PROCEDURA PER LA GESTIONE DELLE RICHIESTE
INERENTI I DIRITTI IN MATERIA DI PROTEZIONE
DEI DATI PERSONALI DELL’INTERESSATO
Ai sensi del Regolamento 679/2016 (GDPR)
1. INTRODUZIONE
La normativa contenuta nel Regolamento UE 2016/679 (da qui in avanti GDPR) si propone di tutelare la riservatezza dei dati personali, per evitare che un uso non adeguato possa rappresentare un rischio ed eventualmente ledere le libertà fondamentali e la dignità personale di ognuno. In particolare, i dati trattati da GEN-ART SRL sono le informazioni personali (ad es. dati anagrafici, recapito, codice fiscale, ecc.) e inerenti l’attività lavorativa e la condizione della persona durante la presenza presso i locali della GAN-ART tale che, in alcuni casi i dati possono rientrare nei dati cosiddetti particolari (ad es. informazioni sullo stato DI SALUTE, NOTIZIE GIUDIZIARIE) indispensabili per l’esecuzione dell’incarico/servizi richiesti. I dati oggetto dei trattamenti necessari all’erogazione delle prestazioni sono utilizzati dal medico nel rispetto del segreto professionale, del segreto d’ufficio e dei diritti dell’interessato (artt. da 12 a 22 del GDPR) e, pertanto, improntati ai principi di legittimità, correttezza, liceità, indispensabilità, pertinenza e non eccedenza rispetto agli scopi per i quali dati medesimi sono stati raccolti.
2. Scopo
Questo documento descrive le modalità operative adottate da GEN-ART. SRL al fine di agevolare e garantire la gestione, in maniera standardizzata e nel rispetto di quanto previsto dal GDPR, delle richieste di esercizio dei diritti dell’interessato, relativamente al trattamento dei suoi dati personali. Nello specifico, si individuano le misure procedurali disposte dal Titolare del trattamento per permettere all’utente interessato di ottenere in qualsiasi momento informazioni sull’utilizzo dei suoi dati ai sensi degli artt. 12‐21 del GDPR, e precisamente il diritto:
- di informazione, comunicazione e trasparenza (artt. 12, 13 e 14);
- di accesso (art. 15);
- di rettifica (art. 16);
- alla cancellazione (art. 17);
- di limitazione del trattamento (art. 18); alla portabilità dei dati (art. 20);
- di opposizione al trattamento (art. 21).
Si precisa che qualora l’interessato ottenga la rettifica, la cancellazione, ovvero la limitazione di trattamento dei propri dati personali, GEN ART SRL è tenuto a comunicare a ciascuno dei destinatari cui sono stati trasmessi i dati personali le rettifiche, le cancellazioni e le limitazioni di trattamento effettuato (art. 19). Tale obbligo di notifica viene meno solo qualora ciò si rilevi impossibile ossia – per qualsiasi ragione – non sia più. possibile comunicare con il destinatario ovvero la comunicazione implichi uno sforzo sproporzionato. Il Titolare del trattamento comunica all’interessato tali destinatari qualora l’interessato lo richieda. Inoltre, l’interessato ha il diritto di non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, che producano effetti giuridici che lo riguardano o incidano significativamente sulla sua persona (art. 22).
3. Definizioni
Autorizzato al trattamento: la persona fisica, espressamente designata, che opera sotto l’autorità del titolare del trattamento, con specifici compiti e funzioni connessi al trattamento dei dati personali. Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Dato personale particolare: qualsiasi informazione che rivela l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonchè trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
A titolo esemplificativo si definiscono:
a) dati biometrici i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale;
b) dati relativi alla salute i dati personali attinenti alla salute fisica o mentale di una persona fisica, che rivelano informazioni relative al suo stato di salute, alla sussistenza di condizioni compatibili con gli obblighi di isolamento fiduciario o obbligatorio.
c) Dati giudiziari, i dati personali relativi ad eventuali contenziosi civili, penali, tributari e amministrativi dei lavoratori, collaboratori, agenti o di eventuali clienti o loro dipendenti, persone fisiche o controparti.
Interessato: persona fisica a cui si riferiscono ed appartengono i dati personali trattati dal Titolare o dal Responsabile del trattamento.
Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento, designata da quest’ultimo ai sensi dell’art. 28 del GDPR.
Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri (contitolarità), determina le finalità e i mezzi del trattamento di dati personali. Titolare del trattamento. GEN-ART SRL.
Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
4. Informazioni sui diritti dell’interessato
La possibilità di esercitare tali diritti . prevista all’interno delle diverse informative adottate dal Titolare rese al soggetto interessato, in relazione agli specifici ambiti del trattamento. GEN-ART SRL ha predisposto un’informativa generale, nel rispetto di quanto previsto dagli artt. 13 e 14 del GDPR, relativa alle informazioni da fornire all’interessato in merito al trattamento dei propri dati personali nell’ambito dell’erogazione dei servizi. Nelle informative sono indicati gli elementi richiesti ai sensi del GDPR, in particolare:
- l’identità e i dati di contatto del Titolare del trattamento;
- i dati di contatto del Responsabile della protezione dei dati;
- le finalità del trattamento e la sua base giuridica;
- le modalità di comunicazione e gestione dei dati;
- il tempo di conservazione dei dati;
- l’ambito di comunicazione;
- i diritti dell’interessato.
4. Tipologie di diritti esercitabili dai soggetti interessati
4.1 Diritto di accesso (art. 15 GDPR )
Questo diritto d. all’interessato la possibilità di chiedere informazioni relativamente ai propri dati personali che vengono trattati dall’GEN ART SRL e al criterio alla base di tale trattamento. Nello specifico, ai sensi dell’art. 15 del GDPR, l’interessato ha il diritto di ottenere dal Titolare del trattamento conferma riguardo l’esistenza di trattamenti di dati personali che lo riguardano e, in caso affermativo, di accedere ai dati personali e alle seguenti informazioni:
- le finalità del trattamento;
- le categorie di dati personali in questione;
- i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di Paesi terzi o organizzazioni internazionali;
- laddove possibile, il periodo di conservazione dei dati personali previsto, oppure, se non è possibile, i criteri utilizzati per determinarne il periodo;
- qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
- qualora i dati personali siano trasferiti ad un Paese terzo o ad un’organizzazione internazionale, l’esistenza di adeguate garanzie di salvaguardia relative al trasferimento ai sensi dell’art. 46 del GDPR;
- l’esistenza di un eventuale processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonchè l’importanza e le conseguenze previste di tale trattamento per l’interessato. Infatti, ai sensi dell’art. 22 del GDPR, l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
Tale diritto non si applica nel caso in cui la decisione:
- sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
- sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il Titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato; si basi sul consenso esplicito dell’interessato.
GEN-ART SRL in qualità di Titolare del trattamento, deve fornire una copia dei dati personali oggetto di trattamento all’interessato, eccetto nel caso in cui questo crei un danno ai diritti e alle libertà altrui. Qualora l’interessato presenti la richiesta attraverso dispositivi elettronici, e salvo diversa indicazione dell’interessato, le informazioni sono fornite in un formato elettronico comune.
4.2 Diritto di rettifica (art. 16 GDPR)
Questo diritto d. all’interessato la possibilità di ottenere la rettifica dei dati personali inesatti che vengono trattati da GEN-ART SRL e di ottenere l’integrazione dei dati personali incompleti. Nello specifico, ai sensi dell’art. 16 del GDPR, l’interessato ha il diritto di ottenere dal Titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo, tenendo conto delle finalità del trattamento. L’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
4.3 Diritto di cancellazione (art. 17 GDPR)
Questo diritto d. all’interessato la possibilità di richiedere la cancellazione dei propri dati ed è esercitabile solo in presenza di determinate condizioni, specificamente indicate dall’art. 17 del GDPR. Ai sensi dell’art. 17 del GDPR, l’interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione dei dati che lo riguardano senza ingiustificato ritardo e il Titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei seguenti motivi:
- i dati personali non sono più necessari rispetto alle finalità per i quali sono stati raccolti o altrimenti trattati;
- l’interessato revoca il consenso su cui si basa il trattamento e non vi sono ulteriori basi giuridiche che legittimino il trattamento;
- l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
- i dati personali sono stati trattati dal Titolare illecitamente;
- l’eliminazione dei dati personali deriva da un obbligo legale dettato dal diritto dell’UE o dello Stato membro in cui ha sede il Titolare del trattamento.
Per attuare la cancellazione dei dati GEN-ART SRL può provvedere mediante distruzione o procedendo alla loro anomizzazione, cioè a sottoporre i dati a trattamenti che non rendano più possibile l’identificazione dell’interessato.
4.4 Diritto di limitazione del trattamento (art. 18 GDPR)
La limitazione di trattamento che l’interessato, e solo Lui, ha diritto di ottenere da GEN-ART SRL consiste sostanzialmente nella temporanea esecuzione della sola operazione di conservazione dei dati personali, con conseguente inutilizzabilità e inaccessibilità dei dati per tutto il periodo di limitazione. Ai sensi dell’art. 18 del GDPR, l’interessato ha il diritto di ottenere dal Titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
- l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al Titolare del trattamento per verificare l’esattezza dei dati personali;
- il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne
- sia limitato l’utilizzo;
- benchè il Titolare non ne ha più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
- l’interessato si è opposto al trattamento (ai sensi dell’art. 21), in attesa delle verifiche in merito all’eventuale prevalenza dei motivi legittimi del Titolare del trattamento rispetto a quelli dell’interessato.
Se il trattamento è limitato, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro.
4.5 Diritto di portabilità dei dati (art. 20 GDPR)
Questo diritto dà all’interessato la possibilità di chiedere a GEN-ART SRL di ricevere i propri dati in un formato strutturato, oppure trasmetterli direttamente ad altro Titolare del trattamento. Ai sensi dell’art. 20 del GDPR, l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un Titolare del trattamento e ha il diritto di trasmettere tali dati a un altro Titolare del trattamento senza impedimenti da parte del Titolare del trattamento cui li ha forniti qualora il trattamento:
- si basi sul consenso dell’interessato al trattamento dei propri dati personali per una o più finalità specifiche, salvo il caso in cui il diritto dell’Unione o degli Stati membri disponga che l’interessato non può revocare il divieto di trattare categorie particolari di dati ex art. 9 par.1 GDPR; ‐ si basi su un contratto ai sensi dell’art. 6 par.1 lett. b) GDPR; ‐ sia effettuato con mezzi automatizzati.
- Nell’esercitare i propri diritti relativamente alla portabilità dei dati, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un Titolare del trattamento ad un altro, laddove risulti essere tecnicamente fattibile. Il diritto alla portabilità dei dati non pregiudica il diritto di cancellazione, ove sia consentito. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito svolto nell’interesse pubblico o nell’esercizio di autorità pubbliche attribuite al Titolare. Il diritto alla portabilità dei dati non pregiudica i diritti e le libertà altrui.
4.6 Diritto di opposizione al trattamento (art. 21 GDPR)
Questo diritto dà all’interessato la possibilità di opporsi al trattamento dei propri dati personali, esprimendo in tal modo il perdurante controllo sui medesimi. GEN-ART SRL , ricevuta tale istanza, dovrà pertanto far cessare, in via definitiva, il trattamento dei dati personali. Ai sensi dell’art. 21 del GDPR, l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano, compresa la profilazione sulla base di tali disposizioni. Il Titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. Il diritto di opposizione è esplicitamente portato all’attenzione dell’interessato ed è presentato chiaramente e separatamente da qualsiasi altra informazione. Qualora i dati personali siano trattati a fini di ricerca scientifica o storica o ai fini statistici, l’interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguardano, fatta eccezione se il trattamento è necessario per l’esecuzione di un compito di pubblico interesse.
5. Limitazioni all’esercizio dei diritti
5.1 Diritto di accesso e di cancellazione
La presente procedura non regolamenta l’esercizio del diritto di accesso e di cancellazione ai dati personali nei seguenti casi:
- dati personali sottoposti a contitolarità per i quali GEN-ART SRL non ha competenza;
- dati personali di persone fisiche terze raccolti in esecuzione dell’incarico conferito da GEN-ART SRL e
coperti da segreto professionale e d’ufficio; - i dati personali di persone terze o del cliente o del titolare raccolte in forza dell’incarico conferito
richieste dal Committente in forza di un incarico o di un contratto di appalto di servizi che non risulti saldato al momento della richiesta di accesso; - dati personali di qualsiasi tipologia non pi. disponibili presso GEN-ART SRL a seguito di:- cessazione dei termini di custodia/archiviazione;
– cessazione di utilità ai fini dei trattamenti in essere;
– anonimizzazione dei riferimenti direttamente o indirettamente volti a rilevare l’identità dell’interessato; - dati personali per i quali non . esercitabile il diritto di accesso, in base a specifiche norme di legge (ad es. dati riconducibili ai rapporti tra GEN-ART SRL, il proprio cliente, le Autorità Giudiziarie o di Polizia);
- dati personali che non possono essere cancellati in quanto soggetti a conservazione illimitata ai sensi di legge.
5.2 Diritto di rettifica
La presente procedura non regolamenta l’esercizio del diritto di rettifica/integrazione di dati personali relativi a:
- dati del cliente ovvero degli interessati di cui il cliente è titolare;
- dati anagrafici identificativi e di recapito acquisiti da fonti pubbliche;
- dati personali non più disponibili presso l’GEN-ART SRL a seguito di:
– cessazione dei termini di custodia/archiviazione;
– cessazione di utilità ai fini dei trattamenti in essere;
– anomizzazione dei riferimenti direttamente o indirettamente volti a rilevare l’identità dell’interessato.
6. Modalità di presentazione delle richieste
6.2 Richiesta di informazione e/o chiarimenti
L’interessato può sempre richiedere informazioni circa le modalità ordinarie di trattamento, attraverso: richieste di informazioni e chiarimenti da inviarsi all’indirizzo di posta elettronica amministrazione@genart.com. L’oggetto di tali richieste è limitato alla fornitura di informazioni generiche ed organizzative sulle modalità ordinarie di trattamento dei dati personali adottate da GEN-ART SRL, escludendo tassativamente la comunicazione di ogni altra tipologia di informazione. Nella richiesta potrà essere inserito il proprio numero di telefono per un contatto diretto.
Richieste generali di informazioni e chiarimenti in forma scritta, limitatamente alla fornitura di informazioni generiche sulle modalità ordinarie di trattamento dei dati personali adottate e sulle modalità di esercizio dei diritti dell’interessato. Tali istanze vanno presentate all’attenzione della GEN ART SRL al seguente indirizzo di posta elettronica [email protected] oppure all’indirizzo PEC [email protected].
Le istanze, se non sottoscritte digitalmente, devono essere firmate in cartaceo e corredate di copia del documento di identità dell’interessato in corso di validità.
a) L’interessato può inviare richieste formali di esercizio dei propri diritti oppure segnalazioni di presunte inottemperanze o violazioni agli indirizzi di cui alla lettera “b” ovvero a mezzo Raccomandata A/R al seguente indirizzo GEN-ART SRL SRLS via Nettunense n° 185 – 00075 Lanuvio (RM) ALLEGANDO ALLA RICHIESTA SOTTOSCIRTTA IN CALCE IN ORIGINALE LA COPIA DI UN DOCUMENTO IN CORSO DI VALIDITA’.
7. Elementi comuni di conformità per la corretta gestione delle risposte alle richieste dei soggetti interessati
7.1 La richiesta può essere:
- Evadibile: in questo caso la richiesta è legittima, le informazioni e la documentazione inviata a supporto sono chiare e complete, l’interessato è identificato e non sono pregiudicati i diritti di terzi.
- Sospesa a causa di informazioni mancanti: la richiesta è legittima ma le informazioni e la documentazione fornite a supporto della richiesta non sono complete e/o chiare o il soggetto non si è identificato palesemente. La richiesta non può essere evasa immediatamente, viene quindi sospesa per informazioni supplementari.
- Rigettata: la richiesta non presenta i requisiti minimi di legittimità per poter essere considerata legittima e pertanto viene rigettata.
7.2 Termini temporali per fornire la risposta
Il termine per fornire la risposta all’interessato è definito dall’art. 12 del GDPR, comma 3 e 4, secondo cui GEN-ART SRL fornisce all’interessato le informazioni relative all’azione intrapresa riguardo una richiesta ai sensi degli artt. da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. In questo caso entro un mese dal ricevimento della richiesta, GEN-ART SRL informa l’interessato della necessità di prorogare l’inoltro della risposta dando conto dei motivi del ritardo e della possibilità di proporre reclamo all’autorità di controllo e di proporre ricorso giurisdizionale. Per le richieste di informazioni e/o chiarimenti rivolte direttamente all’indirizzo di posta elettronica il termine per il riscontro è di 30 giorni dal ricevimento della richiesta stessa. Tale termine può essere prorogato di ulteriori 30 giorni, se necessario, tenuto conto della complessità e del numero delle richieste. Il riscontro all’interessato è gratuito e, ove possibile e salvo richiesta diversa dell’interessato, avviene tramite mezzi elettronici.