Premesse
Con le presenti Linee Guida Gleda Events Srl intende conformarsi alla normativa vigente in materia di Privacy e protezione dei dati personali, di cui al General Data Protection Regulation, ovvero il Regolamento UE 679/2016 (di seguito, per brevità “GDPR” o “Regolamento UE”), applicabile dal 25 maggio 2018 e relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione degli stessi.
Il GDPR è volto ad armonizzare tutte le normative in materia di Privacy presenti all’interno dell’Unione Europea, rafforzando la tutela dei diritti dell’interessato e responsabilizzando il Titolare ed il Responsabile del trattamento.
Gleda Events, pertanto, garantisce che i trattamenti dei dati personali dei quali è Titolare si svolgano – conformemente alla normativa vigente – nel rispetto dei diritti e delle libertà fondamentali dell’interessato e sensibilizzando in tal senso tutti i dipendenti e collaboratori.
2. Principi del Trattamento
Il trattamento dei dati personali da parte del Titolare si fonda, ai sensi dell’art. 5 GDPR, sul rispetto dei principi di: liceità, correttezza e trasparenza del trattamento nei confronti dell’interessato; limitazione delle finalità del trattamento e minimizzazione della raccolta dei dati, ovvero utilizzo dei dati per quanto strettamente necessario al perseguimento delle finalità di Gleda Events; esattezza dei dati rispetto alle finalità per le quali vengono trattati; limitazione temporale della loro conservazione; integrità e riservatezza dei medesimi; responsabilizzazione del Titolare.
3. Definizioni
Ai fini di una agevole comprensione delle presenti Linee Guida, si intende per:
- “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile. Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento ad un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o ad uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
- “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
- “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità ed i mezzi del trattamento dei dati personali;
- “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare;
- “profilazione”: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi ad una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti ilo rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
- “pseudonimizzazione”: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tal dati personali non siano attribuiti a una persona fisica indentificata o identificabile;
- “autorità di controllo”: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’art. 51 GDPR;
- “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
- “violazione dei dati personali”: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
4. I soggetti del trattamento
Le presenti Linee Guida individuano quali soggetti coinvolti nel trattamento dei dati personali effettuati da Gleda Events le figure di seguito riportate.
4.1. Titolare e registri delle attività di trattamento
Il Titolare del trattamento è Gleda Events Srl, con sede in Tivoli, via lago di Annone 6/8 00019, in persona del legale rappresentante pro tempore.
Ai sensi dell’art. 24 del GDPR il Titolare mette in atto le misure tecnico-organizzative adeguate per garantire la conformità del trattamento ai principi di cui al paragrafo 2 delle presenti Linee Guida. L’art. 30, co. 1, del GDPR prevede che ogni Titolare e ogni Responsabile del trattamento tengano un registro delle attività di trattamento svolte, contenente nello specifico: i riferimenti del Titolare del trattamento, le finalità, le categorie di interessati e di dati trattati, eventuali destinatari se questi vengono comunicati a terzi o trasferiti all’estero, i tempi – ove possibile – della loro conservazione ed, infine, una descrizione generale delle misure di sicurezza tecnico-organizzative adottate.
Ai sensi dell’art. 30, co. 5, del Regolamento UE, l’obbligo di tenuta del registro suddetto non si applica alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’art. 9, co. 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10 del Regolamento UE.
4.2. Responsabile del trattamento
Ai sensi dell’art. 28 GDPR, i Responsabili del trattamento nominati dal Titolare garantiscono l’adozione di misure tecnico-organizzative adeguate, affinché i trattamenti da loro effettuati per conto del Titolare soddisfino i requisiti di legittimità di cui al Regolamento UE. Il Responsabile del trattamento non può trattare i dati personali se non secondo le istruzioni impartite dal Titolare ed in caso di trattamenti particolarmente complessi può nominare, a sua volta, un sub-responsabile.
In particolare, Gleda Events nomina quale Responsabile interno del trattamento g 44 – mail: privacy@gledaevents.it
Si precisa che sono Responsabili esterni del trattamento tutti i soggetti esterni, non dipendenti del Titolare, che effettuano trattamenti sulle banche dati dello stesso, per suo conto e/o nel suo interesse. I trattamenti da parte del Responsabile (interno o esterno) del trattamento sono disciplinati, ai sensi dell’art. 28 GDPR, da un contratto o altro atto giuridico che individui la durata, la natura, la finalità del trattamento, il tipo di dati personali e le categorie degli interessati, le responsabilità affidate al Responsabile, gli obblighi ed i diritti del Titolare del trattamento. Il Responsabile (interno o esterno) del trattamento tiene, al pari del Titolare e ove previsto, il registro delle attività di trattamento di cui all’art. 30, co. 2, GDPR, svolte per conto del Titolare stesso.
4.3. Persone autorizzate al trattamento
Ai sensi dell’art. 29 GDPR, Gleda Events in qualità di Titolare o i Responsabili del trattamento di cui al paragrafo 4.2. individuano – con appositi atti di nomina e quali persone autorizzate al trattamento medesimo – tutti i dipendenti, collaboratori, consulenti, outsourcers che intervengono, in relazione all’esercizio delle rispettive mansioni e competenze, nell’esecuzione dei trattamenti.
Le persone autorizzate al trattamento dei dati personali agiscono, dunque, sotto l’autorità del Responsabile o del Titolare del trattamento.
5. Tipologia di trattamenti e finalità
Gleda Events effettua i trattamenti di dati personali per il perseguimento delle finalità connesse all’esecuzione dei servizi e delle prestazioni richiesti dal visitatore del sito web e/o potenziale utente dei servizi offerti dalla Società, nonché per i connessi adempimenti legali e contrattuali oltre che per scopi commerciali. Con particolare riferimento ai dati di navigazione internet, questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull’utilizzo del sito e per controllarne il corretto funzionamento e vengono conservati per il tempo strettamente necessario. I dati potrebbero essere utilizzati, altresì, per l’accertamento di responsabilità in caso di ipotetici reati informatici ai danni del sito web. Fra i Dati Personali raccolti in modo autonomo o tramite terze parti, ci sono: Cookie, Dati di utilizzo, CAP, Email, Cognome, Numero di Telefono e Provincia. Dati Personali possono essere inseriti volontariamente dall’Utente, oppure raccolti in modo automatico durante l’uso dei servizi offerti dalla Società.
Con le presenti Linee Guida Gleda Events garantisce che i trattamenti suddetti vengano effettuati per le finalità strettamente connesse all’espletamento delle attività sopra menzionate, oltre che nel rispetto dei diritti e delle libertà fondamentali degli iscritti/utenti.
6. Banche dati
Per banca dati si intende una raccolta di dati sistematicamente e metodicamente organizzata composta di una o più unità, dislocate in uno o più siti; in particolare, Gleda Events utilizza banche dati di tipo cartaceo ed informatico.
7. Responsabile della Protezione dei Dati (Data Protection Officer, “DPO”)
Il Titolare designa, ai sensi dell’art. 37 del GDPR un Responsabile della Protezione dei dati con comprovate conoscenze in materia di privacy, i cui riferimenti sono comunicati all’autorità di controllo. Gleda Events nomina quale Responsabile della Protezione dei dati l’Avv. Ilaria Orofalo, con Studio in Cellino San Marco (BR), via San Lorenzo da Brindisi 44 e – mail privacy@gledaevents.it
Ai sensi dell’art. 39 GDPR e come da atto di nomina, il DPO designato svolge i seguenti compiti:
- informare e fornire consulenza al Titolare o al Responsabile del trattamento;
- sorvegliare l’osservanza della normativa in materia di protezione dei dati personali, compresi l’attribuzione di responsabilità, la sensibilizzazione e formazione delle figure che partecipano ai trattamenti;
- fornire pareri, se richiesti;
- cooperare con l’autorità di controllo.
8. Diritti dell’interessato
Gli interessati possono esercitare diritti di cui agli artt. 15-21 del GDPR e, nello specifico: il diritto di accesso ai dati, di rettifica ed il diritto alla cancellazione (“diritto all’oblio”) degli stessi, il diritto di limitarne il trattamento, il diritto alla loro portabilità, nonché il diritto di opposizione al trattamento, da far valere secondo le modalità indicate nelle apposite informative fornite dal Titolare del trattamento.
9. Sicurezza del trattamento
Il Titolare ed il Responsabile del trattamento garantiscono, ai sensi dell’art. 32 GDPR, un livello di sicurezza adeguato al rischio per i diritti e le libertà degli interessati, adottando misure tecnico-organizzative, fra le quali:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare permanentemente la riservatezza, l’integrità, la disponibilità, nonché la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali ed, in generale, la manutenzione dei sistemi informatici;
- una procedura per testare regolarmente l’efficacia delle misure adottate per prevenire e/o fronteggiare i potenziali rischi del trattamento.
Gleda Events, al fine di garantire la tutela dei dati personali oggetto dei propri trattamenti ed il rispetto delle disposizioni vigenti in materia, con le presenti Linee Guida adotta tutti gli accorgimenti e le misure tecniche ed organizzative possibili e proporzionate alla propria realtà ed attività.
9.1. Il Data Protection Impact Assessment (DPIA)
Con la valutazione d’impatto sulla protezione dei dati personali – di cui all’art. 35 del GDPR – il Titolare del trattamento dei dati personali intende garantire il rispetto dei requisiti di compliance in materia di Privacy previsti dal Regolamento UE.
La DPIA è volta a valutare l’impatto che potrebbe avere un trattamento sulla sfera personale degli interessati e ridurre rischi ad esso connessi; essa mira, pertanto, a determinare se i trattamenti che Gleda Events effettua possano – ed in che termini – pregiudicare le libertà fondamentali, i diritti e la dignità dell’interessato.
Si tratta di un processo codificato e strutturato nelle seguenti fasi:
- giustificazione della DPIA: ovvero le ragioni per cui il Titolare del trattamento ritiene necessaria una valutazione di impatto sui dati personali che intende trattare;
- definizione dei flussi informativi: ovvero delle categorie di dati oggetto di trattamento, degli utilizzatori, delle sorgenti e dei destinatari finali del dato;
- identificazione dei rischi: individuazione – in termini di probabilità e gravità – delle minacce che potrebbero concretizzarsi procurando un danno all’interessato;
- selezione e valutazione delle soluzioni: al fine di ridurre il rischio ad un livello cd. accettabile;
- report DPIA ed integrazione dei risultati.
Alla luce delle Linee Guida adottate nell’aprile 2017 dal Gruppo di lavoro articolo 29 – organo consultivo indipendente dell’UE per la protezione dei dati personali – e nel rispetto della disposizione di cui all’art. 35 co. 3 Regolamento UE il Titolare, se lo ritiene opportuno, effettua la valutazione d’impatto per trattamenti su larga scala che incidano su un vasto numero di interessati e che comportino un elevato rischio connesso i) all’introduzione di nuove tecnologie, ii) all’implementazione di trattamenti di profilazione o di sorveglianza o iii) all’utilizzo di particolari categorie di dati.
Ai sensi dell’art. 35 co. 7 del Regolamento UE, la valutazione di impatto effettuata dal Titolare del trattamento prevede:
- una descrizione sistematica dei trattamenti previsti, delle finalità e l’eventuale ricorrenza di un interesse legittimo perseguito dal titolare;
- una valutazione della necessità e della proporzionalità dei trattamenti rispetto alle predefinite finalità;
- la valutazione dei rischi per i diritti e le libertà degli interessati;
- le misure organizzative e tecniche ed ogni meccanismo ritenuto utile per la tutela dei diritti degli interessati;
- la responsabilità del processo di DPIA rimane in capo al Titolare del trattamento, il quale – all’occorrenza – potrebbe coinvolgere anche i responsabili aziendali, i responsabili esterni, i consulenti, gli outsourcers.
10. Consenso dell’interessato
Ogni qualvolta il trattamento dei dati personali non si basi sulle ipotesi di cui all’art. 6 GDPR e, pertanto, richieda il consenso espresso dell’interessato ai sensi dell’art. 7 GDPR, il Titolare dovrà conservare e registrare tale autorizzazione al trattamento.
L’interessato deve poter conoscere le modalità per prestare il consenso ed ha diritto di revocarlo in qualsiasi momento.
Laddove la raccolta di dati personali si riferisca ad un minore di età inferiore ai 16 anni, il Responsabile della Protezione dei Dati deve garantire, prima della raccolta, che sia fornito il consenso dell’esercente la responsabilità genitoriale.
11. Informativa privacy
Gleda Events fornisce all’interessato le informative di cui agli artt. 13 e 14 GDPR, contenenti informazioni specifiche, chiare e sintetiche – sia nel caso di dati raccolti presso l’interessato che di dati raccolti presso terzi – sui trattamenti che intende effettuare.
12. Notifica di una violazione dei dati personali all’autorità di controllo
Il Titolare del trattamento è tenuto a notificare, secondo le modalità di cui all’art. 33 co. 3 GDPR, l’eventuale violazione dei dati personali – di cui sia venuta a conoscenza direttamente o su informazione del Responsabile del trattamento – all’autorità di controllo competente ex art. 55 del Regolamento UE, salvo che il rischio venga valutato come improbabile per i diritti e le libertà dell’interessato.
Ad ogni modo il Titolare del trattamento, nel rispetto del principio di accountability, documenta qualsiasi violazione, così da consentire all’autorità di controllo di verificare la conformità del trattamento alla normativa vigente.
13. Comunicazione di una violazione all’interessato e trasparenza
Gleda Events, inoltre, comunica la violazione di dati personali all’interessato, qualora questa presenti rischi elevati per i diritti e le libertà dello stesso e salvo che non ricorrano le condizioni di cui all’art. 34 co. 3 GDPR.
La comunicazione può essere contestuale alla notifica di cui al paragrafo che precede e deve contenere, almeno, le seguenti informazioni:
- contatti del Responsabile della Protezione dei dati personali;
- probabili conseguenze della violazione in questione;
- le misure adottate o da adottare da parte del Titolare del trattamento per porre rimedio alla violazione.
14. Sanzioni
Il mancato rispetto delle disposizioni in materia di protezione dei dati personali è punito con l’applicazione di sanzioni amministrative pecuniarie, inflitte secondo i criteri di cui all’art. 83 GDPR ed, in generale, tenuto conto della natura della gravità e della durata della violazione, delle finalità del trattamento, del numero degli interessati lesi, del livello del danno e dell’aspetto doloso o colposo della violazione. Resta ferma l’applicabilità di sanzioni penali, conformemente a quanto previsto dalla legislazione nazionale in materia.
15. Disposizioni finali
Per quanto non espressamente previsto nelle presenti Linee Guida, si applicano le disposizioni del Regolamento (UE) 2016/679, come recepito nell’ordinamento, nonché i provvedimenti del Garante per la protezione dei dati personali.
Le presenti Linee Guida sono suscettibili di modifiche ed integrazioni in virtù di eventuali sopraggiunte variazioni della normativa applicabile e sulla base di documentate esigenze organizzative e funzionali della Società.