PRIVACY POLICY CNA BRESCIA

Download

Premessa

 

La Confederazione Nazionale dell’Artigianato e della Piccola e Media impresa, fondata, a livello nazionale, nel 1946 e costituitasi a Brescia nel 1971, associa, rappresenta imprese e società artigiane, compresi consorzi, cooperative e soci, piccole e medie imprese ed i pensionati iscritti a CNA Pensionati, tutelandone i legittimi interessi.

E’ un’associazione di rappresentanza degli interessi, autonoma, legittimata esclusivamente dai propri soci, ne esplica i principi di progresso, democrazia, libero mercato sostenendo i valori peculiari dell’imprenditorialità nel lavoro, nella collaborazione e nella solidarietà. CNA realizza tali obiettivi avvalendosi di società del gruppo CNA BRESCIA (CNA IMPRESA Società Cooperativa; CNA SERVIZI BRESCIA; FITA SERVIZI società cooperativa; SERFINA C.N.A. BRESCIA – S.R.L.) e di società partecipate (E.C.I.P.A. LOMBARDIA SOCIETA’ COOPERATIVA; SVILUPPO – SOCIETA’ DI AGENZIA IN ATTIVITA’ FINANZIARIA S.R.L.).

un sistema coordinato di servizi idoneo a offrire un adeguato supporto alle imprese ai cittadini ed ai pensionati iscritti sia attraverso le attività di gestione della contabilità, Bilancio, di assistenza fiscale, dell’amministrazione del personale, degli esponenti aziendali e dei loro dipendenti, sia fornendo servizi di segreteria, direzione, gestione rapporti con le parti sociali con la Pubblica Amministrazione e con tutti gli enti e gli uffici connessi e strumentali all’attività di impresa. In virtù dei contratti e dei rapporti in essere la CNA di Brescia considera le società del “Sistema CNA di Brescia” quali sua parte integrante ed articolazione della sua struttura aziendale.

Oggetto e scopo

Il presente Modello Organizzativo sulla Protezione dei Dati Personali (“Regolamento”) definisce le linee guida alle quali La CNA di Brescia (di seguito denominata “Titolare”) deve attenersi nella pianificazione e nello svolgimento di qualsivoglia attività che implichi il trattamento di Dati personali per assicurare la tutela di tali Dati secondo i requisiti previsti dalla normativa in materia ed in particolare al Regolamento (UE) 2016/679 in materia di protezione dei Dati personali (di seguito anche “GDPR”) e del D. Lgs. 101/2018.

Le disposizioni del presente Regolamento hanno il fine di garantire che il trattamento dei dati personali avvenga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità delle persone fisiche.

In particolare, il Regolamento individua:

  • il Titolare del Trattamento;
  • quali dati trattiamo;
  • responsabile per la protezione dati;
  • finalità del trattamento e base giuridica;
  • destinatari dei dati;
  • trasferimento dei dati extra UE
  • amministratori di sistema (interni ed esterni)
  • responsabili esterni del trattamento;
  • gestione dei trattamenti;
  • i principi di protezione dei Dati personali
  • misure tecniche e organizzative per garantire la sicurezza del trattamento
  • analisi del rischio e misure per prevenire i rischi privacy;
  • registro dei trattamenti;
  • diritti in materia di protezione dei dati personali;
  • periodo di conservazione;
  • le modalità di aggiornamento e revisione del Regolamento.

Si fa presente che l’inosservanza, anche parziale, delle indicazioni di seguito riportate potrà comportare l’emanazione di provvedimenti disciplinari commisurati alla gravità della violazione.

TITOLARE DEL TRATTAMENTO

Il titolare del trattamento è CNA – ASSOCIAZIONE PROVINCIALE DI BRESCIA, con sede in Via Orzinuovi, 3 – 25125 BRESCIA (Bs), contattabile telefonicamente al n. 030-3519511 o via mail all’indirizzo  info@cnabrescia.it  Posta Elettronica Certificata: cnaconf.cnabrescia@cert.cna.it – Codice Fiscale 80016890172

QUALI DATI TRATTIAMO

Dati raccolti in automatico

I sistemi informatici e gli applicativi dedicati al funzionamento di questo sito web rilevano, nel corso del loro normale funzionamento, alcuni dati (la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet) potenzialmente associati ad utenti identificabili. Tra i dati raccolti sono compresi gli indirizzi IP e i nomi di dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri riguardanti il sistema operativo, il browser e l’ambiente informatico utilizzato dall’utente. Questi dati vengono trattati, per il tempo strettamente necessario, al solo fine di ricavare informazioni statistiche sull’uso del sito e per controllarne il regolare funzionamento. Il conferimento di tali dati è obbligatorio in quanto direttamente collegato all’esperienza di navigazione web.

Dati forniti volontariamente dall’utente

Specifiche informative saranno riportate o visualizzate nelle pagine del sito predisposte per particolari servizi a richiesta (form). L’eventuale compilazione di form specificamente predisposti comporta infatti l’acquisizione dell’indirizzo e dei dati del mittente/utente, necessari per rispondere alle richieste pervenute.

È pertanto necessario acconsentire esplicitamente all’utilizzo dei dati riportati in questi form per poter inviare la richiesta.

RESPONSABILE PER LA PROTEZIONE DEI DATI

L’Associazione CNA di BRESCIA e la società CNA IMPRESA Scrl e CNA SERVIZI CONSORZIO BRESCIA hanno nominato come Responsabile per la Protezione dei Dati: Rizzini Tobia.

Un responsabile interno i cui dati sono reperibili sul sito web www.cnabrescia.it contattabile telefonicamente al n. 030-3519608 e tramite mail al seguente indirizzo: dpo@cnabrescia.it.

L’identità del Responsabile per la Protezione dei Dati e gli ulteriori dati di contatto sono disponibili nella sezione “Area Privacy” del sito www.cnabrescia.it.

Ai sensi del num. 4 dell’art 38 Reg UE 679/2016 “gli Interessati possono contattare il Responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti”.

FINALITÀ DEL TRATTAMENTO E BASE GIURIDICA

Il trattamento dei dati conferiti ha come base giuridica il Suo consenso ed è effettuato per:

  • nel caso di compilazione dei form:
    • analizzare e rispondere alle richieste dell’utente;
    • previo apposito consenso, inviare comunicazioni di tipo informativo e commerciale, da parte di CNA di BRESCIA e di terze parti (rappresentate esclusivamente dalle realtà individuate come destinatari dei dati e indicate alla lettera a) del punto 4 dell’informativa. Potrà conoscere in ogni momento quali sono le società del gruppo CNA, le società/strutture partecipate e gli enti promossi che possono essere destinatari dei dati da Lei conferiti consultando l’informativa aggiornata disponibile nella sezione “Area Privacy” del sito cnabrescia.it;
  • con riferimento ai cookies di profilazione, per migliorare l’esperienza di navigazione web..

DESTINATARI DEI DATI

Nei limiti pertinenti alle finalità di trattamento indicate, i dati potranno essere comunicati a:

  1. società del gruppo CNA BRESCIA (CNA IMPRESA Società Cooperativa; CNA SERVIZI BRESCIA; FITA SERVIZI società cooperativa; SERFINA C.N.A. BRESCIA – S.R.L.) e società/strutture partecipate (E.C.I.P.A. LOMBARDIA SOCIETA’ COOPERATIVA; SVILUPPO – SOCIETA’ DI AGENZIA IN ATTIVITA’ FINANZIARIA S.R.L.; CNA GROUP S.R.L.; AURICA S.R.L.; CNA Impresa Sensibile); enti promossi quali: SVILUPPO ARTIGIANO SOCIETA’ CONSORTILE COOPERATIVA DI GARANZIA COLLETTIVA FIDI; Patronato EPASA- ITACO CITTADINI E IMPRESE; Ente Bilaterale dell’Artigianato Brescia. Gli interessati potranno conoscere in ogni momento quali sono le società del gruppo CNA, le società/strutture partecipate e gli enti promossi che possono essere destinatari dei dati da Lei conferiti consultando l’informativa aggiornata disponibile nella sezione “Area Privacy” del sito cnabrescia.it;
  2. società/soggetti che prestano servizi in outsourcing, appositamente nominati Responsabili del trattamento.

TRASFERIMENTO DEI DATI EXTRA UE

I dati conferiti potranno essere oggetto di trasferimento in Paesi non appartenenti all’UE in quanto ci avvaliamo di Responsabili esterni del trattamento che, nell’espletamento dei loro servizi (quali fornitura della casella di posta elettronica, Elaborazione Dati Contabili e Amministrativi, altri tipi di cloud o altre tipologie di servizi), possono realizzare tale trasferimento, anche per mezzo di loro sub responsabili.
Per garantire la sicurezza di tali trasferimenti, ci avvaliamo solamente di soggetti che offrono le necessarie garanzie per mettere in atto misure tecniche e organizzative adeguate affinché il trattamento effettuato rispetti quanto previsto dal Reg. UE 679/2016 (ad esempio, valutando la presenza di decisioni di adeguatezza o disciplinando il rapporto avvalendoci di clausole contrattuali standard).

Le informazioni sono rese anche ai sensi dell’art. 7 del D.Lgs 70/03 “Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione nel mercato interno, con particolare riferimento al commercio elettronico”

AMMINISTRATORI DI SISTEMA (INTERNI ED ESTERNI)

Il Titolare ha provveduto ad individuare l’Amministratore di Sistema, tale funzione viene svolta dal Servizio CED di CNA SERVIZI BRESCIA, a tale soggetto, incaricato della gestione interna del sistema informativo viene prescritto in ogni caso di non effettuare alcun trattamento sui dati personali contenuti negli strumenti elettronici, fatta unicamente eccezione per i trattamenti di carattere temporaneo strettamente necessari per effettuare la gestione o manutenzione del sistema.

I fornitori di Servizi informatici esterni sono scelti con particolare attenzione alla professionalità non solo tecnica ma anche del rispetto e della protezione dei dati, privilegiando società del sistema CNA.

RESPONSABILI ESTERNI DEL TRATTAMENTO (art. 28 Reg. 679/2016)

Il Titolare gestisce internamente quasi tutte le attività di trattamento. I casi di affidamento in outsourcing a terzi di alcune attività che implicano un trattamento di dati sono opportunamente indicati nel Registro dei trattamenti e segnalate all’interno delle singole informative. In questi casi il rapporto con il soggetto terzo è disciplinato con contratto di nomina a “Responsabile Esterno del Trattamento” ai sensi dell’art. 28 del Reg. 679/2016.

GESTIONE DEI TRATTAMENTI

Condizione di liceità del trattamento (artt. 5 e 6 GDPR)

La CNA di Brescia garantisce che i Dati personali siano trattati esclusivamente in presenza di una delle condizioni di liceità del trattamento previste dal GDPR, tenendo in considerazione la natura del dato personale oggetto di trattamento (i.e. dati comuni, categorie particolari di Dati personali, dati giudiziari e dati di minori).

In particolare, il Titolare adotta i presidi necessari ad assicurare che il trattamento di Dati personali sia effettuato solo ove ricorra almeno una delle seguenti condizioni:

  • l’interessato ha espresso il proprio consenso;
  • il trattamento è necessario per eseguire un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  • il trattamento è necessario per adempiere ad un obbligo di legge;
  • il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  • il trattamento è necessario per perseguire un legittimo interesse del titolare o di terzi, salvo che prevalgano gli interessi o i diritti e le libertà dell’interessato.

Nel dare avvio a una nuova tipologia di trattamento, il Titolare verifica con il coinvolgimento del DPO, che esso sia fondato su una delle fonti di liceità del trattamento di cui sopra.

Il Titolare fornisce agli Incaricati che interagiscono con gli interessati le istruzioni necessarie a garantire il rispetto della normativa e del presente Regolamento.

Qualora il fondamento di liceità del trattamento sia il consenso, gli Incaricati devono rilasciare un’informativa agli interessati e richiedere il consenso, nel rispetto delle procedure interne e delle istruzioni ricevute, prima che il trattamento abbia inizio. Il consenso deve essere libero, specifico e informato, manifestato tramite un’azione positiva inequivocabile e richiesto separatamente per ogni finalità del trattamento.

l termini del trattamento, indicati sulle informative, contengono e descrivono in modo puntuale il periodo di conservazione dei Dati personali oppure, se non possibile, i criteri utilizzati per determinare tale periodo.

PRINCIPI DI PROTEZIONE DEl DATI PERSONALI

Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento UE 2016/679, che qui si ricordano brevemente:

  • liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
  • limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
  • minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
  • esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
  • limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
  • integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento. La CNA di Brescia, così come richiesto dal Regolamento (articolo 5, paragrafo 2) rispetta tutti questi principi ed è “in grado di comprovarlo”.

Principio di responsabilizzazione o Accountability (Art. 5 GDPR)

Per trattare i Dati personali in conformità con la normativa vigente e il presente Regolamento, il Titolare adotta misure tecniche, organizzative e di sicurezza adeguate, nonché adeguati meccanismi di controllo della costante conformità di tali misure nel tempo e ne dispone il costante aggiornamento.

Il Titolare documenta le attività svolte per garantire che i trattamenti siano effettuati in conformità alla normativa applicabile e tiene tale documentazione a disposizione per eventuali accessi del Garante.

Principio di privacy by design (Art. 25 GDPR)

Il principio di privacy by design implica l’obbligo di proteggere i dati sin dalla progettazione del loro processo di gestione. Ogni azienda deve effettuare una valutazione preventiva dei rischi legati alla privacy che la gestione dei dati personali comporta.

Il Titolare assicura che tutte le applicazioni, servizi, prodotti ed attività che prevedono il trattamento di Dati personali sono progettati e successivamente effettuati tenendo in considerazione gli effetti che potrebbero  avere sulla protezione dei Dati personali e sui diritti degli interessati. A tal fine, sin dal momento della determinazione di modalità e mezzi del trattamento dei Dati personali, sono adottate misure tecniche e organizzative adeguate, quali la minimizzazione dei dati, volte ad attuare in modo efficace i principi di protezione dei Dati e ad integrare nel trattamento le garanzie necessarie a soddisfare i requisiti della normativa applicabile e a tutelare i diritti degli interessati.

Principio di privacy by default (Art. 25 GDPR)

Il principio di privacy by default ai fini della tutela della privacy dei cittadini impone l’obbligo di adottare, per impostazione predefinita, misure tecniche e organizzative adeguate a garantire che siano trattati, solo i dati personali necessari per ogni specifica finalità del trattamento e che non siano resi accessibili a un numero indefinito di persone fisiche senza l’intervento del soggetto incaricato, di un responsabile o del titolare.

A tal fine, in fase di delineazione del trattamento, sono adottate le idonee misure tecniche e organizzative e sono valutati, in particolare, i seguenti elementi allo scopo di ridurre al minimo necessario l’impatto sul diritto alla protezione dei Dati personali rispetto alle finalità perseguite:

  • quantità dei Dati personali da raccogliere;
  • portata del trattamento;
  • periodo di conservazione;
  • numero di soggetti che ha accesso ai Dati personali.

MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE

LA SICUREZZA DEL TRATTAMENTO (ART. 32 GDPR)

Il Titolare adotta le misure tecniche e organizzative opportune per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

Tali misure sono idonee a prevenire ogni violazione di Dati personali, ivi incluse la distruzione, perdita, modifica, divulgazione o l’accesso non autorizzato a Dati personali, effettuati in modo accidentale o illegale. Qualora si verifichi una violazione di Dati personali, le misure tecniche e organizzative adottate devono comunque essere in grado di riconoscere e contrastare l’avvenuta violazione.

Nell’art. 32 del GDPR alcune misure di sicurezza comprendono, tra le altre, se del caso:

  1. a) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  2. b) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  3. c) la redazione di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Accesso alle procedure informatiche-abilitazioni

Ad ogni dipendente è assegnato uno username (identificativo utente) e una password (parola chiave) personali, necessari per accedere ai PC. Per accedere ai dati in essi contenuti ad ogni dipendente sono assegnate ulteriori credenziali uno username (identificativo utente) e una password (parola chiave) personali, necessari per accedere alle banche dati ed ai programmi gestionali. Il medesimo username non può, nemmeno in tempi diversi, essere assegnato a persone diverse. Le credenziali vengono assegnate dall’Amministratore di sistema sulla base dei profili proposti dal Titolare con differenti livelli di autorizzazione. Il Titolare provvede a comunicare all’Amministratore di sistema gli aggiornamenti di abilitazioni e accessi informatici nei casi di nuove assunzioni; perdita dei requisiti per l’accesso; dimissioni; temporanea astensione dal lavoro per un periodo superiore ad un mese e successivo reintegro; trasferimento da una unità organizzativa ad un’altra.

Archiviazione dati

Per i trattamenti effettuati con strumenti elettronici (elaboratori, programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato) e quindi la relativa archiviazione dei documenti e supporti diversi (ad esempio, CD, chiavette, fotografie), si è provveduto ad istruire gli incaricati, affinché adottino precise procedure atte a salvaguardare la riservatezza dei dati contenuti.

Trattamento effettuato senza l’ausilio di strumenti elettronici

Il Titolare quando effettua il trattamento dei dati personali senza l’ausilio di strumenti informatici adotta le seguenti misure minime:

  1. minimizzazione del trattamento;
  2. previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
  3. previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati;
  4. restituzione degli atti e dei documenti al termine delle operazioni.

In definitiva agli incaricati vengono date disposizioni, per iscritto, di accedere ai soli dati personali, la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati, devono custodire in modo appropriato gli atti, i documenti ed i supporti contenenti dati personali, loro affidati per lo svolgimento delle mansioni lavorative, al termine del trattamento, l’incaricato dovrà restituire gli atti, i documenti ed i supporti, non più necessari per lo svolgimento delle proprie mansioni lavorative. Utilizzo di dispositivi cellulari e computer portatili.

L’utilizzo di dispositivi cellulari e computer portatili, all’esterno dei locali dell’Azienda, deve essere oggetto di particolare cura ed attenzione da parte degli Utenti perché tale utilizzo rappresenta una fonte di rischi particolarmente rilevante in termini di sicurezza, sia delle risorse in sé sia dei dati nelle stesse contenuti. Tali dispositivi, infatti, possono essere soggetti a smarrimento, furti, distruzione o compromissione dei dati, tentativi di frode e/o accesso non autorizzato ovvero essere (/infettati” da virus o codice malevole. Per altro un’eventuale contaminazione da virus informatici potrebbe diffondersi e ripercuotersi all’intera rete informatica aziendale, una volta che tali dispositivi siano collegati direttamente alla rete interna.

Abbiamo pertanto, adottato ulteriori norme comportamentali nonché specifiche procedure, di seguito descritte, che gli Utenti sono chiamati ad applicare in modo scrupoloso:

  • utilizzare i dispositivi solo ed esclusivamente per motivi di Lavoro;
  • fare periodicamente delle copie di back-up dei dati e verificarle regolarmente;
  • connettersi, con frequenza almeno settimanale, alla rete intranet dell’Azienda per scaricare gli aggiornamenti (patch, hot fix ed elenchi dei virus);
  • mantenere abilitato l’antivirus;
  • non disabilitare le impostazioni di sicurezza originariamente impostate dal Titolare;
  • evitare di accedere e navigare in siti web “pericolosi” per la sicurezza informatica, a prescindere dal fatto che ciò avvenga al di fuori dell’orario di lavoro;
  • non mantenere abilitati protocolli insicuri di comunicazione, come ad es. il Bluetooth, oltre il tempo strettamente necessario;
  • Divieto di utilizzo di messaggistica (whatsapp, telegram etc) che non siano aziendali.

Nei casi di smarrimento, furto accertato o grave manomissione dei dispositivi assegnati o del loro contenuto, gli Utenti devono segnalare tempestivamente l’accaduto ai soggetti di seguito indicati:

  • Autorità Giudiziaria (sporgendo denuncia);
  • al Titolare.

Utilizzo di stampanti in aree ad accesso non riservato

È importante rispettare le prescrizioni del GDPR anche con le stampanti, soprattutto quelle non di ultima generazione. Ogni qualvolta si manda in stampa un documento, infatti, vengono elaborate (e spesso archiviate) moltissime informazioni riservate e dati personali che devono essere opportunamente protetti, il soggetto autorizzato una volta inviato il documento in stampa deve recuperarlo con sollecitudine evitando di lasciarlo incustodito. Particolare attenzione va prestata nei casi in cui la stampante dovesse essere collocata in aree in cui accede anche il pubblico.

Il Titolare ha adottato misure di sicurezza basilari di natura tecnica ed organizzativa cercando di rispettare le prescrizioni del GDPR anche con stampanti non di ultima generazione, tutelando gli interessati anche nell’esercizio dei propri diritti garantendo ad esempio, la cancellazione dalle memorie delle stampanti di tutti i dati non più necessari o attuali o pertinenti con le finalità per le quali erano stati oggetto di trattamento.

Comunicazione mediante telefono e telefax

Si raccomanda ai soggetti autorizzati che, in occasione di comunicazioni mediante telefono nei confronti della clientela, qualora queste avvengano in presenza di terze persone, di prestare particolare attenzione onde evitare la comunicazione e/o divulgazione dei dati della stessa a soggetti terzi non interessati ma presenti fisicamente nei locali dove avviene la comunicazione telefonica. In occasione di comunicazioni mediante telefono rivolte dalla clientela ai soggetti autorizzati, occorre assicurarsi circa l’identità effettiva del soggetto richiedente le informazioni, al fine di non comunicare dati personali a soggetti terzi, non legittimati.

In relazione, altresì, alla comunicazione alla clientela effettuata mediante l’invio di documenti contenenti dati personali via telefax, o mail, ancorché tale operatività sia da ritenersi a carattere occasionale, i soggetti autorizzati devono verificare che il cliente abbia indicato il recapito all’interno della documentazione contrattuale.

Disposizioni per l’utilizzo della rete internet e della posta elettronica

Le regole di seguito specificate sono adottate anche ai sensi delle “Linee guida del Garante per posta elettronica e internet” pubblicate in Gazzetta Ufficiale n. 58 del marzo 2007.

Ciascun dipendente/collaboratore si deve attenere alle seguenti regole di utilizzo della rete Internet e dei relativi servizi. Il PC assegnato al singolo utente ed abilitato alla navigazione in Internet costituisce uno strumento aziendale utilizzabile esclusivamente per lo svolgimento della propria attività lavorativa. È quindi proibita la navigazione in Internet per motivi diversi da quelli legati all’attività lavorativa. Al fine di evitare la navigazione in siti non pertinenti all’attività lavorativa, l’Azienda adotta uno specifico sistema di blocco o filtro automatico che prevengano determinate operazioni quali l’upload o l’accesso a determinati siti inseriti in una “black list”. Tutto ciò premesso si delineano le regole generali per il corretto utilizzo della rete internet:

  • È ammessa solo la navigazione in siti considerati correlati con la prestazione lavorativa;
  • È vietato compiere azioni che siano potenzialmente in grado di arrecare danno alla Società, ad esempio, il download o l’upload di file audio e/o video, l’uso di servizi di rete con finalità ludiche o, comunque, estranee all’attività lavorativa;
  • È vietato a chiunque il download di qualunque tipo di software gratuito (freeware) o shareware prelevato da siti Internet, se non espressamente autorizzato dall’ Amministratore di Sistema;
  • Nel caso in cui, per ragioni di servizio, si necessiti di una navigazione libera dai filtri è necessario richiedere lo sblocco mediante una mail indirizzata all’Amministratore di sistema, nella quale siano indicati chiaramente: motivo della richiesta, utente e postazione da cui effettuare la navigazione libera e l’intervallo di tempo richiesto per completare l’attività;
  • È assolutamente vietata la partecipazione a Forum non professionali, ai Social Network, l’utilizzo di chat line (esclusi gli strumenti autorizzati), di bacheche elettroniche e le registrazioni in guest books anche utilizzando pseudonimi (o nicknames);
  • Per motivi tecnici e di buon funzionamento del sistema informatico è buona norma, salvo comprovata necessità, non accedere a risorse web che impegnino in modo rilevante banda, come a titolo esemplificativo: filmati (tratti da youtube, siti di informazione, siti di streaming ecc) o web radio, in quanto possono limitare e/o compromettere l’uso della rete agli altri utenti.
  • L’indirizzo di posta elettronica è un bene aziendale e pertanto il suo utilizzo da parte del singolo utente dovrà essere limitato a scopi di carattere professionale. Ciascun dipendente/collaboratore si deve attenere alle seguenti regole di utilizzo dell’indirizzo di Posta elettronica:
  • Ad ogni dipendente viene fornito un account e-mail aziendale nominativo, generalmente coerente con il modello denominazione (nome e cognome) e ufficio@cnabrescia.it;
  • La società fornisce, altresì, delle caselle di posta elettronica associate a ciascuna unità organizzativa il cui utilizzo è da preferire rispetto alle e-mail nominative qualora le comunicazioni siano di interesse collettivo: questo per evitare che degli utenti singoli mantengano l’esclusività su comunicazioni aziendali;
  • L’iscrizione a mailing-list o newsletter esterne con il proprio indirizzo aziendale personale è concessa esclusivamente per motivi professionali. Prima di iscriversi occorre verificare anticipatamente l’affidabilità del sito che offre il servizio;
  • Allo scopo di garantire sicurezza alla rete aziendale, evitare di aprire messaggi di posta in arrivo da mittenti di cui non si conosce l’identità o con contenuto sospetto o insolito, oppure che contengano allegati di tipo * .exe, *.com, *.vbs, *.htm, *.scr, *.bat, *.js e *.pif. È necessario porre molta attenzione, inoltre, alla credibilità del messaggio e del mittente per evitare casi di phishing o frodi informatiche. In qualunque situazione di incertezza contattare l’Amministratore di sistema per una valutazione dei singoli casi;
  • Non è consentito l’invio automatico di e-mail all’indirizzo e-mail privato (attivando per esempio un “inoltro” automatico delle e-mail entranti), anche durante i periodi di assenza (es. ferie, malattia, infortunio ecc.). In questa ultima ipotesi, è raccomandabile utilizzare un messaggio “Fuori sede” facendo menzione di chi, all’interno della Società assumerà le mansioni durante l’assenza, oppure indicando un indirizzo di mail alternativo preferibilmente di tipo collettivo. Rivolgersi all’Amministratore di Sistema per tale eventualità;
  • In caso di assenza improvvisa o prolungata e per improrogabili necessità legate all’ attività lavorativa, qualora non fosse possibile attivare la funzione autoreply o l’inoltro automatico su altre caselle della Società e si debba conoscere il contenuto dei messaggi di posta elettronica, il titolare della casella di posta ha la facoltà di delegare un fiduciario per verificare il contenuto di messaggi e per inoltrare al Responsabile di sede quelli ritenuti rilevanti per lo svolgimento dell’attività lavorativa. Sarà compito del Responsabile di sede assicurarsi che sia redatto un verbale attestante quanto avvenuto e che sia informato il lavoratore interessato alla prima occasione utile.
  • La casella di posta elettronica personale deve essere mantenuta in ordine, cancellando messaggi e documenti la cui conservazione non è più necessaria. Anche la conservazione di messaggi con allegati pesanti è da evitare per quanto possibile, preferendo, in alternativa, il salvataggio dell’allegato;

Si informa che le comunicazioni anche elettroniche ed i documenti elettronici allegati possono avere rilevanza procedimentale e pertanto devono essere conservate per la durata prevista dalla normativa vigente.

Interventi di manutenzione a carico di soggetti esterni

Nel caso di eventuali interventi per esigenze di manutenzione del sistema, sarà posta opportuna cura nella prevenzione di accessi illegittimi a dati personali presenti in cartelle o spazi di memoria, tutti gli interventi di norma sono programmati dall’Amministratore di Sistema.

l soggetti preposti al trattamento dei dati (in particolare, gli incaricati della manutenzione) svolgeranno solo operazioni strettamente necessarie al perseguimento delle relative finalità, senza realizzare attività di controllo a distanza, anche di propria iniziativa.

L’Amministratore di Sistema:

  • Coordina modalità, oggetto e tempistica dell’intervento integrata dalle opportune istruzioni comportamentali da tenete per la protezione dei dati conservati sia in forma elettronica che cartacea;
  • Si accerta dell’identità dei soggetti esterni prima dell’inizio dell’intervento;
  • Non permette l’accesso ai locali del Titolare a soggetti esterni non accompagnati;
  • Ha facoltà, in qualunque momento di controllare e verificare l’operato degli addetti alla manutenzione;
  • Raccoglie, al termine dell’intervento, il rapporto di servizio del manutentore e lo trasmette al Titolare e/o ufficio di Amministrazione;
  • Sovrintende a tutti gli interventi tecnici di manutenzione ordinaria e straordinaria sulle apparecchiature di proprietà o a noleggio del Titolare.

ANALISI DEL RISCHIO E MISURE PER PREVENIRE I RISCHI PRIVACY

Secondo i principi della c.d. “accountability” (responsabilizzazione) spetta al TITOLARE implementare una serie di misure – organizzative, fisiche, giuridiche, tecniche ed informatiche – volte a prevenire il rischio di violazione dei diritti e delle libertà personali degli interessati. Per raggiungere questo obiettivo viene effettuata una costante analisi dei rischi, in funzione dei trattamenti, degli strumenti utilizzati, della tipologia e della mole di dati trattati.

REGISTRO DEI TRATTAMENTI (art. 30 comma 1 Reg. 679/2016) E ANALISI DELL’IMPATTO 

Il modello organizzativo CNA prevede un’attenta e costante analisi dei rischi per il trattamento dei dati personali, individuati per ciascuna attività o Servizio erogato attraverso un Registro dei Trattamenti ai sensi dell’art. 30 comma 1 Reg. 679/16.

Il Registro dei Trattamenti CNA è uno strumento operativo che contiene elementi ulteriori rispetto a quelli previsti dall’art. 30 del Reg. 679/16, in quanto consente di effettuare una prima analisi dei rischi per i diritti e la libertà degli interessati, collegate a ciascun trattamento (PRE DPIA). Analizzata l’attività di trattamento svolta dal Titolare, si ritiene che ad oggi non vi siano attività a rischio tale da necessitare una specifica valutazione di impatto ai sensi dell’art. 35 Reg. 679/2016 (DPIA).

Le misure – organizzative, fisiche, giuridiche, tecniche ed informatiche – programmate ed attuate per abbattere i rischi “privacy” dell’interessato sono illustrate nell’apposita sezione del “registro dei trattamenti” e nei relativi allegati informatici.

DIRITTI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

DIRITTI ESERCITABILI DALL’INTERESSATO

Nei confronti del Titolare del trattamento l’interessato potrà in qualsiasi momento esercitare i diritti di cui agli artt. 15 ss del Regolamento UE 679/2016: diritto di accesso (art. 15); diritto di rettifica (art. 16); diritto alla cancellazione (art. 17); diritto di limitazione del trattamento (art. 18); diritto alla portabilità dei dati (art. 20); diritto di opposizione (art. 21); diritto di revoca del consenso (art. 13).
Per l’esercizio dei propri diritti, l’interessato può avvalersi del “Modello per l’esercizio diritti-interessato”, disponibile nella sezione “Area Privacy” del sito www.cnabrescia.it, da inviare via mail all’indirizzo dpo@cnabrescia.it
E’ sempre possibile, inoltre, proporre reclamo all’Autorità di controllo competente (ai sensi dell’art. 77 Reg UE 679/2016) o ricorso giurisdizionale (ai sensi dell’art. 79 Reg UE 679/2016) qualora l’Interessato ritenga sussistente una violazione dei propri diritti.

Il TITOLARE, ritiene fondamentale informare gli interessati dell’esistenza di alcuni diritti in materia di protezione dei dati personali, di seguito elencati.

Diritto di essere informato (trasparenza nel trattamento dei dati)

L’interessato ha diritto di essere informato su come il TITOLARE tratta i Suoi dati personali, per quali finalità e su altre informazioni previste dall’ art. 13 del Reg. 679/16. A tale fine, il TITOLARE ha predisposto dei processi organizzativi che permettono, all’atto di acquisizione o richiesta dei dati personali, il rilascio di un modello di Informativa creato “ad hoc” a seconda della categoria di interessati a cui l’interessato appartiene (dipendente, cliente, fornitore ecc.). Questo documento permette di informare adeguatamente tutti i soggetti cui i dati si riferiscono su come venga effettuato il trattamento da parte del TITOLARE. Il modello di informativa potrà essere richiesto con apposita domanda a quest’ultimo. In ogni caso il DPO è a disposizione dell’interessato per ogni ulteriore spiegazione sul contenuto e sulle modalità di esercizio di tale diritto.

Diritto di revoca del consenso (art. 13)          

L’interessato ha il diritto di revocare il consenso in qualsiasi momento per tutti quei trattamenti il cui presupposto di legittimità è una Sua manifestazione di consenso. La revoca del consenso non pregiudica la liceità del trattamento precedente.

Diritto di accesso ai dati (art. 15)

L’interessato potrà richiedere:

  1. a) le finalità del trattamento;
  2. b) le categorie di dati personali in questione;
  3. c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
  4. d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  5. e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che La riguardano o di opporsi al loro trattamento;
  6. f) il diritto di proporre reclamo ad un’autorità di controllo;
  7. g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
  8. h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato. Lei ha il diritto di richiedere una copia dei dati personali oggetto di trattamento.

Diritto di rettifica (art. 16)        

L’interessato ha il diritto di chiedere la rettifica dei dati personali inesatti che La riguardano e di ottenere l’integrazione dei dati personali incompleti.

Diritto all’oblio (art. 17)

L’interessato ha il diritto di ottenere dal TITOLARE la cancellazione dei dati personali che La riguardano se i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati, se revoca il consenso, se non sussiste alcun motivo legittimo prevalente per procedere al trattamento di profilazione, se i dati sono stati trattati illecitamente, se vi è un obbligo legale di cancellarli, se i dati sono relativi a servizi web resi a minori senza il relativo consenso. La cancellazione può avvenire salvo che sia prevalente il diritto alla libertà di espressione e di informazione, che siano conservati per l’adempimento di un obbligo di legge o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri, per motivi di interesse pubblico nel settore della sanità, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Diritto alla limitazione del trattamento (art. 18)          

L’interessato i ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ha contestato l’esattezza dei dati personali (per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali) o se il trattamento sia illecito, ma Lei si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo o se le sono necessari per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, mentre al Titolare non sono più necessari.

Diritto alla portabilità (art. 20) 

L’interessato i ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che la riguardano fornitici ed ha il diritto di trasmetterli ad un altro se il trattamento si sia basato sul consenso, sul contratto e se il trattamento sia effettuato con mezzi automatizzati, salvo che il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri e che tale trasmissione non leda il diritto di terzi.

Diritto di rivolgersi all’autorità Garante per la protezione dei dati personali (art. 77)

Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, se Lei ritiene che il trattamento che la riguarda violi il regolamento in materia di protezione dei dati personali, l’interessato ha il diritto di proporre reclamo ad un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.

ESERCIZIO DEI DIRITTI

Per l’esercizio effettivo dei diritti può chiedere informazioni al TITOLARE o al DPO, oppure compilare adeguatamente la modulistica di accesso che le mettiamo a disposizione in allegato.

MODULISTICA

Si riporta di seguito una bozza di documento da compilare per l’esercizio concreto dei diritti dell’interessato. Il modulo potrà essere così inviato al Titolare, agli indirizzi sopra riportati, ai sensi della normativa vigente.

Modello da stampare e compilare specificando il diritto richiesto

Modello esercizio diritti dell’interessato 

PERIODO DI CONSERVAZIONE

I dati raccolti verranno conservati per il periodo necessario alla prestazione del servizio richiesto e successivamente per ulteriori 5 anni, al fine di mantenere un rapporto informativo con l’interessato (tramite invio di newsletter, ecc.), qualora l’interessato abbia espresso il consenso al trattamento dei dati conferiti per finalità di marketing, trascorso il quale il dato verrò definitivamente cancellato”.

AGGIORNAMENTI E MODIFICHE

CNA Brescia si riserva il diritto di modificare, integrare o aggiornare periodicamente il presente regolamento ai sensi della normativa applicabile e/o dei provvedimenti adottati dal Garante per la Protezione dei dati personali.
Invitiamo gli utenti a prendere visione della Privacy Policy con regolarità, per verificare l’Informativa aggiornata e decidere se continuare o meno ad usufruire dei servizi offerti.