Lo scopo del presente documento è definire le procedure per adempiere ai dettami del D.Lgs. n.
196 del 30.06.2003 (codice per la protezione dei dati personali – c.d. Codice della Privacy) e del
Regolamento UE n. 679 del 2016 (General Data Protection Regulation – c.d. GDPR), in
materia di privacy aziendale, ovvero individuare le disposizioni operative interne volte a
disciplinare il trattamento dei dati personali effettuato dalla Società. In essa sono quindi
disciplinati i ruoli e le responsabilità nonché gli adempimenti da seguire in materia di protezione
dei dati personali anche con riferimento alle decisioni e ai provvedimenti emessi dall’Autorità
Garante per la protezione dei dati personali.
i fini del presente documento si applicano le seguenti definizioni:
- dato personale: qualsiasi informazione riguardante una persona fisica identificata o
identificabile («interessato»); si considera identificabile la persona fisica che può essere
identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il
nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o
più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica,
culturale o sociale;
- trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di
processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la
registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica,
l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o
qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la
cancellazione o la distruzione;
- limitazione di trattamento: il contrassegno dei dati personali conservati con l’obiettivo di
limitarne il trattamento in futuro;
- profilazione: qualsiasi forma di trattamento automatizzato di dati personali consistente
nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona
fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la
situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il
comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
- pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non
possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive,
a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a
misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una
persona fisica identificata o identificabile;
– archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati,
indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in
modo funzionale o geografico;
– titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro
organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di
dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto
dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua
designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
- responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o
altro organismo che tratta dati personali per conto del titolare del trattamento;
- destinatario: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo
che riceve comunicazione di dati personali, che si tratti o meno di terzi.
Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito
di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono
considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme
alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;
- terzo: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia
l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate
al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.
- consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica, informata e
inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante
dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano
oggetto di trattamento;
- violazione dei dati personali: la violazione di sicurezza che comporta accidentalmente o in
modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai
dati personali trasmessi, conservati o comunque trattati;
- dati biometrici: i dati personali ottenuti da un trattamento tecnico specifico relativi alle
caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o
confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
- dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona
fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative
al suo stato di salute;
– rappresentante: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare
del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li
rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;
- impresa: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che
eserciti un’attività economica, comprendente le società di persone o le associazioni che
esercitano regolarmente un’attività economica;
– gruppo imprenditoriale: un gruppo costituito da un’impresa controllante e dalle imprese da
questa controllate;
– norme vincolanti d’impresa: le politiche in materia di protezione dei dati personali applicate
da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato
membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del
trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo
imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune;
- autorità di controllo: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi
dell’articolo 51 del GDPR;
- autorità di controllo interessata: un’autorità di controllo interessata dal trattamento di dati
personali in quanto: a) il titolare del trattamento o il responsabile del trattamento è stabilito sul
territorio dello Stato membro di tale autorità di controllo; b) gli interessati che risiedono nello
Stato membro dell’autorità di controllo sono o sono probabilmente influenzati in modo
sostanziale dal trattamento; oppure c) un reclamo è stato proposto a tale autorità di controllo;
– trattamento transfrontaliero: a) trattamento di dati personali che ha luogo nell’ambito delle
attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del
trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano
stabiliti in più di uno Stato membro; oppure b) trattamento di dati personali che ha luogo
nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del
trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati
in più di uno Stato membro;
- obiezione pertinente e motivata: un’obiezione al progetto di decisione sul fatto che vi sia o
meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al
titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la
quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione
riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera
circolazione dei dati personali all’interno dell’Unione;
- servizio della società dell’informazione: il servizio definito all’articolo 1, paragrafo 1, lettera
b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio;
– organizzazione internazionale: un’organizzazione e gli organismi di diritto internazionale
pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra
due o più Stati.
Principi, ambito di applicazione e destinatari del regolamento
Il presente documento si applica a tutti i trattamenti dei dati personali, automatizzati o svolti
manualmente, effettuati dalla Ventuno BE S.r.l. in qualità di titolare.
Il presente regolamento interno è operativo dal 1 aprile 2019 tramite deliberazione del Consiglio
di Amministrazione del 27.03.2019.
La Società si impegna a garantire e dimostrare che il trattamento dei dati avviene in maniera
conforme a quanto previsto dalla normativa e secondo principi di liceità di trattamento.
Le presenti indicazioni sono valide anche, per tutti quei trattamenti di cui Ventuno BE S.r.l. è
nominata responsabile esterno da altri titolari, salvo la presenza di misure più restrittive in
materia di protezione dei dati personali.
La stessa garanzia di protezione e di adozione di adeguate misure di sicurezza è richiesta altresì
a quei soggetti terzi ai quali la società ha affidato l’incarico della gestione di alcuni trattamenti. A
tal fine il regolamento sul trattamento dei dati è disponibile presso i responsabili del trattamento
nominati.
Il regolamento si applica ai dipendenti di Ventuno BE S.r.l. e ai collaboratori esterni a cui
vengono assegnate particolari funzioni (consulente per l’elaborazione delle paghe, ecc.).
Condizioni per il consenso
• Le condizioni per il consenso che devono sussistere sono:
qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in
grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei
propri dati personali;
• se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che
riguarda anche altre questioni, la richiesta di consenso è presentata in modo
chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente
accessibile, utilizzando un linguaggio semplice e chiaro;
• l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca
del consenso non pregiudica la liceità del trattamento basata sul consenso prima della
revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il
consenso è revocato con la stessa facilità con cui
è accordato;
• nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima
considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la
prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento
di dati personali non necessario all’esecuzione di tale contratto.
Oggetto e modalità di applicazione
Oggetto del presente regolamento è il trattamento dei dati personali effettuato da Ventuno BE
S.r.l.
Sono esclusi dall’ambito di applicazione i trattamenti dei dati personali effettuati dai lavoratori
per fini esclusivamente personali e nei casi in cui i dati non sono destinati ad una comunicazione
sistematica o alla diffusione anche se utilizzati ai fini di esigenze di lavoro (ad esempio, rubrica
personale su telefono fisso o mobile ed utilizzata solo ed esclusivamente dall’utente).
Titolare del trattamento
Conformemente a quanto previsto dalla normativa, è titolare del trattamento la Ventuno BE S.r.l.,
nella persona del suo legale rappresentante, e si impegna a:
• adeguare il proprio assetto organizzativo nel rispetto della normativa vigente in materia
di protezione dei dati;
• adottare le modalità operative connesse con la gestione degli adempimenti ed il
trattamento dei dati;
• assumere le decisioni in ordine alle finalità, alle modalità del trattamento dei dati e agli
strumenti utilizzati, ivi compreso il profilo della sicurezza, sia per i trattamenti svolti
all’interno che all’esterno della propria struttura;
• individuare e designare i referenti/incaricati interni e responsabili esterni del trattamento
dei dati, impartendo loro le relative istruzioni;
- vigilare sulla puntuale osservanza delle disposizioni e istruzioni impartite, anche nei
• confronti degli incaricati interni e dei responsabili del trattamento (esterni).
Essa, inoltre, si impegna a garantire l’esercizio dei diritti degli interessati e a tal scopo,
• ha implementato apposite procedure al fine di informare gli interessati dell’esistenza dei
seguenti diritti:
• diritto di ottenere la conferma dell’esistenza o meno di dati personali che la riguardano e
di averne accesso; c.d. diritto all’accesso. In particolare l’interessato ha diritto di
conoscere l’origine dei dati personali; le finalità e modalità del trattamento; la logica
applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; gli estremi
identificativi del titolare, dei responsabili e del rappresentante designato; l’elenco dei
soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati
o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio
dello Stato, di responsabili o incaricati;
• diritto di ottenere l’aggiornamento, la rettificazione ovvero, quando vi ha interesse,
l’integrazione dei dati; c.d. diritto alla rettifica:
• diritto di ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei
dati trattati in violazione di legge, compresi quelli di cui non è necessaria la
conservazione in relazione agli scopi per i quali i dati sono stati raccolti o
successivamente trattati; c.d. diritto alla cancellazione;
• diritto di limitare od opporsi, per motivi legittimi, al trattamento, rivolgendosi al personale
espressamente incaricato; c.d. diritto di opposizione.
Al fine di esercitare i diritti sopra descritti, la Società si impegna a rispondere senza
ritardo alle richieste presentate da parte dell’interessato ai Responsabili o agli Incaricati
nominati, in forma orale o attraverso ulteriori idonei strumenti.
Responsabile della protezione dei dati o Data Protection Officer (DPO)
A mente del Regolamento (art. 37), la nomina del DPO è obbligatoria:
a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione
delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali; oppure
b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il
monitoraggio regolare e sistematico di interessati su larga scala; oppure
c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala
di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Si tenga presente che la designazione obbligatoria di un DPO può essere prevista anche in casi
ulteriori in base alla legge nazionale o al diritto comunitario. Inoltre, anche ove il regolamento non
imponga in modo specifico la designazione di un DPO, può risultare utile procedere a tale
designazione su base volontaria.
Incaricati/referenti interni del trattamento
L’incaricato/referente interno del trattamento dei dati è la persona nominata dal titolare al fine di
garantire l’attuazione delle misure di sicurezza previste in materia di trattamento dei dati.
La persona preposta allo svolgimento della funzione viene individuata in quanto dotata di
adeguate garanzie.
Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del
trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà
delle persone fisiche, il titolare allo stato non ha nominato alcun responsabile interno, ma
esclusivamente responsabili esterni.
Responsabile esterno del trattamento
Il responsabile esterno del trattamento dei dati è la persona nominata dal titolare al fine di
garantire l’attuazione delle misure di sicurezza previste in materia di trattamento dei dati.
Il responsabile esterno dovrà attuare le medesime azioni del referente/incaricato interno di cui al
punto 6.3.
Amministratore di sistema
La figura professionale che, in ambito informatico, mantiene, configura e gestisce reti e apparati
di telecomunicazione di sicurezza è nominata amministratore di sistema.
L’attribuzione delle funzioni di amministratore di sistema avviene previa valutazione delle
caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale fornisce
idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza.
La nomina ad amministratore di sistema deve essere individuale, formalizzata, con l’indicazione
analitica degli ambiti di applicazione di operatività consentiti in base al profilo di autorizzazione
assegnato.
Impegno alla riservatezza
La Società, in qualità di titolare del trattamento dei dati, si impegna a garantire la riservatezza,
conformemente alle procedure interne e la confidenzialità delle informazioni e dei dati degli
interessati acquisiti nel corso della propria attività.
A tal scopo, i dati e le informazioni raccolte durante lo svolgimento dell’incarico sono trattati per:
– finalità strettamente connesse alla propria attività lavorativa;
– finalità connesse agli obblighi previsti da leggi, regolamenti e normativa comunitaria nonché
da disposizioni impartite da autorità a ciò legittimate dalla legge.
In relazione alle indicate finalità il trattamento dei dati avverrà in modo da garantire la sicurezza e
la riservatezza e potrà essere effettuato attraverso strumenti manuali, informatici e telematici atti
a memorizzare, gestire e trasmettere i dati stessi nel rispetto delle misure di sicurezza previste
dal D.Lgs 196/2003 e dal GDPR.
Tutti gli amministratori e dipendenti di Ventuno BE S.r.l. sono tenuti al segreto previsto dall’art.
2405 del codice civile.
Tutti i dati e le informazioni acquisite, in aggiunta alle comunicazioni previste nei confronti di
soggetti e organi che hanno responsabilità di direzione, supervisione e controllo potranno essere
comunicati esclusivamente a:
autorità di vigilanza, italiane o estere, nei casi e con le limitazioni previste dalla legge;
• autorità amministrativa, giudiziaria e fiscale, nei casi e con le limitazioni previsti dalla
legge;
• fornitori di servizi e/o consulenti tecnico-informatici, anche in paesi terzi non comunitari,
unicamente per esigenze tecniche connesse all’utilizzo da parte del titolare di sistemi e/o
applicazioni strumentali nell’esecuzione degli obblighi contrattuali assunti nell’ambito
dell’incarico in oggetto e dei correlati obblighi di legge, fermo restando che il ricorso a
tali soggetti avverrà previo impegno da parte loro a rispettare tutte le prescrizioni in
materia di sicurezza dei dati previste dal D.Lgs 196/2003 e dal GDPR.
La Società si impegna a garantire gli standard indicati nelle disposizioni in oggetto nei
confronti dei terzi con la medesima diligenza e livello di protezione utilizzati per la
sicurezza e la riservatezza dei propri dati.
Registro delle attività di trattamento dei dati personali
In attuazione del presente regolamento il titolare del trattamento ha deciso di adottare un
registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene
tutte le seguenti informazioni:
a. il nome e i dati di contatto del titolare del trattamento e del responsabile della protezione dati
(DPO);
b. le finalità del trattamento;
c. una descrizione delle categorie di interessati e delle categorie di dati personali;
d. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i
destinatari
di paesi terzi od organizzazioni internazionali;
e. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione
internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e,
per i trasferimenti di cui al secondo comma dell’articolo 49 del GDPR, la documentazione delle
garanzie adeguate;
f. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di
cui all’articolo 32, paragrafo 1 del GDPR.
Dati dei dipendenti dei collaboratori e dei componenti degli organi aziendali
Ventuno BE S.r.l. al fine di adempiere ai propri obblighi di gestione del personale, raccoglie i dati
dei componenti degli organi aziendali e dei propri dipendenti, informandoli dei propri diritti.
In particolare, il trattamento dei dati delle suddette categorie è previsto per finalità
amministrativo – contabili.
Dati dei fornitori
Ventuno BE S.r.l. per mezzo dei propri referenti o autorizzati, può raccogliere i dati personali dei
fornitori, al fine di perfezionare accordi contrattuali.
I dati personali dei fornitori potranno essere trattati nell’ambito della normale attività di Ventuno
BE S.r.l. per fornire i servizi richiesti e gestire i rapporti con i fornitori; e adempiere ad obblighi
previsti da un regolamento o dalla normativa comunitaria nonché per osservare disposizioni
impartite dalle pubbliche autorità ed organi di vigilanza e controllo a ciò legittimati dalla legge. In
tal caso il conferimento dei dati personali è necessario e obbligatorio e per il trattamento di tali
dati non è richiesto il consenso;
Dati dei terzi
Durante lo svolgimento dell’attività, Ventuno BE S.r.l. può venire a conoscenza di dati che
riguardano terzi, ovvero fornitori, collaboratori ecc.
In tali casi Ventuno BE S.r.l. si impegna a sottoscrivere apposita clausola o accordo al fine di
garantire la corretta applicazione delle presenti indicazioni anche nei rapporti con i terzi.
Misure di sicurezza e relativi controlli
La gestione della sicurezza: ruoli e responsabilità
La responsabilità dell’attività di impostazione e coordinamento dei sistemi che garantiscono la
sicurezza e la tutela di tutti i dati oggetto di trattamento aziendale sia da un punto di vista logico
che fisico, la loro gestione diretta o tramite fornitori, sono in carico all’amministratore di sistema.
Misure per garantire l’integrità a protezione dell’accesso ai dati
Sono le misure di sicurezza volte a minimizzare i rischi che le informazioni siano rivelate o
modificate senza autorizzazione, ovvero perse o alterate accidentalmente o intenzionalmente.
II sistema in atto prevede un sistema di autenticazione, basato su codice identificativo e
password individuale segreta, per assicurare che la persona che accede al sistema sia
identificata con certezza, nonché un sistema di autorizzazione, che prevede che a ciascuna
persona che accede al sistema sia assegnato un profilo di accesso che definisce i dati ai quali
l’utente è autorizzato ad accedere e, ove applicabile, le operazioni che per ciascun dato o
gruppo di dati è autorizzato ad eseguire (consultazione, inserimento, modifica, cancellazione).
Nessun dipendente di Ventuno BE S.r.l. è amministratore dei sistemi informatici forniti in
dotazione, eccetto il DPO e l’amministratore di sistema.
Sicurezza della postazione di lavoro
Lo scopo di questa politica è di stabilire i requisiti minimi per prevenire eventi di data breach e
responsabilizzare i dipendenti aziendali.
Misure per garantire la disponibilità dei dati
Sono le attività volte a ridurre i rischi di indisponibilità (parziale o totale) nell’accesso al sistema
informatico di Ventuno BE S.r.l.
Dismissione dei dispositivi utilizzati dagli utenti di Ventuno BE S.r.l.
Tutti i dispositivi di Ventuno BE S.r.l., eventualmente rilasciati in dotazione ai dipendenti, vengono
formattati a seguito delle dimissioni degli stessi al fine di rimuovere tutti i dati personali contenuti
al loro interno.
Tutti i dipendenti di Ventuno BE S.r.l. sono, quindi, tenuti ad assicurarsi che venga correttamente
eseguito il passaggio di consegne tra i colleghi del team affinché venga assicurata la continuità
dei servizi erogati. I sistemi informatici dismessi quali: pc, tablet e telefoni cellulari non potranno
essere ceduti anche gratuitamente a terzi ma dovranno essere opportunamente distrutti per
evitare il recupero totale o parziale delle informazioni in questi contenute.
Livelli di sicurezza
Il DPO per valutare la sicurezza del sistema informatico in azienda opererà, coadiuvato
dall’amministrazione di sistema.
Informazione e formazione dei destinatari
L’obiettivo di garantire un corretto trattamento dei dati, conforme ai requisiti previsti dalla
normativa (1), viene raggiunto dalla Società anche e soprattutto grazie alla particolare attenzione
risposta nei confronti della formazione del proprio personale.
A tal proposito, fin dal momento di ingresso di una nuova risorsa, Ventuno BE S.r.l. presenta a
quest’ultima il regolamento aziendale sul trattamento dei dati, nonché le comunica eventuali
aggiornamenti con e-mail inviata a tutti i dipendenti. Questo regolamento viene inviato via email
a tutti i dipendenti e affisso nella bacheca aziendale.
Notifica di una violazione dei dati personali all’autorità di controllo (Data Breach)
In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità
di controllo competente a norma dell’articolo 55 del GDPR senza ingiustificato ritardo e, ove
possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia
improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle
persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è
corredata dei motivi del ritardo.
• La violazione sarà comunicata tramite moduli all’interessato e all’autorità di controllo;
• il DPO terrà un registro dei data breach;
• il DPO, il referente/incaricato interno o il responsabile esterno del trattamento informa il
titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza
della violazione.
Disposizioni interne per il corretto utilizzo degli strumenti informatici e telematici
La Società, con il seguente regolamento, si è dotata di procedure specifiche per l’uso dei sistemi
informatici nonché l’accesso ad internet. Tali procedure, che vengono diffuse tra i dipendenti
della Società con il seguente regolamento interno, hanno lo scopo di ridurre i rischi di natura
patrimoniale, di danneggiamento di immagine della Società nonché di incorrere in responsabilità
penali conseguenti alla violazione di specifiche disposizioni di legge.
Le regole che disciplinano l’utilizzo delle risorse informatiche e telematiche si ispirano al principio
della diligenza e correttezza, principi che normalmente si adottano nell’ambito dei rapporti di
lavoro.
Per quanto non espressamente indicato, si rimanda alla normativa specifica in materia.
La mancata adozione delle misure indicate in questo regolamento da parte dei dipendenti
espone gli stessi a provvedimenti disciplinari e risarcitori previsti dal vigente CCNL, nonché a
tutte le azioni civili e penali consentite.
Utilizzo del personal computer e internet
Il Personal Computer affidato/utilizzato dall’utente è uno strumento di lavoro, pertanto ogni
utilizzo non inerente all’attività lavorativa è vietato perché può contribuire ad innescare disservizi,
costi di manutenzione e, soprattutto, minacce alla sicurezza. È quindi assolutamente proibita la
navigazione in Internet per motivi personali e diversi da quelli strettamente legati all’attività
lavorativa.
Il personal computer deve essere custodito con cura evitando ogni possibile forma di
danneggiamento.
L’amministratore di sistema, sotto indicazione del DPO, ha la facoltà di collegarsi, in presenza
dell’utente, alle singole postazioni PC al fine di garantire l’assistenza tecnica e la normale attività
operativa nonché la massima sicurezza contro virus, spyware, malware, etc.
Salvo autorizzazione del DPO, non è consentito all’utente modificare le caratteristiche impostate
sul proprio PC né procedere ad installare dispositivi di memorizzazione, comunicazione o altro
(come ad esempio masterizzatori, modem ecc.).
Gestione delle credenziali di accesso
Le credenziali di autenticazione per l’accesso alla rete vengono assegnate dall’amministratore di
sistema previa formale richiesta del responsabile d’area nell’ambito del quale verrà inserito ed
andrà ad operare il nuovo utente.
Nel caso di tirocinanti, stagisti e collaboratori esterni, la preventiva richiesta, se necessaria, verrà
inoltrata direttamente dal responsabile dell’unità operativa con il quale il collaboratore si
coordina nell’espletamento del proprio incarico.
Il soggetto preposto alla custodia delle credenziali di autenticazione è l’amministratore di
sistema.