali di autenticazione – Al fine di proteggere gli accessi ai sistemi informatici da parte di terzi non autorizzati, sono predisposte delle credenziali di autenticazione (c.d. user-id e password), la cui componente segreta deve rispettare alcune regole precise (la password deve essere facile da ricordare e difficile da indovinare, deve avere almeno 8 caratteri, deve essere cambiata ogni 90 giorni, …).
Uso di Internet – L’accesso alla rete Internet e l’utilizzo dei suoi servizi, come quello di ogni altro strumento messo a disposizione dal Titolare, devono rispettare precise modalità di impiego e misure di sicurezza affinché venga evitato qualunque tipo di interferenza con i doveri professionali del dipendente, minimizzato l’uso dei suoi dati identificativi e al contempo eliminato qualsiasi ulteriore rischio per Enterprise Engineering srl (ad esempio devono essere evitati gli accessi ai siti contenenti informazioni illecite per i più vari motivi, la partecipazione a newsgroup o mailing list collegate ad argomenti illeciti, l’upload o il download di materiale della stessa natura, l’uso improprio della posta elettronica, ecc…).
La sicurezza del patrimonio informatico di Enterprise Engineering srl e, più in generale, dei dati personali trattati con l’ausilio della strumentazione elettronica, viene garantita attraverso l’adozione di apposite precauzioni, quali misure tecniche e organizzative adeguate, tali da evitare il rischio di trattamenti non autorizzati, illeciti o che comportino la perdita, la distruzione del dato o il danno accidentale (sistemi di autenticazione e di autorizzazione, firewall, antivirus e patch, back-up dei dati, misure organizzative, …)
I principi di Privacy by design e di Privacy by Default
Quelli di Privacy by Design e di Privacy by Default sono principi che intendono assicurare protezione e riservatezza dei dati personali durante l’intero ciclo di vita degli stessi.
Definizione – Enterprise Engineering srl deve sviluppare la progettazione dei sistemi che operano un trattamento di dati personali integrando fin dall’inizio i principi della normativa in materia di protezione dati personali: questa integrazione mira a garantire che i dati siano protetti di default lungo tutto il ciclo di vita e che siano adottate misure di sicurezza idonee sin dalla progettazione dei sistemi. Lo sforzo impiegato in questa attività deve essere proporzionato al livello di rischio relativo alla gestione della privacy dei dati insito nel progetto. In generale, è necessario eseguire un’analisi dell’impatto minima per integrare la privacy by design e la privacy by default.
Infine, il GDPR sottolinea come sia indispensabile poter documentare le scelte operate: di conseguenza, i concetti di Privacy by design e Privacy by default devono essere sufficientemente documentati durante le fasi del progetto adottando i seguenti accorgimenti:
DPIA – La DPIA mira ad individuare i rischi per la privacy e, laddove necessario, implementare misure di sicurezza idonee per mitigare questi rischi. Pertanto, i rischi sono individuati in una fase iniziale e potenziale e sono analizzati per limitarne gli effetti.
Tali misure consistono in particolare nella minimizzazione dei dati (es. limitazione della quantità di dati raccolti), l’uso di tecniche di pseudonimizzazione dei dati, gestione degli accessi, segregazione dei ruoli, protezione dal malware, ecc.
Requisiti minimi – Quando un’attività di trattamento non è strutturata in modo da rappresentare un rischio per gli interessati e non è soggetta ad una DPIA, Enterprise Engineering srl documenta comunque l’attività di trattamento, le sue caratteristiche e le misure di sicurezza adottate nel registro delle attività di trattamento dei dati.
Gestione di eventi di Data breach
In caso di violazione dei dati personali, o data breach, Enterprise Engineering srl è tenuto a notificare entro 72 ore all’Autorità Garante e, ove necessario, alle persone interessate.
Secondo il Regolamento UE 2016/679, una violazione dei dati personali è “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Le tipologie di violazione dei dati personali possono essere classificate come segue:
– Violazione della riservatezza: in caso di divulgazione o accesso non autorizzato o accidentale ai dati personali;
Esempio: un ex dipendente ha avuto accesso al database dei clienti di Enterprise Engineering srl perché i suoi diritti di accesso non sono stati disattivati.
– Violazione dell’integrità: in caso di alterazione non autorizzata o accidentale dei dati personali;
Esempio: un incendio che si verifica nelle stanze degli archivi.
– Violazione della disponibilità, come conseguenza di una violazione dell’integrità: in caso di perdita accidentale o non autorizzata, di accesso o distruzione di dati personali;
Esempio: si verifica un attacco informatico da parte di un ransomware che porta a una perdita di accesso ai software aziendali.
Per identificare e gestire le violazioni dei dati è necessario determinare precise procedure interne integrandole con:
– misure tecniche, come software per rilevare il download di interi database, analizzatori di log o flussi di dati, dai quali è possibile definire eventi anomali, mettendoli in correlazione tra loro;
– processi organizzativi, come sessioni di formazione, per sensibilizzare i dipendenti su come identificare una potenziale violazione dei dati;
– clausole contrattuali, che impongano ai fornitori di informare il Titolare entro 24 ore se si verifica una violazione dei dati.
Una volta rilevata una potenziale violazione dei dati, Enterprise Engineering srl deve eseguire una valutazione dei rischi, con l’assistenza dei responsabili esterni (qualora coinvolti nella violazione), del reparto IT e del DPO (ove nominato) al fine di stabilire se si sia effettivamente verificato un Data breach e, nel caso, se sussiste un rischio specifico ed elevato per i diritti e le libertà degli interessati.
Per stabilire se occorra notificare la violazione all’Autorità Garante e se debba essere effettuata una comunicazione agli interessati, il rischio per i diritti e le libertà degli interessati dovrebbe essere valutato sulla base dei seguenti criteri:
– il contesto di trattamento dei dati (categoria di dati, volume dei dati violati, caratteristiche degli interessati, ecc.);
– la facilità con cui chi sia entrato illegittimamente in possesso dei dati possa identificare l’interessato;
– le circostanze della violazione.
Il risultato di questa valutazione consentirà di stabilire se il rischio cui sono stati esposti i diritti e le libertà delle persone interessate sia:
– Basso;
– Medio;
– Alto (caso in cui è richiesta una notifica al Garante per la protezione dei dati personali);
– Molto elevato (caso in cui è necessaria una notifica al Garante per la protezione dei dati personali e anche una comunicazione agli interessati).
Formazione
Enterprise Engineering srl organizza incontri di formazioni con cadenza regolare per sensibilizzare i dipendenti sulle principali tematiche relative alla protezione dei dati personali.
Formazione di tutti i dipendenti – Enterprise Engineering srl svolge una campagna di sensibilizzazione annuale per evidenziare a tutti i dipendenti le regole e i principi della protezione dei dati personali. La campagna di sensibilizzazione può essere svolta tramite diversi sistemi (campagne e-mail, …) e copre una gamma di argomenti sulla privacy, a seconda dei dipendenti destinatari. Inoltre, vengono presentate le modalità di specifiche tipologie di trattamento, ad esempio il trattamento di dati particolari.
Sistema dei controlli
Enterprise Engineering srl ha implementato un sistema di controlli per garantire il rispetto degli obblighi normativi in materia di protezione dei dati.
Processi interni – I processi interni relativi alla riservatezza dei dati sono monitorati attraverso ispezioni periodiche. Da un lato, i controlli sono effettuati dal Titolare per verificare la corretta attuazione delle misure adottate per garantire il rispetto della normativa in materia di protezione dei dati personali. Ad esempio, vengono introdotti indicatori per monitorare il numero di richieste di esercizio dei diritti, campagne di sensibilizzazione, potenziali violazioni dei dati. Questi controlli sono documentati e i risultati sono monitorati.
Subappaltatori – I subappaltatori sono sottoposti a controlli, per il tramite dei Responsabili esterni, in base ai contratti firmati con questi, con cadenza regolare al fine di verificare:
– L’applicazione delle istruzioni fornite nei contratti;
– La sicurezza del sistema informativo;
– La capacità di rispondere alle richieste degli interessati;
– Il processo da attuare in caso di violazione dei dati.