Scopo

Questa politica fornisce il quadro di riferimento per garantire che la Fondazione Europelago (EP) adempia ai propri obblighi ai sensi del Regolamento generale sulla protezione dei dati (GDPR) e della legislazione correlata.
Si applica a tutti i trattamenti di dati personali effettuati per finalità di EP, indipendentemente dal fatto che i dati siano trattati su apparecchiature proprie o di terzi.
Per “dati personali” si intende qualsiasi informazione relativa a un individuo vivente identificabile che può essere identificato da tali dati o da tali dati e altri dati. “Trattamento” indica tutto ciò che viene fatto con i dati personali, inclusa la raccolta, l’archiviazione, l’uso, la divulgazione e l’eliminazione.
Condizioni più stringenti si applicano al trattamento dei dati personali di categoria speciale (dati sensibili ex D.Lgs. 196/2003).
Per “categoria speciale” si intendono i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, e il trattamento di dati genetici, dati biometrici al fine di identificare in modo univoco una persona, dati relativi alla salute o dati relativi vita sessuale o orienta-mento sessuale di un individuo.
Questa politica non copre l’utilizzo dei dati personali da parte del personale della Fondazione Europelago quando agisce in veste privata o non EP.

Principi

Il trattamento dei dati personali deve essere conforme alla normativa sulla privacy dei dati e, in particolare, ai sei principi sulla privacy dei dati del GDPR.
In sintesi, richiedono che i dati personali siano:

• trattati in modo leale, lecito e trasparente;
• utilizzato solo per scopi dichiarati limitati e specificati e non utilizzato o divulgato in alcun modo incompatibile con tali scopi;
• adeguato, pertinente e limitato a quanto necessario;
• accurato e, ove necessario, aggiornato;
• non conservato per più del necessario; e
• tenuto al sicuro.

Inoltre, il principio di responsabilità richiede che EP sia in grado di dimostrare il rispetto di questi principi.

Obiettivi e impegni

EP gestisce una notevole quantità di dati personali ed è consapevole delle proprie responsabilità ai sensi della legislazione sulla privacy dei dati. Riconosce che il trattamento improprio dei dati personali di un individuo può causare angoscia o metterlo a rischio di frode di identità.
Di conseguenza, si impegna, nel pieno rispetto della normativa sulla privacy dei dati e aderendo alle buone pra-tiche, così come emanate dal Garante per la protezione dei dati personali e dagli eventuali altri organi compe-tenti, a trattare i dati personali di un individuo in modo attento e premuroso che riconosca l’importanza di tali informazioni per la sua privacy e benessere.
EP cerca di raggiungere questi obiettivi:

• garantendo che il personale che tratta i dati per scopi di EP sia consapevole delle proprie responsabilità indivi-duali ai sensi della legislazione sulla privacy dei dati e di come queste si applicano alle rispettive aree di lavoro;
• fornendo formazione, orientamento e consulenza adeguati;
• incorporando i requisiti di riservatezza dei dati nelle procedure amministrative laddove questi comportino il trat-tamento di dati personali, in particolare in relazione ai principali sistemi informativi (principio della “privacy by design”);
• gestendo una procedura coordinata a livello centrale (al fine di garantire la coerenza) per il trattamento delle richieste basate sui diritti avanzate dai soggetti (es. diritto alla cancellazione);
• indagando tempestivamente su ogni sospetta violazione della normativa sulla privacy dei dati; segnalandolo, ove necessario, al Garante per la protezione dei dati personali italiano; e cercando di trarre insegnamento dall’incidente al fine di ridurre il rischio che si ripeta.

Inoltre:

• i rischi e le responsabilità sulla privacy dei dati sono ricompresi nel Modello di Organizzazione, Gestione e Controllo di EP, ai sensi del D.Lgs. n. 231 dell’8 giugno 2001, recante la disciplina della responsabilità ammini-strativa degli Enti, delle Società e delle Associazioni e che è stata firmata dal Presidente di EP in data 26 aprile 2014.
• Il Codice Etico di EP, sottoscritto anch’esso il 26 aprile 2014, è parte integrante e complementare del Modello 231/2001, e contiene principi di etica e regole di condotta che EP riconosce come proprie e che i suoi organi sociali e dipendenti devono osservare.

Ruoli e responsabilità

Il Presidente ha la responsabilità esecutiva di garantire che EP rispetti la legislazione sulla privacy dei dati.

L’Information Compliance Team è responsabile di:

• stabilire e aggiornare le politiche e procedure a livello centrale per facilitare la conformità di EP alla legislazione sulla privacy dei dati;
• stabilire e aggiornare i materiali di orientamento e la formazione sulla normativa sulla privacy dei dati e su questioni specifiche di compliance;
• supportare la privacy by design e le valutazioni di impatto sulla privacy;
• rispondere alle richieste di consulenza interna;
• coordinare un registro per tracciare l’intera gamma dei trattamenti effettuati;
• ottemperare alle richieste basate sui diritti avanzate dai soggetti;
• indagare e rispondere ai reclami in materia di protezione dei dati (comprese le richieste di cessazione del trat-tamento dei dati personali);
• tenere traccia delle violazioni dei dati personali, notificare al Garante per la protezione dei dati personali even-tuali violazioni significative e rispondere alle eventuali richieste di ulteriori informazioni dallo stesso.

I direttori esecutivi dei programmi hanno la responsabilità di garantire che il trattamento dei dati personali nel proprio dipartimento sia conforme ai requisiti della legislazione sulla privacy dei dati e a questa politica.
In particolare, devono garantire che:

• il personale nuovo ed esistente, i visitatori oi terzi associati al Dipartimento che potrebbero trattare dati perso-nali siano consapevoli delle proprie responsabilità ai sensi della normativa sulla privacy dei dati. Ciò include ri-chiamare l’attenzione del personale sui requisiti di questa politica, garantire che il personale responsabile del trattamento dei dati personali riceva una formazione adeguata e, se del caso, garantire che le descrizioni delle mansioni per i membri del personale o gli accordi con terze parti pertinenti facciano riferimento ai dati respon-sabilità sulla privacy.
• sia tenuta un’adeguata registrazione delle attività di trattamento;
• i requisiti di protezione dei dati siano incorporati nei sistemi e nei processi adottando un approccio di “privacy by design” ed effettuando valutazioni dell’impatto sulla privacy ove appropriato;
• siano fornite informative sulla privacy laddove i dati siano raccolti direttamente presso le persone fisiche o laddove i dati siano utilizzati con modalità non standard;
• la condivisione dei dati sia condotta in conformità con le linee guida di EP;
• le richieste di informazioni da parte dell’Information Compliance Team vengano soddisfatte tempestivamente.

Chiunque tratti dati personali per uno scopo di EP è individualmente responsabile del rispetto della legislazione sulla privacy dei dati, di questa politica e di qualsiasi altra politica, guida, procedura e/o formazione introdotta da EP per conformarsi alla legislazione sulla privacy dei dati. In sintesi, devono assicurarsi di:

• utilizzare i dati personali solo nei modi che le persone si aspetterebbero e per gli scopi per cui sono stati rac-colti;
• utilizzare una quantità minima di dati personali e conservarli solo per il tempo strettamente necessario;
• mantenere aggiornati i dati personali;
• mantenere i dati personali al sicuro, in conformità con le misure di sicurezza informatica del Parlamento euro-peo;
• non divulgare dati personali a persone non autorizzate, sia all’interno che all’esterno di EP;
• completare la formazione pertinente come richiesto;
• segnalare tempestivamente eventuali sospette violazioni della normativa sulla privacy dei dati, secondo la procedura di cui al successivo paragrafo 6, e seguendo gli eventuali passi successivi consigliati;
• chiedere consiglio all’Information Compliance Team in caso di dubbio sulle modalità in cui conformarsi alla le-gislazione sulla privacy dei dati;
• rispondere prontamente a tutte le richieste provenienti dall’Information Compliance Team in relazione all’ac-cesso dei soggetti e ad altre richieste e reclami basati su diritti (e inoltrare tempestivamente tali richieste rice-vute direttamente all’Information Compliance Team).

Violazioni della normativa sulla privacy dei dati

EP indagherà sugli incidenti che comportino una possibile violazione della legislazione sulla privacy dei dati al fine di garantire che, ove necessario, vengano prese le misure appropriate per mitigare le conseguenze e pre-venire il ripetersi di incidenti simili in futuro. A seconda della natura e della gravità dell’incidente, potrebbe esse-re necessario informare anche le persone interessate e/o l’Agenzia per la protezione dei dati. Si verificherà una violazione quando, ad esempio, i dati personali vengono divulgati o resi disponibili a persone non autorizzate o i dati personali vengono utilizzati in un modo che l’individuo non si aspetta.
Gli incidenti che coinvolgono guasti dei sistemi o dei processi informatici devono essere segnalati all’Informa-tion Security Team non appena vengono scoperti (info@europelago.it).
Tutti gli altri incidenti devono essere segnalati direttamente all’Information Compliance Team il prima possibile (info@europelago.it).

Conformità

EP considera qualsiasi violazione della legislazione sulla privacy dei dati, di questa politica o di qualsiasi altra politica e/o formazione introdotta di volta in volta da EP per conformarsi alla legislazione sulla privacy dei dati come una questione rilevante, che può comportare un’azione disciplinare. A seconda della natura della violazio-ne, una persona può anche ritenersi personalmente responsabile (ad esempio, può essere un reato per un membro di EP divulgare informazioni personali illegalmente).

Ulteriori informazioni

Domande su questa politica e questioni relative alla privacy dei dati in generale devono essere indirizzate all’In-formation Compliance Team all’indirizzo: info@europelago.it
Le domande sulla sicurezza delle informazioni devono essere indirizzate all’Information Security Team all’indi-rizzo: info@europelago.it

Revisione e sviluppo

Questa politica e le linee guida di supporto si applicheranno a partire dal 25 maggio 2018. Eventuali revisioni o aggiornamenti saranno pubblicati sul sito Web di EP.