REGOLAMENTO PRIVACY


Chi siamo

L’indirizzo del nostro sito web è: https://www.ritomoderno.it.

REGOLAMENTO PRIVACY RITO MODERNO ITALIANO

PARTE I: INTRODUZIONE

Premessa

Il diritto alla protezione dei dati personali è un diritto fondamentale dell’individuo ai sensi della Carta dei diritti fondamentali dell’Unione europea (art. 8): è un vero e proprio diritto inviolabile della persona che non si limita alla tutela della riservatezza o alla protezione dei dati, ma implica il pieno rispetto dei diritti e delle libertà fondamentali e della dignità.

Il presente Regolamento è stato predisposto per regolare, attraverso una serie di misure che compongono un vero e proprio “Sistema Gestionale Privacy“, i compiti e le responsabilità di tutti coloro che, nel Gran Capitolo Italiano del Rito Moderno, trattano dati personali.

Il documento, che è stato elaborato tenendo conto dell’attuale quadro regolatorio, è uno strumento di applicazione del vigente D.lgs. 30 giugno 2003, n. 196 (cosiddetto “Codice in materia di protezione dei dati personali” come novellato dal D.lgs. 10 agosto 2018 n. 101) e, in particolare, del Regolamento Europeo n. 679/2016 (conosciuto come “GDPR”), nell’ambito dell’organizzazione del Gran Capitolo Italiano del Rito Moderno (di seguito GCIRM).

A far data dal 25 maggio 2018, sul territorio nazionale, ha trovato diretta e immediata applicazione il Regolamento Europeo n. 679/2016 del Parlamento Europeo e del Consiglio dell’Unione Europea, approvato il 27 aprile 2016 e pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 04 maggio 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

Ciò ha comportato il superamento delle disposizioni legislative di cui al previgente Codice in materia di protezione dei dati personali, D.lgs. 196/2003 come successivamente modificato dal Legislatore italiano con il D. Lgs. 101 del 10 agosto 2018 di adeguamento al GDPR), così come delle norme regolamentari emanate negli anni dall’Autorità Garante per la protezione dei dati personali, nella misura in cui le norme nazionali risultino contrastanti o incompatibili con quelle europee.

Il principio cardine, di matrice anglosassone, introdotto dal Regolamento Europeo è quello della Accountability che pone in carico al Titolare del trattamento dei dati l’obbligo di attuare politiche adeguate in materia di protezione dei dati, con l’adozione di misure tecniche e organizzative, anche certificate, che siano concretamente e sempre dimostrabili, oltre che conformi alle disposizioni europee (principio della Compliance); vi è quindi l’obbligo di attuare comportamenti proattivi, tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento UE.

Nell’ottica del Legislatore europeo, quindi, in materia di Privacy ciascun Titolare può scegliere autonomamente il modello organizzativo e gestionale che ritiene più adatto alla propria realtà e dotarsi delle misure di sicurezza che ritiene più efficaci in quanto risponde delle proprie azioni e deve essere in grado, in qualsiasi momento, di darne conto verso l’esterno.

PARTE II: DISPOSIZIONI GENERALI

Articolo 1: Oggetto del Regolamento

Il presente documento individua le politiche dell’Organizzazione relative alla corretta gestione del trattamento dei dati personali, così come definiti dal Regolamento UE 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito GDPR), dal Decreto Legislativo n. 196 del 2003 “Codice in materia di protezione dei dati personali” così come modificato dal Decreto Legislativo n.101 del 2018 e dai Provvedimenti del Garante per la Protezione dei Dati, attraverso l’individuazione di una serie di misure nonché di compiti e di responsabilità di tutti coloro che nel GCIRM trattano dati personali.

L’organizzazione adotta idonee e preventive misure di sicurezza, volte a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. L’organizzazione adotta altresì le misure occorrenti per facilitare l’esercizio dei diritti dell’interessato ai sensi dell’art. 15 del Regolamento UE 679/2016.

Articolo 2: Definizioni

Come stabilito dall’articolo n. 4 del Regolamento Europeo n. 2016/679, ai fini di questo disciplinare del GCIRM si intende per:

  1. a) Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
  2. b) Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
  3. c) Limitazione di trattamento: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;
  4. d) Profilazione: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
  5. e) Pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
  6. f) Archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
  7. g) Destinatario: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;
  8. h) Terzo: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il Responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del Responsabile;
  9. i) Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri (nel caso in specie tale ruolo potrebbe essere ricoperto dal Gran Capitolo Italiano del Rito Moderno nella persona del legale rappresentante);
  10. j) Data Protection Officer: è una persona fisica, nominata obbligatoriamente nei casi di cui all’ art. 37 del Regolamento europeo n.679/2016 dal Titolare o dal Responsabile del trattamento e deve possedere una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati per assisterli nel rispetto, a livello interno, del già menzionato Regolamento;
  11. k) Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
  12. l) Designato: la persona fisica cui il Titolare, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, attribuisce specifici compiti e funzioni connessi al trattamento di dati personali (nel caso in specie tale ruolo è ricoperto dai singoli Capitoli nelle persone dei legali rappresentanti degli stessi – Saggissimi);
  13.  m) Autorizzato: persone fisiche autorizzate a compiere operazioni di trattamento sotto la diretta autorità del Titolare e/o del Responsabile del trattamento e/o del Designato del trattamento (nel caso in specie tale ruolo è ricoperto dai Segretari e dai Tesorieri dei singoli Capitoli);
  14. n) Comunicazione: il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dell’Unione europea, dal Responsabile o dal suo rappresentante nel territorio dell’Unione europea, dalle persone autorizzate, ai sensi dell’articolo 2-quaterdecies del D.lgs. 101 del 2018 , al trattamento dei dati personali sotto l’autorità diretta del titolare o del Responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione;
  15. o) Diffusione: il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
  16. p) Consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
  17. q) Violazione dei dati personali: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
  18. r) Dati genetici: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
  19. s) Dati biometrici: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
  20. t) Dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
  21. u) Autorità di controllo: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51 del Regolamento UE;

A proposito delle tipologie di “dati” sopra indicate, si fa rinvio, per la disciplina di dettaglio, alle disposizioni di cui al D.lgs. 101 del 2018 che ha novellato il D.lgs. 196/2003 (vedasi, in particolare, il Titolo 1° della Parte 1°, “Disposizioni generali”).

Articolo 3: Accountability e Sistema di Gestione Privacy

L’Organizzazione mette in atto tutte le misure tecniche e organizzative adeguate a garantire ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente alla normativa vigente, tenuto conto della relativa natura, ambito di applicazione, contesto e finalità di trattamento in considerazione del possibile rischio di lesione dei diritti e delle libertà degli Interessati.

Tali misure sono riesaminate e aggiornate periodicamente e negli ulteriori casi in cui ciò si renda necessario, adottando politiche adeguate in materia di protezione dei dati.  Il sistema gestionale privacy dell’Organizzazione include:

 STRUTTURE:  

  1. I Designati (Saggissimi dei Capitoli)
  2. Gli Autorizzati (Segretari e Tesorieri dei Capitoli)

DOCUMENTAZIONE:

  1. Registro delle Attività di Trattamento (RAT) (Centrale a livello del GCIRM e periferica nei singoli Capitoli)
  2. Documentazione relativa alle informative e agli atti di nomina (idem)
  3. Analisi dei rischi e il relativo documento di valutazione (idem)

PROCEDURE:

  1. le regolamentazioni, le policy, le procedure e le disposizioni operative adottate;
  2. il sistema di audit e verifica periodica del corretto trattamento dei dati personali;
  3. procedura data breach (violazioni dei dati personali);
  4. l sistema di formazione continua di tutti i Soggetti coinvolti nelle attività di trattamento;
  5. procedura di esercizio dei diritti degli Interessati.

Articolo 4: Categorie di Interessati e di dati personali trattati dall’Organizzazione

L ‘Organizzazione tratta i dati personali relativi a:

  1. iscritti;
  2. soggetti in rapporto di collaborazione;
  3. clienti e fornitori.

I dati personali trattati comprendono anche le seguenti tipologie di dati “particolari”:

  1. Dati giudiziari (eventuali provvedimenti di sospensione)
  2. Dati relativi all’appartenenza massonica (Loggia di appartenenza, iscrizione a Riti)

I dati personali trattati dal GCIRM, nelle forme e nei limiti di quanto previsto dalla normativa vigente, sono raccolti direttamente presso l’interessato;

Per effettuare il trattamento dei dati personali, il GCIRM utilizza sistemi manuali e automatizzati.

Articolo 5: Principi applicabili al Trattamento dei Dati

L’Organizzazione, adotta misure capaci di assicurare e documentare che il trattamento dei dati personali viene effettuato con modalità tali da preservarne l’integrità e la confidenzialità, nel rispetto delle adeguate misure di sicurezza.

Pertanto, il GCIRM attiva le necessarie risorse organizzative, tecnologiche e finanziarie affinché il trattamento dei dati personali sia conforme alle disposizioni in materia di protezione dei dati e di amministrazione digitale nell’osservanza dei seguenti principi:

liceità, correttezza e trasparenza: trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;

limitazione della finalità: raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non siano incompatibili con tali finalità;

minimizzazione dei dati: debbano essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;

esattezza: siano esatti e, se necessario, aggiornati, adottando tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;

limitazione della conservazione: siano conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, salvo che vengano conservati per periodi più lunghi ai soli fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente Regolamento a tutela dei diritti e delle libertà dell’interessato;

integrità e riservatezza: trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali;

responsabilizzazione: capacità di dimostrare che il trattamento dei dati viene svolto nel pieno rispetto della normativa vigente.

Articolo 6: Liceità del trattamento

Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni (art.6 del Regolamento UE n. 679/2016):

  1. a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
  2. b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  3. c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  4. d) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali.

Articolo 7: Finalità del trattamento

L’Organizzazione garantisce che il trattamento dei dati, a tutela delle persone fisiche, si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali, a prescindere dalla nazionalità o dalla residenza dell’interessato.

I trattamenti di dati personali effettuati dal GCIRM sono finalizzati:

  1. All’affiliazione dei richiedenti al GCIRM;
  2. Agli adempimenti amministrativi connessivi con il mantenimento dell’affiliazione;
  3. Ai passaggi di Ordine di Saggezza;
  4. Agli eventuali trasferimenti tra Capitoli.

PARTE III: DIRITTI DELL’INTERESSATO

Articolo 8: Informazioni sul trattamento dei dati

Come stabilito dall’articolo n. 13 del Regolamento Europeo n. 679/2016, in caso di raccolta presso l’interessato di dati che lo riguardano, il Titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

  1. a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  2. b) i dati di contatto del Responsabile della protezione dei dati, ove applicabile;
  3. c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  4. d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f) del Regolamento UE, i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
  5. e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  6. f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione, nei termini previsti dal Regolamento UE.

In aggiunta alle informazioni di cui sopra, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

  1. a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  2. b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  3. c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a) del Regolamento UE, l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  4. d) il diritto di proporre reclamo a un’autorità di controllo;
  5. e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  6. f) l’eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4 del Regolamento UE, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Le informative di cui al presente articolo saranno rese accessibili all’interessato attraverso la modalità più confacente, cartacea o digitale.

Le informazioni sul trattamento dei dati personali non sono rilasciate all’Interessato da parte del GCIRM nel caso in cui questi disponga già delle suindicate informazioni o nel caso in cui comunicarle risulti impossibile o implicherebbe uno sforzo sproporzionato.

Articolo 9: Diritto di accesso

Gli interessati possono contattare il Titolare del trattamento o in alternativa il Data Protection Officer per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti.

Come stabilito dall’articolo n. 15 del Regolamento Europeo n. 679/2016, l’interessato ha il diritto di ottenere dal Titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

  1. a) le finalità del trattamento;
  2. b) le categorie di dati personali in questione;
  3. c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
  4. d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  5. e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
  6. f) il diritto di proporre reclamo a un’autorità di controllo;
  7. g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
  8. h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

L’accesso ai dati è garantito, all’Interessato, nei seguenti modi:

  1. Direttamente anche per via telematica se disponibile;
  2. Per delega o procura.

Articolo 10: Diritto di rettifica

Come stabilito dall’articolo n. 16 del Regolamento Europeo n. 679/2016, l’interessato ha il diritto di ottenere dal Titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

Articolo 11: Diritto alla cancellazione (diritto all’oblio)

Come stabilito dall’articolo n. 17 del Regolamento Europeo n. 679/2016, in capo all’interessato è riconosciuto il diritto “all’oblio”, che si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata.

L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

  1. a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti altrimenti trattati;
  2. b) l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento;
  3. c) l’interessato si oppone al trattamento in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano e non sussiste alcun motivo legittimo prevalente per procedere al trattamento oppure qualora i dati personali siano trattati per finalità di marketing diretto;
  4. d) i dati personali sono stati trattati illecitamente;
  5. e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
  6. f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1 del Regolamento UE.

Articolo 12: Diritto di limitazione di trattamento

Il diritto disciplinato dall’articolo n. 18 del Regolamento Europeo n. 679/2016, è un diritto diverso e più esteso rispetto al “blocco” del trattamento di cui all’art. 7, comma 3, lettera a), del Codice: in particolare, è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), bensì anche se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento ai sensi dell’art. 21 del Regolamento (in attesa della valutazione da parte del titolare).

Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze (consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante).

Il diritto alla limitazione prevede che il dato personale sia “contrassegnato” in attesa di determinazioni ulteriori; pertanto, il Titolare può prevedere nei propri sistemi informativi (elettronici o meno) misure idonee a tale scopo.

Articolo 13: Diritto alla portabilità dei dati

Si tratta di uno dei nuovi diritti previsti dall’articolo 20 del Regolamento UE, anche se non è del tutto sconosciuto ai consumatori (e.g. si pensi alla portabilità del numero telefonico).

Non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio; in particolare, sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato (quindi non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del titolare, per esempio), e solo i dati che siano stati “forniti” dall’interessato al Titolare (si veda il considerando 68 del Regolamento UE).

Inoltre, il Titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se tecnicamente possibile.  

Articolo 14: Diritto di opposizione

L’Interessato ha il diritto di opporsi (articolo 21 del Regolamento UE) in qualsiasi momento al trattamento dei dati personali che lo riguardano e l’Azienda si astiene dal trattarli ulteriormente, salvo che dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, diritti e libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Qualora i dati personali siano trattati a fini di ricerca scientifica o storica o a fini statistici l’Interessato ha il diritto di opporsi al trattamento di dati personali che lo riguarda, salvo che il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico.

PARTE IV: TITOLARE DEL TRATTAMENTO E ALTRE FIGURE

Articolo 15: Titolare del Trattamento

Il Titolare del trattamento dei dati personali è la persona fisica, giuridica, la Pubblica Amministrazione, e qualsiasi altro Ente, Associazione od organismo cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, compreso il profilo della sicurezza.

L’ Organizzazione, nella persona del Legale Rappresentante è il Titolare del trattamento (Controller) cui spetta la responsabilità del rispetto di tutti i princìpi previsti dal Regolamento europeo. Il Titolare del trattamento mette in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

Il rappresentante legale può delegare le relative funzioni ai soggetti Designati di cui all’art.2-quaterdecies del Codice Privacy.

Il Titolare, unitamente a quanto sopra e nei casi previsti dalla legge, provvede anche:

  1. a) a cooperare, su richiesta, con l’Autorità Garante per la Privacy nell’esecuzione dei suoi compiti;
  2. b) a designare il Data Protection Officer, dotandolo delle necessarie e adeguate risorse;
  3. c) a nominare i Responsabili del trattamento (Processor) dei dati personali, impartendo ad essi, i compiti e le necessarie istruzioni, come da prospetto di incarico adottato dall’ Azienda e che fa parte del sistema privacy aziendale;
  4. d) a disporre periodiche attività di audit sia interne che verso i Responsabili;

Si dà evidenza, inoltre, che il Regolamento UE pone, con forza, l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) sia dei Titolari che dei Responsabili, ovverossia sull’adozione di comportamenti proattivi, tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento (si vedano artt. 23-25, in particolare, e l’intero Capo IV del Regolamento).

Articolo 16: Contitolari del Trattamento

Come stabilito dall’articolo n. 26 del Regolamento Europeo n. 679/2016, allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal Regolamento UE, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni.

Tale accordo può designare un punto di contatto per gli interessati e riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.

Indipendentemente dalle disposizioni dell’accordo anzidetto, l’interessato può esercitare i propri diritti ai sensi del Regolamento UE nei confronti di e contro ciascun Titolare del trattamento.

Articolo 17: Designato alla gestione delle attività di trattamento dei dati

Il D.lgs. 196/2003, come novellato dal D.lgs. 101/2018 di armonizzazione del Codice italiano della Privacy, stabilisce, all’articolo 2-quaterdecies, comma 1, che il Titolare può “prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la propria autorità”.

Il GCIRM, in qualità di Titolare del trattamento di dati personali, cioè quale soggetto che determina le finalità e i mezzi dei trattamenti dei dati effettuati nel proprio ambito, è tenuta a delineare al proprio interno un’adeguata ed efficace articolazione delle responsabilità al fine di assicurare il rispetto delle disposizioni vigenti in materia, e ciò sulla base del principio europeo di accountability, che prevede il coinvolgimento e la responsabilizzazione, ad ogni livello, delle strutture dell’azienda nel percorso di adeguamento ai precetti europei.

Ciò detto, si rende necessario identificare le figure dei cosiddetti Designati in capo ai Saggissimi dei Capitoli del GCIRM che, per il ruolo ricoperto e in virtù dei poteri di organizzazione e gestione già conferiti, risultino possedere i requisiti necessari per essere autorizzati, da parte dell’Organizzazione, anche all’esercizio delle funzioni di gestione, coordinamento e controllo delle attività di trattamento dei dati personali svolte nell’ambito delle rispettive strutture nonché dei correlati adempimenti previsti dal GDPR.

La Gran Segreteria del GCIRM custodisce e aggiorna l’elenco e gli atti di designazione dei Fratelli designati al trattamento dei dati nell’ambito dell’Organizzazione.

I Designati, relativamente al proprio settore di competenza, rispondono al Titolare di ogni violazione o mancata attivazione di quanto previsto dalla normativa in materia di riservatezza, sicurezza, protezione dei dati e amministrazione digitale nonché dal presente Regolamento e segnalano alla Gran Segreteria del GCIRM:

  • qualsiasi evento di data breach anche ai fini dell’alimentazione del relativo registro;
  • le richieste di accesso nonché l’esercizio dei diritti degli Interessati;
  • a necessità di rivedere procedure, atti od informative;
  • i nuovi trattamenti utili per il Registro delle Attività di Trattamento;

Quindi i Designati conoscono tutte le procedure interne e fungono anche da catalizzatore delle richieste dei propri Collaboratori.

I Designati, qualora necessario, posso delegare in propria vece, formalmente, uno o più Autorizzati, fornendo loro istruzioni operative e vigilando sul rispetto di tali istruzioni.

Tale delega deve essere resa nota, tramite comunicazione protocollata, al Titolare del Trattamento.

Articolo 18: Soggetti autorizzati al trattamento dei dati personali

Il D.lgs. 196/2003, come novellato dal D.lgs. 101/2018 di armonizzazione del Codice italiano della privacy alle novità del GDPR stabilisce, all’articolo 2-quaterdecies, comma 2, che il Titolare “individui le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta”.

Gli Autorizzati del trattamento dei dati personali sono le persone fisiche che effettuano le operazioni di trattamento di dati personali, autorizzate e individuate a tale scopo dal Titolare del Trattamento (Segretari e Tesorieri dei Capitoli).

Per la loro designazione è utilizzata apposita modulistica, che prevede la trascrizione della data di inizio ed eventuale fine dell’attività all’interno della struttura e indica i trattamenti di dati di cui sono autorizzati a svolgere le relative operazioni.

Gli Autorizzati ricevono un atto formale dal Titolare del Trattamento, che impartisce loro disposizioni sul corretto uso dei dati, in special modo sotto il profilo della sicurezza, e vengono informati sulle direttive vigenti sulla protezione dei dati da loro trattati. L’atto di designazione costituisce l’unico presupposto di liceità per il trattamento dei dati personali, dovrà essere controfirmato per accettazione dallo stesso Autorizzato, e custodito a cura della Gran Segreteria del GCIRM.

Gli Autorizzati del trattamento dei dati personali:

  1. a) trattano i dati osservando le istruzioni ricevute, anche con riferimento agli aspetti relativi alla sicurezza;
  2. b) qualora trattino dati con l’ausilio di strumenti informatici sono personalmente responsabili della gestione riservata della password loro assegnata, ed è fatto loro assoluto divieto di cedere la propria password ad altri;
  3. c) sono responsabili della custodia riservata dei documenti cartacei loro affidati per effettuare le operazioni di trattamento e hanno l’obbligo di restituirli al termine delle operazioni affidate.

 Articolo 19: Responsabile aziendale della protezione dei dati

Il Regolamento Europeo prevede, mediante specifica disciplina, la nomina del Data Protection Officer (DPO in italiano: Responsabile della protezione dei dati), nei termini di cui all’articolo 37, 38 e 39 del Regolamento medesimo.

L’Organizzazione si assicura che il Data Protection Officer sia tempestivamente e adeguatamente coinvolto su tutte le questioni riguardanti la protezione dei dati personali oltre a fornirgli le risorse necessarie per assolvere ai suoi compiti, accedere ai dati personali e ai trattamenti e mantenere la propria conoscenza specialistica.

Chi svolge la funzione di DPO, quindi, deve presentare caratteristiche di indipendenza e autorevolezza, oltre che competenze manageriali. Non deve, inoltre, essere in conflitto di interessi in quanto il Regolamento UE vieta di nominare DPO anche chi, solo in astratto, possa potenzialmente trovarsi in conflitto di interessi.

Ai sensi dell’articolo 39 del Regolamento UE, i suoi compiti sono:

  • sorvegliare l’osservanza del Regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione e delle finalità;
  • fornire consulenza e pareri al Titolare, ai Responsabili del trattamento dei dati e agli Autorizzati relativamente all’applicazione degli obblighi europei in materia;
  • collaborare con il titolare, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
  • informare e sensibilizzare il titolare o il Responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal Regolamento e da altre disposizioni in materia di protezione dei dati;
  • cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;
  • supportare il titolare o il Responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.

Ai sensi dell’articolo 37 del Regolamento UE, il DPO deve:

  • possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati. Non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze;
  • adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse. In linea di principio, ciò significa che il RPD non può essere un soggetto che ricopre ruoli gestionali e che decide sulle finalità o sugli strumenti del trattamento di dati personali;
  • operare alle dipendenze del titolare oppure sulla base di un contratto di servizio (Responsabile esterno);
  • disporre di risorse umane e finanziarie, messe a disposizione dal Titolare, per adempiere ai suoi scopi.

Il Regolamento UE prevede la pubblicazione on line del curriculum del DPO, nonché la pubblicazione sul sito istituzionale dell’Ente dei “dati di contatto” del DPO: dati che debbono essere inseriti anche nell’informativa aziendale sul trattamento dei dati, così che il DPO sia agevolmente contattabile dai cittadini-utenti ma anche dal Garante per la Privacy.

Articolo 20: Registro delle attività dei trattamenti

Tutti i titolari e i Responsabili di trattamento, devono tenere un Registro delle operazioni di trattamento i cui contenuti sono indicati all’articolo 30 del medesimo Regolamento.

Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio.

L’Organizzazione provvede, inoltre, alla rilevazione dei trattamenti dei dati personali suddivisi per tipologia e per struttura organizzativa e ogni altro elemento necessario a individuare le responsabilità relative al loro trattamento.

L’Organizzazione tiene un Registro delle attività di trattamento svolte sotto la propria responsabilità, costantemente aggiornato, che evidenzi i diversi livelli di responsabilità attribuiti in relazione al trattamento dei dati, suddivisi per Designati e Autorizzati, e contiene le seguenti informazioni:

  1. a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del Responsabile della protezione dei dati;
  2. b) le finalità del trattamento;
  3. c) una descrizione delle categorie di interessati e delle categorie di dati personali;
  4. d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  5. f) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 del Regolamento UE.

Il Registro è tenuto in forma scritta, anche in formato elettronico e, su richiesta, viene messo a disposizione dell’Autorità Garante Privacy.

PARTE V: SICUREZZA DEI DATI PERSONALI

Articolo 21: Sicurezza del Trattamento

Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento (articolo 32, paragrafo 1 del Regolamento UE); in questo senso, la lista di cui al paragrafo 1 dell’art. 32 è una lista aperta e non esaustiva.

Per lo stesso motivo, secondo il Regolamento UE non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al Responsabile in rapporto ai rischi specificamente individuati come da art. 32 del Regolamento.

Il Titolare e i Responsabili del trattamento dei dati sono tenuti ad adottare, così come previsto dalle disposizioni vigenti in materia di protezione dei dati e amministrazione digitale, ogni misura di sicurezza necessaria per assicurare un livello sufficiente di sicurezza dei dati personali trattati.

Questi, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, mettono in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.

Tali misure comprendono, tra le altre, se del caso:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente disponibilità e accesso dei dati personali in caso di incidente;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

L’accesso a ogni procedura informatica è consentito solo se congruente con il trattamento dei dati per il quale si è stati formalmente autorizzati ed è consentito soltanto utilizzando apposite credenziali di autorizzazione fornite dall’Azienda strettamente personali e della cui riservatezza risponde personalmente il singolo soggetto autorizzato al trattamento dei dati personali.

Il Data Protection Officer verifica, periodicamente in sede di audit, la congruenza della nomina ad Autorizzato con la richiesta di rilascio delle credenziali.

La password è strettamente personale e a nessun titolo può essere comunicata a terzi. Della sua riservatezza risponde personalmente il singolo Incaricato del trattamento dei dati personali.

Il Designato è tenuto a comunicare al Data Protection Officer la data di cessazione dell’incarico al trattamento dei dati da parte del suo collaboratore.

L’Organizzazione adotta ed aggiorna, ogniqualvolta intervengano modifiche sostanziali, un Documento di Analisi e Valutazione Rischi (di seguito DAVR), che:

  • individua le misure adeguate a elevare lo standard di sicurezza dei dati anche sulla base dell’analisi dei rischi;
  • rappresenta la distribuzione dei compiti e delle responsabilità del trattamento dei dati;
  • evidenzia le misure che I’Organizzazione ha adottato nel tempo per proteggere i dati personali a sua disposizione e il piano delle azioni di miglioramento che intende adottare per l’anno in corso.

Il DAVR è predisposto dal DPO.

Articolo 22: Protezione dei dati personali fin dalla progettazione (c.d. Privacy by design) e protezione dei dati per impostazione predefinita (c.d. Privacy by default)

L’articolo n. 25 del Regolamento Europeo n. 2016/679 introduce il criterio sintetizzato dall’espressione inglese “data protection by default and by design”, ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.

Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto afferma l’art. 25, paragrafo 1 del Regolamento UE) e richiede, pertanto, un’analisi preventiva ed un impegno applicativo da parte del Titolare che deve sostanziarsi in una serie di attività specifiche e dimostrabili.

L’Organizzazione, altresì, mette in atto misure tecniche e organizzative adeguate, già in fase precontrattuale, per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento, sia per quanto riguarda, in particolare:

  • la quantità dei dati personali raccolti;
  • la portata del trattamento;
  • il periodo di conservazione;
  • l’accessibilità.

Tali misure garantiscono inoltre che, per impostazione predefinita, i dati personali siano accessibili solo alle persone autorizzate e limitatamente a quanto necessario per il periodo di trattamento.

Articolo 23: Valutazione di Impatto sulla Protezione (VIP) dei dati e la consultazione preventiva con l’Autorità Garante

Fondamentali fra tali attività correlate alla sicurezza sono quelle connesse al secondo criterio individuato nel Regolamento UE rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (si vedano considerando 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (si vedano artt. 35-36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.

L’Organizzazione prima di attivare un trattamento dei dati personali si assicura che sia effettuata una apposita valutazione preliminare dell’impatto delle operazioni di trattamento, avvalendosi e consultandosi, qualora necessario, con il proprio Data Protection Officer.

La Valutazione di Impatto preliminare viene effettuata nei casi e nei modi previsti dalle disposizioni vigenti, e contiene:

  • una descrizione sistematica dei trattamenti previsti e delle finalità, compreso, ove applicabile, l’interesse legittimo perseguito all’Organizzazione;
  • una valutazione della necessità e proporzionalità dei trattamenti in base alle finalità;
  • una valutazione dei rischi per i diritti e le libertà degli interessati;
  • e misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento UE, tenuto conto dei diritti e degli interessi legittimi delle persone in questione.

Se necessario l’Organizzazione procede a un riesame per valutare se il Trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.

Qualora la valutazione d’impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato, l’Organizzazione, prima di procedere al trattamento, consulta l’Autorità Garante Privacy.

L’Organizzazione, inoltre, attiva tutte le azioni necessarie al rispetto delle misure e prescrizioni specifiche individuate dall’Autorità Garante Privacy per il corretto trattamento dei dati.

Articolo 24: Formazione dei Delegati del trattamento e degli Autorizzati del trattamento

L’Organizzazione, nel rispetto dell’art.32 del GDPR “Sicurezza del trattamento” paragrafo 4 prevede che il Titolare del trattamento fa sì che chiunque agisca sotto la propria autorità e abbia accesso a dati personali, non tratti tali dati se non è istruito in tal senso dal Titolare del trattamento.

Sono pertanto previste iniziative atte ad assicurare la formazione e il continuo aggiornamento di tutti gli Autorizzati al trattamento sui temi della protezione dei dati personali e sui diritti, doveri e adempimenti previsti dalla normativa vigente.

Articolo 25: Violazione dei dati personali (Data Breach) – notifica e comunicazione

Una violazione dei dati personali è “ogni infrazione alla sicurezza degli stessi che comporti – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati dal Titolare del trattamento.”

La violazione dei dati è un tipo particolare di incidente di sicurezza, per effetto del quale, il titolare non è in grado di garantire il rispetto dei principi prescritti dall’art. 5 del Regolamento UE 679/2016.

Ogni Designato o Autorizzato al trattamento dei dati personali è tenuto a informare senza ingiustificato ritardo il Titolare, del possibile caso di una violazione dei dati personali.

Ogni interessato, utilizzando può segnalare al Titolare e/o al Data Protection Officer, un possibile caso di una violazione dei dati personali.

L’Organizzazione provvede a notificare la violazione all’Autorità Garante Privacy senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà degli interessati. Qualora la notifica non sia effettuata entro 72 ore, questa è corredata dei motivi del ritardo.

Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà degli Interessati a questi viene inoltrata, senza ingiustificato ritardo, apposita comunicazione dell’avvenuta violazione nei modi previsti dalla normativa vigente. La notifica della violazione dei dati personali deve almeno:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • comunicare il nome e i dati di contatto del Responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  • descrivere le probabili conseguenze della violazione dei dati personali;
  • descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Nel caso in cui non sia possibile fornire le informazioni contestualmente, le stesse potranno essere fornite in fasi successive senza ulteriore ingiustificato ritardo. Il Titolare del trattamento documenta qualsiasi violazione dei dati personali in un apposito registro delle violazioni di dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.

Tale documentazione consente all’autorità di controllo di verificare il rispetto delle indicazioni di legge.

Il presente Regolamento è integrato con:

Atto di nomina di Designato alla gestione delle attività di trattamento dei dati

Atto di nomina di Autorizzato al trattamento dei dati personali e Vademecum

DISPOSIZIONI FINALI

Articolo 26: Responsabilità in caso di violazione

Il mancato rispetto delle disposizioni in materia di protezione dei dati personali è punito con le sanzioni di natura amministrativa e di natura penale previste dagli artt. 166-172 del D. Lgs. 196/2003 come modificato dal D. Lgs. 101/2018.

Il Titolare del trattamento è esonerato da responsabilità se dimostra che l’evento dannoso non è in alcun modo a lui imputabile.

Articolo 27: Entrata in vigore

Il presente Regolamento entra in vigore dalla data di adozione con atto formale da parte del legale rappresentante del GCIRM, in sostituzione di ogni precedente regolamentazione interna nella medesima materia.

Articolo 28: Rinvio a disposizioni di legge

Per tutto quanto non espressamente previsto dal presente Regolamento si rinvia alla normativa vigente in tema di protezione dei dati personali e amministrazione digitale: Regolamento EU 679/2016 del 27/04/2016 e al D. Lgs. 196/2003 modificato dal D. Lgs. 101/2018 e ai provvedimenti specifici del Garante.

L’Organizzazione si riserva, inoltre, di adeguare, modificare o integrare il testo del presente Regolamento qualora per motivi organizzativi e/o la normativa e le direttive sopra citate lo rendano opportuno.