Privacy policy
Regolamentazione nel trattamento dei dati nei confronti degli interessati:
Al fine di compiere quanto individuato ed indicato dal Reg. (UE) 2016/679 e dal D.Lgs. 196/2003 -così come modificato dal D.Lgs. 101/2018) Astir Consorzio Di Cooperative Sociali Società-Cooperativa Sociale, in qualità di titolare del trattamento dei dati è consapevole che, nello svolgimento della propria attività, dovranno essere tenuti presenti i seguenti principi nella gestione dei dati personali. Tali indicazioni possono, inoltre individuarsi come le principali innovazioni apportate dal regolamento europeo rispetto alla vecchia disciplina italiana, armonizzata rispetto a quella europea attraverso il D. Lgs. 101/2018, che ha modificato il D. L. 196/2003:
A-Finalità del trattamento
Il trattamento presuppone una finalità legittima, determinata e manifesta: il trattamento di dati personali è, infatti, legittimo in relazione allo scopo effettivo per il quale i dati sono stati inizialmente raccolti.
Il titolare del trattamento deve, pertanto, esplicitare e comunicare chiaramente la finalità del trattamento prima che quest’ultimo abbia concreto inizio (ad esempio, nell’Informativa).
Non è, quindi, consentito trattare i dati, già acquisiti, per fini ulteriori e differenti a quello iniziale (salvo che si trattino di trattamenti per ulteriori finalità di interesse storico, scientifico o statistico vedi anche articolo 89): cambi di finalità richiedono una preventiva valutazione di legittimità e la riproposizione degli adempimenti prescritti per tali nuovi trattamenti (ad esempio, nuova Informativa; nuovo consenso dell’interessato).
Tuttavia, il trattamento dei dati personali per finalità diverse è consentito se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti (vedi considerando 50). A tal riguardo, l’ articolo 6, comma 4, ha introdotto una serie di elementi che il titolare, nel caso di trattamento non basato sul consenso dell’interessato o su un atto legislativo, è tenuto a prendere in considerazione per valutare la compatibilità della nuova finalità, ossia:
· ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;
· il contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;
· la natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali;
· le possibili conseguenze dell’ulteriore trattamento previsto per gli Interessati;
· l’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.
B- Liceità del trattamento
Ogni trattamento deve trovare fondamento in un’idonea base giuridica. A tal fine, l’ articolo 6 indica le condizioni in base alle quali il trattamento può dirsi lecito, ovvero:
· Consenso dell’interessato (vedi anche considerando 42 e 43);
· Obblighi contrattuali o precontrattuali (vedi anche considerando 44);
· Obblighi di legge cui è soggetto il titolare (vedi anche considerando 45);
· Interessi vitali dell’interessato o di terzi (vedi anche considerando 46);
· Interesse pubblico o esercizio di pubblici poteri (vedi anche considerando 45 e 46);
· Interesse legittimo del titolare o di terzi (vedi anche considerando 47-49);
La base giuridica del trattamento è tra gli elementi essenziali da indicare nell’Informativa. A seconda della base giuridica, infatti, variano anche i diritti dell’interessato (ad esempio, è stato rafforzato il diritto alla cancellazione nel caso di trattamenti basati su consenso).
Secondo quanto esposto, Astir ha adottato misure adeguate per gestire il trattamento dei dati in quanto tutte le attività elencate all’art. 4 G.d.P.r. (in maniera non esaustiva), ovvero:
a) raccolta: è la prima operazione e generalmente rappresenta l’inizio del trattamento: è l’attività di acquisizione del dato;
b) registrazione: consiste nella memorizzazione dei dati su un qualsiasi supporto;
c) organizzazione: consiste nella classificazione dei dati secondo un metodo prescelto;
d) strutturazione: consiste nell’attività di distribuzione dei dati secondi schemi precisi;
e) conservazione: consiste nel mantenere memorizzate le informazioni su un qualsiasi supporto;
f) consultazione: è la mera lettura dei dati personali. Anche la mera visualizzazione dei dati è un trattamento che può rientrare nell’operazione di consultazione;
g) elaborazione: consiste nell’attività con la quale il dato personale subisce una modifica sostanziale;
h) modificazione: differisce dall’elaborazione in quanto può riguardare anche solo parte minima del dato personale;
i) selezione: consiste nell’individuazione di dati personali nell’ambito di gruppi di dati già memorizzati;
j) estrazione: consiste nell’attività di estrapolazione di dati da gruppi già memorizzati;
k) raffronto: è un’operazione di confronto tra dati, sia una conseguenza di elaborazione che di selezione o consultazione;
l) utilizzo: è un’attività generica che ricopre qualsiasi tipo di impiego dei dati;
m) interconnessione: consiste nell’utilizzo di più banche dati, e si riferisce all’impiego di strumenti elettronici;
n) blocco: consiste nella conservazione con sospensione temporanea di ogni altra operazione di trattamento;
o) comunicazione (o cessione): consiste nel dare conoscenza di dati personali ad uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati. Si tratta di un’operazione delicata perché i dati vengono comunicati a terzi;
p) diffusione: consiste nel dare conoscenza dei dati a soggetti indeterminati, in qualunque forma anche mediante la loro messa a disposizione o consultazione;
q) limitazione: consiste nel contrassegnare dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;
r) cancellazione: consiste nell’eliminazione di dati tramite utilizzo di strumenti elettronici;
s) distruzione: è l’attività di eliminazione definitiva dei dati.
Il trattamento sarà effettuato rispettando i principi generali previsti dal G.d.P.r., ovvero secondo quanto indicato all’art.5 (e specificato nel Considerando n.39):
1-liceità, correttezza e trasparenza del trattamento;
2-limitazione della finalità: lo scopo del trattamento deve essere determinato, esplicito e legittimo e che trattamenti successivi a quello iniziale non devono avere finalità incompatibili a quella originaria;
3-minimizzazione dei dati, ossia i dati devono essere adeguati, pertinenti e non eccedenti rispetto a quanto necessario per le finalità del trattamento;
4-esattezza e aggiornamento dei dati;
5-limitazione della conservazione dei dati per un arco di tempo strettamente necessario per il conseguimento delle finalità del trattamento;
6-integrità e riservatezza dei dati.
Naturalmente i sopradescritti principi -oltre che ad essere tenuti come capisaldi nella valutazione dei rischi e della check list (in entrambe le fasi di privacy by design e by default)- saranno tenuti presenti in ogni fase del trattamento dovranno essere adottate tutte le politiche ed attuate tutte le misure tecniche e organizzative necessarie per garantire (ed essere in grado di dimostrare) il pieno rispetto dei principi sopraindicati (ad esempio, strumenti per la tempestiva cancellazione o rettifica dei dati inesatti).