R UOLI E COMPITI - PARTE PRIMA - MODELLO ORGANIZZATIVO DATA PROTECTION

B. PARTE PRIMA - MODELLO ORGANIZZATIVO DATA PROTECTION

1 R UOLI E COMPITI

Il GDPR (di seguito anche “Regolamento) individua i soggetti preposti al trattamento dei dati, delineando le figure fondamentali e fornendo alcune definizioni specificate nei seguenti paragrafi.

Di seguito si riporta il Modello Organizzativo Data Protection adottato dalla Società, con specifica indicazione delle figure chiave in ottica di protezione dei dati personali.

Di seguito si riportano i principali compiti e responsabilità attribuiti alle figure previste dal GDPR, rappresentate sinteticamente nella Figura precedente.

1.1 Titolare del trattamento

Il Titolare del trattamento è definito, ai sensi dell’art. 4, comma 1, punto 7 del Regolamento, come “la persona fisica, la persona giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità di trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”.

Il Titolare del Trattamento è la Società nella sua interezza, rappresentata dall’Organo con Funzioni di Supervisione Strategica (Consiglio di Amministrazione della Società), che

individua e revoca il Data Protection Officer e i soggetti, interni ed esterni, Responsabili del trattamento.

Il Titolare può, inoltre, delegare specifiche attività all’Organo con Funzione di Gestione, chiedendo a quest’ultimo di relazionargli periodicamente sull’esercizio della propria delega, indipendentemente dalle responsabilità che restano in capo al Titolare stesso (Cfr.

art. 24 del GDPR).

Pertanto il Titolare:

in caso di violazioni per le quali la legge preveda sanzioni di carattere amministrativo a carico della Società, risponde per il danno cagionato dal suo trattamento, solo se non ha adempiuto agli obblighi previsti dal Regolamento UE 2016/679 o ha agito in modo difforme o contrario rispetto al Regolamento stesso;

designa e revoca il Data Protection Officer (DPO), i responsabili interni e i responsabili esterni;

in caso di verifica ispettiva, indirizza le attività per far fronte alle richieste dell’Autorità Garante coinvolgendo il DPO;

gestisce, in collaborazione con il Comitato di Data Protection e sentito il parere del DPO, la verifica dell’operato dei Responsabili interni, dei Responsabili esterni del trattamento ed eventuali richieste provenienti dal Garante Privacy;

predispone e mantiene aggiornato il Registro dei trattamenti dei dati personali (art. 30 del GDPR).

Il Titolare, sulla base di specifici atti di delibera procede:

all’attuazione del Modello Organizzativo per la Data Protection;

all’istituzione del DPO e all’approvazione dell’atto che ne definisce i compiti e responsabilità;

all’attribuzione al Comitato Data Protection delle responsabilità in materia di Data Protection e all’approvazione dell’atto che ne definisce ruoli e responsabilità.

1.2 Comitato Data Protection

Il Comitato Data Protection è l’organismo cui sono demandati compiti di coordinamento e di indirizzo in materia di protezione dei dati personali.

In particolare al Comitato Data Protection spettano le seguenti responsabilità:

indirizzare le attività necessarie a garantire la compliance normativa in ambito privacy (aggiornamento della normativa interna Data Protection);

indirizzare le attività progettuali di Data Protection stabilendone le priorità e definendone le tempistiche;

fornire indicazioni e gestire le attività ordinarie e eventuali problematiche che si dovessero presentare;

riunirsi periodicamente per la condivisione di tematiche con impatto sulla protezione dei dati personali trattati;

raccogliere le istanze e le richieste provenienti dai Responsabili del trattamento di dati personali;

stabilire le priorità e definire le tempistiche dei progetti con risvolti sul trattamento dei dati;

supportare il Titolare affinché sia garantito il rispetto dei principi della protezione dei dati fin dalla progettazione (c.d. privacy by design) e per impostazione predefinita (c.d.

privacy by default);

esprimere un parere sulla valutazione d’impatto predisposta dai Responsabili interni del trattamento.

Il Comitato Data Protection è identificato nel Comitato Pricing, Business e Prodotti che assume specifiche responsabilità in materia di protezione dei dati personali. Al Comitato, qualora si trattino specifiche tematiche in ambito data protection, partecipa il DPO, il Responsabile del Servizio ICT e Management e tutte le strutture coinvolte negli argomenti di Data Protection da analizzare (i.e. Responsabili Interni del Trattamento, Servizio Legale, etc).

1.3 Data Protection Officer

Il DPO (Data Protection Officer)² è il soggetto indipendente cui competono le responsabilità di supervisionare e garantire i trattamenti di dati personali ed è tempestivamente e adeguatamente coinvolto dal Titolare stesso in tutte le questioni riguardanti la protezione dei dati personali.

2 Il GDPR introduce la figura del DPO, che deve essere nominato in tutti i casi in cui l’azienda Titolare svolge trattamenti che prevedano il controllo regolare e sistematico degli interessati, ovvero la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, specificandone compiti, ruolo e il suo posizionamento nell’organigramma aziendale in tre articoli: 37 (Designazione del responsabile della protezione dei dati), 38 (Posizione del responsabile della protezione dei dati) e 39 (Compiti del responsabile della protezione dei dati).

Inoltre il GdL ex art. 29 ha predisposto delle Linee Guida (si veda Linee guida sui responsabili della protezione

Al DPO spettano i seguenti compiti:

sorvegliare l’attuazione e l’applicazione delle politiche in ambito Data Protection all’interno della Società e riferire al Titolare del trattamento in merito ad eventuali non conformità rilevate;

applicare quanto richiesto dalla normativa con particolare riguardo ai requisiti concernenti la protezione dei dati (progettazione, informazione all’interessato);

controllare che eventuali violazioni e/o Data Breach siano documentate, notificate e comunicate internamente;

assumere, sentito il Titolare, il compito di punto di contatto per il Garante della Privacy nel caso di verifiche ispettive e verso gli Interessati per l’esercizio dei loro diritti e/o per fornire informazioni;

fornire, se richiesto dal Titolare/Responsabile, pareri in merito alla valutazione d'impatto e/o alla Data Breach;

consultare il Garante Privacy nel caso in cui sia necessario sottoporgli quesiti o istanze di verifica.

Il DPO svolge, dunque, un ruolo centrale nel Modello di Data Protection e funge, nel contesto aziendale, da garante, funzione di vigilanza, indipendente ed autonoma. Non può svolgere attività operative o avere la responsabilità delle stesse; deve, pertanto, essere indipendente nello svolgimento delle attività di competenza.

In coerenza con quanto indicato nel Modello Organizzativo Data Protection (Cfr. Allegato 1 del presente Documento), il ruolo del DPO può essere assunto da un soggetto interno o esterno. I dati di contatto del DPO sono comunicati al Garante Privacy e pubblicati sul sito internet della società nella sezione dedicata alla protezione dei dati personali³.

1.4 Responsabile interno del trattamento

Il Titolare, in relazione a quanto specificamente indicato nel Registro dei trattamenti, individua, per ciascuna tipologia di trattamento censito nel Registro, coloro che ricoprono il ruolo di “Responsabile interno del trattamento” tra i Responsabili di Direzione e Servizio delle singole unità organizzative della Società. I responsabili ricevono specifiche istruzioni

con indicazione dei trattamenti di dati assegnati, le finalità perseguite, la tipologia dei dati personali, gli obblighi e i diritti a loro assegnati.

Al Responsabile interno dei Trattamenti spettano le seguenti attribuzioni:

collaborare con il DPO e con il Comitato Data Protection;

fornire indicazioni/istruzioni operative agli Addetti al Trattamento sulle modalità di trattamento e presidio dei dati personali, coordinandone le attività;

curare le revisioni periodiche del Registro dei trattamenti dati personali, relativamente ai trattamenti di propria di competenza;

riportare al DPO informazioni circa lo stato d’applicazione della normativa e/o eventuali violazioni di dati personali delle quali sia venuto a conoscenza;

sorvegliare e verificare l’operato degli Addetti al Trattamento, ivi compresa la formazione del personale che partecipa ai trattamenti dati di clienti, dipendenti, fornitori e/o partner commerciali;

verificare la legittimità degli interessati in termini di esercizio dei loro diritti;

garantire il presidio delle operazioni di trattamento dei dati personali nelle attività day-by-day;

procedere, se indicato dal DPO, alla cancellazione dei dati su richiesta dell’interessato (cfr. Parte Seconda, par. 2.1 del presente documento).

1.5 Responsabile esterno del trattamento

Il soggetto esterno che svolge un’attività per conto della Società e tratta dati personali la cui Titolarità sia di quest’ultima, può assumere il ruolo di Responsabile esterno del trattamento ai sensi dell’art. 28, par.1 del GDPR⁴. Il Responsabile è designato dal Titolare del trattamento, mediante la sottoscrizione di uno specifico accordo tra le parti.

Nello specifico il soggetto identificato dalla Società quale Responsabile esterno del Trattamento ha il compito di:

4 L’art. 28 del GDPR recita: recita: “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie

sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente Policy e garantisca la tutela dei diritti dell'interessato”.

trattare i dati personali su istruzione documentata del Titolare, anche in caso di trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale;

garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

adottare tutte le misure di sicurezza richieste ai sensi dell'articolo 32 del GDPR;

assistere il Titolare del trattamento per dare seguito alle richieste di esercizio dei diritti da parte degli interessati;

assistere il Titolare del trattamento nel garantire il rispetto degli obblighi di comunicazione delle violazioni di dati personali ai sensi degli artt. 33 e 34 del GDPR e/o delle valutazioni di impatto sulla protezione dei dati personali ai sensi degli artt. 35 e 36 del GDPR;

su indicazione del titolare del trattamento, cancellare o restituire tutti i dati personali al termine della prestazione dei servizi relativi al trattamento;

consentire ad attività di revisione, comprese le ispezioni, realizzati dal Titolare del trattamento o da un altro soggetto da questi incaricato.

I rapporti tra le parti e i rispettivi trattamenti sono disciplinati da un accordo stipulato tra le parti che vincola il Responsabile all’utilizzo dei dati personali nel rispetto degli obblighi riportati nel Data Protection Agreement sottoscritto ai sensi dell’art. 28, comma 3 del GDPR.

1.6 Addetti al trattamento

Gli Addetti al trattamento sono coloro che, nel rispetto di quanto previsto dall’art. 29 del GDPR, utilizzano i dati personali per il compimento di operazioni di trattamento.

A tal fine gli Addetti ricevono specifiche istruzioni scritte per il tramite del Responsabile interno del trattamento con indicazione dell’ambito del trattamento cui sono autorizzati;

Essi sono individuati tra i dipendenti ed eventualmente, i collaboratori interni e/o esterni di ciascuna società del Gruppo.

Ciascun Addetto al trattamento è tenuto a seguire le istruzioni operative ricevute e le procedure predisposte per il governo della data protection.

In particolare, l’addetto al trattamento ha le seguenti responsabilità:

collaborare con i Responsabili interni del trattamento;

trattare i dati solo per gli scopi istituzionali, secondo le istruzioni scritte ricevute e nel rispetto di quanto indicato nel registro dei trattamenti;

rispettare i requisiti di riservatezza e sicurezza durante l’uso dei dati personali;

rispondere per colpa grave o dolo specifico delle azioni che ha posto in essere nel

segnalare al Responsabile interno del trattamento eventuali anomalie o problemi che ha riscontrato nel corso della sua normale operatività.

1.6.1. Assunzione e formazione del personale

La Direzione Risorse Umane e Relazioni istituzionali consegna, nel momento dell’assunzione del dipendente, la seguente documentazione:

specifica informativa Privacy e, ove necessario, ne acquisisce il relativo consenso;

lettera di assegnazione del dipendente alla specifica unità operativa;

istruzioni operative e copia della presente Policy.

La Direzione Risorse Umane e Relazioni Istituzionali coadiuvata dal Comitato Data Protection e sentito il DPO, predispone il piano formativo annuale in tema di Data Protection per il personale dipendente coinvolto a qualsiasi titolo in attività di trattamento.

A seguito dell’erogazione dei suddetti percorsi di formazione la Direzione Risorse Umane e Relazioni Istituzionali relaziona il DPO sulle attività formative erogate.

1.7 Amministratori di Sistema

Gli Amministratori di Sistema sono coloro che, in linea con quanto previsto dal Provvedimento del Garante del 27 novembre 2008⁵, provvedono alla gestione delle attività sui sistemi informatici aziendali utilizzati per il trattamento dei dati personali in termini di creazione dei profili di accesso, manutenzione e gestione e alla sicurezza logica.

Gli Amministratori di Sistema sono nominati con apposita lettera che ne definisce il ruolo, i compiti e le responsabilità.

Al riguardo è compito del Titolare:

 individuare e nominare quei soggetti che possono svolgere la mansione di Amministratori di Sistema;

 aggiornare nel continuo l’elenco del personale nominato “Amministratore di Sistema”;

 gestire i log di accesso ai sistemi in termini sia di requisiti di completezza, inalterabilità e possibilità di verifica della loro integrità, sia con specifica indicazione della temporalità e dell'evento che le ha generate. Tali log sono conservati per un periodo non inferiore a sei mesi.

5 Cfr. Provvedimento “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” (c.d. Garante I)

Spetta, inoltre, al Titolare verificare l'operato degli amministratori di sistema con cadenza almeno annuale, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

Nel documento POLICY DATA PROTECTION VERSIONE /05/2018 DOCUMENTO AD ESCLUSIVO USO INTERNO IBL BANCA - ISTITUTO BANCARIO DEL LAVORO S.P.A. (pagine 9-17)