
Procedure in materia di gestione dei diritti degli interessati
1. Introduzione
1.1 Scopo della procedura
Il Regolamento Generale per la Protezione dei Dati (Regolamento EU 2016/679) (di seguito anche “Regolamento” o “GDPR”) attribuisce agli interessati l’esercizio dei seguenti diritti nei confronti del Titolare del trattamento:
- Diritto di accesso (art. 15 GDPR): al fine di chiedere conferma che sia o meno in essere un trattamento di dati personali;
- Diritto di rettifica (art. 16 GDPR): per chiedere di rettificare o integrare i dati forniti, qualora inesatti;
- Diritto alla cancellazione (art. 17 GDPR): per chiedere che i dati trattati vengano cancellati (ad esempio qualora non siano più necessari per le finalità per i quali sono stati raccolti; oppure in caso di revoca del consenso; o ancora in caso il trattamento sia illecito);
- Diritto di limitazione di trattamento (art. 18 GDPR): affinché i dati trattati dal Titolare vengano contrassegnati in modo da limitarne il loro trattamento in futuro;
- Diritto alla portabilità dei dati (art. 20 GDPR): al fine di ottenere la ricezione di dati personali, o la trasmissione dei dati ad altro Titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico;
- Diritto di opposizione (art. 21 GDPR): per opporsi in qualunque momento al trattamento dei dati, salvo che vi siano motivi legittimi per procedere al trattamento che siano prevalenti (per esempio per l’esercizio o la difesa in sede giudiziaria).
Con il presente documento, la Società si propone di disciplinare:
– la gestione completa delle richieste degli interessati aventi ad oggetto i diritti di cui al Capo III del GDPR (“Diritti degli Interessati”);
– i ruoli e le responsabilità dei soggetti coinvolti nella procedura;
– i requisiti normativi ed i limiti all’esercizio dei diversi diritti previsti dal GDPR;
– le specifiche modalità di riscontro all’interessato che abbia esercitato uno dei diritti previsti dal GDPR.
1.2 Identificazione delle categorie di Interessati
Il Titolare del trattamento, anche tramite i Data Manager, deve adottare tutte le misure adeguate a verificare l’identità dell’Interessato che sta esercitando I suoi diritti ai sensi del GDPR, specialmente quando la sua identificazione avviene on line.
Se il titolare ha dei ragionevoli dubbi circa l’identità dell’Interessato può richiedergli ulteriori informazioni per confermare la sua identità (Art. 12(2) del GDPR). Se l’Interessato fornisce le informazioni richieste, allora il Titolare non potrà rifiutarsi di procedere in merito alla richiesta dal medesimo avanzata.
Nello richiedere ulteriori informazioni per verificare l’identità dell’Interessato, il titolare non dovrà raccogliere dati personali che non siano strettamente necessari e utili per stabilire il collegamento tra l’Interessato e i dati personali in relazione ai quali esercita la sua richiesta.
Se la richiesta di esercizio dei diritti è fatta dall’Interessato oralmente, il Titolare dovrà chiedergli di avanzarla per iscritto.
L’Interessato non ha diritto di chiedere l’accesso a dati personali di terze parti, parenti o amici/conoscenti, a meno che non sia specificamente autorizzato a questo.
Ai fini della presente procedura sono di seguito raggruppate per area di competenza le categorie di soggetti Interessati, i cui dati vengono trattati dalla Società, come individuate nel Registro dei Trattamenti:
- Interessati riconducibili all’Area HR: candidati, dipendenti, i familiari dei dipendenti ed ex dipendenti della Società, nonché i liberi professionisti che prestano la propria attività per la Società e i dipendenti di soggetti terzi che forniscono servizi in favore dello stesso;
- Interessati riconducibili all’Area Amministrazione: clienti, fornitori, studi professionali, consulenti, in relazione alla gestione dei contratti con essi stipulati e il relativo compimento di tutte le attività connesse, strumentali e/o complementari alla gestione del rapporto;
- Altri Interessati: utenti web nonché tutti gli individui, esterni alla Società, ed in generale qualsiasi persona fisica dei cui Dati Personali la Società sia titolare, che non sono riconducibili alle precedenti categorie
2. Procedura operativa generale
La procedura operativa di gestione dei Diritti degli Interessati, basata sull’art. 12 del GDPR, prevede i seguenti passaggi:
a) Esercizio del diritto da parte dell’Interessato e ricezione della richiesta
Gli Interessati possono esercitare i propri diritti nei confronti del Titolare in maniera totalmente gratuita, anche tramite un terzo autorizzato dall’Interessato, munito di apposita delega/mandato debitamente sottoscritto. Le forme più diffuse di invio delle comunicazioni da parte dell’Interessato sono la posta raccomandata, la posta elettronica e la posta elettronica certificata.
4ward S.r.l. ha previsto un canale dedicato a ricevere le richieste degli Interessati che viene gestito dalla funzione amministrativa (amministrazione@4ward.it).
Se la richiesta proviene da altri canali chi la riceve deve immediatamente informare l’Interessato di utilizzare il canale dedicato per inoltrare la sua richiesta.
L’amministrazione che riceve la richiesta dell’interessato informa tempestivamente il Data Manager della Funzione competente sulla base del diritto azionato e all’area di competenza. Una volta ricevuta la richiesta, il Data Manager deve verificare se la richiesta si riferisce all’esercizio dei diritti relativo ai dati personali o meno e se la richiesta è stata inoltrata all’area competente del trattamento. Se l’assegnazione della richiesta non è corretta, il Data Manager dovrà provvedere ad assegnare la richiesta alla corretta e competente funzione aziendale.
Il Data Manager ha anche il compito di verificare l’identità dell’Interessato per conto del Titolare. Se il Data Manager ha ragionevoli dubbi sull’identità dell’Interessato, contatta immediatamente il CEO che valuterà se chiedere ulteriori informazioni.
Il Data Manager e il CEO, con il support del dipartimento IT in caso si necessità, dovranno coordinare il processo di riscontro e di eventuale raccolta della documentazione necessaria ai fini della completezza della risposta.
b) Elaborazione della richiesta
Se l’identità del richiedente non può essere verificata o la richiesta è palesemente infondata o eccessiva, il Data Manager contatterà il CEO che, eventualmente supportato dalla funzione amministrativa, informerà il richiedente senza ingiustificato ritardo e, comunque, entro un mese dalla ricezione della richiesta, che la richiesta è stata rifiutata e i motivi del rifiuto.
Se, invece, la richiesta è legittima, il Data Manager, eventualmente supportato dagli autorizzati al trattamento e dalla funzione IT, dovrà gestire la risposta ed assicurarsi che il richiedente riceva un’adeguata risposta senza ritardo. Una volta che il Data Manager ha raccolto tutte le informazioni necessarie per elaborare la risposta, ne informa il CEO.
Il Data Manager competente per l’elaborazione della richiesta e il CEO coordineranno l’elaborazione della risposta verso il richiedente.
La Funzione di riferimento valuta la tipologia di richiesta al fine di individuare quale diritto l’Interessato intende far valere, verificando che non siano in corso di elaborazione richieste analoghe da parte del medesimo interessato. Il processo prosegue regolarmente se la richiesta risulta essere differente rispetto alle richieste già in corso di elaborazione.
La richiesta dell’Interessato viene concretamente gestita dalla Funzione competente con il supporto degli Amministratori di Sistema ove necessario (per le richieste aventi maggiori impatti IT quali ad esempio la portabilità e la cancellazione dei dati).
c) Risposta all’Interessato
Ai sensi dell’art. 12.3 GDPR, la Società, in qualità di Titolare, deve rispondere alle richieste dell’Interessato senza ingiustificato ritardo e, comunque, al più tardi entro un mese. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste formulate dall’Interessato; in tal caso il Titolare informa l’Interessato in merito alla necessità di proroga e dei motivi posti a fondamento della stessa.
In base al diverso diritto azionato, viene dato riscontro all’Interessato mediante mezzi elettronici, qualora l’Interessato abbia esercitato i propri diritti mediante tali mezzi, salvo diversa indicazione dello stesso. In tale ultima evenienza potrà esser utilizzata la raccomandata A.R., ovvero altra modalità compatibile con il diritto esercitato.
Il Titolare del trattamento può inoltre non ottemperare alla richiesta avanzata dall’Interessato:
- se dimostra di non essere in grado di identificare l’Interessato (art. 12.2 GDPR);
- se la richiesta è manifestamente infondata o eccessiva (es. per il suo carattere ripetitivo e pretestuoso) (art. 12.5 GDPR). In tal caso, incombe sul Titolare l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.
Qualora decida di respingere la richiesta, il Titolare del trattamento ne informa l’Interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, indicandogli i motivi del rifiuto, comunicandogli la possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.
Ai sensi dell’art. 12.5 GDPR se le richieste dell’Utente risultino essere manifestamente infondate o eccessive il Titolare del trattamento potrà addebitare un contributo spese ragionevole, tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o le comunicazioni o intraprendere l’azione richiesta.
3. Soggetti e ruoli
La procedura implementata da 4ward s.r.l. prevede il coinvolgimento dei seguenti soggetti in base alla tipologia di Interessato che esercita il diritto:
a) Persone Autorizzate.
– ricevono le richieste degli Interessati tramite i canali non ufficiali e devono informare prontamente i richiedenti di sottoporre le richieste alla società Titolare tramite il canale dedicato (amministrazione@4ward.it)
– supportano il Data Manager in tutte le attività necessarie a fornire una risposta al richiedente.
b) Data Manager.
– è responsabile della gestione delle richieste degli Interessati che si riferiscono ai dati personali trattamenti nella propria funzione aziendale;
– verifica l’identità dell’Interessato;
– effettua ricerche relativamente ai dati personali dell’Interessato, verificando i database e gli archivi gestiti sotto la sua responsabilità e/o per la sua funzione;
– effettua le azioni necessarie per garantire agli Interessati di esercitare i loro diritti, con il supporto della funzione IT ove necessario;
– elabora i modelli da utilizzare per rispondere all’Interessato, anche in collaborazione con il CEO.
I Fornitori di beni e servizi, anche ove designati Responsabili del trattamento ai sensi dell’art. 28 GDPR, non gestiranno alcuna richiesta ricevuta direttamente dall’Interessato, ma dovranno indicargli i canali corretti per l’esercizio dei propri diritti e dovranno supportare il Titolare, fornendo alla Funzione competente le informazioni necessarie per evadere la richiesta dell’Interessato.
c) Chief Executive Officer (CEO):
- Il CEO è informato/ consultato durante la procedura di risposta, specialmente nel caso di problem relative a specifiche richieste che non possono essere evase in modo ordinario in base alla presente procedura;
- Coordina i Data Manager nella raccolta delle informazioni che devono essere fornite al richiedente;
- Verifica le informazioni raccolte dai Data Manager;
- Si assicura che l’Interessato riceva una risposta entro i tempi previsti;
- Si procura supporto legale in merito alle risposte per gli Interessati;
- Assiste il Titolare nell’elaborare le comunicazioni interne ed esterne nei rapport con gli Interessati e con le Autorità Competenti.
d) Funzione IT:
- Supporta i Data Manager nell’elaborare le richieste che risultano essere più complesse da un punto di vista tecnico (per es. portabilità e cancellazione dei dati).
e) Funzione Amministrativa:
- Riceve le richieste degli Interessati dal canale dedicato amministrazione@4ward.it e inoltre le richieste dai Data Manager competenti del trattamento dei dati;
- Supporta il CFO nel fornire riscontro all’Interessato.
4. Conservazione delle richieste di esercizio dei diritti
Al fine di garantire una gestione efficiente delle richieste di esercizio dei diritti, il Titolare ha definito e tiene aggiornato un Registro delle richieste di esercizio dei diritti degli interessati.
Tale registro include:
- il nome del soggetto richiedente;
- la tipologia di richiesta;
- la data in cui la richiesta è stata ricevuta dalla Società;
- la data in cui la Società ha fornito riscontro all’interessato;
- le informazioni relative alle attività che sono state effettuate per portare a termine la richiesta.
5. Costi
Qualsiasi comunicazione e azione relativa alla richiesta di esercizio dei diritti da parte dell’interessato deve avvenire in forma gratuita.
Laddove si possa dimostrare che una richiesta di un soggetto dei dati è manifestamente infondata o eccessiva, in particolare a causa del fatto che è ripetitiva, la Società può decidere di:
- addebitare un compenso ragionevole basato sulle spese amministrative effettivamente sostenute per soddisfare la richiesta;
- rifiutare di agire sulla richiesta.