Privacy Policy

1 – Principi Generali

L’ente CIOFS-FP CALABRIA adotta un Modello Organizzativo Privacy allo scopo di applicare in modo corretto il GDPR, tenendo conto delle caratteristiche specifiche della propria attività e della tipologia di dati personali che tratta.

Trattandosi di un Modello Organizzativo, il presente documento si basa sui seguenti elementi:

• attribuzione di ruoli e responsabilità all’interno dell’ente per la protezione dei dati personali;
• nomina di un DPO con compiti di consulenza, assistenza e sorveglianza rispetto all’applicazione del GDPR;
• definizione di una politica per la protezione dei dati personali;
• mappatura di tutti i dati personali trattati dall’ente con individuazione dei trattamenti a rischio e delle conseguenti azioni dirette ad assicurare il controllo del rischio;
• contrattualizzazione degli impegni per la Privacy che devono assumere i soggetti terzi che trattano dati per conto dell’ente;
• approvazione di un regolamento aziendale per la Privacy che costituisce attuazione del codice etico dell’ente;
• predisposizione dell’informativa agli interessati chiara, completa e di semplice comprensione.

2 – Riferimenti normativi

Il presente Modello Organizzativo Privacy (a seguire solo MOGP) è stato definito in conformità con il Regolamento UE 2016/679 relativo alla protezione dei dati personali (a seguire solo GDPR), anche alla luce delle Linee Guida, dei Provvedimenti e delle altre indicazioni pubblicate sul sito dell’Autorità Garante per la Protezione dei Dati Personali (a seguire solo Garante).

Nella definizione del Modello si è altresì tenuto conto dell’impostazione generale di tutti i sistemi di gestione contenuta nella Norma Uni En Iso 9001:2015.

3 – Illustrazione dei concetti chiave contenuti nel MOGP

Il MOGP utilizza la terminologia per la Privacy contenuta nell’articolo 24 GDPR, con particolare riferimento ai seguenti concetti, qui riportati in forma ridotta e semplificata per favorirne la comprensione a tutti gli operatori dell’ente:

• dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato);
• Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
• profilazione: qualsiasi forma di Trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
• pseudonimizzazione: il Trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
• archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
• titolare del Trattamento: la persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del Trattamento di dati personali; 
• responsabile del Trattamento: la persona fisica o giuridica che tratta dati personali per conto del Titolare del Trattamento;
• consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di Trattamento;
• violazione dei dati personali (data breach): la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
• dati biometrici: i dati personali ottenuti da un Trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
• dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
• impresa: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica.

4 – Politica dell’ente per la Privacy

L’ente CIOFS-FP CALABRIA pone alla base del proprio sistema di gestione per la Privacy la presente Politica per la Protezione dei Dati Personali, che costituisce la fondamentale assunzione d’impegno da parte dell’ente rispetto a tutti gli stakeholders del proprio sistema Privacy (utenti, lavoratori, fornitori, Garante…).

L’ente CIOFS-FP CALABRIA s’impegna di fronte a tutte le parti interessate ad osservare i seguenti comportamenti in materia di protezione dei dati personali:

1. individuare al proprio interno le figure coinvolte nel Trattamento dei dati e fornire loro adeguata formazione, supporto tecnico e sufficienti risorse;
2. nominare un DPO (Responsabile Protezione Dati) competente e indipendente, con il compito di assistere l’ente nell’applicazione della normativa sulla Privacy;
3. trattare tutti i dati personali in modo lecito, corretto e trasparente nei confronti dell’interessato;
4. trattare i dati personali solo in presenza di una delle seguenti condizioni di liceità previste dal GDPR:

a) l’interessato ha espresso il consenso al Trattamento dei propri dati personali per una o più specifiche finalità;

b) il Trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte;

c) il Trattamento è necessario per adempiere un obbligo legale al quale è soggetto il Titolare del Trattamento;

d) il Trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e) il Trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare del Trattamento;

f) il Trattamento è necessario per il perseguimento del legittimo interesse del Titolare del Trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

5. raccogliere dati solo per finalità determinate, esplicite e legittime;
6. trattare i dati in possesso dell’ente in modo compatibile con le finalità per le quali sono raccolti, senza alcun Trattamento eccedente rispetto ad esse;
7. astenersi di regola dal trattare senza il consenso esplicito dell’interessato i suoi dati sensibili, vale a dire personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona;
8. applicare il principio della minimizzazione dei dati, in base al quale il Trattamento dei dati viene limitato allo stretto indispensabile in relazione alle finalità per le quali i dati sono raccolti;
9. raccogliere i dati in modo esatto, correggere tempestivamente i dati non esatti ed aggiornarli ogni volta che sia necessario;
10. conservare i dati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
11. trattare i dati personali secondo i principi di integrità e riservatezza, quindi in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali;
12. svolgere periodicamente audit interni sul sistema Privacy, attraverso il DPO o altri soggetti competenti ed indipendenti;
13. informare in modo completo e comprensibile gli interessati dei trattamenti effettuati;
14. conservare, con l’ausilio del DPO, un Registro di tutti i trattamenti effettuati, comprensivo della valutazione del rischio per ciascun Trattamento;
15. adottare adeguati provvedimenti disciplinari nei confronti degli addetti dell’ente che non osservano le disposizioni del GDPR e le norme aziendali sulla Privacy;
16. garantire ad ogni interessato i diritti di accesso, rettifica e cancellazione dei dati che lo riguardano.