Microsoftteams image (39)
Privacy

Politica di protezione dei dati

1. La presente Politica definisce i requisiti per garantire la conformità alle leggi e ai regolamenti applicabili alla raccolta, all’uso, all’elaborazione e al trasferimento dei Dati personali di ATPI in tutto il mondo.

2. Ambito di applicazione

2.1 ATPI si impegna a rispettare le leggi applicabili in materia di protezione dei dati nei paesi in cui opera (la “Società”). A causa delle differenze esistenti tra queste giurisdizioni, la Società ha adottato questa Politica di protezione dei dati che crea un nucleo comune di valori, politiche e procedure volte a ottenere una conformità generica, integrata (ove applicabile) con ulteriori istruzioni e linee guida applicabili in quelle giurisdizioni con requisiti specifici.

2.2 Questa politica si basa sul Regolamento UE 2016/679 e sul Regolamento generale sulla protezione dei dati (GDPR), che fornisce un solido modello generico per la conformità in materia di privacy. La Società ha inoltre stipulato un accordo di trasferimento dati intragruppo (IGDTA) basato sulle clausole modello UE riconosciute, da autorizzare per il trasferimento a livello mondiale e la successiva sub-elaborazione dei dati attraverso l’intera rete globale di società del gruppo.

2.3 La presente Politica si applica a tutti i dipendenti a tempo pieno e parziale dell’Azienda, ai dipendenti delle agenzie e a tutti i fornitori e clienti che ricevono Dati personali dall’Azienda, che hanno accesso ai Dati personali raccolti o elaborati dall’Azienda o che forniscono informazioni all’Azienda, indipendentemente dalla posizione geografica.

2.4 In quanto impegno politico, la Società non tratterà i dati personali senza una base giuridica riconosciuta per tale trattamento. Per garantire la conformità alle leggi sulla protezione dei dati, la Società stabilirà correttamente il proprio status per tutti i trattamenti di dati come Titolare del trattamento o Responsabile del trattamento.

3. Conformità del gruppo

3.1 Il programma di conformità ai dati della Società sarà supervisionato dal Responsabile della protezione dei dati della società, assistito da un Responsabile della protezione dei dati e da personale di conformità e revisori interni nominati a livello locale. Le responsabilità possono essere delegate dal DPO.

3.2 Il DPO implementerà la Politica e le procedure internazionali della Società in materia di protezione dei dati e l’IGDTA, oltre a tutti i doveri richiesti dalle leggi sulla protezione dei dati, tra cui:

3.2.1 Stabilire se è necessaria la notifica a una o più autorità di protezione dei dati a seguito delle attività di trattamento dei dati della Società, quindi effettuare le notifiche necessarie e mantenerle aggiornate.

3.2.2 Progettare e implementare programmi continui per la formazione dei dipendenti al fine di garantire la conformità alle leggi sulla protezione dei dati.

3.2.3 Stabilire (con il coinvolgimento dei dipartimenti IT e legale) procedure e disposizioni contrattuali standard per ottenere l’osservanza della presente Politica da parte di società del gruppo, clienti, fornitori e terze parti che ricevono Dati personali dall’Azienda, hanno accesso ai Dati personali raccolti o elaborati dall’Azienda o forniscono informazioni all’Azienda, indipendentemente dalla posizione geografica.

3.2.4 Stabilire meccanismi per audit periodici di conformità alla presente Politica, implementando procedure e leggi applicabili.

3.2.5 Stabilire, mantenere e gestire un sistema per risposte rapide e appropriate ai soggetti interessati che esercitano i propri diritti.

3.2.6 Stabilire, mantenere e gestire un sistema per la divulgazione tempestiva e appropriata alle autorità competenti e/o ai soggetti interessati, come richiesto dalle leggi sulla protezione dei dati.

3.2.7 Informare i dirigenti senior, i funzionari e gli amministratori della Società delle potenziali sanzioni/multe civili e penali aziendali e personali che possono essere comminate alla Società e/o ai suoi dipendenti per la violazione delle leggi applicabili sulla protezione dei dati.

3.2.8 Garantire che i piani di gestione dei rischi relativi alla protezione dei dati siano implementati in modo efficace e tempestivo.

3.2.9 Garantire che al Consiglio di amministrazione, alla direzione e alle altre parti interessate sia fornita un’adeguata garanzia in merito all’efficacia delle procedure e degli audit di protezione dei dati.

4. Principi di protezione dei dati

4.1 La Società ha adottato i seguenti principi per disciplinare l’uso, la raccolta, l’elaborazione e la trasmissione dei Dati personali, salvo quanto specificamente previsto dalla presente Politica o quanto richiesto dalle leggi applicabili:

4.1.1 I dati personali devono essere trattati solo in modo corretto e lecito.

4.1.2 I Dati Personali saranno ottenuti solo per finalità specifiche, esplicite, lecite e legittime e non saranno ulteriormente trattati in modo incompatibile con tali finalità.

4.1.3 I dati personali devono essere adeguati, pertinenti e non eccessivi rispetto alle finalità per le quali sono raccolti e/o trattati.

4.1.4 I dati personali non devono essere raccolti o trattati a meno che non sia stata debitamente stabilita una base giuridica per il trattamento.

4.2 Saranno adottate misure fisiche, tecniche e procedurali adeguate per:

4.2.1 Prevenire e/o identificare la raccolta, l’elaborazione e la trasmissione non autorizzata o illegale dei Dati Personali; e

4.2.2 Prevenire la perdita o la distruzione accidentale o il danneggiamento dei Dati Personali

5. Trasferimenti a terzi

5.1 I dati personali non devono essere trasferiti a un’altra entità, paese o territorio, a meno che non siano state adottate misure ragionevoli e appropriate per stabilire e mantenere il livello di sicurezza dei dati richiesto.

5.2 I Dati Personali possono essere comunicati a terzi solo per motivi coerenti con le finalità per le quali i Dati sono stati originariamente raccolti o per altre finalità autorizzate dalla legge.

5.3 Tutti i trasferimenti di dati personali a terzi per l’ulteriore trattamento devono essere soggetti ad accordi scritti, a una base giuridica per il trasferimento o all’IGDTA della Società per i trasferimenti interni di dati e in piena conformità con le leggi applicabili sulla protezione dei dati.

5.4 I dati personali dell’UE (e del Regno Unito) non saranno trasferiti in un paese o territorio al di fuori dello Spazio Economico Europeo (SEE), a meno che il trasferimento non avvenga in un paese o territorio riconosciuto dall’UE come dotato di un livello adeguato di sicurezza dei dati, o negli Stati Uniti ai sensi del quadro normativo statunitense sulla privacy dei dati.

6. Prevenzione dei sistemi informatici non conformi

6.1 Il responsabile della sicurezza delle informazioni (CISO) della Società deve stabilire una procedura per valutare l’impatto di qualsiasi tecnologia nuova o esistente sulla privacy e la sicurezza dei dati personali.

6.2 Nessun nuovo sistema o nuova versione di un sistema esistente deve essere reso disponibile per l’uso fino a quando il DPO non abbia ottenuto conferma scritta dal CISO che non vi sarebbe alcuna violazione delle leggi sulla protezione dei dati.

7. Fonti di dati personali

7.1 I dati personali devono essere raccolti solo dal soggetto interessato, a meno che la natura dello scopo commerciale non renda necessaria la raccolta dei dati da altre persone o enti.

7.2 Se i Dati personali vengono raccolti da un soggetto diverso dall’Interessato, l’unità aziendale che raccoglie i Dati deve avere la conferma, per iscritto, da parte del fornitore dei Dati, dell’esistenza di una base legale per il trattamento e il trasferimento dei Dati personali all’Azienda.

8. Diritti dell’interessato

La Società risponderà, in conformità con le leggi sulla protezione dei dati, a qualsiasi richiesta/reclamo di accesso ai dati presentata. Per facilitare la presentazione di tale richiesta/reclamo, la Società ha creato un modulo disponibile qui.

9. Garanzia della qualità dei dati

9.1 I dati personali devono essere conservati solo per il periodo necessario per gli usi consentiti. La Società ha stabilito una politica di conservazione dei dati che determina i tempi applicabili per la cancellazione dei dati.

9.2 I dati personali devono essere cancellati se la loro conservazione viola qualsiasi legge sulla protezione dei dati o se la conoscenza dei dati non è più richiesta dalla Società, o su richiesta del soggetto interessato.

10. Trattamento intragruppo

10.1 Laddove la Società si affidi a un’altra società del gruppo per assisterla nelle sue attività di trattamento, la Società stipulerà un accordo di trasferimento dati basato sulle clausole modello UE (o sulle clausole modello applicabili come richiesto dalle leggi sulla protezione dei dati) con tale altra società del gruppo al fine di garantire che la responsabilità dei dati sia chiaramente identificata, poiché entrambe le parti possono essere considerate Titolari del trattamento.

10.2 Laddove l’altra società del gruppo si trovi all’estero, le società del gruppo coinvolte nel trattamento sono note rispettivamente come Esportatore di dati e Importatore di dati, sebbene possa esserci più di un Importatore di dati coinvolto nel trattamento.

11. Responsabili del trattamento terzi

Allo stesso modo, laddove la Società si affidi a terzi per assisterla nelle sue attività di trattamento, la Società sceglierà un Responsabile del trattamento che fornisca misure di sicurezza sufficienti e adotti misure ragionevoli per garantire la conformità a tali misure.

12. Contratti scritti per i responsabili del trattamento terzi

12.1 La Società stipulerà un contratto scritto con ciascun Responsabile del trattamento richiedendogli di rispettare le leggi sulla protezione dei dati e i requisiti di sicurezza imposti alla Società dalla legislazione locale.

13. Audit dei responsabili del trattamento dati terzi

13.1 Come parte del processo di audit interno dei dati della Società, la Società condurrà controlli periodici sul trattamento da parte di responsabili del trattamento dati terzi, e in particolare in relazione alle procedure di trasferimento dei dati, soprattutto per quanto riguarda le misure di sicurezza.

14. Sicurezza dei dati

14.1 La Società ha implementato una politica di gestione della sicurezza dei dati, in base alla quale adotta misure fisiche, tecniche e organizzative per garantire la sicurezza dei dati personali, compresa la prevenzione della loro alterazione, perdita, danno, trattamento o accesso non autorizzato, tenuto conto della natura dei dati e dei rischi a cui sono esposti in virtù dell’azione umana o dell’ambiente fisico o naturale. Tali misure saranno documentate all’interno della Politica di gestione della sicurezza dei dati, che sarà rivista almeno annualmente, o quando necessario per riflettere cambiamenti significativi alle disposizioni di sicurezza.

14.2 Misure di sicurezza adeguate devono includere tutte le seguenti:

14.2.1 Impedire a persone non autorizzate di accedere ai sistemi di trattamento dei dati in cui vengono trattati i dati personali.

14.2.2 Impedire alle persone autorizzate a utilizzare un sistema di trattamento dei dati di accedere ai dati al di là delle loro esigenze e autorizzazioni.

14.2.3 Garantire che i dati personali nel corso della trasmissione elettronica durante il trasporto o durante la conservazione su un supporto dati non possano essere letti, copiati, modificati o rimossi senza autorizzazione.

14.2.4 Garantire che i dati personali siano protetti contro la distruzione o la perdita indesiderata.

14.2.5 Garantire che i dati raccolti per scopi diversi possano e saranno trattati separatamente.

14.2.6 Garantire che i dati non siano conservati più a lungo di quanto stabilito nella Politica di conservazione dei dati, anche richiedendo che i dati trasferiti a terzi siano restituiti o distrutti.

15. Misurazione della conformità

15.1 Il DPO stabilirà un programma per e implementerà un audit di conformità alla privacy per tutte le unità aziendali. Il DPO, in collaborazione con le unità aziendali, dovrà elaborare un piano e un programma per correggere eventuali carenze identificate entro un tempo ragionevole e fisso.

Ciascuna unità aziendale della Società dovrà rivedere annualmente le proprie pratiche di raccolta, trattamento e sicurezza dei dati e dovrà determinare quali dati personali l’unità aziendale sta raccogliendo, compresi quelli conservati in sistemi manuali che costituiscono “Sistemi di archiviazione pertinenti”.

15.2 Le informazioni raccolte in questa revisione annuale devono essere consegnate al DPO per la revisione e le azioni appropriate, tra cui, a titolo esemplificativo, quanto segue:

15.2.1 Formulazione di raccomandazioni per il miglioramento delle politiche e delle procedure al fine di migliorare la conformità alla presente Politica e alla legge applicabile.

15.2.2 Soddisfare i requisiti per l’autocertificazione della conformità all’interno delle autorità locali di protezione dei dati e la conformità all’IGDTA della Società.

16. Uso dell’intelligenza artificiale

16.1 Microsoft Copilot è implementato per uso interno da parte dei dipendenti dell’organizzazione. Copilot elabora i dati personali esclusivamente per fornire assistenza intelligente, generare risposte e supportare la produttività all’interno dei sistemi aziendali approvati. Può accedere alle informazioni che i dipendenti scelgono di connettere, come documenti, e-mail, calendari, contatti o cronologia del browser, esclusivamente allo scopo di soddisfare le richieste relative al lavoro. Copilot non raccoglie né condivide autonomamente dati personali al di fuori di queste interazioni autorizzate. Tutti i trattamenti sono soggetti alle leggi applicabili sulla protezione dei dati, incluso il GDPR, e sono regolati dagli standard di privacy e sicurezza di Microsoft. I dipendenti mantengono il controllo dei propri dati e possono gestire le autorizzazioni, i servizi connessi e le funzionalità di memoria all’interno delle impostazioni di Copilot.

Qualsiasi utilizzo dell’intelligenza artificiale all’interno della Società sarà effettuato nel pieno rispetto delle leggi sulla protezione dei dati e in linea con la politica sull’intelligenza artificiale.

17. Implementazione

17.1 Questa politica deve essere disponibile per i dipendenti e altri tramite il sito web della Società.

17.2 Questa politica può essere rivista in qualsiasi momento, ma almeno annualmente dal DPO. La notifica di revisioni significative deve essere fornita ai dipendenti attraverso il sistema di conformità aziendale e ad altri tramite il sito web della Società.

Nikki Matthews
Consigliere generale e responsabile della protezione dei dati personali
Gennaio 2026

Appendice

Un glossario

Consenso: Per consenso si intende “qualsiasi manifestazione di volontà libera, specifica e informata con la quale l’interessato manifesta il proprio consenso al trattamento dei dati personali che lo riguardano”.

Tuttavia, il consenso può essere ottenuto con diversi metodi. Questi possono includere clausole nei contratti di lavoro, caselle di controllo nelle risposte ai moduli di richiesta o di acquisto e caselle di clic nei moduli online in cui vengono inseriti i Dati personali.

Nella maggior parte dei paesi dell’Unione Europea, il consenso al trattamento dei dati personali sensibili deve essere chiaro e inequivocabile. Ciò significa generalmente che è richiesta una forma di consenso attivo e specifico. Questo requisito è talvolta meno inequivocabile al di fuori dell’Unione Europea.

Dati: I dati (indipendentemente dal fatto che abbiano o meno una lettera maiuscola iniziale) come utilizzati nella presente Politica indicano le informazioni che:

  • viene elaborato da un’apparecchiatura che opera in modo automatico in risposta a istruzioni impartite a tale scopo;
  • viene registrato con l’intenzione di essere elaborato per mezzo di tali apparecchiature;
  • è registrato come parte di un Sistema di Archiviazione Rilevante o con l’intenzione di far parte di un Sistema di Archiviazione Rilevante;
  • non rientra in nessuno dei casi precedenti, ma fa parte di un registro facilmente accessibile che riguarda un individuo.

I dati comprendono pertanto qualsiasi dato digitale proveniente da computer o apparecchiature automatizzate, registrazioni telefoniche e qualsiasi informazione manuale che faccia parte di un sistema di archiviazione pertinente.

Titolare del trattamento: Titolare del trattamento indica una persona che (da sola o con altri) determina le finalità e le modalità del trattamento dei dati personali. In generale, la Società stessa sarà il Titolare del trattamento nella maggior parte dei casi.

Esportatore di dati: Esportatore di dati indica il Titolare del trattamento o il Responsabile del trattamento che trasferisce i dati personali all’estero.

Importatore di dati: Importatore di dati indica il Titolare del trattamento o il Responsabile del trattamento che accetta di ricevere dall’Esportatore di dati i dati personali per l’ulteriore trattamento in conformità con i termini della presente Politica e del relativo Accordo di trasferimento dati.

Responsabile del trattamento dei dati: Per Responsabile del trattamento dei dati si intende qualsiasi persona, diversa da un dipendente del Titolare del trattamento, che tratta i dati per conto del Titolare del trattamento. Una società può essere un Responsabile del trattamento dei dati se definita tale in base ai termini contrattuali con il Titolare del trattamento.

Autorità per la protezione dei dati: Un ente che ha il compito di proteggere i dati e la privacy. Le autorità sono istituite per tutelare i diritti di informazione nell’interesse pubblico e privato.

Leggi sulla protezione dei dati: La legge sulla protezione dei dati del 2018 e il regolamento generale sulla protezione dei dati (regolamento UE 2016/679); qualsiasi legislazione sulla protezione dei dati al di fuori dell’UE all’interno dei paesi in cui ATPI opera; e le norme sulle comunicazioni elettroniche (direttiva CE) del 2003 e qualsiasi revisione delle stesse.

Sicurezza dei dati: Misure che il Titolare e il Responsabile del trattamento devono implementare per garantire il rispetto dei principi di protezione dei dati per progettazione e per impostazione predefinita e per assicurare un livello di sicurezza adeguato al rischio per i diritti e le libertà delle persone, tenendo conto dello stato dell’arte, dei costi di implementazione e della natura, dell’ambito, del contesto e delle finalità del trattamento.

Soggetto interessato: Per Soggetto dei dati si intende la persona a cui i dati si riferiscono. I Soggetti interessati includono clienti e utenti web, persone inserite in liste di contatto/emailing o database di marketing, dipendenti, appaltatori e fornitori.

Dati personali: Dati personali indica i dati relativi a una persona fisica vivente che può essere identificata da tali dati o da tali dati e altre informazioni in possesso di, o che potrebbero venire in possesso di, un Titolare del trattamento o un Responsabile del trattamento. I dati personali non includono le informazioni che sono state rese anonime, codificate o altrimenti private dei loro identificatori, o le informazioni che sono pubblicamente disponibili, a meno che non siano combinate con altre informazioni personali non pubbliche.

Trattamento: Il trattamento comprende un’ampia gamma di operazioni relative ai Dati, tra cui l’ottenimento, la registrazione o la conservazione dei Dati o l’esecuzione di qualsiasi operazione o serie di operazioni sui Dati, tra cui:

  • Organizzazione, adattamento o alterazione;
  • Divulgazione tramite trasmissione, diffusione o altro; e
  • Allineamento, combinazione, blocco, cancellazione o “Trattato” devono essere interpretati di conseguenza.

Sistema di archiviazione pertinente: Sistema di archiviazione pertinente indica qualsiasi insieme di informazioni relative a persone fisiche,

sia conservate in file manuali che elettronici, strutturate, sia con riferimento a persone fisiche che con riferimento a criteri relativi a persone fisiche, in modo tale che informazioni specifiche relative a una particolare persona fisica siano facilmente accessibili.

Pertanto, qualsiasi database digitale e/o file manuali organizzati relativi a persone fisiche viventi identificabili rientrano nell’ambito delle leggi e dei regolamenti sulla protezione dei dati, mentre un database di pure informazioni statistiche o finanziarie (che non possono essere correlate direttamente o indirettamente a persone fisiche viventi identificabili) non lo farà.

Dati sensibili: Dati sensibili indica i dati personali contenenti informazioni relative a:

  • Razza o origine etnica;
  • Credenze religiose o altre credenze di natura simile;
  • Opinioni politiche;
  • Salute o condizione fisica o mentale;
  • Storia o orientamento sessuale;
  • Iscrizione ai sindacati;
  • Commissione o presunta commissione di qualsiasi reato e qualsiasi tribunale correlato

Tecnologia: La tecnologia deve essere interpretata in senso lato, in modo da includere qualsiasi mezzo di raccolta o di elaborazione dei dati, compresi, senza limitazioni, computer e reti, sistemi di telecomunicazione, dispositivi di registrazione video e audio, dispositivi biometrici, televisione a circuito chiuso, ecc.

Link al modulo di richiesta DSA
Link all’informativa sulla privacy GDPR