CODICE DI CONDOTTA
Adempimenti ex Art. 12 del REGOLAMENTO UE 679/2016 – Informazioni, comunicazioni e modalita’ trasparenti per l’esercizio dei diritti dell’interessato – Informativa ai sensi degli Artt. 13-14 del REGOLAMENTO UE 679/2016
I. Obiettivo del Codice di Condotta
L’obiettivo del presente Codice consiste nello stabilire standard di protezione e sicurezza uniformi, adeguati e globali all’interno dell’azienda The Ad Store Italia srl., allo scopo di soddisfare i requisiti fissati dalla Direttiva Europea sulla Protezione dei Dati Personali (REG UE 679/2016) e le altre normative nazionali sulla Privacy.
Il Codice di Condotta crea in questo contesto un livello di protezione dei dati uniforme a livello di tutta l’azienda, senza tuttavia sostituire la legittimazione che deve essere alla base di qualsiasi elaborazione o trasmissione di dati.
II. Limiti di validità
Il Codice di Condotta è una direttiva aziendale valida sia per l’elaborazione dei dati personali dei lavoratori, clienti, sia per il trattamento dei dati di fornitori, consulenti ed altri partner contrattuali che operano nell’ambito dell’azienda.
III. Principi per l’elaborazione dei dati personali
1. Nell’elaborazione dei dati è necessario tutelare i diritti personali alla privacy degli interessati.
2. I dati personali possono essere elaborati esclusivamente se ciò risulta legalmente ammissibile o se il soggetto interessato ha fornito il proprio consenso. I dati personali possono essere elaborati esclusivamente ai fini per i quali sono stati originariamente raccolti, e ai quali si estende l’ammissibilità giuridica o il consenso rilasciato.
3. I dati personali devono essere memorizzati correttamente e, qualora necessario, periodicamente aggiornati. A tale scopo occorre adottare provvedimenti idonei per cancellare o rettificare i dati che risultano incorretti od incompleti.
4. Ai dati personali possono accedere soltanto i dipendenti che operano in un settore di attività connesso al trattamento di tali dati; l’autorizzazione all’accesso deve essere limitata in base al tipo e alla portata della rispettiva area di competenza.
5. I dati personali che non risultano più necessari ai fini per i quali sono stati originariamente raccolti e memorizzati, devono essere cancellati in conformità con le norme vigenti sulla conservazione dei dati.
6. Qualora l’interessato si sia opposto all’utilizzo dei propri dati personali a scopo di marketing, i dati non potranno essere utilizzati a tal fine.
7. L’elaborazione dei dati deve essere finalizzata allo scopo di rilevare, elaborare ed utilizzare esclusivamente i dati personali necessari, ovvero la minima quantità possibile di informazioni. Le possibilità di anonimizzazione e pseudonimizzazione sono ammesse, laddove ciò sia possibile e gli oneri di queste procedure risultino adeguatamente rapportati alle finalità di protezione dei dati che si intende perseguire. Le valutazioni statistiche o le analisi effettuate sulla base di dati anonimizzati o pseudonimizzati non sono rilevanti ai fini della protezione dei dati personali, in quanto tali dati non risultano più individualizzabili.
8. Nei progetti di elaborazione dei dati dai quali possono derivare particolari rischi per la tutela del diritto alla privacy degli interessati, il Responsabile del Trattamento dei Dati deve essere interpellato a partire dalle prime fasi del processo di elaborazione.
Quanto sopra vale in particolare per le tipologie di dati personali elencate qui di seguito.
IV. Tipologie particolari di dati personali
L’elaborazione dei dati personali relativi alla provenienza razziale ed etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, all’appartenenza a sindacati oppure sulla salute o sull’orientamento sessuale dell’interessato è generalmente vietata, salvo che la legittimità dell’elaborazione non derivi da un’autorizzazione legale o da un requisito di legge.
L’elaborazione di questo genere di dati personali, inoltre, è consentita per la convalida, l’esercizio o la tutela di diritti legali anche nell’ambito di una controversia giudiziaria, qualora non sussista alcun motivo per supporre che prevalga il legittimo interesse dell’interessato all’esclusione dell’elaborazione o dell’utilizzo dei dati.
In tutti gli altri casi, l’interessato deve avere fornito espressamente il proprio consenso all’elaborazione dei suddetti dati.
V. Informazione e consenso dell’interessato
1. Rapporto contrattuale
I dati personali dell’interessato possono essere rilevati ed elaborati sulla base e ai fini di esecuzione del contratto e dell’avviamento del rapporto di lavoro. In questo contesto sono consentiti anche l’elaborazione e l’utilizzo a fine di marketing, o di ricerche di mercato e sondaggi di opinione, nella misura in cui ciò risulti in accordo con lo scopo per i quali i dati sono stati originariamente rilevati.
Al momento del rilevamento dei dati personali presso l’interessato, l’interessato deve essere consapevole od informato di quanto segue:
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) i legittimi interessi perseguiti dal titolare del trattamento o da terzi; e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
Nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
c) l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
d) il diritto di proporre reclamo a un’autorità di controllo;
e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Qualora i dati non siano stati ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato le seguenti informazioni:
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) le categorie di dati personali in questione;
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
Il titolare del trattamento fornisce all’interessato anche le seguenti informazioni necessarie per garantire un trattamento corretto e trasparente nei confronti dell’interessato:
a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
b) i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
c) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
d) qualora l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;
e) il diritto di proporre reclamo a un’autorità di controllo;
f) la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;
g) l’esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Questa trasparenza può essere assicurata mediante una comunicazione individuale od informazioni fornite a carattere generale.
2. Rapporto non contrattuale
Qualora non sussista un rapporto contrattuale, l’interessato deve avere acconsentito al rilevamento e all’elaborazione dei propri dati personali, a meno che l’ammissibilità del rilevamento e dell’elaborazione non sia fondata sulle norme del diritto nazionale.
Quanto sopra vale anche nel caso in cui si debba procedere ad un’ulteriore elaborazione o al successivo trattamento dei dati per motivi che esulano dai fini originari del rilevamento. Prima di rilasciare il consenso, l’interessato deve essere informato come prescritto al Paragrafo VI. Punto 1 del presente Codice di Condotta.
La dichiarazione di consenso, per esigenze probatorie, deve essere regolarmente rilasciata per iscritto. Qualora si tratti, ad esempio, di un consenso che viene rilasciato nell’ambito della conclusione di un contratto di servizi, la clausola contrattuale che contiene il consenso deve essere evidenziata visivamente sul modulo del contratto di servizio. Nella dichiarazione di consenso devono essere specificati l’entità e lo scopo della procedura di elaborazione dei dati.
3. Scambio di dati con terzi/acquisizione di dati
Di norma, i dati personali devono essere rilevati direttamente dall’interessato. Qualora i dati vengano raccolti presso terzi o trasmessi da terzi, è necessario verificare che alla prima richiesta dei dati l’interessato sia stato o venga conformemente informato come descritto al paragrafo VI. Punto 1 del presente Codice di Condotta.
VI. Diritti degli interessati
Per eventuali chiarimenti e reclami, gli interessati possono rivolgersi al Titolare del Trattamento in persona del Legale Rappresentante pro tempore, al proprio Referente o al Responsabile Aziendale per la Protezione dei Dati. In particolare, qualora gli interessati intendano esercitare i diritti elencati qui di seguito, le richieste in tal senso devono essere immediatamente evase.
1. L’interessato può chiedere informazioni in merito al contenuto dei dati personali memorizzati sul suo conto, alla loro provenienza e allo scopo per il quale sono stati archiviati.
2. In caso di trasmissione di dati personali a terzi, è necessario fornire informazioni anche sull’identità dei destinatari o sulle categorie di destinatari dei dati.
3. Qualora, ad esempio nell’ambito dell’esercizio del diritto di informazione, si dovesse riscontrare che i dati personali risultano inesatti od incompleti, l’interessato ha il diritto di esigere una correzione. Laddove dovesse risultare che lo scopo dell’elaborazione dei dati sia venuto meno per decorrenza dei termini o per altri motivi, oppure il trattamento dei dati sia illegale e questo finora sia stato ignorato nell’ambito delle verifiche periodiche, i dati dovranno essere cancellati, tenendo eventualmente conto degli obblighi di legge sulla conservazione delle informazioni.
4. L’interessato ha il diritto di rifiutare il suo consenso all’utilizzo dei propri dati personali ai fini di pubblicità diretta, oppure di ricerche di mercato o sondaggi di opinione. L’utilizzo dei dati a tali scopi deve essere pertanto interdetto.
5. Inoltre, l’interessato ha il diritto fondamentale di rifiutare il proprio consenso all’elaborazione dei propri dati personali, del quale va tenuto conto nel caso in cui una verifica determini che il suo legittimo interesse, a causa di una particolare situazione, prevalga sull’interesse dell’ufficio responsabile. Quanto sopra non è valido nel caso in cui una norma di legge prescriva l’obbligo di elaborazione o di utilizzo dei dati.
6.L’interessato ha il diritto di esercitare il cd. Diritto all’Oblio ovvero di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati
b) l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento;
c) l’interessato si oppone al trattamento, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
d) i dati personali sono stati trattati illecitamente;
e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.
Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
7. L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
a) l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
d) l’interessato si è opposto al trattamento, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.
8. L’interessato ha il diritto di esercitare il Diritto alla portabilità dei dati ovvero ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:
a) il trattamento si basi sul consenso o su un contratto; e
b) il trattamento sia effettuato con mezzi automatizzati.
Nell’esercitare i propri diritti relativamente alla portabilità dei dati, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile.
9. L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
VII. Segretezza del processo di elaborazione
Esclusivamente i dipendenti autorizzati ed espressamente vincolati all’obbligo di segretezza sul contenuto dei dati possono raccogliere, elaborare od utilizzare le informazioni personali.
In particolare, è vietato sfruttare questi dati a fini privati, trasmettere le informazioni a persone non autorizzate o comunque renderle accessibili a queste ultime in altro modo.
L’obbligo di segretezza permane anche dopo la conclusione del rapporto di lavoro.
VIII. Principi di sicurezza dei dati
Le misure tecnico-organizzative necessarie per garantire la sicurezza dei dati si riferiscono a:
❍ elaboratori (server e workstation);
❍ reti o connessioni per la comunicazione in rete;
❍ applicazioni
❍ addetti alla gestione dei dati personali.
Per quanto concerne i server, sono previste misure di sicurezza fisiche ed infrastrutturali che comprendono i controlli di accesso (con livelli di autorizzazione differenziati), sistemi di chiusura e dispositivi antincendio.
Tutte le workstation sono dotate di un sistema di protezione mediante password.
La rete aziendale è protetta da sistemi Firewall contro i tentativi di accesso dall’esterno non autorizzati e di intromissioni da Internet.
Al fine di proteggere i dati personali contenuti nelle banche dati, è previsto un sistema di accesso e di intervento riferito al nominativo personale e al tipo di applicazione.
Per ciò che attiene il personale che gestisce i dati lo stesso è stato adeguatamente formato per una corretta gestione dei dati ai sensi del Disciplinare tecnico in materia di misure minime di sicurezza
Le suddette misure tecnico-organizzative sono integrate in un sistema di gestione della tutela e sicurezza dei dati che presiede alle diverse responsabilità.
IX. Provvedimenti/sanzioni/responsabilità
Il Titolare del Trattamento dei Dati nella persona del Legale Rappresentate pro tempore, ha l’obbligo di garantire nei confronti degli interessati il rispetto dei requisiti di protezione dei dati personali.
I collaboratori che si occupano dell’elaborazione dei dati personali devono sapere che le violazioni delle norme sulla tutela della privacy vengono perseguite anche penalmente e possono dare luogo a richieste di risarcimento.
Le trasgressioni per le quali possono essere considerati responsabili i singoli collaboratori comportano generalmente le sanzioni previste dal diritto del lavoro, secondo la norma nazionale corrispondente.
