Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the updraftplus domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /var/www/ipaimpiantisrl.com/wp-includes/functions.php on line 6114

Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the wpforms-lite domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /var/www/ipaimpiantisrl.com/wp-includes/functions.php on line 6114

Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the backup-backup domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /var/www/ipaimpiantisrl.com/wp-includes/functions.php on line 6114
Privacy Policy – IPA Impianti s.r.l.

Privacy Policy

Scopo

Al fine di gestire correttamente gli adempimenti e per mantenere nell’organizzazione di IPA Impianti S.r.l. una cultura della privacy, è stato elaborato la presente Istruzione.

Tale documento vuole essere uno strumento operativo ma anche una informativa sull’assetto organizzativo di IPA Impianti S.r.l.

In questo documento andremo a descrivere e definire:

  • Il Titolare, il Responsabile per il trattamento dei dati, i designati a cui sono affidati i trattamenti; ruoli, responsabilità e autorità
  • Tipologia di dati, personali, particolari, giudiziari
  • I Principi di tutela dei dati
  • L’informativa

Riferimenti normativi

I principi di protezione e trattamento dei dati si basa sui seguenti documenti:

  • Convenzione Europea dei diritti dell’uomo
  • Codice Civile e Codice Penale della Repubblica Italiana
  • D.Lgs. 196/03 Testo Unico in materia di protezione dei dati personali
  • D.Lgs. 101/2018 Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ alla libera circolazione di tali dati
  • Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati
  • Delibere, linee guida e provvedimenti del Garante per la privacy
  • Prassi UNI PdR 43:2018 Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR)
  • ISO/IEC 27701 – Gestione delle informazioni sulla privacy
  • UNI CEI EN ISO/IEC 27001:2017 Tecnologie Informatiche – Tecniche di sicurezza – Sistemi di gestione per la sicurezza dell’informazione – Requisiti

Definizioni

Si intende per:

1) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

2) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

3) «dati particolari»: dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

4) «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;

5) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;

6) «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

7) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;

8) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;

9) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

10) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

11) «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

12) «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

13) «destinatario»: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

14) «terzo»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;

15) «Designati al trattamento»: persone autorizzate al trattamento dei dati personali sotto l ́autorità diretta del titolare o del responsabile;

16) «consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

17) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

18) «stabilimento principale»:

a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;

19) «rappresentante»: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;

20) «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica;

21) «gruppo imprenditoriale»: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;

22) «autorità di controllo»: l’autorità pubblica indipendente istituita da uno Stato membro dell’Unione ai sensi dell’articolo 51 del GDPR;

23) «trattamento transfrontaliero»:

a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure

b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

Ruoli, responsabilità e autorità nell’organizzazione

I ruoli, le autorità e le responsabilità sono definiti ed assegnati al fine di definire i compiti e le responsabilità connesse al trattamento e alla protezione dei dati dell’organizzazione:

Titolare del trattamento dei dati

Il Titolare del trattamento dei dati così come definito dall’art. 4 del Regolamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”

Il Titolare del trattamento si impegna ad assicurare e garantire direttamente che vengano adottate le misure di sicurezza tese a ridurre al minimo il rischio di distruzione dei dati, accesso non autorizzato o trattamento non consentito, previe idonee istruzioni fornite per iscritto.

In base a quanto stabilito dal Regolamento UE in materia di protezione dei dati personali, il Titolare del trattamento, ove necessario, per esigenze organizzative, può designare uno o più soggetti al trattamento, trattamento anche mediante suddivisione dei compiti.
Il documento di protezione delle informazioni è approvato dal titolare, su proposta dei soggetti coinvolti a diverso titolo nelle operazioni di trattamento.

Il Titolare del trattamento è IPA Impianti S.r.l.

Responsabile della protezione dei dati

Il Responsabile della protezione dei dati è la persona fisica o la persona giuridica, a cui, da parte del Titolare del trattamento, sono affidate le seguenti responsabilità e compiti:

  1. informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi relativi alla protezione dei dati;
  2. sorvegliare l’osservanza delle disposizioni relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  4. Cooperare con l’autorità di controllo e fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento;

Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
Il Responsabile della protezione dei dati individuato è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti definiti dall’art. 39 del Regolamento UE

Il IPA Impianti S.r.l. non è soggetto alla nomina di un Responsabile per la protezione dei dati.

Autorizzati del trattamento dei dati

Per trattamento di dati deve intendersi tutte le informazioni che permettono l’identificazione del soggetto cui si riferiscono, ovvero:

“qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” (Regolamento UE 2016/679)

Le banche dati informatiche si trovano nella rete aziendale e sono disponibili da uno dei PC Client accedendo mediante il proprio Username e Password

In relazione alle sopraelencate banche dati gli incaricati possono effettuare operazioni di raccolta, registrazione, organizzazione, conservazione, consultazione, modifica, selezione, raffronto, interconnessione, estrazione, comunicazione, cancellazione e ogni altra attività di manipolazione utile all’incarico assegnato.

L’accesso alle banche dati informatiche è protetto. Per accedere alle banche dati informatiche, agli incaricati viene comunicata una password di accesso che non deve essere comunicata a nessuno per nessun motivo o richiesta anche se proveniente dai superiori gerarchici.

Tale password deve essere modificata al primo utilizzo ed aggiornata ogni 6 mesi.

La postazione informatica non deve mai essere lasciata incustodita lasciando accessibili i dati, è fatto obbligo di utilizzare sistematicamente screen saver con password all’accesso; tutti i supporti magnetici e ottici utilizzati vanno riposti negli archivi; i supporti non più utilizzati possono essere eliminati solo dopo che i dati contenuti sono stati resi effettivamente inutilizzabili.

L’autorizzato non può installare e utilizzare programmi per computer o APP non autorizzati dalla propria organizzazione (proprietaria delle attrezzature informatiche) né privi di licenza che ne legittimino l’uso. Gli strumenti informatici e telematici messi a disposizione quali telefoni cellulari, smartphone, tablet, computer, software per la navigazione su internet e la posta elettronica costituiscono degli strumenti di lavoro da utilizzare esclusivamente per l’esecuzione delle mansioni affidate.

Per tutte le attività di modifica o gestione dei sistemi software e hardware che si rendessero necessarie, l’incaricato si dovrà rivolgere al Titolare del trattamento dei dati o ai referenti da lui nominati.

In presenza di dati trattati anche senza l’ausilio di strumenti elettronici, l’autorizzato dovrà verificare che i documenti siano sempre sotto il suo controllo, al fine di garantire che i documenti non siano visti o trattati da persone non autorizzate e riporre i documenti al termine del trattamento, nei relativi archivi e contenitori secondo le indicazioni ricevute dal Titolare.

L’autorizzato deve attenersi alle seguenti specifiche:

  • Trattare tutti i dati personali di cui viene a conoscenza nell’ambito dello svolgimento delle proprie funzioni, in modo lecito, pertinente e secondo correttezza;
  • Effettuare le operazioni di trattamento dei dati esclusivamente per lo svolgimento delle proprie mansioni;
  • Aggiornare costantemente tutte le banche dati al quale ha accesso, secondo le istruzioni ricevute;
  • Evitare di creare nuove banche dati, estrarre i dati trattati o diffondere gli stessi a terzi alla nostra organizzazione senza autorizzazione espressa del Titolare del trattamento dei dati;
  • Mantenere assoluto riserbo sui dati personali di cui viene a conoscenza nell’esercizio delle proprie mansioni;
  • Evitare di asportare supporti informatici o cartacei, senza la previa autorizzazione del Titolare del trattamento dati;
  • Non utilizzare supporti esterni di memoria come chiavette USB per l’archiviazione di dati se non espressamente autorizzati dal Responsabile del trattamento dati;
  • E’ fatto assoluto divieto di comunicare, diffondere, utilizzare i dati personali di terzi provenienti dalle banche dati aziendali, in assenza dell’autorizzazione del trattamento dati.

L’ autorizzato dovrà osservare scrupolosamente tutte le misure di sicurezza e controllo già in atto, o che verranno comunicate in seguito dal Titolare del trattamento dati, nonché i Regolamenti per la protezione delle informazioni e le Policy sulle informazioni elettroniche e sistemi informatici, adottati dalla propria Organizzazione. Amministratore di sistema L’organizzazione di IPA Impianti S.r.l. ha individuato un Responsabile interno come amministratore di sistema, ovvero Responsabile della struttura informatica in riferimento alla protezione dei dati. Tale soggetto è senz’altro configurabile come un Responsabile del trattamento, limitatamente all’incarico conferito, con la funzione di: a) gestione ed aggiornamento dei sistemi informativi della società; b) gestione dei sistemi di autenticazione e autorizzazione;
c) adozione delle misure tecniche di sicurezza dei dati;
d) realizzazione di copie di sicurezza dei dati. e) amministrazione remota e locale. E’ compito degli Amministratori di Sistema:

  • impostare e gestire un sistema di autorizzazione per gli incaricati dei trattamenti di dati personali effettuati con strumenti elettronici;
  • fare in modo che sia prevista la disattivazione dei “codici identificati personali” (User- ID), in caso di perdita della qualità che consentiva all’utente o incaricato l’accesso all’elaboratore, oppure nel caso di mancato utilizzo dei “codici identificativi personali” (User-ID) per oltre 6 mesi;
  • provvedere all’aggiornamento dei programmi volti a prevenire la vulnerabilità degli strumenti elettronici e a correggerne i difetti; l’aggiornamento dovrà avvenire, in ogni caso, con cadenza almeno mensile;
  • attuare tutti i provvedimenti necessari ad evitare la perdita o la distruzione dei dati e provvedere al ricovero periodico degli stessi con copie di back-up secondo i criteri stabiliti dal Titolare del trattamento per la sicurezza dei dati;
  • assicurarsi della qualità delle copie di backup dei dati e della loro conservazione in luogo adatto e sicuro;
  • proteggere gli elaboratori dal rischio di intrusione e dal rischio di virus e altri malware mediante idonei programmi. Per l’esercizio delle attività necessarie alla prestazione del servizio e ai fini del rispetto e della corretta applicazione del D.Lgs. 196/03 e del Regolamento UE 2016/679 l’Amministratore di sistema deve:

Amministratore di sistema

L’organizzazione di IPA Impianti S.r.l. ha individuato un Responsabile interno come amministratore di sistema, ovvero Responsabile della struttura informatica in riferimento alla protezione dei dati. Tale soggetto è senz’altro configurabile come un Responsabile del trattamento, limitatamente all’incarico conferito, con la funzione di: a) gestione ed aggiornamento dei sistemi informativi della società; b) gestione dei sistemi di autenticazione e autorizzazione;
c) adozione delle misure tecniche di sicurezza dei dati;
d) realizzazione di copie di sicurezza dei dati. e) amministrazione remota e locale. E’ compito degli Amministratori di Sistema:

  • impostare e gestire un sistema di autorizzazione per gli incaricati dei trattamenti di dati personali effettuati con strumenti elettronici;
  • fare in modo che sia prevista la disattivazione dei “codici identificati personali” (User- ID), in caso di perdita della qualità che consentiva all’utente o incaricato l’accesso all’elaboratore, oppure nel caso di mancato utilizzo dei “codici identificativi personali” (User-ID) per oltre 6 mesi;
  • provvedere all’aggiornamento dei programmi volti a prevenire la vulnerabilità degli strumenti elettronici e a correggerne i difetti; l’aggiornamento dovrà avvenire, in ogni caso, con cadenza almeno mensile;
  • attuare tutti i provvedimenti necessari ad evitare la perdita o la distruzione dei dati e provvedere al ricovero periodico degli stessi con copie di back-up secondo i criteri stabiliti dal Titolare del trattamento per la sicurezza dei dati;
  • assicurarsi della qualità delle copie di backup dei dati e della loro conservazione in luogo adatto e sicuro;
  • proteggere gli elaboratori dal rischio di intrusione e dal rischio di virus e altri malware mediante idonei programmi. Per l’esercizio delle attività necessarie alla prestazione del servizio e ai fini del rispetto e della corretta applicazione del D.Lgs. 196/03 e del Regolamento UE 2016/679 l’Amministratore di sistema deve:
  • Adottare nel trattamento i principi di liceità, correttezza, trasparenza;
  • Ottemperare agli obblighi previsti dal codice per la tutela dei dati personali;
  • Adottare e rispettare le misure di sicurezza previste dalla legge e necessarie all’esercizio della sua professione;
  • Evadere tempestivamente tutte le richieste di IPA Impianti S.r.l. relative al trattamento dei dati di cui è Responsabile ed in particolare le richieste di rettifica, cancellazione, limitazione del trattamento, portabilità;
  • Allertare immediatamente IPA Impianti S.r.l. in caso di situazioni anomale o di emergenza;
  • Distruggere, su richiesta di IPA Impianti S.r.l. i dati personali in caso di cessazione del trattamento degli stessi, provvedendo alle necessarie formalità di legge.

Trattamenti affidati all’esterno

Descrizione dell’attività esternalizzata e dei criteri per il trattamento dei dati

I dati raccolti dall’organizzazione possono esser trattati da soggetti esterni. Tali soggetti risultano fornitori qualificati e sono qualificabili come Responsabili al trattamento dei dati ai sensi art. 28 del Regolamento UE 2016/679.

La nomina dei soggetti avviene per scritto mediante apposito accordo scritto nel quale oltre ad indicare l’attività esternalizzata sono espressamente indicate le misure che il soggetto esterno deve adottare per garantire la sicurezza dei dati conformemente a quanto prescritto dal Codice della Privacy.

Il Titolare ha affidato l’attività a soggetti che forniscono i requisiti di affidabilità previsti dall’art. 28 del Regolamento UE 2016/679.

Tipologia di dati e modalità di trattamento

La società IPA Impianti S.r.l. esegue i trattamenti dei dati sia mediante strumenti elettronici, che attraverso strumenti tradizionali consistenti in archivi cartacei. Tra i trattamenti dei dati compiuti dalla società ve ne sono alcuni che riguardano quei dati definiti dal Regolamento UE 2016/679 all’art. 9 come “dati personali particolari” in quanto idonei a rivelare “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.” Nel trattamento dei dati, la nostra Organizzazione si è posta l’obiettivo di utilizzare un sistema che risponda a criteri di sicurezza del sistema informativo quali:

a)  disponibilità: l’informazione ed i servizi che eroga devono essere disponibili per gli utenti coerentemente con i livelli di servizio;

b)  integrità: l’informazione ed i servizi erogati possono essere creati, modificati, o cancellati solo dalle persone incaricate a svolgere tale operazione;

c)  riservatezza: l’informazione può essere utilizzata solo dalle persone incaricate a compiere tale operazione;

d) custodia e controllo: i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non conforme alle finalità della raccolta.

Applicazione e controllo

Modalità di verifica

In applicazione del principio di necessità richiamato dal D.Lgs. 196/03 e dal Regolamento UE 2016/679, IPA Impianti S.r.l. promuove ogni opportuna misura, organizzativa e tecnologica volta a prevenire il rischio di utilizzi impropri e, comunque, a “minimizzare” l’uso di dati riferibili ai lavoratori, ai clienti, ai partner e a tutte le parti interessate dai trattamenti effettuati e allo scopo ha adottato ogni possibile strumento tecnico, organizzativo e fisico, volto a prevenire trattamenti illeciti sui dati trattati con strumenti informatici e non, come illustrato nel presente regolamento Interno.

IPA Impianti S.r.l. informa di aver adottato dei sistemi che evitano qualunque interferenza ingiustificata sui diritti e sulle libertà fondamentali di lavoratori, come pure di soggetti esterni che ricevono o inviano comunicazioni elettroniche o analogiche di natura personale o privata. in particolare detti sistemi, atti a monitorare in modalità anonima e aggregata eventuali violazioni di legge o comportamenti anomali da parte dei dipendenti, avvengono nel rispetto del principio di pertinenza e non eccedenza, con esclusione di registrazioni o verifiche con modalità sistematiche.

Qualora nell’ambito di tali verifiche si dovesse rilevare un evento dannoso, una situazione di pericolo o qualche altra modalità non conforme all’attività lavorativa (es. scaricamento di file pirata, navigazioni da cui sia derivato il download di virus informatici, ecc.) verrà avvisato l’area di riferimento in modo generalizzato con l’invito ad attenersi scrupolosamente ai compiti assegnati e alle istruzioni impartite. In caso di ulteriori comportamenti illeciti la IPA Impianti S.r.l. provvederà all’individuazione del colpevole e potrà prevedere i provvedimenti disciplinari indicati al successivo paragrafo “Non osservanza della normativa”.

Modalità di Conservazione

I sistemi software sono stati programmati e configurati in modo da cancellare periodicamente ed automaticamente (attraverso procedure di sovraregistrazione come, ad esempio, la cd. rotazione dei log file) i dati personali relativi agli accessi ad Internet e al traffico telematico, la cui conservazione non sia necessaria.

Un eventuale prolungamento dei tempi di conservazione viene valutato come eccezionale e può aver luogo solo in relazione:

  • ad esigenze tecniche o di sicurezza del tutto particolari;
  • all’indispensabilità del dato rispetto all’esercizio o alla difesa di un diritto in sede giudiziaria;
  • all’obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta dell’autorità giudiziaria o della polizia giudiziaria.

In questi casi, il trattamento dei dati personali è limitato alle sole informazioni indispensabili per perseguire finalità preventivamente determinate ed essere effettuato con logiche e forme di organizzazione strettamente correlate agli obblighi, compiti e finalità già esplicitati.

Osservanza delle disposizioni in materia di Privacy

È obbligatorio attenersi alle disposizioni in materia di Privacy e di misure minime di sicurezza, come indicate nella lettera di designazione di incaricato del trattamento dei dati e in ogni altra procedura, documento o sessione di formazione con tali contenuti.

Non osservanza della normativa

Ferma restando la responsabilità personale del collaboratore per le sanzioni penali ed amministrative previste dalla legge, oltre a quella civile per danni, la violazione dei doveri sopra indicati costituisce infrazione disciplinare.

L’azienda, proporzionalmente alla gravità dell’illecito, applicherà le sanzioni previste dal contratto di lavoro.

Aggiornamento e revisione

La presente istruzione è soggetta a revisione con frequenza periodica in conformità all’evoluzione organizzativa, normativa e tecnologica di IPA Impianti S.r.l.