ISTRUZIONI PER IL TRATTAMENTO -
GRUPPO MISURE ELETTRICHE ED ELETTRONICHE

Istruzioni per il trattamento

Il trattamento dei dati personali da parte del GMEE avviene nel rispetto della riservatezza e protezione degli interessati cui sono attribuiti i diritti di cui all’art 13 GDPR che gli interessati possono esercitare in qualsivoglia momento, salvi eventuali diritti dell’associazione con riferimento alla conservazione o mantenimento di tali dati in funzione di proprie posizioni giuridicamente garantite.

Per quanto riguarda la terminologia qui utilizzata si rinvia alle definizioni contenute nel GDPR Reg UE 679/2016 e D Lgs 196/2003.

Premesso che la responsabilità in ordine al corretto trattamento dei dati è posta in capo all'associazione GMEE, quale titolare, ed è fatto divieto di trattamento dei dati per scopi diversi da quelli autorizzati dall'associazione, così come definiti nei relativi documenti in ordine alle finalità, i soggetti incaricati a trattare i dati personali, ai sensi dell’art 29 GDPR, devono improntare i loro comportamenti al principio di diligenza orientandosi alla tutela dell’interessato e dei suoi diritti, nonché alla minimizzazione dei rischi, limitando il trattamento alle sole operazioni indispensabili per lo scopo e la mansione svolta.

In linea generale, è richiesto agli incaricati di operare in modo lecito e secondo correttezza e riservatezza e, in specie, effettuare trattamento dati personali, in formato sia elettronico che cartaceo, esclusivamente al fine di svolgere le mansioni assegnate o i compiti autorizzati dal titolare e, in ogni caso, per scopi determinati e conformi a quelli per la soddisfazione dei quali i dati sono stati raccolti.

Gli incaricati, in nessun caso, salvo espressa preventiva autorizzazione del titolare, potranno trasferire, comunicare e/o diffondere, nonché pubblicare i dati al di fuori della associazione. Essi potranno effettuare operazioni di trattamento esclusivamente su raccolte di dati (registro cartaceo/archivio-data base informatici ecc) per i quali è stato autorizzato preventivamente l’accesso da parte del titolare secondo le modalità stabilite, avendo cura di custodire, con la diligenza del caso, le credenziali di autenticazione e le password, nonché eventuali ulteriori istruzioni e/o informazioni utili per l’accesso ai dati. Gli incaricati assicurano la sicurezza del trattamento dei dati adottando tutte le necessarie misure idonee ad evitare un accesso di terzi non autorizzato ai dati personali così come procedono a comunicare tempestivamente al responsabile eventuali intrusioni nei sistemi, tali da comportare un rischio per la sicurezza dei dati trattati nonché a comunicare eventuali violazioni (o rischi di violazioni) dei dati.

Le operazioni autorizzate sono definite per ciascun incaricato, in funzione del tipo di qualifica rivestita all'interno dell’associazione o della tipologia di attività prestata per la stessa, ferma restando il rispetto delle finalità perseguite dall'associazione per il trattamento dei dati, tenuto conto dei diritti dell’interessato e della minimizzazione o azzeramento rischi. In caso di manutenzione dei sistemi informatici o assistenza in generale su tali sistemi, si raccomanda di verificare che non siano effettuati interventi sui documenti contenenti dati (eccetto il caso in cui l’assistenza sia rivolta a tale scopo) e di assicurarsi che coloro i quali effettuano l’intervento non accedano indebitamente ai dati.

Le attività che gli incaricati possono effettuare sui dati personali, in funzione degli scopi perseguiti e della mansione attribuita, sono:

1. Raccolta
2. Archiviazione
3. Modifica/aggiornamento
4. Estrazione e Consultazione
5. Uso
6. Comunicazione
7. Cancellazione

1.                Raccolta

La raccolta dei dati avviene presso l’interessato al momento in cui il soggetto conferisce, spontaneamente o su richiesta dell’associazione, i dati, comunicandoli direttamente (personalmente, via web, via mail, telefonicamente e altro). In tale sede i dati sono inseriti nel database , se raccolti in modalità telematica o nel registro cartaceo dell’associazione.

In caso di raccolta telematica l’accesso al sistema informatico avviene mediante user id e password fornita dall’associazione. L’operazione di raccolta richiede una adeguata attenzione e verifica della correttezza dei dati personali acquisiti

Contestualmente alla raccolta dei dati si procede a consegnare all’interessato l’informativa sul trattamento dei dati personali e a richiedere il consenso al trattamento, se necessario. Nel caso di raccolta telematica, prima della acquisizione dei dati l’interessato è obbligato a dare atto di avere preso visione della informativa presente sul sito web e prestare il proprio consenso al trattamento dati.

2.                Archiviazione

In caso di raccolta mediante strumenti informatici, al momento della raccolta, ovvero a seguito della compilazione del format, i dati sono salvati nel database elettronico dell’associazione mentre, in caso di raccolta cartacea, i dati sono registrati su apposito formulario e riposti immediatamente insieme agli altri documenti contenenti dati in apposito armadio chiuso a chiave.

3.                Modifica

In caso di segnalazione da parte dell’interessato di modifiche intervenute ai dati (a.e. cambio indirizzo mail) o in qualsiasi altro caso in cui l’associazione apprenda della variazione dei dati, l’incaricato procede ad effettuare la modifica:

-                  Se archiviati in formato telematico: si procede all’aggiornamento del data base mediante apertura del file specifico, senza quindi accedere ad altri file contenenti dati personali diversi da quelli da aggiornare e si provvede alla variazione, salvando le modifiche apportate ed assicurandosi che non permangano elementi o informazioni ormai superate;

-                  Se archiviati in formato cartaceo: si procede al recupero del documento contenente i dati e, se possibile, si provvede ad effettuare la modifica direttamente su tale supporto; diversamente, ovvero nel caso in cui non sia possibile procedere ad inserire le modifiche (per mancanza di spazio, per rischio di sovrapposizione e confusione con le precedenti versioni del documento contenente dati ormai superati) si procede ad annullare il documento stesso mediante apposito timbro di annullamento ed a compilare nuovo documento contenente la variazione dovuta

4.                Estrazione e Consultazione

Analogamente a quanto sopra per la modifica dei dati, la consultazione differisce nel caso in cui il documento contenente i dati personali sia archiviato in forma cartacea o informatica.

Nel primo caso la consultazione avviene mediante l’apertura dell’armadio e la ricerca dei documenti contenenti i dati personali che verranno estratti e consultati, previa separazione da altri documenti non pertinenti che verranno riposti immediatamente nell’armadio.

Ultimata la consultazione dei documenti contenenti i dati, tali documenti sono tempestivamente riuniti all’archivio cartaceo riposto nell’armadio debitamente richiuso.

Nel caso di consultazione di dati in formato elettronico, l’incaricato accede al data base con proprio user ID e password e procede alla ricerca del documento pertinente, escludendo quindi la consultazione di altri file. Ultimata la consultazione provvede, in via cautelativa, a verificare l’integrità del documento (che non è modificabile di default senza apposito comando) e chiude il file, terminando quindi l’accesso.

5.                Uso

L’uso dei dati, oltre che conforme a quanto previsto dal Regolamento GDPR, deve essere strettamente limitato alla finalità perseguita secondo i compiti e le mansioni attribuite all’incaricato. Per quanto riguarda le modalità operative in ordine all’uso dei dati non sono prescritte specifiche istruzioni, in ragione dell’esteso novero di possibili utilizzi dei dati personali. Si raccomanda, durante le attività che richiedono l’uso di dati personali di cui l’associazione risulta titolare, di evitare danneggiamenti, intrusioni o qualsiasi altro evento che possa comportare la violazione o anche solo la messa in pericolo dei diritti degli interessati e dei loro dati personali.

Una volta completato l’utilizzo dei dati personali, si raccomanda di assicurarsi che non vi siano state violazioni o modifiche ai dati utilizzati e, in caso contrario (ovvero qualora vi sia il fondato sospetto che si sia verificata una violazione o se ne abbia la certezza), si invita a a comunicare tale circostanza al titolare dei dati senza formalità alcuna ed in via immediata affinché possano essere adottati gli idonei provvedimenti.

Nel caso in cui l’uso dei dati comporti la copia del documento ove i dati stessi sono riportati, si raccomanda, nella ipotesi in cui siano fatte più copie, di assicurare che soggetti terzi non autorizzati ne entrino in possesso e di evitare di riutilizzare tali copie per altri scopi (a.e. nel caso in cui siano fatte più copie del necessario, non utilizzare tali fogli come “carta riciclo” ma se ne raccomanda la distruzione)

6.                Comunicazione

La comunicazione dei dati deve essere effettuata, conformemente a quanto definito nella informativa fornita agli interessati, verso destinatari preventivamente definiti (responsabili del trattamento) o nei casi previsti per legge, verso soggetti identificati dalle normative vigenti (a.e. Pubblica Amministrazione).

7.                Cancellazione

La cancellazione o distruzione dei dati può avvenire solo a seguito di espressa richiesta dell’interessato, debitamente valutata dal titolare del trattamento ed autorizzata oppure, secondo quanto previsto nel registro del trattamento dei dati, secondo la privacy policy del titolare. In ogni caso l’incaricato potrà procedere alla cancellazione dei dati, sempre garantendo l’assoluta riservatezza delle suddette operazioni e la minimizzazione dei rischi per l’interessato, solo a seguito di espressa decisione in tal senso comunicata dallo stesso titolare. Non sono autorizzate in via preventiva attività di cancellazione, né singola né massiva, in mancanza di espressa autorizzazione proveniente dal titolare del trattamento.

Previsioni generali

Si raccomanda di trattare i dati esclusivamente per lo svolgimento delle mansioni e dei compiti assegnati all’incaricato, secondo il principio di minimizzazione.

Il trattamento dei dati dovrà avvenire nel rispetto delle disposizioni del GDPR, secondo i principi di liceità, correttezza e trasparenza. I dati dovranno essere raccolti solo per le specifiche finalità del trattamento, verificandone l’adeguatezza e la pertinenza, oltre che la correttezza e la corretta conservazione, anche in termini temporali, salvo diverse ed ulteriori istruzioni fornite dal titolare.

E’ fatto divieto di comunicazione o diffusione dei dati personali trattati, salve eventuali e diverse istruzioni del titolare.

In linea generale l’incaricato dovrà procedere al trattamento dei dati adottando misure, sulla base delle istruzioni del titolare del trattamento, idonee e sufficienti a garantire la tutela dei diritti fondamentali dell’interessato volte ad assicurare un'adeguata sicurezza dei dati ed atte ad evitare perdita o modifica accidentale dei dati o accessi non autorizzati. In caso di sospetta violazione o di intervenuta violazione, l’incaricato dovrà effettuare apposita e tempestiva comunicazione al titolare del trattamento. Inoltre l’incaricato dovrà trasmettere immediatamente al titolare le richieste degli interessati destinate all’esercizio dei diritti previsti dagli artt. 15, 16, 17, 18, 20, 21 GDPR.

In linea generale, l’incaricato dovrà comunque garantire la massima riservatezza in ordine ai trattamenti di dati e si impegna a non comunicare, diffondere o in qualsiasi modo rendere pubblico o divulgare le informazioni di cui è venuto a conoscenza nel corso del rapporto intrattenuto con il titolare del trattamento, anche successivamente alla cessazione di tale rapporto.

Le misure di sicurezza si distinguono nel caso di:

a)      Trattamento con strumenti non elettronici

b)     Trattamento con strumenti elettronici

 

a)      trattamenti senza l’ausilio di strumenti elettronici. In questa ipotesi l’incaricato dovrà:

 

1. garantire la corretta custodia e la riservatezza dei dati utilizzati durante le operazioni che li riguardano, assicurandone l’uso per lo stretto tempo necessario alle attività ed assicurare che, al termine della sessione di lavoro, gli stessi siano riposti nuovamente in luogo non accessibile a terzi non autorizzati. Tali cautele dovranno essere maggiormente osservate nel caso in cui i dati trattati siano dati particolari (ex dati sensibili);
2. richiedere apposita autorizzazione al Titolare per le operazioni di copia, stampa, trasmissione, consegna a soggetti esterni o non autorizzati, che riguardino dati

 

b)     In caso di trattamenti effettuati con l’ausilio di strumenti elettronici è necessario:

 

1. utilizzare le credenziali di autenticazione (username e password) in modo diligente ed adottare specifiche cautele (tipo blocco automatico macchina) in caso di allontanamento o interruzione delle attività dopo un certo periodo di tempo;
2. custodire le proprie credenziali in un luogo sicuro;
3. curare l'aggiornamento del software

Le presenti indicazioni possono essere in ogni momento estese ed integrate dal titolare e comunicate tempestivamente all'incaricato