Menu
PREMESSA
Il presente Modello raccoglie le misure tecniche e organizzative che GLOBALTECH SOLUTIONS SAGL in qualità di Titolare del trattamento dei Suoi dati personali, attua per garantire - ed essere in grado di dimostrare - la conformità al Regolamento UE 2016/679 delle attività di trattamento di e dei dati personali delle persone fisiche, Cittadini Europei e residenti nell'Unione Europea, che la Società svolge direttamente o che terzi svolgono per suo conto. Il Regolamento del 27 aprile 2016, c.d. " General Data Protection Regulation" (di seguito "GDPR"), pubblicato sulla Gazzetta Ufficiale dell'Unione Europea il 4 maggio 2016, è definitivamente operativo e applicabile direttamente in tutti i Paesi membri dell'Unione Europea a partire dal 25 maggio 2018 e persegue l'obiettivo di rafforzare la protezione dei dati personali delle persone fisiche, sia all'interno che all'esterno dei confini europei, prescindendo quindi dal principio di territorialità, armonizzando le regole privacy di tutti gli Stati membri. Insieme alla Direttiva UE 2016/680 dello stesso giorno, relativa al trattamento dei dati personali nel solo ambito della repressione dei reati, il Regolamento in questione costituisce il cosiddetto " pacchettoprotezione dati personali ".
L'adozione di le misure tecniche e organizzative appropriate è imposta dagli articoli 24 e seguenti del GDPR, secondo i quali le politiche e le misure interne da attuare per soddisfare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default, devono tenere conto, in pratica, la natura, la portata, il contesto e le finalità del trattamento, nonché il rischio per i diritti e le libertà delle persone fisiche.
Per ottemperare a questo requisito, quindi, l'elaborazione di questo modello ha richiesto la preventiva esecuzione di un'attenta e critica attività di audit, che ha permesso l'esame della singola realtà aziendale e la valutazione dell'impatto sulla protezione dei dati personali.
DEFINIZIONI
Ai fini del GDPR e in relazione ai concetti specificamente coinvolti nelle attività di trattamento svolte, direttamente e indirettamente da GLOBALTECH SOLUTIONS SAGL ai sensi dell'articolo 4 GDPR, sono definiti:
1. "dati personali" : qualsiasi informazione relativa a una persona fisica identificata o identificabile ("persona interessata"); una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi specifici della sua identità fisica; fisiologica, genetica, psichica, economica, culturale o sociale;
2. "trattamento" : qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, raffronto o interconnessione, limitazione, cancellazione o distruzione;
3. Per "restrizione del trattamento" si intende la marcatura dei dati personali memorizzati allo scopo di limitarne il trattamento in futuro;
4. "profilazione" : qualsiasi forma di trattamento automatizzato di dati personali che consiste nell'utilizzare tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti relativi al rendimento professionale, alla situazione economica, alla salute, alle preferenze personali, agli interessi, all'affidabilità, al comportamento, all'ubicazione o ai movimenti di tale persona fisica;
5. Per "pseudonimizzazione" si intende il trattamento di dati personali in modo tale che i dati personali non possano più essere attribuiti a una specifica persona interessata senza l'uso di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative per garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
6. "archivio" : qualsiasi insieme strutturato di dati personali accessibili secondo criteri specifici, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o distribuito in modo funzionale o geografico;
7. "responsabile del trattamento" : la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il responsabile del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;
8. Per "incaricato del trattamento" si intende la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che elabora dati personali per conto del responsabile del trattamento;
9. "destinatario" : la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che riceve la comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere la comunicazione di dati personali nel contesto di un'indagine specifica conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di tali autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati in funzione delle finalità del trattamento;
10. Per "terzi" si intende la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo diverso dalla persona interessata, il responsabile del trattamento, l'incaricato del trattamento e le persone autorizzate a elaborare i dati personali sotto l'autorità diretta del responsabile del trattamento o dell'incaricato del trattamento;
11. Per "consenso della persona interessata" si intende qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile con la quale la persona interessata esprime il proprio consenso, mediante una dichiarazione inequivocabile o un'azione positiva, al trattamento dei dati personali che la riguardano;
12. "violazione dei dati personali" : una violazione della sicurezza che comporta accidentalmente o illegalmente la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o altrimenti trattati;
13. "dati genetici" : i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni inequivocabili sulla fisiologia o sulla salute di tale persona fisica e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;
14. "dati biometrici" : i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che permettono o confermano la sua identificazione univoca, come l'immagine del viso o i dati datiloscopici;
15. "dati sanitari" : i dati personali relativi alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
16. Per "stabilimento principale" si intende:
17. "rappresentante" : la persona fisica o giuridica stabilita nell'Unione che, designata per iscritto dal responsabile del trattamento o dall'incaricato del trattamento a norma dell'articolo 27, li rappresenta in relazione ai rispettivi obblighi derivanti dal presente regolamento;
18. Per "impresa" si intende una persona fisica o giuridica, qualunque sia la sua forma giuridica, che esercita un'attività economica, comprese le società di persone o le associazioni che esercitano regolarmente un'attività economica;
19. 19. "gruppo di imprese" : un gruppo composto da un'impresa controllante e dalle imprese controllate da tale impresa;
20. "norme vincolanti d'impresa" : le politiche di protezione dei dati personali applicate da un responsabile del trattamento o da un incaricato del trattamento stabilito nel territorio di uno Stato membro al trasferimento o all'insieme dei trasferimenti di dati personali a un responsabile del trattamento o a un incaricato del trattamento in uno o più paesi terzi, nell'ambito di un gruppo di imprese o di un gruppo di imprese che svolgono un'attività economica comune;
21. Per "autorità di controllo" si intende un'autorità pubblica indipendente istituita da uno Stato membro conformemente all'articolo 51;
22. Per "autorità di controllo interessata"si intende un'autorità di controllo interessata dal trattamento dei dati personali perché:
23. 23. Per "trattamento transfrontaliero" si intende:
(a) il trattamento di dati personali effettuato nell'ambito delle attività di stabilimenti in più di uno Stato membro di un responsabile del trattamento o di un incaricato del trattamento nell'Unione, quando il responsabile del trattamento o l'incaricato del trattamento è stabilito in più di uno Stato membro; oppure
(b) i trattamenti di dati personali effettuati nell'ambito delle attività di un unico stabilimento di un responsabile del trattamento o di un incaricato del trattamento nell'Unione, ma che interessano o possono interessare in modo sostanziale gli interessati in più di uno Stato membro;
24. "obiezione pertinente e motivata" : un'obiezione al progetto di decisione relativa all'esistenza o meno di una violazione del presente regolamento o alla conformità dell'azione prevista nei confronti del responsabile del trattamento o dell'incaricato del trattamento al presente regolamento, la cui obiezione dimostra chiaramente la pertinenza dei rischi posti dal progetto di decisione per quanto riguarda i diritti e le libertà fondamentali degli interessati e, se del caso, la libera circolazione dei dati personali nell'Unione;
25. "servizio della società dell'informazione ": il servizio quale definito all'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio;
26. 26. Per "organizzazione internazionale" si intende un'organizzazione e gli organismi di diritto internazionale pubblico ad essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.
1) REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (GDPR)
Come detto, a partire dal 25 maggio 2018, il GDPR è diventato obbligatorio in tutti i suoi elementi e direttamente applicabile in tutti gli Stati membri e, allo stesso tempo, la Direttiva 95/46/CE che attualmente regola, a livello comunitario, il trattamento dei dati.
A livello nazionale , è attualmente in vigore nel nostro Paese il Codice della Privacy, introdotto dal D.Lgs. 196/2003, che ha recepito la suddetta direttiva e quella sulla e-privacy (cioè la direttiva 58/2002/CE).
Sebbene il regolamento prevalga sul diritto nazionale interno, il GDPR non comporta l'automatica abrogazione della legge statale che regola la stessa materia, ma la concreta disapplicazione delle disposizioni dell'ordinamento interno in contrasto con le nuove disposizioni normative europee, a favore della nuova disciplina.
Inoltre, il considerando 10 del GDPR prevede espressamente "un margine e una manovra degli Stati membri per specificare le loro regole, anche per quanto riguarda il trattamento di categorie speciali di dati personali".
Il GDPR consiste in tre principi ispiratori, che permeano e sostengono il intero sistema normativo e il cui rispetto è tutelato da un sistema sanzionatorio, delineato dagli articoli 83 e seguenti, caratterizzato dalle relative cifre che arrivano a colpire Titolari e Responsabili del trattamento con sanzioni amministrative fino a 20 milioni di euro o fino al 4 % del fatturato totale annuo mondiale, più le sanzioni penali previste dal diritto nazionale.
Questi principi essenziali sono quelli di:
Principi ispiratori di base che si riflettono sul cosiddetto "pilastri del GDPR, cioè sui principali principi operativi innovazioni quali:
A) La designazione di il Responsabile della protezione dei dati (art.37-39)
inteso come una figura fondamentale che deve raccogliere in sé competenze normative, tecniche, comunicative e una profonda conoscenza della struttura e dell'organizzazione aziendale;
B) L'istituzione del Registro delle attività di trattamento (art.30 e cons. 171) che costituisce il punto di partenza per la predisposizione dell'intero sistema documentale, responsabile della raccolta delle evidenze, dei controlli e dei processi che consentono di soddisfare la responsabilità del sistema privacy;
C) Il processo di violazione dei dati, (art. 33 e 34) cioè la notifica di eventuali violazioni di dati personali, che richiede un'attenta analisi e conoscenza delle informazioni gestite, ma soprattutto investimenti tecnologici nelle modalità di monitoraggio, messa in sicurezza e compartimentazione dei danni che ne possono derivare.
Un corollario diretto dei suddetti principi generali di responsabilità, privacy by design e privacy by default, è che la piena conformità al GDPR richiede che il trattamento dei dati personali avvenga secondo i principi di liceità, correttezza e trasparenza.
Come nella legislazione precedente, il trattamento è legittimo quando si basa su una base giuridica base che, fermo restando in ogni caso l'obbligo di informazione del Titolare, può consistere in quanto segue:
Il trattamento dei dati personali è corretto se trasparente nei confronti degli interessati, cioè i dati personali devono essere e trattati per finalità specifiche, esplicite e legittime, e senza scorrettezze o inganni nei confronti degli interessati (essendo quindi vietate informazioni confuse o parziali). La trasparenza non è solo un principio fondamentale del trattamento, ma anche un vero e proprio diritto dell'interessato: cioè, le modalità di raccolta e utilizzo dei dati devono essere trasparenti e corrette.
Gli interessati devono essere informati sulle finalità del trattamento, i metodi di trattamento o e l'indirizzo del responsabile del trattamento, prima che il trattamento stesso sia presente. I metodi di trattamento devono essere spiegati in modo comprensibile in modo che gli interessati siano in grado di capire cosa succederà ai loro dati.
L'interessato deve disporre di una procedura efficace e accessibile che gli permetta di ottenere l'accesso ai suoi dati in un tempo ragionevole, e quindi di sapere se e quali dati sono detenuti dal titolare.
Qualsiasi trattamento nascosto o segreto deve, quindi, essere considerato illecito. I titolari e i responsabili devono garantire agli interessati che i dati saranno trattati secondo liceità e correttezza e in modo da rispettare, per quanto possibile, la volontà degli interessati.
2) OBIETTIVO E STRUTTURA DEL MODELLO
L'obiettivo del presente Modello Organizzativo Privacy è quello di garantire e dimostrare che il trattamento dei dati personali da parte di GLOBALTECH SOLUTIONS SAGL avvenga in modo lecito, corretto e trasparente secondo la definizione sopra riportata, da realizzarsi attraverso la realizzazione di una gestione interna ben strutturata che promuova la cultura della privacy e della sicurezza dei dati personali, consolidando i principi di condotta idonei a garantire la trasparenza, la sicurezza e la correttezza dei trattamenti, aumentando la propria affidabilità nei confronti dei propri soci, clienti, partner, consulenti e dipendenti.
Con l'ulteriore conseguenza di evitare l'eventuale erogazione delle sanzioni amministrative pecuniarie di cui all'art. 83 GDPR nonché le sanzioni penali di cui alla normativa nazionale per quanto ancora in vigore potendo, con la sua adozione, dimostrare la concreta, efficiente ed efficace attuazione delle misure tecniche ed organizzative idonee alla protezione dei dati personali da essa trattati, direttamente o tramite soggetti terzi che li effettuano per suo conto.
Il presente Modello Organizzativo si compone di dieci sezioni volte a fornire una visione d'insieme del sistema complessivo di misure tecniche e organizzative che, sulla base della concreta sistematica e esigenze operative di SOLUZIONI GLOBALTECH SAGL, sono considerate adeguate, contenente i principi, le regole organizzative e gli strumenti di controllo per garantire un trattamento lecito, corretto e trasparente dei dati personali.
Soprattutto:
3) POLITICA AZIENDALE
Per il perseguimento del suo scopo, GLOBALTECH SOLUTIONS SAGL svolge le attività descritte di seguito:
Nello svolgimento di queste attività, GLOBALTECH SOLUTIONS SAGL gestisce diversi tipi di dati personali, in particolare:
In armonia con la prospettiva di responsabilità e rischio del GDPR, di primaria importanza - logica ancor prima che giuridica - è la giusta percezione del "importanza" dei dati personali, cioè del fatto che non tutti i dati personali sono uguali e che, quindi, non tutti devono essere protetti allo stesso modo: a titolo di esempio, un dato relativo alla salute è più delicato di altri e, di conseguenza, GLOBALTECH SOLUTIONS SAGL nella persona del Titolare del trattamento, ha progettato e applicato un sistema di protezione più solido.
Da questo punto di vista, giocano un ruolo cruciale la crittografia e la pseudonimizzazione dei dati, due misure di sicurezza che si rivelano preziose soprattutto in caso di attacco agli archivi o in occasione di violazioni di dati, perdita o furto di dispositivi e altre fughe indesiderate di informazioni, cosa che avviene in pratica sia quando il trattamento avviene con strumenti cartacei che con strumenti informatici.
La base giuridica per il trattamento di tali dati da parte di GLOBALTECH SOLUTIONS SAGL è rappresentata da:
Ogni funzione di GLOBALTECH SOLUTIONS SAGL conterrà i dati personali elencati nello stesso tempo della sua competenza.
Gestito in carta forma, tutti i documenti sono conservati in armadi e/o schedari chiusi a chiave all'interno dei locali della Società, anch'essi chiusi a chiave. Gli incaricati ricevono istruzioni precise sul trattamento dei dati e dei documenti cartacei, in particolare la duplicazione elettronica mediante scansione dei documenti cartacei, al fine di evitare la loro distruzione totale accidentale e la pseudonimizzazione mediante archiviazione dei documenti.
Quando sono gestiti in forma elettronica forma, i dati e i relativi documenti vengono trattati utilizzando personal computer, fissi e portatili, nonché smartphone. I dispositivi informatici sono tutti protetti da un doppio ordine di password: la prima richiesta all'accensione del terminale e la seconda per l'accesso alle piattaforme informatiche di gestione. Entrambe le password sono conosciute esclusivamente dall'amministratore dei dispositivi informatici e dall'amministratore di sistema. Nel caso di utilizzo di un PC diverso dal proprio, il responsabile del trattamento deve comunque riconnettersi alla rete con le proprie credenziali. Tutta la gestione elettronica dei dati è gestita autonomamente dal titolare del trattamento, non incorrendo quindi nei rischi legati ad un eventuale incarico di outsourcing, e garantisce la massima capacità tecnica e attenzione ad una corretta e protetta gestione dei dati.
Tutte le credenziali di accesso sono conservate con la massima cura e, in caso di loro furto o smarrimento, è previsto l'immediato coinvolgimento del Responsabile della protezione dei dati ai sensi dell'art. 37 del Regolamento UE 679/2016 che, senza indugio, richiede l'immediato intervento dell'Amministratore di Sistema per bloccare le credenziali oggetto di furto e/o smarrimento, verificare l'assenza di eventuali accessi non autorizzati nel medio periodo e fornire nuove credenziali di autenticazione che, al primo accesso da parte dell'incaricato, dovranno essere modificate dallo stesso e sotto la sua esclusiva responsabilità.
In relazione all'uso di software di contabilità e per la rilevazione delle presenze dei dipendenti, c'è anche una situazione di:
- Responsabilità per trattamento, come definito dall'articolo 28 del GDPR, regolato da un contratto di nomina a Responsabile del trattamento, in relazione al l'esternalizzazione dei servizi IT.
Qualora sia necessario o strumentale per l'esecuzione delle specifiche finalità, i dati personali, oltre che dal personale interno di GLOBALTECH SOLUTIONS SAGL sono comunicati a destinatari nominati ai sensi dell'articolo 28 GDPR, che li trattano in qualità di Responsabili e/o di persone fisiche che agiscono sotto l'autorità del Titolare e del Responsabile al fine di adempiere ad obblighi di legge, a contratti o finalità connesse.
Precisamente, i dati potranno essere comunicati a destinatari appartenenti alle seguenti categorie:
L'elenco dei responsabili del trattamento designati è costantemente aggiornato e disponibile presso la sede della Società e sui suoi portali informatici. In nessun caso i dati raccolti da GLOBALTECH SOLUTIONS SAGL sono soggetti a diffusione e/o trasferimento all'estero, né all'interno né all'esterno dell'Unione Europea, salvo quanto strettamente necessario per consentire l'adempimento del rapporto contrattuale previsto dall'attività di marketing online.
In conformità a quanto previsto dall'art. 5, comma 1, lettera e) del GDPR, i dati personali sono conservati in una forma che consenta l'identificazione dell'interessato o per un periodo di tempo non superiore alla realizzazione delle finalità per le quali i dati sono trattati o secondo i termini previsti dalla legge. La verifica dell'obsolescenza dei dati conservati in relazione alle finalità per le quali sono stati raccolti viene effettuata periodicamente, sotto la supervisione del responsabile della protezione dei dati.
4) RESPONSABILI DEL TRATTAMENTO DEI DATI E RESPONSABILI DEL TRATTAMENTO DEI DATI
Le figure e le funzioni coinvolte in GLOBALTECH SOLUTIONS SAGL nella protezione delle persone fisiche in relazione al trattamento dei dati personali sono:
A) RESPONSABILE DEL TRATTAMENTO DEI DATI
Di norma, è la stessa società GLOBALTECH SOLUTIONS SAGL a svolgere questa funzione e sulla quale, di conseguenza, gravano tutti gli obblighi e le responsabilità che la legge italiana ed europea le impone. In primis, l'obbligo di implementare, rivedere e aggiornare le misure tecniche e organizzative idonee a garantire, ed essere in grado di dimostrare, che il trattamento è da essa effettuato in conformità al GDPR.
Per quanto riguarda il regime di responsabilità, GLOBALTECH SOLUTIONS SAGL è responsabile in qualità di titolare, in via esclusiva, dei danni materiali o immateriali causati a qualsiasi interessato da una violazione del GDPR, salvo che dimostri che l'evento dannoso non sia in alcun modo imputabile alla Società. Inoltre, GLOBALTECH SOLUTIONS SAGL è responsabile delle sanzioni amministrative pecuniarie comminate dal Garante, il cui importo massimo previsto dal GDPR per le violazioni più gravi è pari a 20 milioni di euro o fino al 4% del fatturato annuo complessivo.
B) RESPONSABILE DEL TRATTAMENTO DEI DATI
Il GDPR definisce all'articolo 28 il Responsabile del trattamento come il soggetto che effettua il trattamento dei dati personali per conto del Titolare del trattamento, presentando garanzia sufficiente per implementare misure tecniche e organizzative adeguate in modo tale che i trattamenti stessi soddisfino i requisiti del GDPR e garantiscano la tutela dei diritti dell'interessato.
Non essendo vietato ed estremamente opportuno al fine di garantire l'effettiva applicazione e supervisione delle norme del GDPR, secondo un atteggiamento prudenziale volto al massimo rispetto, GLOBALTECH SOLUTIONS SAGL assume il ruolo di titolare del trattamento per la Società, in relazione a quelle situazioni in cui svolge attività di intermediazione nel commercio online nel settore dell'e-commerce.
I Responsabili interni del trattamento identificati sono i referenti delle seguenti funzioni:
- acquisti e contratti;
- amministrazione, finanza, risorse umane, servizi generali e sistemi informativi.
Allo stesso modo, il contratto di nomina dei Responsabili "esterni" del trattamento è destinato ad assumere la forma di un addendum per i contratti in essere, essendo integrato nel testo contrattuale per i nuovi incarichi. Ferma restando la revisione periodica da parte del Data Protection Officer dei modelli fac-simile dei relativi contratti di nomina, allegati al presente Modello Organizzativo.
Per quanto riguarda il regime di responsabilità, i responsabili del trattamento sono responsabili dei danni causati dal trattamento solo se non hanno adempiuto agli obblighi del GDPR specificamente diretti a loro o se hanno agito in modo diverso o contrario alle istruzioni legittime del titolare dei dati GLOBALTECH SOLUTIONS SAGL
Sono inoltre esenti da responsabilità per danni se dimostrano che l'evento dannoso non è in alcun modo imputabile a loro. Sono inoltre responsabili delle sanzioni amministrative pecuniarie imposte dall'Autorità Garante secondo gli stessi termini e modalità del Titolare del trattamento.
5) VALUTAZIONE DEL RISCHIO
Al fine di attuare le azioni finalizzate all'adeguamento al nuovo Regolamento UE 679/2016 sui dati personali, è stata effettuata una ricognizione dell'attuale organizzazione e dell'attuale documentazione sulla privacy e sulle misure tecniche utilizzate.
In particolare, con l'ausilio di consulenti esterni, è stata esaminata la principale documentazione organizzativa e procedurale; alla luce di tale analisi è stato predisposto uno specifico questionario finalizzato ad individuare i principali rischi di non conformità al Regolamento UE 679/2016.
Questo questionario è stato preso come punto di riferimento nel corso dell'attività di audizione.
Sulla base delle informazioni e delle valutazioni riportate e delle salvaguardie esistenti per mitigare i rischi identificati, è stata effettuata una valutazione sul livello probabilità del rischio, sul livello di impatto economico che può essere derivato, sul livello rilevabilità del rischio in relazione ai controlli preventivi effettuati.
Per la valutazione di questi rischi, è stata utilizzata una scala di valori su 5 livelli:
Per quanto riguarda la valutazione della rilevabilità del rischio, invece, i principali elementi che sono stati considerati sono legati a:
procedure complete e formalizzate,
controlli adeguati e tracciabilità,
responsabilità organizzative definite.
L'analisi dei rischi effettuata è stata autovalutativa supportata da un'analisi critica delle valutazioni espresse, effettuata da consulenti esterni, attraverso il cui contributo è stato possibile realizzare un'analisi il più possibile vicina all'azienda.
Per ogni rischio, il rischio classifica (DPI) è stato identificato, calcolato sulla base delle seguenti variabili
Rischio lordo: media tra probabilità di rischio e possibile impatto economico;
Rischio residuo netto : rischio lordo al netto del livello di rilevabilità del rischio.
Al fine di rappresentare in modo sintetico i risultati delle valutazioni di Risk Assessment effettuate, è stata quindi costruita la Matrice dei Rischi , che riporta le valutazioni dei rischi a cui è esposta ogni funzione aziendale di riferimento.
Il colore di ogni cella è una funzione della valutazione del rischio residuo lordo/netto, secondo una scala di valori che va da 1 a 5.
Sulla base dei possibili rischi identificati e delle valutazioni effettuate, si riporta di seguito l'elenco dei rischi con la relativa valutazione:
Dall'analisi effettuata, sono stati mappati 27 rischi, il che mostra un rischio netto complessivo molto basso .
Nell'attività di analisi dei rischi è stata valutata anche la necessità di effettuare una valutazione d'impatto con riferimento al trattamento dei dati che "può presentare un rischio elevato per i diritti e le libertà delle persone fisiche".
Dall'analisi effettuata non è emersa la necessità di effettuare una valutazione d'impatto dettagliata (c.d. DPIA) in senso stretto, in quanto nessuna delle condizioni di cui al comma 1 nonché alle lettere a), b) e c), comma 2, dell'art. 25 del GDPR: GLOBALTECH SOLUTIONS SAGL infatti, si avvale di nuove tecnologie per effettuare tipologie di trattamento caratterizzate da un elevato rischio per i diritti e le libertà delle persone fisiche e opera inoltre una valutazione sistematica e globale degli aspetti personali delle persone fisiche basata sul trattamento automatizzato.
Nel caso in cui nel corso del tempo si verifichi e si verifichi l'esistenza di alcune delle suddette condizioni, con la collaborazione dell'RPD, si procederà nuovamente all'analisi e alla valutazione di questi rischi e si valuterà la necessità di effettuare una valutazione d'impatto in senso tecnico.
6) BANCHE DATI AZIENDALI E METODI DI ARCHIVIAZIONE
La gestione informatica di GLOBALTECH SOLUTIONS SAGL è gestita autonomamente dal titolare del trattamento. La gestione delle banche dati e, di conseguenza, dei dati personali in esse contenuti è affidata allo stesso titolare del trattamento, che si assume tutti gli oneri di formazione e di adeguamento tecnologico ad esse connessi.
In base al profilo di autorizzazione assegnato, l'Amministratore di Sistema opera sull'infrastruttura informatica che risiede presso gli uffici di 6900, Lugano (TI), Via Zurigo n. 35.
La seguente tabella mostra i database gestiti e la descrizione delle aree di funzionamento:
7) AREE, LOCALI, STRUMENTI DI TRATTAMENTO
Il trattamento dei dati avviene, con le modalità di seguito indicate, sia presso la sede legale ed operativa, sita in 6900, Lugano (TI), Via Zurigo n. 35, sia in tutte le sedi operative che verranno aperte in futuro.
L'accesso all'edificio in cui si trovano i locali della società è consentito anche al pubblico e avviene da un unico ingresso, situato nello stesso indirizzo, che è soggetto a una supervisione ininterrotta. L'accesso è consentito in assenza di autorizzazione, o di notte.
I locali e le stanze in cui si svolgono le attività di segreteria di direzione e le attività amministrative sono riservati; l'accesso a questi locali è soggetto a ininterrotta sorveglianza durante gli orari di lavoro e di apertura degli uffici ed è consentito solo alle persone autorizzate. La sala server si trova all'interno dei locali delegati all'attività amministrativa, con accesso limitato alle persone autorizzate; l'ingresso è dotato di serratura. I dispositivi in essa contenuti sono emersi nel rispetto delle norme di sicurezza.
I supporti cartacei, compresi quelli contenenti immagini, sono raccolti in archivi situati presso la sede centrale, nei rispettivi uffici di competenza, e collocati in armadi o locali con chiusura a chiave, con accesso consentito o solo a persone autorizzate. In tali archivi sono conservati i documenti di uso comune e continuativo, nonché quelli giunti al termine del ciclo operativo. Tutti i documenti sono archiviati dal protocollo; è stato consigliato di predisporre una scansione degli stessi, predisponendo un archivio o un computer.
Con riferimento agli strumenti utilizzati e alle tipologie di dati trattati, si segnala che:
Di seguito una tabella riassuntiva della struttura competente per l'elaborazione dei dati e la relativa descrizione del trattamento:
8) MISURE DI SICUREZZA ADOTTATE
Alla luce dei fattori di rischio e delle aree identificate nel presente Modello, le misure per garantire:
- la protezione delle aree e dei locali in cui avviene il trattamento dei dati personali;
- la corretta conservazione e custodia di documenti, atti e supporti contenenti dati personali;
- sicurezza logica, nel campo degli strumenti elettronici.
Per quanto riguarda il rischio che i dati vengano danneggiati o persi a causa di eventi distruttivi, i locali in cui avviene il trattamento dei dati sono protetti da:
- dispositivi antincendio richiesti dalla legislazione vigente;
- non dire fornitura fornitura;
- sistema di aria condizionata.
Per il trattamento effettuato con strumenti elettronici, esistono e sono operative le seguenti misure:
Le schede seguenti mostrano le misure adottate per proteggere gli strumenti informatici dai rischi identificati:
Inoltre, l'azienda fornisce alle risorse umane formazione e informazione periodica sui temi oggetto del presente Modello, al fine di far crescere la cultura della corretta e sicura gestione dei dati.
9) INFORMAZIONI E CONSENSI
L'obbligo di fornire informazioni è il principale obbligo imposto dal GDPR al Titolare del trattamento, il cui mancato adempimento, inoltre, è sanzionato con l'applicazione delle sanzioni più severe.
GLOBALTECH SOLUTIONS SAGL adempie a tale obbligo mettendo a disposizione degli interessati un'informativa sulla privacy che, oltre ad essere pienamente conforme nei contenuti a quanto previsto dall'articolo 13 del GDPR, è anche dettagliata oltre lo stretto necessario, avendo fornito, oltre all'informativa generale valida per ciascun interessato, anche informazioni specifiche diversificate a seconda delle categorie di destinatari. Ciò al fine di garantire e assicurare che ciascun interessato possa concretamente beneficiare di un quadro informativo completo.
Il raggiungimento dell'obiettivo di GLOBALTECH SOLUTIONS SAGL di essere pienamente conforme al GDPR, inoltre, passa necessariamente attraverso i fondamenti di liceità del trattamento dei dati, ovvero il rispetto del presupposto per cui ogni trattamento deve fondarsi su una base giuridica adeguata.
Le basi giuridiche su cui fondare la liceità del trattamento sono indicate nell'articolo 6 del GDPR e coincidono, grosso modo, con quelle attualmente previste dal Codice della Privacy: consenso espresso, adempimento degli obblighi vigenti, obblighi delgge a cui è soggetto il Titolare del trattamento. Una diretta conseguenza è che l'ottenimento e la gestione del consenso non è obbligatorio per tutte le attività di trattamento dei dati personali, essendo solo uno uno dei tanti strumenti di legittimazione delle attività di trattamento.
Tra le basi giuridiche per il trattamento dei dati riconosciute dal GDPR e idonee a fondare il trattamento dei dati da parte di GLOBALTECH SOLUTIONS SAGL ci sono:
1) obblighi legali e legali la conformità, che rappresenta la base più severa, precisa, ma anche ottimale per il trattamento dei dati, implicando l'esistenza di almeno una disposizione legale che richiede, giustificandola, l'elaborazione dei dati;
2) adempimento contrattuale, se indispensabile per l'esecuzione del contratto in essere con l'interessato o per la stipula di un nuovo contratto, con la precisazione che in relazione alle misure precontrattuali l'avvio delle fasi di trattamento deve avvenire su iniziativa dell'interessato;
3) interessi legittimi, che sebbene ambiguo, offre la possibilità di sviluppare una giustificazione per il trattamento dei dati evitando la gestione del consenso degli interessati ma valida solo in situazioni in cui gli interessi, i diritti o le libertà degli interessati non prevalgono sugli interessi del Titolare del trattamento;
4) il consenso dell'interessato che deve riflettere l'azione discrezionale dell'interessato attraverso una risposta positiva strutturata e inequivocabile, data liberamente, al trattamento dei suoi dati personali.
Anche in questo contesto, andando oltre ciò che è strettamente indispensabile, GLOBALTECH SOLUTIONS SAGL ha predisposto modelli di consenso diversificati a seconda della categoria degli interessati e delle specifiche finalità per la realizzazione delle quali il consenso viene dato e questo, al fine di renderlo il più possibile consapevole e informato.
Il presente Modello Organizzativo Privacy è soggetto a verifica ed eventuale aggiornamento annuale.
Documento aggiornato il 12 dicembre 2021
