PROTOCOLLO ORGANIZZATIVO PRIVACY 

NEW CHARTER SRL 

PREMESSA 

Il presente Modello raccoglie le misure tecniche ed organizzative che New Charter Srl attua per garantire ed essere in grado di dimostrare la conformità al Regolamento UE 2016/679 delle attività di trattamento dei dati personali delle persone fisiche, che la Società effettui direttamente o che soggetti terzi effettuino per suo conto. Il Regolamento del 27 aprile 2016, cosiddetto “General Data Protection Regulation” (di seguito “GDPR”), pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016, diviene definitivamente operativo ed applicabile in via diretta in tutti i Paesi membri dell’Unione Europea a partire dal 25 maggio 2018 e persegue il fine di rafforzare la protezione dei dati personali delle persone fisiche, sia all’interno che all’esterno dei confini europei, dunque a prescindere dal principio di territorialità, armonizzando le regole privacy di tutti gli Stati membri. L’adozione delle misure tecniche ed organizzative adeguate è imposta dagli artt. 24 e seguenti del GDPR, ai sensi dei quali le politiche interne e le misure da attuare per soddisfare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default, devono tener conto, in concreto, della natura, dell’ambito di applicazione, del contesto e delle finalità di trattamento nonché del rischio per i diritti e le libertà delle persone fisiche.

DEFINIZIONI 

Ai fini del GDPR ed in relazione ai concetti specificamente coinvolti dalle attività di trattamento effettuate, direttamente ed indirettamente da New Charter Srl ai sensi dell’art. 4 del GDPR si intendono per: 1. “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2. “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

3. “profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;

4. “pseudonimizzazione”: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

5. “archivio”: qualsiasi insieme strutturato di dati personali accessibili 5. secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

6. “titolare del trattamento”: la persona fisica o giuridica, che, singolarmente determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri.

7. “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

8. “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

9. “violazione dei dati personali” (Data Breach): la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

10. “dati genetici”: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;

11. “dati biometrici”: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;

12. “dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

13. “autorità di controllo”: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51

1.                                                      GENERAL DATA PROTECTION REGULATION (GDPR)

Da 25 maggio 2018, il GDPR è obbligatorio in tutti i suoi elementi nonché direttamente applicabile in ciascuno degli Stati membri. A livello nazionale, è attualmente vigente nel nostro Paese il Codice della Privacy, introdotto con il Decreto Legislativo n. 196/2003, così come modificato dal D. Lgs. 101/2018. Il GDPR è sostanzialmente costituito da tre principi ispiratori

1) accountability, ossia il principio di responsabilizzazione: il Regolamento non effettua una tipizzazione puntuale delle misure tecniche e organizzative, esprimendosi unicamente in termini di loro adeguatezza al rischio "tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche" (art. 32 GDPR). Si tratta di una innovazione profonda in quanto viene attribuito ai Titolari il compito di decidere autonomamente le modalità, le garanzie ed i limiti del trattamento dei dati personali nel rispetto delle disposizioni normative ed alla luce di alcuni criteri specifici indicati nel Regolamento.

2) privacy by design, che impone l'adozione di misure di protezione fin dalla fase di progettazione del trattamento; 

3) privacy by default, che prescrive un utilizzo che si limiti, per impostazione predefinita, ai soli dati necessari a rispondere alle finalità specifiche della gestione dei dati. Le principali novità operative sono

a. la designazione del Responsabile della protezione dei dati (Data Protection Officer, art. 37-39) intesa come figura fondamentale che deve raccogliere in sé competenze normative, tecniche, comunicative e di conoscenza profonda della struttura e dell'organizzazione aziendale; 

b. l'istituzione del Registro delle attività di trattamento (art.30 e cons. 171) che costituisce il punto di partenza per la predisposizione dell'intero impianto documentale. 

c. II processo di data breach, (art. 33 e 34) ossia la notifica delle eventuali violazioni dei dati personali, che richiede un'attenta analisi e conoscenza delle informazioni gestite, ma soprattutto investimenti nelle modalità di monitoraggio, securizzazione e compartimentazione dei danni che ne possono derivare.

Inoltre, il trattamento dei dati personali deve avvenire secondo i principi di liceità, correttezza e trasparenza. 

Il trattamento è lecito allorché trovi fondamento in una base giuridica che, fermo restando in ogni caso l'obbligo di informativa a carico del Titolare del trattamento, può consistere in quanto segue: 

1) consenso dell'interessato che deve essere libero, specifico, informato ed inequivocabile. Deve essere manifestato attraverso una "dichiarazione o azione positiva inequivocabile". Inoltre, per i dati "sensibili" di cui all'art. 9, esso deve essere anche "esplicito", non necessariamente "documentato per iscritto" né da prestare in "forma scritta", sebbene tale modalità sia quella maggiormente idonea. 

2) adempimento di obblighi contrattuali, ossia il trattamento è lecito se è necessario all'esecuzione di un contratto di cui l'interessato è parte od all'esecuzione di misure precontrattuali adottate su richiesta dello stesso; 

3) obblighi di legge cui è soggetto il titolare del trattamento, nel qual caso la finalità è specificata per legge; 

4) interessi vitali della persona interessata o di terzi: ossia se è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica; utilizzabile però come base giuridica solo se nessuna delle altre condizioni di liceità può trovare concreta applicazione; 

5) legittimo interesse prevalente del titolare o di terzi cui i dati vengono comunicati, ossia quando il trattamento è necessario per il perseguimento dei legittimi interessi del Titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore; 

6) interesse pubblico o esercizio di pubblici poteri, ovvero necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il Titolare del trattamento (tramite legge statale o dell'Unione) ed anche in tal caso la finalità deve essere specificata per legge. Gli interessati devono essere informati in merito alle finalità del trattamento, alle modalità del trattamento e all'indirizzo del titolare del trattamento, prima che si avvii il trattamento stesso. Le modalità del trattamento devono essere esplicitate in maniera comprensibile in modo che gli interessati siano in grado di capire cosa accadrà ai loro dati.  L'interessato deve avere a disposizione una procedura efficace e accessibile per consentirgli di ottenere l'accesso ai suoi dati in un tempo ragionevole, e quindi di conoscere se e quali dati sono detenuti dal titolare. Qualsiasi trattamento occulto o segreto deve, quindi, ritenersi illecito. I titolari e i responsabili devono garantire agli interessati che i dati saranno trattati secondo liceità e correttezza e in modo da conformarsi, per quanto possibile, alla volontà degli stessi interessati. 

2. POLICY AZIENDALE

New Charter Srl è una società che fornisce servizi di spedizione in ambito nazionale e internazionale. 

Nello svolgimento di tali attività, New Charter Srl gestisce differenti tipologie di dati personali, ovvero: 

1. dati normali riferibili a lavoratori, clienti e fornitori 

2. dati relativi alla salute dei lavoratori inquadrati ad ogni livello aziendale; 

La base giuridica del trattamento di tali dati da parte di New Charter Srl è rappresentata da: 

− l'adempimento degli obblighi contrattuali e pre-contrattuali di cui New Charter Srl è parte; 

− l'adempimento degli obblighi di Legge cui la stessa è tenuta;

 − il legittimo interesse del Titolare. 

Quando gestiti in forma cartacea, tutti i documenti sono custoditi in armadi e/o schedari dotati di chiave all'interno delle stanze dei relativi Responsabili e/o Autorizzati. Sono impartite a tutti gli incaricati precise istruzioni sul trattamento dei dati e delle pratiche cartacee.

Quando gestiti in forma elettronica, i dati ed i relativi documenti sono detenuti in server protetti e trattati mediante dispositivi elettronici. I dispositivi sono tutti protetti da credenziali di autenticazione 

3. TITOLARI, RESPONSABILI E INCARICATI

 Le figure e le funzioni coinvolte in New Charter Srl nelle attività di protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale sono: 

a) TITOLARE DEL TRATTAMENTO.

 E’ la stessa New Charter Srl che riveste tale funzione e sulla quale, conseguentemente, incombono tutti gli obblighi e le responsabilità che la legge le impone. Primo fra tutti, l'obbligo di mettere in atto, riesaminare ed aggiornare le misure tecniche ed organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è da essa effettuato conformemente al GDPR e, per quanto ancora in vigore, al D. Lgs. n. 196/2003. 

b) RESPONSABILI DEL TRATTAMENTO. 

Il GDPR definisce all'art. 28 il Responsabile del trattamento come il soggetto che effettua trattamenti di dati personali per conto del Titolare, presentando garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che i trattamenti stessi soddisfino i requisiti del GDPR e garantiscano la tutela dei diritti dell'interessato. E' opinione diffusa tra gli interpreti che la figura or ora delineata sia riferita al Responsabile del trattamento "esterno" rispetto alla struttura aziendale del Titolare del trattamento e che, pertanto, non sia espressamente disciplinata la figura del Responsabile del trattamento "interno". New Charter Srl ha proceduto alla nomina anche di Responsabili del trattamento "interni". New Charter Srl ha, inoltre, regolato il rapporto con i Responsabili esterni (commercialista, consulente paghe, responsabile IT). Ovviamente, di volta in volta, potranno essere nominati Responsabili altri Consulenti o Società esterne che trattano dati personali di cui New Charter Srl sia titolare. Quanto al regime di responsabilità, i Responsabili del trattamento rispondono per il danno causato dal trattamento solo se non hanno adempiuto gli obblighi del GDPR specificatamente loro diretti o se hanno agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare del trattamento New Charter Srl. 

c) SOGGETTI AUTORIZZATI AL TRATTAMENTO.

La figura dell'incaricato (rectie: “autorizzato) del trattamento è definibile come la persona autorizzata al trattamento dei dati personali sotto l'autorità diretta del Titolare o del Responsabile. Gli incaricati del trattamento di New Charter Srl sono coloro i quali, facenti parte del suo organico, provvedono materialmente al trattamento dei dati personali. 

4. RISK ASSESSMENT 

Dall'analisi effettuata non è emersa l'esigenza di effettuare una dettagliata valutazione d'impatto (c.d. DPIA) in senso stretto, in quanto non rilevata alcuna delle condizioni di cui al comma 1 nonchè alle lettere a), b) e c), comma 2, dell'art. 25 del GDPR. New Charter Srl non solo non fa uso di tecnologie per effettuare tipi di trattamento caratterizzato da un rischio elevato per i diritti e le libertà delle persone fisiche, ma altresì non opera alcuna valutazione sistematica e globale di aspetti personali di persone fisiche basata su un trattamento automatizzato, non effettua trattamenti su larga scala di dati sensibili, nè sorveglianza sistematica su larga scala di una zona accessibile al pubblico. Il livello di rischio è considerato molto basso in relazione alla tipologia di dati trattati. Nel caso in cui nel corso del tempo sopraggiungessero e si verificasse la sussistenza di taluna delle sopra citate condizioni, verrà effettuata nuovamente l'analisi e valutazione di tali rischi e valutata la necessità di effettuare una valutazione d'impatto in senso tecnico. 

5. MISURE DI SICUREZZA ADOTTATE

Alla luce dei fattori di rischio e delle aree individuate nel presente Modello vengono descritte nel Registro dei Trattamenti le misure atte a garantire:

 − la protezione delle aree e dei locali ove si svolge il trattamento dei dati personali;

− la corretta archiviazione e custodia di atti, documenti e supporti contenenti dati personali; 

− la sicurezza logica, nell'ambito degli strumenti elettronici. Per quanto concerne il rischio che i dati vengano danneggiati o perduti a seguito di eventi distruttivi, i locali ove si svolge il trattamento dei dati sono protetti da: 

− dispositivi antincendio previsti dalla normativa vigente; 

− gruppo di continuità dell'alimentazione elettrica; 

− impianto di condizionamento.

Per il trattamento effettuato con strumenti elettronici sono esistenti ed operative le seguenti misure: 

• realizzazione e gestione di un sistema di autenticazione informatica al fine di accertare l'identità delle persone che hanno accesso agli strumenti; 

• le policy dell'azienda garantiscono la sicurezza di tutti i dati circolanti, attraverso il controllo delle autorizzazioni e la definizione delle tipologie di dati ai quali gli incaricati possono accedere e utilizzare secondo le mansioni lavorative; 

• protezione di strumenti e dati da malfunzionamenti ed attacchi informatici attraverso firewall e antivirus. 

NEW CHARTER SRL