Politica dell’Azienda per la Privacy

1. Allo scopo di uniformare il più possibile le discipline a cui gli Stati membri hanno diversamente dato attuazione sulla protezione dei dati é stata ridisegnata la disciplina europea in materia (del 1995) introducendo il General Data Protection Regulation (c.d. GDPR), di cui al Regolamento EU 2016/679 (di seguito "il Regolamento" o "GDPR"), evitando così tutte quelle disomogeneità applicative, complessità, incertezze giuridiche ed incongruenze venutesi a creare nei gruppi multinazionali, con specifico riferimento nei soggetti operanti con l’estero.

2. Con il nuovo GDPR, applicabile e vincolante in tutti gli Stati membri dell’Unione Europea, che è stato reso obbligatorio per tutte le aziende che trattano dati personali (anche se solo dei propri dipendenti), l’UE ha inteso dare maggiore uniformità e chiarezza alle regole da applicare. In particolare, obiettivo del Regolamento è il rafforzamento dei diritti dei singoli e la garanzia di un’applicazione più rigorosa delle regole, finalizzata alla protezione delle informazioni personali, a prescindere da dove vengano conservate, gestite, elaborate ed inviate, spesso anche fuori ambito UE, come spesso accade utilizzando la rete e i vari applicativi messi a disposizione, sovente gratuitamente.

3. il GDPR, entrato in vigore il 25 maggio 2018, é direttamente applicabile in tutti gli Stati membri della UE, per cui si é creato un quadro giuridico sostanzialmente omogeneo, anche se lascia un seppur minimo margine di discrezionalità a favore degli Stati membri che possono intervenire autonomamente per precisarne il contenuto di talune disposizioni.

4. In particolare, con riferimento agli adempimenti richiesti, le nuove disposizioni europee sono concentrate sul cosiddetto principio di “accountability”, cioé sulla responsabilizzazione dei soggetti che sono al centro dell’attenzione della norma; vale a dire:

• a) il Titolare del trattamento
  che deve adottare sistemi di controllo costante del rischio che un determinato trattamento dei dati possa comportare per i diritti e le libertà degli interessati; in tal senso, per evitare ciò, le aziende dovranno adottare adeguate misure tecniche ed organizzative soggette a costanti rivisitazioni e aggiornamenti per poter garantire ed essere in grado di dimostrare che i dati vengono trattati conformemente al Regolamento;
  
  
• b) il Responsabile del Trattamento
  che è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo, che tratta dati personali per conto del Titolare del trattamento (ad esempio il Consulente del Lavoro dell’azienda è Responsabile del trattamento dei dati relativi al personale dipendente);
  
  
• c) il Responsabile della protezione dei dati (DPO - Data Protection Officer)
  che può essere interno o esterno all’organizzazione del Titolare del trattamento e che deve essere nominato dalle realtà pubbliche o che tratteranno dati più “a rischio”, il cui nominativo deve essere comunicato all’Autorità Nazionale di Controllo e al quale vanno attribuiti poteri particolari tali da assicurare la conformità dell’azienda al GDPR; tale figura è obbligatoria per le strutture con più di 250 dipendenti e per le aziende che trattano “su larga scala” dati sensibili e/o giudiziari.

5. Inoltre, con il GDPR vengono introdotti obblighi di "compliance" diretti per il Responsabile del trattamento che includono:

• a) responsabilizzazione, mantenimento della sicurezza dei dati;
• b) tenuta del Registro delle attività di trattamento;
• c) nomina del DPO (in moltissimi casi);
• d) responsabilizzazione, mantenimento della sicurezza dei dati;
• e) tenuta del Registro delle attività di trattamento;
• f) nomina del DPO (in moltissimi casi);
• g) svolgimento della Valutazione di Impatto Privacy (Data Protection Impact assessment);
• h) notifica della violazione dei dati;
  rivestendo un impatto rilevante sia sui Titolari che sui Responsabili poiché ne devono tenere conto e negoziarli nei rapporti con il Cliente.
  

Finalità e modalità del trattamento cui sono destinati i dati

6. I dati acquisiti verranno utilizzati principalmente per conseguire una efficace gestione dei rapporti commerciali, di natura professionale e di servizio, nonché per ottemperare alle esigenze contrattuali e ai conseguenti adempimenti amministrativi (enti e altri organismi pubblici e privati) e legali; altresì, gli stessi verranno trattati in forma scritta, su supporto magnetico, elettronico o telematico, nel rispetto degli obblighi e dei principi indicati dalla normativa.

Natura obbligatoria o facoltativa del conferimento dei dati

7. Il Regolamento introduce regole più chiare in materia di Informativa e Consenso, che non potrà più essere tacito, dovendo tutte le imprese trattare i dati personali in modo lecito e obbligando i Titolari ad individuare ed esporre, nell’Informativa Privacy le ragioni che giustificano il Trattamento dei Dati Personali e le Finalità del Trattamento; inoltre, il GDPR definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti, introducendo altresì il diritto alla c.d. «portabilità» dei propri dati personali per trasferirli da un Titolare del trattamento ad un altro. Dunque, stanti le nuove regole introdotte dal GDPR, il Cliente è obbligato al conferimento e consenso al trattamento dei dati per l’esecuzione del contratto relativo alle attività professionali o ai servizi richiesti nella consapevolezza del diritto alla «portabilità» dei propri dati personali per trasferirli da un titolare del trattamento a un altro.

Diritto all'oblio

8. Grazie all'introduzione del c.d. «diritto all’oblio», gli interessati potranno ottenere la cancellazione dei propri dati personali anche on-line da parte del Titolare del trattamento qualora ricorrano alcune condizioni previste dal Regolamento; non sempre, però, i Titolari saranno obbligati a cancellare i dati personali dell’interessato e si potranno rifiutare, in particolare per esercitare il diritto di libertà di espressione e il diritto all’informazione, per adempiere un obbligo legale o perseguire un interesse pubblico, eseguire un ordine di un’autorità pubblica, per perseguire una finalità di salute pubblica, per scopi di archiviazione di pubblico interesse, di ricerca scientifica o storica o a fini statistici; per esperire un’azione legale o esercitare il diritto di difesa in un contenzioso.

Violazioni e risarcimenti

9. Eventuali violazioni dei dati personali (Data breach) saranno comunicate all’Autorità Nazionale di Controllo dal Titolare del trattamento. In particolare, se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il Titolare deve informare in modo chiaro, semplice e immediato, tutti gli interessati, indicando come intende limitare le possibili conseguenze negative. In tal senso, il Titolare ed il Responsabile saranno tenuti a risarcire agli interessati gli eventuali danni (materiali e immateriali) da questi subiti in ragione di un Trattamento illecito. Il GDRP non prevede esonero da responsabilità per i danni causati in caso di forza maggiore.

Autorizzazione e modalità di trattamento dei dati

10. Allo scopo di poter fruire delle prestazioni di consulenza professionale e dei relativi servizi offerti e resi dal Gruppo, il Cliente, vista e compresa la precedente premessa informativa, autorizza il trattamento dei propri dati personali (identificativi, contabili, ecc.) liberamente comunicati ed acquisiti dal Titolare secondo le seguenti modalità.

• a) Oggetto del trattamento
  I dati personali/aziendali identificativi e contabili liberamente comunicati (di seguito indicati "i dati") acquisiti dal Titolare sono trattati dal medesimo allo scopo di poter offrire le proprie prestazioni di consulenza professionale e relativi servizi.
  
  
• b) Finalità del trattamento
  I dati potranno essere trattati senza l'espresso consenso sub art. 6, lettere b) ed e) del GDPR, in modo lecito e secondo la correttezza per le seguenti finalità di servizio:
  adempiere agli obblighi precontrattuali, contrattuali e fiscali derivanti da rapporti in essere con il Titolare;
  adempiere agli obblighi previsti dalla legge, dalla normativa comunitaria, da un regolamento o d'ordine dell'Autorità;
  esercitare i diritti del Titolare (ad esempio, per il diritto di difesa in giudizio).
  
  
• c) Modalità di trattamento
  Il trattamento avverrà nel pieno rispetto della sicurezza e riservatezza necessari per: la raccolta; la registrazione; l'organizzazione; la strutturazione; la conservazione; l'adattamento; la modifica; l'estrazione; la consultazione; l'uso; la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione; il raffronto; l'interconnessione; la limitazione; la cancellazione; la distruzione. I dati saranno trattati limitatamente al tempo necessario per adempiere alle finalità sub punti 6 e 10, lettera a, comunque per non oltre 10 anni dalla cessazione del rapporto intercorrente.