Privacy Policy
Questa Applicazione raccoglie alcuni Dati Personali dei propri Utenti.
Questo documento può essere stampato utilizzando il comando di stampa presente nelle impostazioni di qualsiasi browser.
PRIVACY POLICY
Politica sulla protezione dei dati personali di Elettrobiochimica S.r.l.
Data Creazione:
Data Ultima Modifica: 15/12/2023
Emanato da: Titolare del trattamento
Verificato da: Ufficio Privacy
Documento per Uso Interno
Le informazioni contenute nel presente documento possono essere acquisite ed utilizzate dal personale di Elettrobiochimica S.r.l. – e in generale da tutti coloro che trattano dati personali per conto e/o sotto la responsabilità di Elettrobiochimica S.r.l. – con ordinaria diligenza, per esclusive finalità lavorative, consapevole che queste costituiscono un bene da proteggere. È quindi vietato qualsiasi utilizzo delle stesse per finalità personali. I documenti “ad uso interno” non sono destinati alla diffusione.
La divulgazione all’esterno, senza la preventiva autorizzazione di Elettrobiochimica S.r.l. (nella persona dell’Amministratore Unico), potrebbe dare luogo a conseguenze di natura disciplinare.
1. SCOPO
La presente politica ha l’obiettivo di definire ruoli, responsabilità e principali modalità operative in seno a Elettrobiochimica S.r.l. (di seguito anche “Elettrobiochimica” o “Società”) per proteggere i dati personali e prevenire i rischi che il trattamento degli stessi comporta, in coerenza con i principi definiti dal Regolamento (UE) 2016/679, noto come GDPR (General Data Protection Regulation) e dal Capo II del Titolo I del D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018, (recante il “Codice in materia di protezione dei dati personali”).
2. DEFINIZIONI
Ai fini della presente policy si applicano le seguenti definizioni:
– Trattamento, qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
– Dato personale oppure Dato, qualunque informazione relativa a persona fisica identificata o identificabile.
– Interessato, la persona fisica identificata o identificabile i cui dati sono oggetto di trattamento. Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo on line o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
– Titolare del trattamento, la persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità, le modalità e i mezzi del trattamento dei dati personali.
– Contitolari, due o più titolari del trattamento che determinano congiuntamente e sulla base di un accordo interno le finalità e i mezzi del trattamento ai sensi dell’art. 26 del GDPR.
– Responsabile del trattamento, la persona fisica o giuridica che, sulla base di un contratto o altro atto giuridico stipulato con il Titolare, tratta dati personali per conto del Titolare del trattamento.
– DPO, il Responsabile per la protezione dei dati, di cui agli articoli 37-39 del GDPR.
– Soggetti designati, le persone fisiche autorizzate dal Titolare o dal Responsabile del trattamento – per quest’ultimo se non escluso dall’atto che ne disciplina le attività – mediante apposito atto scritto di nomina, ad adempiere a specifici compiti e funzioni connessi al trattamento e che operano sotto la responsabilità del Titolare o del Responsabile.
– GDPR, il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
– Codice Privacy, il D. Lgs. 30 giugno 2003, n. 196, come modificato dal D. Lgs. 10 agosto 2018, n. 101.
– Autorità di Controllo oppure Garante, il Garante per la Protezione dei dati personali, istituito con la legge 675/1996.
– Comunicazione, l’atto volto a portare a conoscenza dei dati personali uno o più soggetti determinati – diversi dall’interessato, dal Titolare, dal Responsabile e dai Soggetti designati – in qualunque forma, anche mediante la loro messa a disposizione, consultazione o interconnessione.
– Diffusione, l’atto volto a portare a conoscenza dei dati personali soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
– Informativa, il documento contenente le informazioni relative al trattamento che devono essere fornite dal Titolare all’interessato per iscritto o con altri mezzi, inclusi, tra l’altro, l’identità e i dati di contatto del Titolare, del Responsabile del trattamento e del Responsabile della Protezione dei dati, le finalità del trattamento e la relativa base giuridica, le modalità e la durata del trattamento dei dati personali, l’ambito di circolazione degli stessi e i diritti esercitabili dall’interessato sui propri dati personali.
– Accountability, ossia il principio di responsabilizzazione: il Regolamento non effettua una tipizzazione puntuale delle misure tecniche e organizzative, esprimendosi unicamente in termini di loro adeguatezza al rischio “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 GDPR). Si tratta di una innovazione profonda in quanto viene attribuito ai Titolari il compito di decidere autonomamente le modalità, le garanzie ed i limiti del trattamento dei dati personali nel rispetto delle disposizioni normative ed alla luce di alcuni criteri specifici indicati nel Regolamento. Ciò impone un approccio integrato, che interessi tutte le aree aziendali, concreto e risk-based e che dia luogo a comportamenti proattivi.
– Misure di sicurezza, le misure tecniche e organizzative adeguate al rischio e volte a garantire – ed essere in grado di dimostrare – che il trattamento è effettuato conformemente alla normativa vigente.
– Pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.
– Profilazione, qualsiasi forma di trattamento automatizzato di dati personali consistente nel loro utilizzo per valutare determinati aspetti personali relativi a una persona fisica, ad esempio, al fine di suddividere gli interessati in gruppi a seconda del loro comportamento e delle loro abitudini.
– Registro delle attività di trattamento, il registro, tenuto da ciascun Titolare e da ciascun Responsabile, nel quale sono indicate le attività di trattamento svolte sotto la propria responsabilità, e, nel caso del Responsabile del trattamento, ove sono indicate le attività svolte per conto di un Titolare del trattamento.
Ulteriori termini, diversi da quelli ivi definiti, avranno il significato loro attribuito nel Regolamento (UE) 2016/679 e nel D. Lgs. 30 giugno 2003, n. 196, come modificato dal D.Lgs. 10 agosto 2018, n. 101 (Codice in materia di per la protezione dei dati personali) e ss. mm..
3. PRINCIPI, AMBITO DI APPLICAZIONE e DESTINATARI DELLA POLICY
Elettrobiochimica garantisce che il trattamento avviene in maniera conforme a quanto previsto dalla normativa e secondo i seguenti principi di:
– liceità, correttezza e trasparenza;
– limitazione della finalità;
– minimizzazione dei dati;
– esattezza;
– limitazione della conservazione;
– integrità e riservatezza;
– responsabilizzazione;
– sicurezza adeguata al livello di rischio;
– privacy by design;
– privacy by default.
4. CAMPO DI APPLICAZIONE
Il presente documento si applica all’interno di Elettrobiochimica nell’ambito dell’attività di trattamento dei dati personali.
La politica è rivolta al personale di Elettrobiochimica e in generale a tutti coloro che trattano dati personali per conto e/o sotto la responsabilità della Società. La garanzia di protezione e di adozione di adeguate misure di sicurezza è richiesta altresì a quei soggetti terzi ai quali la società ha affidato l’incarico della gestione di alcuni trattamenti. A tal fine Elettrobiochimica ha sottoscritto con i responsabili del trattamento nominati idonei accordi di protezione dei dati personali, che garantiscono tutti i requisiti dettati dalla normativa applicabile.
La presente politica disciplina le principali modalità operative applicate da Elettrobiochimica in materia di protezione dei dati personali riferite agli argomenti di seguito riportati, rinviando, per il resto, ad appositi documenti interni.
5. APPROVAZIONE, AGGIORNAMENTO E TERMINI DI VALIDITÀ
La presente politica di data protection è emanata da Elettrobiochimica, nonché Titolare del trattamento.
Il documento è sottoposto a revisione periodica da parte del Titolare del trattamento con il supporto dell’Ufficio Privacy, anche su proposta di quest’ultimo e/o del Responsabile per la protezione dei dati (DPO), laddove nominato, in caso di:
– eventi esterni (es. modifiche di carattere normativo), o
– eventi interni (es. modifiche delle politiche aziendali o dei regolamenti interni, variazioni della struttura organizzativa) rilevanti, che abbiano impatto sulle attività definite nell’ambito della presente politica.
Le eventuali revisioni, verificate dal DPO se nominato, sono approvate da Elettrobiochimica, nonché Titolare del trattamento.
6. PRINCIPALI RIFERIMENTI NORMATIVI ESTERNI ED INTERNI
Riferimenti esterni
– Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (Regolamento generale sulla protezione dei dati, di seguito anche GDPR – General Data Protection Regulation), pubblicato nella Gazzetta Ufficiale dell’Unione europea il 4 maggio 2016 ed entrato in vigore il 25 maggio 2018 negli Stati membri dell’Unione europea.
– Linee Guida e altra documentazione pubblicata dal Gruppo dei Garanti dell’Unione Europea (cd. “WP29”) ex art. 29 della direttiva 95/46.
– Codice in materia di protezione dei dati personali (comunemente noto anche come Codice Privacy), D. Lgs. 30 giugno 2003, n. 196, come modificato dal D.Lgs. 10 agosto 2018, n. 101, ove applicabile.
Riferimenti interni
– Regolamento aziendale di Elettrobiochimica;
7. GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Il Garante per la protezione dei dati personali è un’autorità amministrativa indipendente istituita dalla Legge 31 dicembre 1996, n. 675 (Legge sulla privacy), poi disciplinata dal Codice privacy. I compiti del Garante sono definiti dal Codice privacy e da altre fonti normative nazionali e dell’Unione Europea. Il Garante si occupa di tutti gli ambiti, pubblici e privati, nei quali occorre assicurare il corretto trattamento dei dati e il rispetto dei diritti delle persone connessi all’utilizzo delle informazioni personali.
Il Garante si occupa, tra l’altro, di:
– controllare che i trattamenti di dati personali siano conformi a leggi e regolamenti e, eventualmente, prescrivere ai Titolari o ai Responsabili dei trattamenti le misure da adottare per svolgere correttamente il trattamento;
– esaminare reclami e segnalazioni pervenuti;
– formulare pareri;
– curare l’informazione e la sensibilizzazione dei cittadini in materia di trattamento dei dati personali, nonché sulle misure di sicurezza dei dati;
– coinvolgere i cittadini e tutti i soggetti interessati con consultazioni pubbliche, dei cui risultati si tiene conto per la predisposizione di provvedimenti a carattere generale;
– vietare, in tutto od in parte, il trattamento di dati personali che, per la loro natura, possano rappresentare un rilevante pregiudizio per l’interessato;
– irrogare sanzioni amministrative pecuniarie in caso di violazione delle disposizioni previste nel GDPR.
8. LA DATA PROTECTION GOVERNANCE DELLA SOCIETÀ
Le figure di cui al presente paragrafo nonché i dipendenti autorizzati della Società di volta in volta interessati sono responsabili degli adempimenti in materia di protezione dei dati personali specificati nella presente Politica e, più in generale, nel GDPR, nella normativa di riferimento e nei Provvedimenti e Pareri del Garante.
8.1. Titolare del trattamento
Il Titolare del trattamento è Elettrobiochimica ed è individuabile nella persona del suo Legale Rappresentante.
Il Titolare del trattamento è colui che determina le finalità ed i mezzi dei trattamenti di dati personali ed è responsabile giuridicamente dell’ottemperanza agli obblighi previsti dalla normativa in materia di protezione dei dati personali.
Elettrobiochimica, Titolare del trattamento, è responsabile, in ultima istanza, di:
– assicurare che il trattamento dei dati personali effettuato sia conforme a quanto previsto dal GDPR, dal Codice privacy, dall’ulteriore normativa di riferimento e dai Provvedimenti e Pareri del Garante, anche attraverso la vigilanza sulla corretta attuazione della presente politica;
– nominare il Responsabile della protezione dei dati personali (DPO) ove necessario, assicurando al contempo che i suoi compiti e funzioni non diano adito a conflitto di interessi;
– assicurare che il DPO abbia autonomia e risorse sufficienti a svolgere in modo efficace i compiti cui è chiamato;
– assicurare che i compiti e le responsabilità in materia di protezione dei dati personali siano allocate in modo chiaro e appropriato.
8.2 Responsabile della protezione dei dati (DPO)
La nomina del DPO risulta obbligatoria in tre casi specifici (ex art. 37, paragrafo 1 del GDPR):
a) Se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
b) Se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
c) Se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali o reati;
Anche se il regolamento non dà una definizione di trattamento su larga scala il WP29 (gruppo di lavoro 29) raccomanda di tenere conto dei seguenti fattori:
- Il numero di soggetti interessati del trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
- Volume dei dati e/o le diverse tipologie di datti oggetto di trattamento;
- La durata, ovvero la persistenza, dell’attività del trattamento;
- La portata geografica dell’attività di trattamento;
Tra gli esempi di trattamento su larga scala c’è: il trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.
Per quanto riguarda il concetto “monitoraggio regolare e sistematico” si presenta la medesima problematica interpretativa, poiché il regolamento non ha provveduto a fornire una definizione che possa facilitare la sua applicazione. Sono, tuttavia, rinvenibili parametri che permettono di chiarire l’argomento.
Da un lato, rientrano nella definizione di monitoraggio regolare e sistematico tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale.
Dall’altro, il WP29 ha ritenuto che l’aggettivo regolare faccia riferimento al trattamento che:
i. avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
ii. ricorrente o ripetuto a intervalli costanti;
iii. avviene in modo costante o a intervalli periodici;
e che l’aggettivo sistematico si riferisca al trattamento che:
I. avviene per sistema;
II. predeterminato, organizzato o metodico;
III. ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
IV. svolto nell’ambito di una strategia;
Il Garante Privacy ha pubblicato delle indicazioni mediante FAQ – domande ricorrenti – sul responsabile della protezione dei dati in ambito privato affermando che, ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
Qui di seguito alcune esemplificazioni di attività che possono configurare un monitoraggio regolare e sistematico di interessati:
– Curare il funzionamento di una rete di telecomunicazioni;
– La prestazione di servizi di telecomunicazioni;
– Il reindirizzamento di messaggi di posta elettronica;
– Attività di marketing basate sull’analisi di dati raccolti;
– Profilazione e scoring per finalità di valutazione del rischio;
– Tracciamento dell’ubicazione;
– Programmi di fidelizzazione;
– Pubblicità comportamentale;
Alla luce di quanto sopra, dopo aver compiuto una valutazione del trattamento dei dati effettuato da Elettrobiochimica prima dell’entrata in vigore del GDPR, la Società ha deciso di non procedere con la nomina del DPO poiché il trattamento che effettua la stessa dei dati personali non rientra nei casi previsti come obbligatori dal GDPR, ferma restando la possibilità per la Società di munirsi di tale figura qualora il trattamento dei dati fosse modificato.
8.3 L’Ufficio privacy
L’Ufficio privacy, unitamente al Titolare del trattamento ed in collaborazione con i dipendenti autorizzati della Società di volta in volta interessati, e, ove occorra, con l’ausilio delle conoscenze specialistiche del DPO, laddove nominato, nella sua funzione consultiva, sovraintende la conduzione di specifici adempimenti, tra i quali:
– predisposizione delle informative agli interessati, dei contratti o degli altri atti giuridici di cui all’art. 28, comma 2, del Regolamento (UE) 2016/679 intercorrenti con i Responsabili del trattamento e degli atti di nomina degli Amministratori di Sistema e dei Soggetti designati;
– gestione operativa delle istanze relative all’esercizio dei diritti da parte degli interessati;
– stesura e revisione di Policy e regolamenti in materia di privacy, ivi comprese le istruzioni operative per il trattamento;
– unitamente al Titolare del trattamento e al Responsabile IT di Sede, consultandosi con il DPO procede alle valutazioni d’impatto sulla protezione dei dati e svolgimento delle verifiche a seguito di eventuale Data Breach;
– assistenza al Titolare del trattamento nella tenuta del Registro delle attività di trattamento e nel suo aggiornamento;
– monitoraggio dell’attività di formazione in tema di data protection.
L’Ufficio privacy, inoltre, supporta il DPO, nel caso in cui venga nominato, nelle attività di sua competenza e si consulta con lo stesso ogni qualvolta lo ritenga opportuno o quando ciò sia previsto dal GDPR.
8.4 Responsabile del trattamento
L’art. 28 del GDPR identifica nel Responsabile del trattamento la persona fisica o giuridica che tratta i dati personali per conto del Titolare.
Il ruolo del responsabile del trattamento di cui al regolamento europeo è chiaramente riservato ad un soggetto esterno all’azienda, con riferimento ai fornitori di servizi.
In particolare, il WP29 ricorda che il titolare del trattamento può decidere di trattare i dati all’interno della propria azienda oppure delegare in tutto o in parte le attività di trattamento dati ad un soggetto esterno. Quindi per agire come responsabile del trattamento occorre essere una persona giuridica distinta dal titolare ed elaborare dati per conto di questi.
In conclusione, il responsabile del trattamento è esterno all’azienda; tratta i dati attenendosi alle istruzioni del titolare, assume responsabilità proprie e ne risponde alle autorità di controllo e alla magistratura. Il titolare del trattamento, dal suo canto, può conferire incarichi interni e/o nominare responsabili (esterni), conservando la responsabilità del trattamento.
Per Elettrobiochimica, i Responsabili del trattamento sono soggetti esterni alla Società i quali, designati dal Titolare del trattamento con un contratto o con altro atto giuridico, trattano per conto del Titolare medesimo – e su istruzione documentata di quest’ultimo – i dati personali acquisiti in ragione del proprio incarico.
Tali Responsabili devono garantire, e garantiscono, il rispetto degli obblighi previsti dalla normativa sulla protezione dei dati dell’UE, e, poiché i dati possono essere trattati anche in paesi extra UE, viene di volta in volta precisato che si tratta di Paesi per i quali la Commissione Europea ha pronunciato una decisione di adeguatezza ai sensi dell’art. 45 GDPR, anche sottoscrivendo le clausole contrattuali standard.
8.5. Soggetti autorizzati
Nell’ambito dell’assetto organizzativo societario, specifici compiti e funzioni connessi al trattamento di dati personali, necessari per lo svolgimento delle funzioni loro affidate, possono essere attribuiti a persone fisiche, espressamente autorizzate dal Titolare o dal Responsabile del trattamento. I Soggetti autorizzati operano sotto l’autorità del Titolare e/o del Responsabile del trattamento e devono attenersi alle istruzioni operative impartite da questi ultimi in via preventiva e per iscritto.
Il Soggetto autorizzato si impegna a garantire la massima riservatezza e discrezione nell’attività di trattamento dei dati personali e a non divulgarli, neanche dopo la cessazione dell’incarico.
Elettrobiochimica si assicura che, nel momento in cui il Soggetto autorizzato dovesse cessare dall’incarico per qualunque motivo, tutti gli accessi e gli account del medesimo siano immediatamente disattivati.
9. PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI PERSONALI
Elettrobiochimica assicura che il trattamento di dati personali sia coerente con i principi di cui all’art. 5 del Regolamento (UE) 2016/679 e al Capo II del Titolo I del Codice Privacy.
9.1. Liceità, correttezza e trasparenza
I dati personali degli interessati sono trattati con modalità e per finalità lecite, corrette ed esplicitamente descritte dal Titolare nell’informativa che deve essere resa all’interessato prima di iniziare il trattamento.
Il trattamento è legittimo se esso è reso necessario da specifiche condizioni (cc.dd. basi giuridiche), tra le quali:
- l’esecuzione di un contratto di cui l’Interessato è parte;
- il perseguimento di un obbligo di legge al quale è soggetto il Titolare;
- il perseguimento del legittimo interesse del Titolare o di terzi (a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’Interessato che richiedono la protezione dei suoi dati personali);
- l’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali per una specifica finalità.
Gli interessati (ad es. fornitori, consulenti e dipendenti) devono essere adeguatamente informati, tra l’altro, dell’esistenza e della possibilità di far valere i propri diritti in riferimento all’utilizzo dei propri dati, dell’identità e dei dati di contatto del Titolare del trattamento, delle finalità per le quali i dati vengono trattati, della base giuridica del trattamento, degli eventuali destinatari dei dati personali, del periodo di conservazione dei dati personali, dei recapiti del DPO, nonché degli altri elementi dettagliatamente previsti dall’art. 13 (e, se del caso, dall’art. 14) del Regolamento.
9.2. Limitazione della finalità
Elettrobiochimica assicura che i dati personali sono trattati solo per scopi determinati, espliciti e legittimi sia nella raccolta che nelle altre attività di cui si compone il trattamento, in particolare, la registrazione, la conservazione, la modifica, la consultazione, l’uso e la comunicazione.
9.3. Minimizzazione dei dati
Le informazioni raccolte (in termini di quantità di dati raccolti, di ampiezza del trattamento e di periodo di accessibilità e conservazione degli stessi) sono limitate a quanto necessario per il perseguimento delle finalità per le quali sono trattate.
9.4. Esattezza
I dati personali trattati sono esatti e, se necessario, vengono aggiornati; Elettrobiochimica adotta tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati, se richiesto dall’interessato e se consentito dalla legge.
9.5. Limitazione della conservazione
I dati personali degli interessati vengono conservati in una forma che consenta l’identificazione degli Interessati, per un arco di tempo non superiore a quello necessario al conseguimento delle finalità del Titolare o per adempiere ad obblighi di legge (ad es. normativa fiscale, normativa antiriciclaggio, ecc.).
9.6. Responsabilizzazione
Elettrobiochimica, in quanto Titolare del trattamento dei dati personali, mette in atto misure adeguate ed efficaci per la protezione di tali dati, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento ed è in grado di dimostrare la conformità delle attività di trattamento con il GDPR, compresa l’efficacia delle misure adottate.
I dati personali sono protetti da accessi non autorizzati e dalla perdita, distruzione, divulgazione o modifica accidentale. Per mantenere la sicurezza e prevenire trattamenti in violazione alle disposizioni del GDPR, Elettrobiochimica valuta i rischi inerenti al trattamento e attua misure tali da limitarli (ad es. cifratura dei dati). Tali misure assicurano un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere.
10. ADEMPIMENTI NORMATIVI
10.1. Diritti degli interessati
Conformemente a quanto previsto dal GDPR, il Titolare del trattamento di dati personali fornisce all’interessato tutte le informazioni e le comunicazioni relative al trattamento in forma concisa, trasparente e facilmente accessibile, con un linguaggio chiaro. Le informazioni devono essere fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia accertata l’identità dell’interessato.
Elettrobiochimica agevola l’esercizio di tali diritti da parte dell’Interessato, con particolare riferimento a:
– diritto di accesso: ovvero il diritto di ottenere la conferma che sia o meno in corso un trattamento di dati che lo riguardano e, in tal caso, il diritto di ottenere l’accesso a tali dati personali, ottenendone copia, ed alle informazioni di cui all’art. 15 del GDPR;
– diritto di rettifica: ovvero il diritto di ottenere la rettifica dei dati inesatti che lo riguardano o l’integrazione dei dati incompleti (art. 16 del GDPR);
– diritto alla cancellazione («diritto all’oblio»): ovvero il diritto di ottenere la cancellazione dei dati che lo riguardano, se sussiste uno dei motivi indicati dall’art. 17 del GDPR, fatte salve eventuali eccezioni derivanti da precisi obblighi di legge;
– diritto di limitazione di trattamento: ovvero il diritto di ottenere, nei casi indicati dall’art. 18 del GDPR, la pseudominizzazione e/o offuscamento dei dati personali che lo riguardano con l’obiettivo di limitarne il trattamento;
– diritto alla portabilità dei dati: ovvero il diritto, nei casi indicati dall’art. 20 del GDPR, di ricevere, in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che lo riguardano, nonché di trasmettere tali dati ad un altro titolare del trattamento senza impedimenti;
– diritto di opposizione: ovvero il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano effettuato sulla base del legittimo interesse del titolare o di terzi, compresa la profilazione sulla base di tali disposizioni (art. 21 del GDPR);
– se applicabile, diritti connessi all’esistenza di un processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione: ovvero il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona, salvo i casi previsti dall’art. 22 del GDPR.
Al tal fine, Elettrobiochimica attribuisce al Titolare del trattamento, al/i Responsabile/i del Trattamento e all’Ufficio privacy la generale responsabilità in merito agli adempimenti derivanti dall’esercizio dei diritti da parte degli Interessati. L’Ufficio privacy si avvale della collaborazione del DPO, se nominato, e dei dipendenti autorizzati della Società di volta in volta competenti, qualora tale collaborazione sia necessaria per dar seguito alle richieste degli interessati.
Gli interessati possono comunque contattare il DPO, se nominato, per tutto quanto relativo al trattamento dei propri dati personali e all’esercizio dei loro diritti derivanti dal GDPR. In tal caso, il DPO, nell’ambito dei compiti di sorveglianza sull’osservanza del GDPR, verifica che il Titolare o il Responsabile del trattamento provveda ai sensi del GDPR e del Codice privacy.
Gli indirizzi di posta elettronica – cui è fatto specifico riferimento nelle informative privacy di Elettrobiochimica – sono stati predisposti al fine di consentire agli interessati di poter formulare le proprie richieste.
Inoltre, nelle informative privacy della Società sono stati indicati i recapiti del Titolare e del Responsabile del trattamento, affinché gli interessati possano esercitare i propri diritti.
10.2. Registri delle attività di trattamento
Elettrobiochimica, quale Titolare del trattamento dei dati personali, tiene un Registro delle attività di trattamento, in formato elettronico, conservato nell’archivio informatico della Società, all’interno del quale sono indicate le informazioni più analiticamente riportate all’art. 30 par. 1 del GDPR, tra le quali:
- nome e dati di contatto del Titolare del trattamento e del Responsabile della protezione dei dati;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi;
- i trasferimenti di dati personali verso un paese terzo, ove applicabile;
- i termini di cancellazione previsti per le diverse categorie di dati, ove possibile;
- una descrizione generale delle misure di sicurezza tecniche ed organizzative, ove possibile.
Inoltre, ciascuno dei Responsabili esterni del trattamento di dati personali è tenuto a redigere e tenere aggiornato, anche in formato elettronico, un proprio Registro delle attività di trattamento svolte per conto del Titolare, lo conserva presso la propria sede e lo rende disponibile per un’eventuale richiesta di consultazione da parte del Titolare del trattamento. All’interno del Registro sono indicate le informazioni più analiticamente riportate all’art. 30 par. 2 del GDPR, tra le quali:
o nome e dati di contatto del Responsabile o dei Responsabili del trattamento, di ogni Titolare del trattamento per conto del quale agisce il Responsabile del trattamento e del Responsabile della protezione dei dati;
o le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
o ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale;
o ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
Ogni Titolare e/o Responsabile del trattamento di dati personali, in coordinamento con l’Ufficio privacy, assicura il costante aggiornamento dei suddetti registri e la loro messa a disposizione dell’Autorità di Controllo, nel caso di esplicita richiesta da parte di questa.
Il Titolare del trattamento provvede, con l’ausilio dell’Ufficio privacy e dei dipendenti autorizzati di volta in volta competenti, all’acquisizione ed all’aggiornamento delle informazioni relative ai trattamenti da riportare nel proprio Registro.
È dovere di ciascun appartenente alla data protection governance della Società o ad uno dei dipendenti autorizzati della Società medesima informare tempestivamente il Titolare del trattamento e l’Ufficio privacy:
- di ogni violazione dei dati personali (i.e. Data Breach – in tal caso, la violazione va comunicata anche al Responsabile IT di sede);
- di ogni nuovo trattamento di dati personali ovvero di ogni sostanziale modifica dei trattamenti esistenti;
- l’esigenza di iniziare una nuova attività di trattamento ovvero di apportare modifiche sostanziali ai trattamenti esistenti;
- una variazione del rischio rappresentato dalle attività relative al trattamento;
- la sussistenza di un rischio elevato in relazione ad un trattamento già esistente per il quale la valutazione d’impatto sulla protezione dei dati non sia già stata effettuata.
10.3. Notificazione Data Breach
Per Data Breach ovvero Violazione di dati personali si intende qualunque violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzati ai dati personali trasmessi, conservati o comunque trattati.
Elettrobiochimica pone in essere adeguate misure organizzative, definendo ruoli e responsabilità ed appropriati flussi informativi tra le funzioni coinvolte, che assicurano la tempestiva individuazione, valutazione, notifica e tracciabilità di una violazione di dati personali in conformità a quanto previsto dal GDPR.
In particolare, è dovere di ciascun appartenente alla data protection governance della Società o ad uno dei dipendenti autorizzati della Società medesima informare tempestivamente il Titolare del trattamento, l’Ufficio privacy e il Responsabile IT di Sede non appena venga a conoscenza che si è verificata una violazione dei dati personali, indipendentemente da qualsiasi valutazione sulla sua gravità, in conformità con quanto previsto dal Regolamento “Individuazione e notificazione Data Breach”.
Al Titolare del trattamento è attribuita la generale responsabilità in materia di adempimenti connessi al Data Breach, ed agli altri soggetti coinvolti nella presente policy e nei regolamenti interni in materia di trattamento dei dati personali è attribuita la responsabilità per l’adempimento dei relativi compiti.
Gli adempimenti in oggetto riguardano:
a) individuazione della tipologia di violazione intervenuta;
b) effettuazione di una valutazione del rischio conseguente al Data Breach, al fine di individuare le misure volte ad arginare o ad eliminare l’intrusione o la perdita di dati e di valutare la necessità di attivare le procedure di comunicazione e di notifica;
c) notificazione della violazione dei dati personali all’Autorità di Controllo ed eventuale comunicazione agli Interessati, qualora, rispettivamente, non sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche ovvero qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
d) documentazione delle violazioni di dati personali occorse tenendo aggiornato un apposito registro.
Nel momento in cui Elettrobiochimica dovesse riscontrare una violazione si assicura di darne immediatamente comunicazione al DPO, se nominato, tramite i canali di comunicazione appositamente predisposti e che l’eventuale notificazione al Garante intervenga entro i termini previsti dall’art. 33 del GDPR.
Tutte le informazioni relative alle violazioni di dati personali e le analisi condotte a seguito del Data Breach sono documentate all’interno di appositi report, nonché nel registro dei data breach.
10.4. Privacy by design e by default
Elettrobiochimica assicura il rispetto dei principi di protezione dei dati fin dalla progettazione e protezione dei dati by default, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento.
A tal fine, Elettrobiochimica adotta, fin dalla fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, misure tecniche ed organizzative volte a:
- ridurre al minimo il trattamento di dati personali (c.d. minimizzazione dei dati);
- offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali;
- consentire all’interessato di controllare il trattamento dei dati;
- adottare adeguate misure di sicurezza.
La Società, Titolare del trattamento, garantisce che siano trattati per impostazione predefinita solo i dati personali necessari per ogni specifica finalità del trattamento. Tale criterio vale per la quantità dei dati personali raccolti, l’ampiezza del trattamento, il periodo di conservazione e l’accessibilità.
Ciascun appartenente alla data protection governance della Società o ad uno dei dipendenti autorizzati della Società medesima dà sempre comunicazione al Titolare del trattamento e all’Ufficio privacy, in via preventiva, della progettazione e sviluppo di ogni nuovo trattamento di dati personali ovvero di ogni sostanziale modifica dei trattamenti esistenti, ed – in tal caso – il Titolare del trattamento, unitamente all’Ufficio privacy e al Responsabile IT di Sede, effettua sempre, in via preventiva, quantomeno un’analisi sintetica dei rischi in materia di protezione dei dati personali che ne derivano e un’identificazione delle misure funzionali a proteggere i dati e garantire che il trattamento sia ridotto al minimo. Il Titolare del trattamento, unitamente all’Ufficio privacy e al Responsabile IT di Sede, procede alla completa valutazione d’impatto sulla protezione dei dati di cui all’art. 9.6 della presente Politica in presenza dei presupposti ivi stabiliti.
10.5. Trasferimenti di dati personali verso paesi extra U.E.
Elettrobiochimica non trasferisce dati personali al di fuori dell’Unione Europea.
Ad ogni modo, qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento in Paesi situati al di fuori dell’Unione Europea o organizzazioni internazionali è consentito soltanto quando sussistano i requisiti di cui al Capo V del GDPR e non sia pregiudicato il livello di protezione dei dati garantito dal GDPR.
In mancanza di un riconoscimento di adeguatezza di cui all’art. 45 del GDPR, il Titolare può utilizzare per il trasferimento specifiche garanzie contrattuali, per le quali il GDPR prevede norme dettagliate e vincolanti.
In assenza di garanzie contrattuali o riconoscimenti di adeguatezza, i dati potranno essere trasferiti solo con il consenso esplicito dell’interessato, oppure qualora ricorrano particolari condizioni (ad esempio, quando il trasferimento è indispensabile per rispettare specifici obblighi contrattuali).
Ove applicabile, al fine di proteggere i dati personali di cui è titolare, Elettrobiochimica adotta clausole contrattuali tipo di protezione dei dati, secondo quanto previsto dalla normativa applicabile.
Prima di un eventuale trasferimento dei dati personali verso Paesi extra UE, Elettrobiochimica garantisce agli interessati il diritto di ottenere una copia di tali clausole tipo e di ottenere informazioni relative ai destinatari o alle categorie di destinatari a cui i dati personali sono stati o saranno comunicati, presentando una richiesta all’attenzione del Titolare del trattamento, tramite apposito indirizzo e-mail o posta ordinaria.
10.6. Valutazione d’impatto sulla protezione dei dati (“DPIA”)
Ciascun appartenente alla data protection governance della Società o ad una/uno dei dipendenti autorizzati della Società medesima, prima di iniziare una nuova attività di trattamento ovvero prima di apportare modifiche sostanziali ai trattamenti esistenti, o comunque quando risulta una variazione del rischio rappresentato dalle attività relative al trattamento, ovvero ancora quando risulta in qualunque modo un rischio elevato in relazione ad un trattamento già esistente per il quale la valutazione d’impatto sulla protezione dei dati non sia già stata effettuata, comunicano tale circostanza al Titolare del trattamento ed all’Ufficio privacy, al fine di consentire le necessarie valutazioni di cui all’ultimo paragrafo dell’art. 9.4 della presente Politica, nonché in materia di impatto del trattamento sulla protezione dei dati personali. Tale segnalazione dovrà essere effettuata il prima possibile nella fase di progettazione del trattamento.
Il Titolare del trattamento, assunto il parere dell’Ufficio privacy e consultandosi con il DPO, valuta se, in considerazione dell’uso di nuove tecnologie, della natura, dell’oggetto, del contesto e delle finalità del trattamento, il medesimo presenti un rischio elevato per i diritti e le libertà delle persone fisiche. In tale ipotesi, il Titolare del trattamento, con l’ausilio dell’Ufficio privacy e sotto la sorveglianza del DPO, assume la generale responsabilità per la conduzione di una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali (“DPIA”). Nel compiere la valutazione che precede, il Titolare del trattamento si conforma a tutte le eventuali prescrizioni del Garante ai sensi dell’art. 35, paragrafi 4 e 5, del GDPR.
In linea di principio la conduzione della DPIA è richiesta in particolare nei casi in cui si verifichino una o più di tali circostanze, di cui all’art. 35, paragrafo 3, del GDPR:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali , o di dati relativi a condanne penali e a reati ;
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
La valutazione d’impatto è altresì richiesta quando un trattamento soddisfi due o più di due dei criteri indicati nelle Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679, aggiornate da ultimo il 5 ottobre 2018, del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati, ovvero quelli che dovessero successivamente essere indicati:
o valutazione e assegnazione di un punteggio inclusiva di profilazione e previsione, in particolare in considerazione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato;
o trattamento che mira a consentire l’adozione di decisioni in merito agli interessati che hanno effetti giuridici o che incidono in modo analogo significativamente su dette persone fisiche;
o trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti o la sorveglianza sistematica su larga scala di una zona accessibile al pubblico;
o trattamento di dati sensibili o dati aventi carattere altamente personale;
o trattamento di dati su larga scala;
o creazione di corrispondenze o combinazione di insiemi di dati;
o trattamento di dati relativi a interessati vulnerabili;
o uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, quali la combinazione dell’uso dell’impronta digitale e del riconoscimento facciale per un miglior controllo degli accessi fisici, ecc.;
o trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto.
Il Titolare del trattamento si consulta con l’Ufficio privacy e con il DPO, se nominato, fra l’altro, su quanto segue:
I. se condurre o meno una valutazione di impatto sulla protezione dei dati;
II. quale metodologia adottare nel condurre la valutazione;
III. se condurre la valutazione con le risorse interne ovvero esternalizzandola;
IV. quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate;
V. se la valutazione sia stata condotta correttamente o meno, e se le conclusioni raggiunte (procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al GDPR e alla normativa applicabile in materia Privacy;
Qualora il Titolare del trattamento non concordi con le indicazioni fornite dall’Ufficio privacy e dal DPO è necessario che la documentazione relativa alla valutazione riporti specificamente per iscritto le motivazioni per cui si è ritenuto di non conformarsi a tali indicazioni.
Nei casi dubbi, il Titolare del trattamento procede in ogni caso alla valutazione d’impatto sulla protezione dei dati.
La valutazione d’impatto sulla protezione dei dati consiste, tra l’altro, nel descrivere nel dettaglio, per iscritto ed in via sistematica:
i. il trattamento e la sua finalità;
ii. la valutazione della necessità e proporzionalità del trattamento in relazione alle sue finalità;
iii. la valutazione dei conseguenti rischi per i diritti e le libertà degli interessati, mettendo in relazione i requisiti di protezione dei dati (ad es. integrità, riservatezza) e l’evento o gli eventi che possono minacciarli;
iv. l’indicazione e la descrizione delle misure necessarie ad eliminare o quanto meno minimizzare tali rischi, ed una valutazione dei rischi residui a seguito dell’implementazione di tali misure.
Qualora la valutazione d’impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal Titolare del trattamento per attenuare il rischio, il Titolare del trattamento consulta, ai sensi dell’art. 36 par. 1 del GDPR, il Garante tramite il DPO prima di procedere al trattamento.
La Società, dopo aver valutato la tipologia di trattamento, i dati oggetto di questo e la struttura interna, ha valutato che, al momento, non è necessario svolgere una DPIA, riservandosi di compierne in futuro, qualora si ritenesse necessario; di tale eventuale attività se ne darà atto con idonea documentazione.
In ogni caso, l’Ufficio privacy si assicura che vengano implementati nell’attività di trattamento i correttivi identificati a seguito della valutazione d’impatto.
10.7. Adozione di misure di sicurezza
La sicurezza dei dati è basata su quattro principi generali:
a. riservatezza: assicurare che i dati siano accessibili solamente ai soggetti autorizzati;
b. integrità: salvaguardare la correttezza e completezza dei dati;
c. disponibilità: assicurare che gli utenti autorizzati abbiano accesso ai dati quando necessario;
d. resilienza: dotarsi di misure tecniche e organizzative in grado di mitigare i rischi che possono compromettere la riservatezza, l’integrità e la disponibilità dei dati personali.
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio per i diritti e le libertà delle persone fisiche, Elettrobiochimica, in qualità di Titolare del trattamento dei dati personali, mette in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza commisurato al rischio.
Nel valutare l’adeguato livello di rischio, si tiene conto in particolare dei rischi presentati dal trattamento che derivano dalla distruzione, dalla perdita, della modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
10.8. Whistleblowing
Il Decreto Whistleblowing recepisce in Italia la nuova disciplina europea orientata, da un lato, a garantire la manifestazione della libertà di espressione e di informazione, dall’altro, a prevenire e contrastare fenomeni quali la corruzione, la cattiva amministrazione e la prevenzione di violazioni di legge nel settore pubblico e privato.
Chi segnala fornisce informazioni che possono portare all’indagine, all’accertamento e al perseguimento di casi di violazione delle norme, rafforzando i principi di trasparenza e responsabilità.
La disciplina di cui al Decreto Whistleblowing, garantendo la protezione – sia in termini di tutela della riservatezza sia di tutela in caso di ritorsioni – dei soggetti Segnalanti, contribuisce all’emersione e alla prevenzione di rischi e situazioni pregiudizievoli per l’ente e di riflesso, per l’interesse pubblico collettivo.
Alla luce della nuova disciplina, Elettrobiochimica ha adottato la Policy Whistleblowing, visionabile e messa a disposizione sia tramite pubblicazione nella bacheca aziendale che sul sito web aziendale, al fine di adeguarsi al Decreto Whistleblowing e ciò anche per quanto previsto nel Modello 231 adottato, aggiornato in ragione della modifica della disciplina in materia di responsabilità degli enti.
Il Decreto Whistleblowing, infatti, ha sostituito il comma 2-bis dell’art. 6 del D.lgs. n. 231/2001 con il seguente: “2-bis. I modelli di cui al comma 1, lettera a), prevedono, ai sensi del decreto legislativo attuativo della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, i canali di segnalazione interna, il divieto di ritorsione e il sistema disciplinare, adottato ai sensi del comma 2, lettera e)” ed ha abrogato i commi 2-ter e 2 quater.
In ossequio al Decreto Whistleblowing, ogni trattamento di dati personali previsto dalla presente Policy sarà effettuato a norma del GDPR e del Codice Privacy.
Nello specifico lo scopo della Policy Whistleblowing è quello di regolare il processo di gestione delle Segnalazioni di Violazioni di cui al D.lgs. 24/2023, secondo modalità atte a garantire la tutela della riservatezza dell’identità della Persona segnalante.
La suddetta procedura Whistleblowing, adottata dall’azienda, definisce il proprio modello di ricevimento e di gestione delle Segnalazioni interne, nonché il canale interno di Segnalazione, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti anche dal trattamento di dati personali effettuati per la gestione delle stesse, nel rispetto di quanto previsto dal Regolamento (UE) 2016/679 e dall’articolo 18 del decreto legislativo n. 51 del 2018.
In particolare, occorre precisare che in ragione del profilo dimensionale dell’ente -inferiore a 50 lavoratori- e dell’adozione del Modello 231 da parte della società, le segnalazioni possono avere ad oggetto solo condotte illecite rilevanti per la disciplina 231 o violazioni del Modello 231 e possono essere effettuate unicamente attraverso il canale interno.
Allo stesso modo, si dà atto che Elettrobiochimica, così come previsto dal legislatore, eseguiva preliminarmente una valutazione di impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR, relativamente al trattamento dei dati raccolti nella gestione delle segnalazioni in materia di Whistleblowing, effettuate attraverso la piattaforma informatica Whistleblowing Solutions AB in qualità di responsabile del trattamento.
Dall’analisi sull’impatto dei rischi valutati in particolare nell’ambito dei trattamenti individuati aventi l’obbligo di DPIA, emergono rischi inerenti con impatto sui diritti e libertà degli interessati con stima a valore Alto. Nell’ottica di mitigazione di tali rischi, si evince che, con l’implementazione delle misure tecnico/organizzative messe in atto da Titolare e Responsabile, oltre a quelle pianificate ad integrazione delle stesse, quale la formazione del personale e la verifica periodica degli standard di sicurezza dei dati, il valore di rischio residuo rientra nel livello di accettabilità del rischio del Titolare in relazione ai parametri oggettivi considerati.
Si ritiene pertanto che il trattamento in oggetto presenta un grado di rischio sui diritti e libertà dell’interessato rientrante nei parametri accettabili e di conseguenza non è richiesta una consultazione preventiva all’Autorità Garante.
Detta valutazione è a disposizione dell’Autorità Garante nel caso in cui sia necessaria l’esibizione.
11. SANZIONI
In caso di violazione delle disposizioni previste dal GDPR da parte di Elettrobiochimica, l’Autorità di controllo ha il potere di infliggere sanzioni amministrative pecuniarie e di fissare l’ammontare delle stesse fino ad un massimo di 20 milioni di euro o fino al 4% del fatturato totale annuo dell’esercizio precedente.
Per i casi più gravi, il Codice Privacy (art. 167 e ss.) prevede sanzioni penali.
12. NORME DI RINVIO
Fermo restando quanto previsto nel presente regolamento, per il trattamento dei dati personali, trovano comunque applicazione tutte le disposizioni contenute nel Regolamento e nel Codice.
13. ENTRATA IN VIGORE