CONSENSO AI SENSI DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI INFORMATIVA AI SENSI DELL’ART.13 DEL T.U. PRIVACY (D.LGS 196/2003)
Ai sensi del D.Lgs. n. 196 del 30 giugno 2003 (“Codice in materia di protezione dei dati personali”), il trattamento delle informazioni personali che La riguardano sarà improntato ai principi di correttezza, liceità e trasparenza e di tutela della Sua riservatezza e dei Suoi diritti.
Ai sensi dell’art. 13 del D.lgs. n.196/2003 ed in relazione ai dati personali dei quali entreremo in possesso, La informiamo di quanto segue:
1.FINALITA’ DEL TRATTAMENTO
Il trattamento dei dati da Lei forniti è finalizzato alla corretta e completa esecuzione del servizio da Lei richiesto, ed inoltre si autorizza l’invio di eventuali comunicazioni istituzionali relative ad iniziative di carattere informativo e sociale promosse dall’ente Provincia di Cosenza;
2.MODALITA’ DEL TRATTAMENTO
I dati verranno archiviati su supporti cartacei, informatici e/o telematici, nel rispetto della normativa vigente e con logiche strettamente correlate alle finalità; i dati verranno conservati per tutta la durata del rapporto e anche successivamente per l’espletamento di tutti gli adempimenti di legge; verranno cancellati e distrutti non appena si renderanno superflui in relazione alle finalità di cui sopra.
3. NATURA FACOLTATIVA DEL CONFERIMENTO DEI DATI E CONSEGUENZE DI UN EVENTUALE RIFIUTO DI RISPONDERE
Il conferimento dei dati è facoltativo, l’eventuale rifiuto di fornire tali dati potrebbe comportare la mancata o parziale esecuzione del servizio.
4. AMBITO DI COMUNICAZIONE E DIFFUSIONE
I dati personali potranno venire a conoscenza degli incaricati del trattamento. I dati personali non saranno comunicati ad altri soggetti, né saranno oggetto di diffusione.
5. ESTREMI IDENTIFICATIVI DEL TITOLARE, DEL RESPONSABILE E DEL RAPPRESENTANTE DEL TITOLARE NEL TERRITORIO DELLO STATO
il Titolare del trattamento è l’ “Associazione Nazionale Gestori Ambientali”, con sede legale in n.273 Corso Trieste , 81100 Caserta. L’interessato può esercitare i diritti di cui all’art. 7 del D. Lgs. n.196/2003 cui espressamente si rinvia.
L’ANGAM avverte che:
a) potrà, nei limiti e nei casi individuati dal Garante, accedere a informazioni archiviate nel terminale di un utente, archiviare informazioni o monitorare le operazioni dell’utente per il tempo strettamente necessario alla trasmissione della comunicazione o a fornire uno specifico servizio richiesto dal Cliente, come pure per adempiere agli obblighi di controllo che la legge pone a suo carico. In caso di mancato consenso, non potrà fornire i servizi richiesti;
b) i dati relativi al traffico (es. ora e durata della connessione) vengono cancellati o resi anonimi quando non sono più necessari per la trasmissione della comunicazione salvo diverse disposizioni di legge.
6. DIRITTI DELL’INTERESSATO
In ogni momento potrà esercitare i Suoi diritti nei confronti del titolare del trattamento, ai sensi dell’art.7 del D.Lgs.196/2003.
ADEGUAMENTO AL GDPR: REGOLAMENTO UE 2016/679
Il nuovo Regolamento (UE) 2016/679 (GDPR – General Data Protection Regulation) ha lo scopo di proteggere i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali (qualsiasi informazione che riguarda una persona fisica identificata o identificabile). Nel regolamento vengono pertanto definite le norme per il trattamento dei dati personali, e le norme relative alla libera circolazione di questi dati.
Il nuovo regolamento prevede regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (data breach).
Il regolamento si applica al trattamento automatizzato e non automatizzato di dati personali (quindi riferiti a persone fisiche, non a persone giuridiche) contenuti o destinati ad un archivio (digitale o cartaceo).
CONSENSO
Ogni qualvolta si mettono in atto attività che richiedono il trattamento di dati personali è necessario il consenso preventivo ed esplicito da parte dell’interessato, pertanto il titolare del trattamento deve poter dimostrare che il consenso è stato effettivamente prestato. Il consenso prevede che vi sia una chiara, semplice ed esaustiva informativa sul trattamento dei dati, sui diritti dell’interessato e la possibilità di poterli verificare, modificare e richiedere la cancellazione.
INFORMAZIONE
L’informativa relativa al trattamento dei dati personali richiede la presenza di più informazioni rispetto a quella in vigore con l’attuale normativa; essa deve essere di facile accesso per l’interessato e deve quindi essere scritta in un linguaggio chiaro e semplice.
Tale informativa deve essere fornita prima di effettuare la raccolta dei dati, nel caso in cui sia l’interessato stesso a fornirli; se invece non è l’interessato stesso a fornirli, il titolare è tenuto a fornirgli l’informativa entro un termine ragionevole dall’ottenimento dei dati personali, in ogni caso non più tardi di un mese.
Se il titolare decide di utilizzare i dati raccolti per una finalità diversa da quella iniziale, prima di poterlo fare è obbligato a fornire all’interessato le informazioni relative alla nuova finalità.
I DIRITTI DELL’INTERESSATO
Diverse sono le tipologie di diritti che l’interessato può esercitare (e che devono essere garantiti): diritto di accesso, diritto di rettifica, diritto alla cancellazione (diritto all’oblio), diritto di limitazione del trattamento, diritto alla portabilità dei dati, diritto di opposizione al trattamento.
Nel caso in cui l’interessato decida di avvalersi di uno di questi diritti, il titolare è obbligato a fornire una risposta scritta, chiara, trasparente e facilmente accessibile, entro un mese dalla richiesta, anche nel caso in cui la risposta fosse un rifiuto. L’esercizio dei diritti citati è gratuito, salvo il caso in cui le richieste siano infondate o eccessive.
TITOLARE DEL TRATTAMENTO: GLI OBBLIGHI
Protezione dei dati
Il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate al fine di garantire i principi di protezione dei dati e dei diritti degli interessati. Tali misure devono essere periodicamente riesaminate e aggiornate.
– Protezione dei dati fin dalla progettazione: prima di procedere con il trattamento dei dati veri e propri è necessario prevedere le garanzie indispensabili per poter soddisfare i requisiti richiesti dal regolamento, tutelando quindi i diritti degli interessati.
– Protezione dei dati per impostazione predefinita: il titolare del trattamento è obbligato ad attuare delle misure tecniche e organizzative adeguate al fine di garantire che, di default, non siano resi accessibili dati personali ad un numero indefinito di persone, mediante, ad esempio, opportune procedure di autorizzazione e autenticazione.
Contitolarità del trattamento
È possibile che due o più titolari operino come contitolari del trattamento; in tal caso sono obbligati a concordare in modo trasparente e mediante un contratto, la ripartizione delle responsabilità del trattamento, con particolare riguardo all’esercizio dei diritti degli interessati e ai connessi obblighi informativi.
Nomine
– Responsabile del trattamento: il titolare può nominare un responsabile che effettui il trattamento per suo conto, sul quale ricadranno tutti gli obblighi in materia di protezione dei dati che ricadevano sul titolare del trattamento. Tale figura, come tutte le figure che sono autorizzate ad accedere ai dati personali, devono essere preventivamente istruite dal titolare.
– Rappresentante del trattamento: nel caso in cui il trattamento dei dati personali sia relativo ad interessati che si trovano nell’Unione da parte di titolare e/o responsabili non stabili dell’UE, il titolare o il responsabile deve designare per iscritto un proprio rappresentante nell’Unione, il quale diventerà l’interlocutore della competente autorità di controllo e degli interessati.
– Responsabile della protezione dei dati (Data Protecntion Officer – DPO): il DPO è una figura che ha compiti di informazione, formazione, consulenza e sorveglianza dell’adempimento della disciplina “privacy” ed è l’interlocutore dell’autorità di controllo. La nomina di tale figura è obbligatoria quando il titolare del trattamento è autorità/organismo pubblico, effettua trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, effettua come attività principali trattamenti su larga scala di dati sensibili, genetici, biometrici, giudiziari. Il responsabile può essere nominato tra i dipendenti del titolare o del responsabile del trattamento, oppure essere esterno ed assolvere i propri compiti in base a un contratto di servizi.
VALUTAZIONE DEI RISCHI
L’approccio del regolamento si basa sul risk assessment. In tutte le attività è necessaria una valutazione dei rischi che comprenda anche un piano di misure di prevenzione e protezione, in modo analogo a quanto prevede il DLgs 81/2008 in materia di salute e sicurezza sul lavoro.
Sono richiesti in particolare:
– mappatura dei processi;
– analisi e valutazione dei rischi;
– definizione delle misure necessarie.
REGISTRO E VALUTAZIONE D’IMPATTO
Registro delle attività di trattamento
Nei contesti con almeno 250 dipendenti o che, anche con un numero inferiore di dipendenti, effettuino un trattamento che possa presentare un rischio per i diritti e le libertà degli interessati che non sia occasionale o che includa dati sensibili, è l’adozione del Registro delle attività di trattamento, riportante una mappa dettagliata di tutti i trattamenti effettuati.
Valutazione di impatto e consultazione dell’autorità di controllo
In modo analogo, quando il trattamento mette a rischio diritti e libertà delle persone fisiche, è necessaria la valutazione d’impatto sulla protezione dati e consultazione dell’autorità di controllo.
Se tale Valutazione d’impatto sulla protezione dei dati confermi che il trattamento potrebbe presentare un rischio elevato in assenza di misure adottate dal titolare per attenuarlo, egli deve, prima di procedere con trattamento, consultare l’autorità di controllo (consultazione preventiva). Se l’autorità di controllo ritiene che il trattamento violi il regolamento, deve fornire un parere scritto al titolare entro un termine di otto settimane dal ricevimento della richiesta di consultazione.
TRASFERIMENTO IN PAESI TERZI
Il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale deve essere effettuato nel rispetto di specifiche condizioni così da non pregiudicare il livello di protezione delle persone fisiche garantito dal Regolamento.
INCIDENTI E VIOLAZIONI
Nel caso in cui avvenga una violazione dei dati, e si ritenga che da essa possano derivare dei rischi per i diritti e le libertà degli interessati, il titolare del trattamento è tenuto a notificare, possibilmente entro 72 ore, la violazione all’autorità di controllo competente.
Se si reputa che tale violazione presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è tenuto a comunicare la violazione all’interessato. Non vi è l’obbligo di comunicazione all’interessato nel caso in cui, il titolare, abbia cifrato i dati rendendoli incomprensibili a chiunque. Rimane comunque obbligatorio, in ogni caso, per i titolari di trattamento, collaborare con l’autorità di controllo quando questa gliene faccia richiesta e documentare ogni violazione dei dati personali, anche se non notificate all’autorità di controllo e/o agli interessati.
Il titolare è tenuto, inoltre, a risarcire il danno materiale o immateriale causato da una violazione del Regolamento, a meno che non dimostri che l’evento dannoso non gli è in alcun modo imputabile.
ADEMPIMENTI VOLONTARI
Il titolare del trattamento può aderire in modo volontario a codici di condotta o a sistemi di certificazione, attraverso cui può implementare in modo significativo la sicurezza dei trattamenti e dimostrare la conformità delle attività di trattamento ai requisiti stabiliti dal Regolamento.
TERMINI DI ADEGUAMENTO
I titolari di trattamento devono verificare che tutti i contratti o altri atti giuridici attualmente in vigore, siano conformi a quanto previsto dal nuovo Regolamento. Il regolamento è in vigore dallo scorso 25 maggio 2018.
SANZIONI
Le violazioni delle disposizioni sopra indicate, possono comportare sanzioni amministrative e pecuniarie decisamente importanti e commisurate al fatturato dell’organizzazione.