OSTERIA ROSSINI S.N.C.
LINEE GUIDA IN MATERIA DI PRIVACY E PROTEZIONE DEI DATI PERSONALI
Maggio 2018
1. Premesse
La società OSTERIA ROSSINI S.N.C. (P.iva 01025330505) con sede legale in 56126 – Pisa (PI) – Piazza Dante 4, (di seguito, per brevità “OS.”) adotta il presente Regolamento – suscettibile di costante aggiornamento – al fine di conformarsi alle disposizioni in materia di Privacy e protezione dei dati personali previste dal General Data Protection Regulation, ovvero Regolamento UE 679/2016 (di seguito, per brevità “GDPR” o “Regolamento UE”), applicabile a partire dal 25 maggio 2018.
OS. garantisce che i trattamenti dei dati personali si svolgano nel rispetto dei diritti e delle libertà fondamentali dell’interessato e della normativa in materia, sensibilizzando in tal senso tutti i membri del personale.
La nuova normativa privacy alla luce del Regolamento UE 679/2016
Il GDPR relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione degli stessi, è volto ad armonizzare tutte le normative in materia di Privacy presenti all’interno dell’Unione Europea.
Il Regolamento UE muta l’approccio al tema della protezione dei dati personali, rafforzando ed incrementando la tutela dei diritti dell’interessato ed affidando un ruolo pro-attivo al Titolare ed al Responsabile del trattamento, accrescendone così la cd. accountability.
Inoltre, il Regolamento UE mira a focalizzare l’attenzione di tutte le figure coinvolte sul rispetto e sulla conformità dei trattamenti effettuati alla normativa europea, mediante:
– la cooperazione con le Autorità;
– l’incoraggiamento di meccanismi di certificazione;
– l’ampliamento del sistema di vigilanza;
– il rafforzamento del sistema sanzionatorio.
Quanto all’ambito di applicazione, il GDPR supera il principio della territorialità e si applica a tutti i trattamenti di dati personali da parte di Titolari non necessariamente stabiliti nell’Unione Europea, purché questi riguardino beni, servizi o comportamenti degli interessati all’interno dell’UE.
2. Principi del Trattamento
Il trattamento dei dati personali da parte di OS. è effettuato nel rispetto dei principi di cui all’art. 5 GDPR e, nello specifico:
– liceità, correttezza e trasparenza nei confronti dell’interessato;
– limitazione della finalità del trattamento;
– minimizzazione della raccolta dei dati;
– esattezza dei dati rispetto alle finalità per le quali vengono trattati;
– limitazione temporale della conservazione dei dati;
– integrità e riservatezza;
– responsabilizzazione del titolare.
3. Definizioni
Ai fini di una agevole comprensione del presente Regolamento, si riportano alcune delle definizioni contenute nell’art. 4 del Regolamento UE:
– “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile. Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
– “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
– “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità ed i mezzi del trattamento dei dati personali;
– “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare;
– “destinatario”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi; (non sono considerati destinatari quelle autorità pubbliche che possono ricevere comunicazioni nell’ambito di una specifica indagine conformemente al diritto dell’Unione Europea).
– “autorità di controllo”: l’autorità pubblica indipendente istituita da uno stato membro ai sensi dell’art. 51 GDPR
– “profilazione”: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la saluta, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
– “pseudonimizzazione”: il trattamento dei dati personali in modo tale che gli stessi non possano più essere attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive, purchè le medesime siano conservate separatamente e soggette a misure tecniche e organizzative tali da assicurare che i dati non siano attribuiti ad una persona fisica identificata o identificabile;
– “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
– “violazione dei dati personali”: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
4. Tipologia trattamenti
Sono individuate le seguenti tipologie di trattamento:
La raccolta dei dati è la prima operazione e generalmente rappresenta l’inizio del trattamento. Consiste nell’attività di acquisizione del dato.
La registrazione consiste nella memorizzazione dei dati su un qualsiasi supporto.
L’organizzazione consiste nella classificazione dei dati secondo un metodo prescelto.
La strutturazione consiste nell’attività di distribuzione dei dati secondi schemi precisi.
La conservazione consiste nel mantenere memorizzate le informazioni su un qualsiasi supporto.
La consultazione è la mera lettura dei dati personali. Anche la mera visualizzazione dei dati è un trattamento che può rientrare nell’operazione di consultazione.
L’elaborazione consiste nel’attività con la quale il dato personale subisce una modifica sostanziale. La modificazione differisce dall’elaborazione in quanto può riguardare anche solo parte minima del dato personale.
La selezione consiste nell’individuazione di dati personali nell’ambito di gruppi di dati già memorizzati.
L’estrazione consiste nell’attività di estrapolazione di dati da gruppi già memorizzati.
Il raffronto è un’operazione di confronto tra dati, sia una conseguenza di elaborazione che di selezione o
consultazione.
L’utilizzo è un’attività generica che ricopre qualsiasi tipo di impiego dei dati.
L’interconnessione consiste nell’utilizzo di più banche dati, e si riferisce all’impiego di strumenti elettronici.
Il blocco consiste nella conservazione con sospensione temporanea di ogni altra operazione di trattamento.
La comunicazione (o cessione) consiste nel dare conoscenza di dati personali ad uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati. In caso di comunicazione il dato viene trasferito a terzi, ed è quindi attività particolarmente delicata.
Per diffusione, invece, si intende il dare conoscenza dei dati a soggetti indeterminati, in qualunque forma anche mediante la loro messa a disposizione o consultazione. Si ha, quindi, diffusione anche quando si pubblica online, ad esempio una fotografia su un social network. In assenza di consenso tale attività deve ritenersi illecita.
La cancellazione consiste nell’eliminazione di dati tramite utilizzo di strumenti elettronici.
La distruzione è l’attività di eliminazione definitiva dei dati.
5. Finalità del trattamento
Con il presente Regolamento OS. garantisce che i trattamenti di cui al paragrafo che precede vengano effettuati per finalità strettamente connesse all’attività svolta da OS. stesso – nel rispetto dei diritti e delle libertà fondamentali degli iscritti – e, nello specifico per finalità istituzionali, connesse o strumentali all’attività della Società ed in particolare:
a. per l’adempimento degli obblighi previsti da leggi o da regolamenti ai quali è soggetto il titolare del trattamento (art. 6 lett. c) del GDPR) (obblighi legali);
b. per comunicare e/o inviare, anche con modalità automatizzate, materiale pubblicitario,
informativo e informazioni commerciali tramite posta elettronica, la cui base giuridica risiede nell’esplicito consenso dell’interessato (art. 6 lett. a) del GDPR) (finalità di marketing diretto);
c. per identificare, anche mediante elaborazioni elettroniche, abitudini e propensioni al consumo, soddisfare specifiche esigenze del Cliente proponendo nuovi servizi e prodotti salvo esplicito consenso (art. 6 lett. a) del GDPR) (finalità di profilazione);
6. I soggetti del trattamento
OS. individua quali soggetti coinvolti nel trattamento dei dati personali le figure di seguito riportate.
6.1 Titolare
Il Titolare del trattamento è OSTERIA ROSSINI S.N.C. (P.iva 01025330505) con sede legale in 56126 – Pisa (PI) – Piazza Dante 4, in quanto esercita un potere decisionale autonomo in merito alle finalità ed i mezzi del trattamento dei dati personali.
Ai sensi dell’art. 24 del GDPR il Titolare mette in atto le misure tecnico-organizzative adeguate per garantire la conformità del trattamento ai principi di cui al paragrafo 2 del presente Regolamento.
6.2 Contitolare (NON PREVISTO)
6.3 Soggetto designato privacy e responsabili esterni
Attesa la molteplicità delle funzioni di OS., è indicato quale Soggetto designato privacy:
– ALESSIA ROSSINI;
I trattamenti da parte del Responsabile esterno del trattamento sono disciplinati, ai sensi dell’art. 28 GDPR, da un contratto o altro atto giuridico che individui la durata, la natura, la finalità del trattamento, il tipo di dati personali e le categorie degli interessati, le responsabilità affidate al Responsabile, gli obblighi ed i diritti del Titolare.
6.4 Persone autorizzate al trattamento (ex “incaricati”)
Ai sensi dell’art. 29 GDPR, il Titolare o il Responsabile del trattamento individua – con apposite nomine
e quali persone autorizzate al trattamento medesimo – tutti i dipendenti, collaboratori, consulenti, outsourcers che intervengono, in relazione all’esercizio delle rispettive mansioni e competenze, nell’esecuzione dei trattamenti.
Le persone autorizzate al trattamento dei dati personali agiscono, dunque, sotto l’autorità del Responsabile o del Titolare del trattamento.
7. Diritti dell’interessato
Il presente Regolamento riconosce l’esercizio da parte dell’interessato dei diritti di cui agli artt. 15-21 del GDPR e, nello specifico: il diritto di accesso ai dati, di rettifica ed il diritto alla cancellazione (“diritto all’oblio”) degli stessi, il diritto di limitarne il trattamento, il diritto alla loro portabilità, nonché il diritto di opposizione al trattamento.
8. Consenso dell’interessato
Ogni qualvolta il trattamento dei dati personali richieda il consenso dell’interessato, tale consenso dovrà essere conservato e registrato.
L’interessato deve poter conoscere le modalità per prestare il consenso ed ha diritto – ogni qualvolta lo stesso venga richiesto ai fini del trattamento – di revocarlo in qualsiasi momento.
Laddove la raccolta di dati personali si riferisca a un minore di età inferiore ai 16 anni, il Responsabile della Protezione dei Dati deve garantire che il consenso dell’esercente la responsabilità genitoriale sia fornito prima della raccolta.
9. Informativa privacy
Ai sensi degli artt. 13 e 14 GDPR, il Titolare del trattamento fornisce all’interessato informazioni specifiche, chiare e sintetiche – sia nel caso di dati raccolti presso l’interessato che di dati raccolti presso terzi – sui trattamenti che intende effettuare.
10. Comunicazione di una violazione all’interessato e trasparenza
Il Titolare del trattamento, altresì, comunica la violazione di dati personali all’interessato, qualora questa presenti rischi elevati per i diritti e le libertà dello stesso e salvo che non ricorrano le condizioni di cui all’art. 34 n. 3 GDPR.
La comunicazione può essere contestuale alla notifica di cui al paragrafo che precede e deve contenere, almeno, le seguenti informazioni:
– contatti del Responsabile della Protezione dei dati personali;
– probabili conseguenze della violazione in questione;
– le misure adottate o da adottare da parte del Titolare del trattamento per porre rimedio alla violazione.
11. Sanzioni
Il mancato rispetto delle disposizioni in materia di protezione dei dati personali è punito con l’applicazione di sanzioni amministrative pecuniarie, inflitte secondo i criteri di cui all’art. 83 GDPR ed, in generale, tenuto conto della natura della gravità e della durata della violazione, delle finalità del trattamento, del numero degli interessati lesi, del livello del danno e dell’aspetto doloso o colposo della violazione.
Resta ferma l’applicabilità di sanzioni penali, conformemente a quanto previsto dalla legislazione nazionale in materia.
16. Disposizioni finali
Per quanto non espressamente previsto nelle presenti Linee Guida, si applicano le disposizioni del Regolamento (UE) 2016/679 e dei provvedimenti del Garante per la protezione dei dati personali.
OSTERIA ROSSINI S.N.C.