Policy in materia di Privacy

​

1. PREMESSA

​

La presente Policy riassume ed illustra i contenuti di cui al Regolamento (UE) 2016/679 (di seguito anche GDPR) concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la loro libera circolazione entrato in vigore il 24 maggio 2016 con decorrenza applicabile in tutti gli stati membri a partire dal 25 maggio 2018.

​

Il Regolamento introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (data breach).

​

Tale disciplina si fonda sul principio per cui chiunque ha diritto alla protezione dei dati personali che lo riguardano. Viene pertanto garantito che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale ed al diritto alla protezione dei dati personali.

​

Viene assicurato un elevato livello di tutela dei diritti e delle libertà nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per l’adempimento degli obblighi da parte dei titolari del trattamento.

​

In base alla summenzionata disciplina, inoltre, i sistemi informativi ed i programmi informatici devono essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante l’utilizzo di dati anonimi o mediante opportune modalità che permettano di identificare l’interessato solo in caso di necessità.

 

1.1. Definizioni

Ai sensi e per gli effetti dell’art. 4 del GDPR, Barents Surety srl (di seguito, per brevità, “la Società”) con sede legale in Piazzale Cadorna 6, 20123 Milano (MI) riveste la qualità di titolare del trattamento.

​

A tale proposito, di seguito si specifica in cosa consista tale figura e si indicano quali sono le ulteriori figure rilevanti ai fini privacy:

​

• “titolare”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

• “responsabile”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

• “incaricati”: le persone fisiche autorizzate a compiere operazioni sotto l’autorità diretta del titolare o del responsabile;

• “interessato”: la persona fisica cui si riferiscono i dati personali.

​

Si specifica altresì che si intende per: 

​

a. «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

b. «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

c. «limitazione di trattamento»: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;

d.«profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;

e. «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

f. «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

g. «destinatario»: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

h. «terzo»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;

i. «consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

j. «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

k. «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;

l. «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;

m. «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

n. «autorità di controllo»: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51 del regolamento UE 2016/679.

1.2. Campo di applicazione

​

La presente Normativa riguarda i dati relativi alle persone fisiche e deve essere osservata da tutti i responsabili ed incaricati di Società (sia dipendenti – senza distinzione di funzione, inquadramento e/o livello – che collaboratori della Società, intesi in senso lato ed a prescindere dal rapporto contrattuale con la stessa intrattenuto). 

​

Il personale sopracitato è tenuto a visionare ed osservare il presente regolamento nello svolgimento delle proprie funzioni.

 

2. TRATTAMENTO DEI DATI

 

2.1. Tipologie di dati

​

Nell’esercizio delle proprie attività la Società potrà trattare le seguenti tipologie di dati:

​

2.1.1. Dati personali

​

Si tratta di dati identificativi quali nome, cognome, data di nascita, codice fiscale, indirizzo

ecc… .

​

2.1.2. Dati particolari

​

Si tratta di dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

 

Il trattamento di tali dati è di norma vietato a meno che non si verifichi una delle seguenti condizioni:

​

a. l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il citato divieto;

​

b. il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;

​

c. il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;

​

d. il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;

​

e. il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;

​

f. il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

​

g. il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;

​

h. il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità;

​

i. il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;

​

j. il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

​​

Nel caso di cui alla lettera h) il trattamento è ammesso se i dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.

​

2.1.3. Dati guidiziari

​

Si tratta di dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza.

 

Il trattamento di tali dati è ammesso solo sotto il controllo dell’Autorità o in base a disposizioni di legge.

 

2.2. Finalità e modalità del trattamento (principi generali)

​​

I dati personali oggetto di trattamento devono essere:

• trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»); raccolti per finalità determinate, esplicite e legittime, e trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è considerato incompatibile con le finalità iniziali («limitazione della finalità»);

• adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

• esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

• conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano  trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);

• trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

​

La Società deve essere in grado di comprovare il rispetto dei sopracitati principi. I dati personali trattati in violazione della normativa non possono essere utilizzati.

​

Il trattamento avviene mediante strumenti manuali, informatici e telematici con logiche strettamente correlate alle finalità di seguito indicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi.

 

In ogni caso la protezione dei dati deve essere assicurata anche nel caso in cui la Società attivi canali innovativi. I dati personali in possesso della Società possono essere raccolti direttamente presso la clientela ovvero presso terzi. Tali dati potranno essere trattati dalla Società nella sua qualità di titolare del trattamento ed altresì dai soggetti terzi che la Società ha nominato responsabili del trattamento stesso.

 

Le finalità per le quali la Società ed i soggetti nominati quali responsabili del trattamento possono svolgere il trattamento sono:

​

a. adempiere agli obblighi previsti da leggi, regolamenti, normativa comunitaria, disposizioni impartite da Autorità a ciò legittimate dalla legge e da Organi di vigilanza e controllo (ad esempio, obblighi previsti da normativa antiusura, antiriciclaggio, centrale rischi, …). Per tali finalità il conferimento dei dati personali è obbligatorio, ed il relativo trattamento non richiede il consenso degli interessati;

b. perseguire finalità strettamente connesse e strumentali alla gestione dei rapporti con la Clientela (ad esempio, acquisizione di informazioni preliminari alla conclusione di un contratto, esecuzione di operazioni sulla base degli obblighi derivanti dal contrato concluso con la clientela, ecc.). Per tali finalità il conferimento dei dati personali non è obbligatorio, ma il rifiuto di fornirli può comportare l’impossibilità della Società a prestare il servizio stesso. Il relativo trattamento non richiede il consenso dell’interessato;

c. svolgere alcune attività funzionali all’attività societaria, quali (i) la rilevazione del grado di soddisfazione della clientela sulla qualità dei servizi resi e sull’attività svolta mediante interviste personali o telefoniche, questionari, etc.; (ii) la promozione e la vendita di prodotti e servizi della Società effettuate attraverso lettere, telefono fisso e/o cellulare, materiale pubblicitario, sistemi automatizzati di comunicazione, posta elettronica, messaggi del tipo MMS (Multimedia Messaging Service) e SMS (Short Message Service), etc.; (iii) l’elaborazione di studi e ricerche di mercato, effettuate mediante interviste personali o telefoniche, questionari, etc.; (iv) lo svolgimento di  attività di pubbliche relazioni. Per tali finalità il conferimento dei dati necessari non è obbligatorio ed il loro trattamento richiede il consenso dell’interessato.

​

2.3. Liceità del trattamento

​

Il trattamento dei dati da parte della Società sarà considerato lecito solo se e nella misura in cui ricorra una delle seguenti condizioni:

​

a. l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b. il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c. il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

e. il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

f. il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

g. il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

​​

3. CONSENSO​

​

3.1. Prestazione del consenso

​​

Il consenso è validamente prestato solo se è espresso liberamente. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prestato prima della revoca. Prima di esprimere il proprio consenso, l’interessato deve essere informato di ciò.

​

Il consenso è revocato con la stessa facilità con cui è accordato. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

​

Nel valutare se il consenso sia stato liberamente prestato, la Società tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.

​

In tutti i casi in cui il trattamento sia basato sul consenso, la Società deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

​

3.2. Conseguenze di un eventuale rifiuto a fornire i propri dati personali

​​

Qualora l’interessato si rifiuti di acconsentire al trattamento di dati personali strettamente necessari all’instaurazione del rapporto contrattuale con la Società, ciò comporterà l’impossibilità di procedere all’instaurazione del rapporto o all’erogazione del servizio richiesto.

​

Qualora l’interessato si rifiuti di acconsentire al trattamento dei dati personali per finalità per le quali il rilascio di tali dati è facoltativo, sarà possibile comunque instaurare il rapporto desiderato o ricevere la prestazione del servizio richiesto ma non sarà possibile usufruire dei servizi per i quali è obbligatoriamente richiesto il consenso al trattamento (ad esempio non potrà ricevere informative di natura promozionale).

​

​4. DIRITTI DELL’INTERESSATO

​

Di seguito si vanno a sintetizzare i diritti che la Società è tenuta a garantire nei confronti dell’interessato. Le disposizioni di riferimento sono consultabili agli artt. 13, 14, 34 e da 15 a 22 del GDPR. I diritti in queste regolamentati devono essere rappresentati all’interessato in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori.

​

Le informazioni devono essere fornite per iscritto o con altri mezzi, anche, se del caso, elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.

​

4.1. Diritto di informativa

​

Qualora i dati personali siano raccolti presso l’interessato la Società, ai sensi dell’art. 13 GDPR dovrà fornire allo stesso le seguenti informazioni:

​

a. l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b. i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c. le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d. qualora il trattamento sia necessario per il perseguimento di un legittimo interesse del titolare, i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e. gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f. ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47 GDPR, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

​

In aggiunta alle informazioni di cui sopra, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

​

a. il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b. l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c. qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a) (specifiche finalità), oppure sull’articolo 9, paragrafo 2, lettera a) (specifiche finalità), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d. il diritto di proporre reclamo a un’autorità di controllo;

e. se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

f. l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

​

Nel caso in cui i dati non siano raccolti presso l’interessato, a mente dell’art. 14 GDPR dovranno essere fornite le seguenti ulteriori informazioni:

​

• le categorie di dati personali acquisiti;

• la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i datiprovengano da fonti accessibili al pubblico.

​

Le informazioni di cui sopra (art. 14 GDPR) sono fornite all’interessato:

​

a. entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati;

b. nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato; oppure;

c. nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.

​

Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati ottenuti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente.

​

La Società ha predisposto le necessarie informative le quali sono state rese disponibili sul proprio sito internet.

​

4.2. Diritto di accesso

​

A mente dell’art. 15 GDPR l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

​

a. le finalità del trattamento;

b. le categorie di dati personali in questione;

c. i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d. quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

e. l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;

f. il diritto di proporre reclamo a un’autorità di controllo;

g. qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;

h. l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22 GDPR, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

​

Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate relative al trasferimento. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Il diritto di ottenere una copia dei dato non deve ledere i diritti e le libertà altrui.

​

4.3. Diritto di rettifica

​

L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

​

4.4. Diritto alla cancellazione (oblio)

​

L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

​

a. i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

b. l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera  a), o all’articolo 9, paragrafo 2, lettera a) (finalità specifiche), e se non sussiste altro fondamento giuridico per il trattamento;

b. l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento;

c. i dati personali sono stati trattati illecitamente;

d. i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;

e. i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1 (consenso del minore).

​

Il titolare del trattamento, se ha reso pubblici dati personali è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

​

I principi di cui sopra non si applicano nella misura in cui il trattamento sia necessario:

​

a. per l’esercizio del diritto alla libertà di espressione e di informazione;

b. per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

c. per motivi di interesse pubblico nel settore della sanità pubblica;

d. a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, nella misura in cui il diritto di cancellazione rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o

e. per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

​

4.5. Diritto di limitazione di trattamento

​

L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre unadelle seguenti ipotesi:

​

a. l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;

b. il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;

c. benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

d. l’interessato si è opposto al trattamento in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

​

L’interessato che ha ottenuto la limitazione del trattamento è informato dal titolare del trattamento prima che detta limitazione sia revocata.

​

4.6. Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento

​

Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all’interessato tali destinatari qualora l’interessato lo richieda.

​

4.7. Diritto alla portabilità dei dati

​

L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:

​

a. il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a) (specifiche finalità), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b) (contratto o misure precontrattuali); e

b. il trattamento sia effettuato con mezzi automatizzati.

​

Nell’esercitare i propri diritti relativamente alla portabilità dei dati, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro (se tecnicamente fattibile). Il diritto alla portabilità non deve ledere i diritti e le libertà altrui.

​

4.8. Diritto di opposizione

​

L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f)1 GDPR, compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.

​

Qualora l’interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento per tali finalità. Il diritto in parola è esplicitamente portato all’attenzione dell’interessato ed è presentato chiaramente e separatamente da qualsiasi altra informazione al più tardi al momento della prima comunicazione con l’interessato.

​

4.9. Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione

 

L’interessato ha il diritto di essere informato in caso di valutazioni e decisioni della Società basate unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

​

Quanto sopra non si applica nel caso in cui la decisione:

​

a. sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;

b. sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato; c. si basi sul consenso esplicito dell’interessato.

​

Nei casi di cui alle lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.

 

Le decisioni di cui sopra non si basano sulle categorie di dati personali cd particolare, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g)2, e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato. ***

​

La Società fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una delle richieste sopra rappresentate senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. La Società informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato.

​

Se non ottempera alla richiesta dell’interessato, la Società informa lo stesso senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.

​

5. OBBLIGHI DEL TITOLARE E DEL RESPONSABILE DEL TRATTAMENTO

​

5.1. Obblighi del titolare del trattamento (la Società)

​

Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, la Società mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento.

​

L’adesione ai codici di condotta di cui all’articolo 40 GDPR, nel caso della Società coincidente con il documento "Barents - Regolamento e Istruzioni per la sicurezza del trattamento dei dati personali", o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

​

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso la Società mette in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del regolamento GDPR e tutelare i diritti degli interessati.

​

La Società mette inoltre in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

​

5.2. Contitolarità del trattamento

​

Il Regolamento GDPR introduce l’istituto della contitolarità del trattamento, a mente del quale allorché due o più titolari del trattamento determinino congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento (ad esempio nell’ambito di una operazione che vede la Società operare in stretto rapporto con una delle controparti partner della Società stessa).

​

In particolare, i contitolari sono tenuti, in modo trasparente, mediante un accordo interno, a definire le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o nazionale.

​

L’accordo in parola riflette adeguatamente i rispettivi ruoli e i rapporti con gli interessati. Il contenuto essenziale dello stesso è messo a disposizione dell’interessato.

​

L’interessato può comunque esercitare i propri diritti nei confronti di e contro ciascun titolare del trattamento.

​

5.3. Obblighi del responsabile del trattamento

​

Qualora un trattamento debba essere effettuato per conto della Società, quest’ultima ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento GDPR e garantisca la tutela dei diritti dell’interessato. Il responsabile del trattamento non può ricorrere a un altro responsabile senza previa autorizzazione scritta, specifica o generale, della Società. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa la Società di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così alla Società l’opportunità di opporsi a tali modifiche.

​

I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico, che vincoli il responsabile del trattamento alla Società e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

​

a. tratti i dati personali soltanto su istruzione documentata della Società, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa la Società circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

b. garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c. adotti tutte le misure richieste ai sensi dell’articolo 32 GDPR;

d. rispetti le condizioni sopra illustrate per ricorrere a un altro responsabile del trattamento;

e. tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato;

f. assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 (sicurezza dei dati, notifica delle violazioni ecc…), tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

g. su scelta della Società, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o nazionale preveda la conservazione dei dati; e

h.metta a disposizione della Società tutte le informazioni necessarie per dimostrare il rispetto degli obblighi sopra citati e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzate dalla Società o da un altro soggetto da questa incaricato.

​

Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto della Società, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra la Società e il responsabile del trattamento, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento.

​

Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti della Società l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

​

5.4. Registro delle attività di trattamento

​

La Società e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:

​

a. il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

b. le finalità del trattamento;

c. una descrizione delle categorie di interessati e delle categorie di dati personali;

d. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

e. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;

f. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

​

5.5. Obblighi di cooperazione con le Autorità

​

Il titolare del trattamento, il responsabile del trattamento e, ove applicabile, il loro rappresentante cooperano, su richiesta, con l’autorità di controllo nell’esecuzione dei suoi compiti.

​

​6. SICUREZZA DEI DATI PERSONALI

 

6.1. Sicurezza del trattamento

​

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, la Società ed il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

​

a. la pseudonimizzazione e la cifratura dei dati personali (NB verificare obbligatorietà del contesto europeo e adattabilità a nostra realtà);

b. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

​

Nel valutare l’adeguato livello di sicurezza, la Società tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. La Società ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento.

​

6.2. Notifica di una violazione dei dati personali all’autorità di controllo

​

In caso di violazione dei dati personali, la Società deve notificare la violazione all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuta a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

​

La notifica deve essere effettuata mediante la procedura telematica adottata col Provvedimento n. 209 del 27 maggio 2021, che costituisce l'unica ed ordinaria modalità mediante la quale l'Autorità accoglie le comunicazioni inerenti alle violazioni dei dati personali.

​

Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

​

Il responsabile del trattamento (ove nominato) informa la Società senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. La notifica deve almeno:

​

a. descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

b. comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali;

c. descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

​

Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo. La Società documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consentirà all’autorità di controllo di verificare il rispetto dei sopracitati obblighi. ​

​

​

6.3. Comunicazione di una violazione dei dati personali all’interessato​​

​

Quando la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, la Società comunica la violazione all’interessato senza ingiustificato ritardo.

​

La comunicazione all’interessato descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d) GDPR1. Non è richiesta la comunicazione all’interessato se è soddisfatta una delle seguenti condizioni:

​

a. la Società ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

b. la Società ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;

c. detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

​

Nel caso in cui la Società non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui sopra sia soddisfatta.

​

7. VALUTAZIONE DI IMPATTO SUI DATI PERSONALI

​

7.1. Valutazione d’impatto sulla protezione dei dati

​

Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, la Società effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

​

La Società, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il delegato privacy e ove nominato con il responsabile della protezione dei dati.

 

La valutazione d’impatto è richiesta in particolare nei casi seguenti:

​

• una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

• il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1 (dati particolari), o di dati relativi a condanne penali e a reati di cui all’articolo 10;

• la sorveglianza sistematica su larga scala di una zona accessibile al pubblico

​

La valutazione contiene almeno:

​

a. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;

b. una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

c. una valutazione dei rischi per i diritti e le libertà degli interessati coinvolti;

d. le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

​

Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.

​

Qualora il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e)4, trovi nel diritto dell’Unione o nel diritto nazionale una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, le disposizioni di cui sopra non si applicano, salvo indicazione contraria del legislatore.

​

Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.

​

7.2. Consultazione preventiva

​​

La Società, prima di procedere al trattamento, può consultare l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate per attenuare il rischio.

​

Al momento di consultare l’autorità di controllo, la Società comunica alla stessa:

​

a. ove applicabile, le rispettive responsabilità del titolare del trattamento, dei contitolari del trattamento e dei responsabili del trattamento, in particolare relativamente al trattamento nell’ambito di un gruppo imprenditoriale;

b. le finalità e i mezzi del trattamento previsto;

c. le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati a norma del presente regolamento;

d. ove applicabile, i dati di contatto del titolare della protezione dei dati;

e. la valutazione d’impatto sulla protezione dei dati;

f. ogni altra informazione richiesta dall’autorità di controllo.

​​​​