CHORA SOCIETÀ COOPERATIVA
PRIVACY POLICY

ISTRUZIONI E ADEMPIMENTI SUL TRATTAMENTO DEI DATI PER I SOCI, I DIPENDENTI E I COLLABORATORI AI SENSI DEL REGOLAMENTO UE 2016/679

 La Chora Società Cooperativa opera nel rispetto della normativa sulla protezione dei dati personali. Il presente documento costituisce un breve ma imprescindibile vademecum per il corretto trattamento dei dati da parte di tutti i soggetti, soci, dipendenti e collaboratori, contenente semplici regole cui tutti i predetti soggetti dovranno attenersi.
Tutti i soggetti, i soci, i collaboratori ed i lavoratori subordinati, quale che sia la mansione e la qualifica rivestita dovranno pertanto obbligarsi a rispettare le istruzioni di seguito descritte.
Il trattamento dei dati personali all’interno dell’azienda deve essere lecito e corretto, basato sui principi generali del Regolamento UE 2016/679 e pertanto i dati devono essere raccolti e utilizzati rispettando il principio di minimizzazione, ovverosia devono essere quelli essenziali agli scopi fissati nelle attività dell’azienda (conclusione ed esecuzione del contratto).
Si ricorda che Chora Società Cooperativa, può operare anche in qualità di Responsabile del trattamento per conto di altri Titolari (ad esempio nell’ambito della gestione museale e/o delle altre attività per conto di terzi che prevedano trattamento dati degli utenti finali), che potranno controllare il corretto adempimento delle norme sulla protezione dei dati e pertanto anche il rispetto delle presenti istruzioni.
All’atto della raccolta dei dati deve essere rilasciata apposita  e completa informativa ai vari soggetti contraenti, siano essi fornitori, clienti o utenti finali.
I principi a cui deve ispirarsi il trattamento dei dati devono avere l’obiettivo di garantire:

  • la Disponibilità dei dati, ossia salvaguardia del patrimonio informativo nella garanzia di accesso, usabilità e confidenzialità dei dati con l’obiettivo di ridurre a livelli accettabili i rischi connessi all’accesso alle informazioni (intrusioni, furto di dati, ecc.);
  • l’ Integrità dei dati, intesa come garanzia che l’informazione non subisca modifiche o cancellazioni a seguito di errori o di azioni volontarie, ma anche a seguito di malfunzionamenti o danni dei sistemi tecnologici;
  • la Riservatezza, intesa come gestione della sicurezza in modo tale da mitigare i rischi connessi all’accesso o all’uso delle informazioni in forma non autorizzata.

Deve quindi essere evitato ogni rischio che comporti la mancata disponibilità dei dati, la loro manomissione  (accidentale o per illecita alterazione) oppure la diffusione incontrollata.
Si devono quindi adottare semplici regole per rendere concreta la protezione dei dati personali all’interno dell’azienda:

  • Attribuzione di compiti e responsabilità in materia informatica e l’indicazione dei corretti comportamenti individuali in tale materia, anche sotto il profilo della riconducibilità, in capo a singoli soggetti, delle azioni compiute. In ogni caso, l’azienda applica specifiche autorizzazioni per il trattamento dei dati, per ogni socio/collaboratore/dipendente.
  • Predisposizione e mantenimento del censimento degli strumenti informatici in uso alla Società; detto inventario deve riguardare sia l’hardware che il software che le applicazioni in uso.
  • Previsione di periodiche e regolari analisi del rischio al fine di identificare eventuali punti deboli nel sistema di sicurezza aziendale, stabilire le priorità e formulare un piano di azione la cui attuazione dovrà essere valutata nell’ambito della successiva analisi del rischio.
  • La regolamentazione del corretto utilizzo degli strumenti informatici da parte degli utenti, fornendo apposita formazione, anche attraverso la creazione e l’implementazione di apposita procedura aziendale
  • Una corretta gestione delle password: la scelta poco avveduta delle password e la loro conoscibilità può essere dannosa per il trattamento dei dati. Le regole aziendali devono, pertanto, prevedere i seguenti obblighi in capo a chi utilizza gli strumenti informatici: (i) segretezza delle password e loro modifica periodica; (ii) utilizzo di password aventi una lunghezza minima sicura (almeno 8 caratteri), a composizione mista (lettere, cifre, caratteri);
  • Regole per gli accessi al Sistema Informatico sia da parte di chi utilizza i terminali e i pc (con corretta politica degli accessi ai pc aziendali, rigorosamente concessa ai soli autorizzati).
  • Regole per la cancellazione e lo smaltimento dei supporti informatici, così come dell’archivio cartaceo.
  • L’adozione di sistema antivirus e l’effettuazione di regolari e frequenti back-up dei dati aziendali.
  • La corretta tenuta del registro e il suo costante aggiornamento: se cambiano i termini del trattamento, come ad esempio: a) vengono aggiunte misure di sicurezza; b) viene introdotta una nuova finalità del trattamento e quindi cambiano le tipologie di dati raccolti;

Istruzioni operative

 Ciascun incaricato, per tutto il periodo in cui effettua le operazioni di trattamento dei dati, non deve mai perdere di vista i documenti, adempiendo ad un preciso obbligo di custodia dei medesimi

  • l’incaricato deve controllare che i documenti siano sempre completi ed integri
  • in caso di abbandono, anche temporaneo, dell’ufficio, l’incaricato non deve mai lasciare incustoditi i documenti (sulla scrivania o su tavolini di reparto); è infatti necessario identificare un luogo sicuro di custodia che dia sufficienti garanzie di protezione da accessi non autorizzati (un armadio o un cassetto chiusi a chiave, una cassaforte, ecc.); ove si utilizzi un contenitore chiuso a chiave occorre accertarsi che non esistano duplicati abusivi delle chiavi e che le stesse siano in possesso solo di incaricati autorizzati
  • occorre in particolare accertarsi che nessun  visitatore o terzo estraneo (addetto alla manutenzione, alle pulizie, ecc. o un collega non autorizzato) possa venire a conoscenza (anche per cause accidentali) del contenuto dei documenti
  • al momento della consegna di copie dei documenti ai destinatari è necessario adottare tutte le garanzie di sicurezza, quali l’utilizzo di buste sigillate
  • la parola chiave di accesso alla postazione informatica deve essere custodita con la massima attenzione e segretezza e non deve essere divulgata o comunicata a terzi
  • la parola chiave non deve contenere riferimenti facilmente riconducibili all’incaricato
  • l’incaricato è responsabile di ogni utilizzo indebito o non consentito della parola chiave di cui sia titolare
  • tutti i pc devono avere il programma antivirus installato ed aggiornato; è necessario configurare il programma per l’aggiornamento automatico, ovvero provvedere all’aggiornamento con cadenza almeno settimanale
  • in caso di assenza, anche momentanea, dalla propria postazione di lavoro, devono essere adottate misure atte a escludere che soggetti non autorizzati possano acquisire la conoscenza di informazioni o accedere alle banche dati
  • è opportuno evitare l’utilizzo della posta elettronica per l’invio di dati sensibili o giudiziari.

Utilizzo del telefono e del fax:

  • nel caso in cui sia necessario effettuare comunicazioni telefoniche agli interessati, occorre aver chiesto preliminarmente all’interessato medesimo l’autorizzazione a conferire con chiunque risponda all’apparecchio. In caso di risposta negativa è necessario chiedere in alternativa un numero riservato
  • occorre fare attenzione a discutere, comunicare o comunque trattare dati personali/sensibili per telefono in presenza di terzi non autorizzati che potrebbero inavvertitamente venire a conoscenza di tali dati
  • in caso di invio di documentazione a mezzo fax, bisogna prestare attenzione alla corretta digitazione del numero cui inviare il documento e verificarne l’esattezza
  • qualora vengano trasmessi dati idonei a rivelare lo stato di salute, è opportuno anticipare l’invio del fax avvertendo il destinatario, assicurarsi che il ricevimento avvenga nelle mani del medesimo ed evitare che soggetti estranei o non autorizzati possano conoscere il contenuto della documentazione inviata
  • l’apparecchio fax deve essere sempre collocato in luogo non accessibile a terzi non autorizzati

Utilizzo della fotocopiatrice e della stampante:

  • in caso di stampa o duplicazione non riuscite di documentazione contenente dati personali / sensibili, occorre evitare di gettare i fogli nel cestino senza aver provveduto a rendere illeggibile il contenuto dei dati (mediante apposita macchinetta tritatutto o distruzione manuale in piccoli pezzi)
  • è pericoloso utilizzare le fotocopie o le stampe di documentazione contenente dati personali non riuscite come carta per appunti
  • occorre utilizzare con attenzione le macchine fotocopiatrici di ultima generazione che possono scannerizzare e memorizzare il documento, talvolta conservando il file elettronico dello stesso.

Istruzioni particolari per l’utilizzo dei cellulari personali o altri dispositivi. La gestione delle immagini degli eventi e/o dei servizi resi da Chora Società Cooperativa. 

Ferma restando la compiuta informativa da rendere agli utenti finali in qualsiasi occasione di raccolta dati (per manifestazioni o eventi dell’azienda stessa, o più frequentemente nell’ambito dell’organizzazione per conto di altri Titolari), e la richiesta di autorizzazione per la raccolta di immagini o filmati, è fatto espresso divieto di utilizzare privatamente il suddetto materiale, che dovrà essere consegnato all’azienda e successivamente rimosso da qualsiasi device personale. E’ altresì severamente vietata la diffusione di qualsiasi immagine così raccolta, tramite social network e/o qualsiasi altra piattaforma web a titolo personale o per conto dell’azienda.
Saranno i soli soci autorizzati a trasmettere e gestire i dati raccolti in proprio o per conto dei diversi titolari (nei confronti di questi ultimi essendo legati da specifica autorizzazione o nomina a responsabile del trattamento).

Il Registro dei trattamenti e la sua tenuta

Si riporta uno schema riepilogativo del Registro dei trattamenti da tenere a cura del Titolare.

Unità organizzativa Finalità del trattamento Categorie interessati Categorie Dati Categorie Destinatari Nomina Responsabili Esterni Trasferimenti verso Paese Terzo e garanzie Misure di sicurezza

Il Registro deve essere tenuto in versione elettronica e cartacea, aggiornato come descritto nei punti precedenti. Si consiglia di conferire al documento data certa tramite spedizione periodica a mezzo pec, anche al proprio indirizzo.

Si forniscono alcuni esempi per la compilazione:

ESEMPI DI CATEGORIE DI INTERESSATI

Dipendenti

Clienti

Fornitori

Prospect

Pazienti

Cittadini

Utenti

Controparti

Professionisti

Associati

Appartenenti all’organizzazione

ESEMPI DI CATEGORIE DI DESTINATARI

L’Interessato

Coloro che hanno rapporti con l’Interessato

Consulenti professionisti dell’Interessato

Datore di lavoro

Amministrazioni pubbliche

Imprese private

Servizi pubblici

Servizi di giustizia e di polizia

Previdenza sociale

Banche e compagnie assicurative

Societa di marketing

Fornitori di servizi informatici

Fornitori di servizi amministrativi e contabili

Piattaforme di elaborazione

ESEMPI DI FINALITA’ DEL TRATTAMENTO

Amministrazione del personale

Gestione del personale

Gestione di assicurazione sanitaria

Assicurazione incidenti sul lavoro

Gestione l. 81/2008

Controllo accessi

Prevenzione frodi

Sicurezza fisica

Gestione del contenzioso

Gestione fornitori

Gestione Clienti

Anagrafica clienti

Contabilità

Gestione crediti

Insurance Management fuoco, incidenti e rischi vari

Direct Marketing

ATTI DI NOMINA A RESPONSABILI ESTERNI

Il corretto trattamento dei dati comporta anche la periodica revisione degli eventuali Responsabili Esterni del trattamento, ovverosia i soggetti che gestiscono servizi o forniture in appalto per conto del Titolare con attività in cui rientra il trattamento dei dati personali. In caso di individuazione di nuovi soggetti che svolgano per conto del Titolare tali attività, essi vanno nominati e devono essere date loro le istruzioni sul trattamento, i periodi di conservazione dei dati e le tipologie di dati trattati (se comuni, quali semplici dati di contatto, anagrafica etc., oppure sensibili, ovverosia che riguardano la salute, l’orientamento sessuale o le convinzioni politiche e religiose).

EVENTUALE ESERCIZIO DEI DIRITTI DA PARTE DEGLI INTERESSATI

In caso di richiesta da parte degli interessati, di informazioni circa il trattamento dei dati (come previsto dagli articoli 15-22 del GDPR e come enunciato peraltro nelle informative, deve essere fornito riscontro nel termine di trenta giorni a qualsiasi richiesta.

GLOSSARIO DELLA PRIVACY

Dato Personale: qualunque informazione che sia tale da consentire di identificare la persona fisica, sia in modo diretto che indiretto.

Si considerano quali dati personali, a mero titolo esemplificativo: il nome, un numero di identificazione, i dati relativi all’ubicazione, un identificativo online o uno o più elementi caratteristici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Categorie Particolari di Dati Personali: dati personali che rivelano l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati o associazioni, lo stato di salute, la vita sessuale, l’orientamento sessuale della persona, nonché i dati genetici (caratteristiche genetiche ereditarie che forniscono informazioni sulla fisiologia o sulla salute fisica della persona) e i dati biometrici (relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, quali ad esempio l’immagine facciale).

Dati Giudiziari: dati relativi alle condanne penali o a misure di sicurezza applicate nei confronti del soggetto interessato.

Finalità del Trattamento: lo scopo determinato, esplicito e legittimo che viene perseguito dal Titolare con il Trattamento.

Titolare del Trattamento: persona fisica o giuridica, P.A. e qualsiasi altro ente o associazione cui competono, anche insieme ad altro Titolare, le decisioni in ordine alle finalità, alle modalità del Trattamento e agli strumenti utilizzati.

Responsabile del Trattamento: persona fisica o giuridica, autorità pubblica o altro organismo che tratta dati personali per conto del Titolare del trattamento.

Il rapporto tra Titolare e Responsabile viene regolato da un contratto o da altro atto giuridico, nel quale devono essere indicati la materia, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, nonché gli obblighi e i diritti del Titolare del trattamento.

Responsabile della Protezione Dati (DPO): soggetto, nominato dal Titolare o dal Responsabile, dotato di conoscenze specialistiche della normativa e delle pratiche in materia di privacy.

I compiti del DPO si sostanziano essenzialmente in importanti funzioni di carattere consultivo a favore del Titolare e del Responsabile del trattamento su tutte le tematiche privacy. Svolge, inoltre, funzione di raccordo con l’Autorità Garante e di controllo sull’osservanza del Regolamento nell’ambito dell’azienda o ente di riferimento.

Nell’esercizio dei suoi compiti il DPO agisce in piena indipendenza ed in assenza di conflitti di interesse.

Il conferimento di tale incarico è obbligatorio solo nelle ipotesi previste dal GDPR; in tutti gli altri casi Titolare e Responsabile dovranno valutare l’opportunità di tale nomina, motivando la scelta maturata.

Interessato: persona fisica alla quale si riferiscono i dati personali.

Soggetto Autorizzato: chiunque (personale dipendente o collaboratore) venga autorizzato a compiere operazioni di trattamento, sulla base di adeguate istruzioni ricevute dal Titolare o dal Responsabile.

Accountability: principio di responsabilizzazione, secondo il quale il Titolare procede con la mappatura dei trattamenti effettuati, con la valutazione del grado del rischio e con la predisposizione delle misure giuridiche, organizzative e tecniche adeguate ed efficaci per la protezione dei dati personali, nel rispetto del principio di adeguatezza.

Base Giuridica: condizione di liceità del trattamento, che può consistere alternativamente nel: (i) consenso dell’interessato, (ii) contratto tra le parti, (iii) obbligo legale cui è soggetto il Titolare, (iv) salvaguardia di interessi vitali dell’interessato o di altra persona fisica, (v) esecuzione di un compito di pubblico interesse o connesso all’esercizio di pubblici poteri, (vi) interesse legittimo del Titolare.

Informativa: documento che deve essere consegnato prima di effettuare il trattamento, contenente tutte le informazioni che il Titolare deve fornire all’Interessato in merito a: categorie di dati personali oggetto del trattamento, modalità attraverso cui tali dati verranno trattati, finalità perseguite, tempi di conservazione, soggetti che entreranno in contatto con i suoi dati personali, obbligatorietà del conferimento dei dati personali e conseguenze del rifiuto, nonché diritti che l’interessato potrà esercitare.

Consenso: manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato con cui questi accetta espressamente, mediante dichiarazione o azione positiva inequivocabile, che i suoi dati personali siano oggetto di trattamento.

Registro Attività Trattamenti: strumento di compliance aziendale che deve indicare:

  • il nome e i dati di contatto del Titolare del trattamento, del Rappresentante del Titolare del trattamento e del Responsabile della protezione dei dati (DPO) ove nominato;
  • le finalità del trattamento;
  • la descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali siano stati o saranno comunicati, compresi i destinatari di paesi terzi;
  • se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;
  • i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • una descrizione generale delle misure di sicurezza tecniche e organizzative.

Sebbene la tenuta di tale registro sia obbligatoria solamente nel caso di imprese o organizzazioni con più di 250 dipendenti, il Garante della Privacy ha consigliato a tutti i Titolari e Responsabili del trattamento di predisporre tale registro, al fine di garantire una corretta gestione dei dati personali.

Data Breach: violazione dei dati personali che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.