Microsoftteams image (39)
Privacy

Politica di protezione dei dati

1. Scopo

1. La presente Politica definisce i requisiti per garantire la conformità alle leggi e ai regolamenti applicabili alla raccolta, all’uso, all’elaborazione e al trasferimento dei Dati personali di ATPI in tutto il mondo.

2. Ambito di applicazione

2.1 ATPI si impegna a rispettare le leggi sulla protezione dei dati personali vigenti nei paesi in cui opera (l'”Azienda“). A causa delle differenze all’interno di tali giurisdizioni, l’Azienda ha adottato la presente Politica di protezione dei dati che crea un nucleo comune di valori, politiche e procedure volte a raggiungere una conformità generica, integrata (se del caso) da istruzioni e linee guida aggiuntive applicabili in quelle giurisdizioni che presentano caratteristiche uniche.

2.2 La presente Politica si basa sul Regolamento UE 2016/679 e sul Regolamento Generale sulla Protezione dei Dati (GDPR), che fornisce un solido modello generico per la privacy. La Società ha inoltre stabilito un Accordo di Trasferimento dei Dati Intra-Gruppo (IGDTA) basato sulle Clausole Modello riconosciute dall’UE, da autorizzare per il trasferimento a livello mondiale, e il successivo sub-trattamento, dei Dati in tutta la sua rete globale di società del gruppo.

2.3 La presente Politica si applica a tutti i dipendenti a tempo pieno e parziale dell’Azienda, ai dipendenti delle agenzie e a tutti i fornitori e clienti che ricevono Dati personali dall’Azienda, che hanno accesso ai Dati personali raccolti o elaborati dall’Azienda o che forniscono informazioni all’Azienda, indipendentemente dalla posizione geografica.

2.4 Come impegno politico, l’Azienda non tratterà i Dati Personali senza una base legale riconosciuta per tale trattamento. Per garantire la conformità alle leggi sulla protezione dei dati, l’Azienda stabilirà correttamente il proprio status per tutti i trattamenti di dati come Titolare o Responsabile del trattamento dei dati che agisce per conto di un altro Titolare.

3. Conformità del gruppo

3.1 Il programma di conformità dei dati dell’azienda sarà supervisionato dal Responsabile della protezione dei dati dell’azienda, coadiuvato da personale di conformità nominato a livello locale e da Responsabili interni che possono essere delegati dal DPO.

3.2 Il DPO implementerà la Politica e le procedure internazionali della Società in materia di protezione dei dati e l’IGDTA, oltre a tutti i doveri richiesti dalle leggi sulla protezione dei dati, tra cui:

3.2.1 Determinare se sia necessaria la notifica a una o più Autorità per la protezione dei dati a seguito delle attività di trattamento dei dati della Società, quindi effettuare le notifiche richieste e conservare tali notifiche.

3.2.2 Progettare e implementare programmi di formazione continua per i dipendenti al fine di garantire la conformità con la Protezione dei Dati.

3.2.3 Stabilire (con il coinvolgimento dei dipartimenti IT e legale) procedure e disposizioni contrattuali standard per ottenere l’osservanza della presente Politica da parte di società del gruppo, clienti, fornitori e terze parti che ricevono Dati personali dall’Azienda, hanno accesso ai Dati personali raccolti o elaborati dall’Azienda o forniscono informazioni all’Azienda, indipendentemente dalla posizione geografica.

3.2.4 Stabilire meccanismi di verifica periodica della conformità a questa Politica, alle procedure di implementazione e alle norme applicabili.

3.2.5 Stabilire, mantenere e gestire un sistema di risposte rapide e appropriate alle richieste degli Interessati di esercitare il proprio diritto di accesso ai dati.

3.2.6 Stabilire, mantenere e gestire un sistema per la comunicazione tempestiva e appropriata alle autorità competenti e/o ai Soggetti interessati di qualsiasi perdita di Dati personali.

3.2.7 Informare i dirigenti, i funzionari e i direttori dell’Azienda delle potenziali sanzioni civili e penali, aziendali e personali, che possono essere comminate all’Azienda e/o ai suoi dipendenti in caso di violazione della Protezione dei dati personali.

3.2.8 Garantire che i piani di gestione del rischio in relazione alla protezione dei dati siano attuati in modo efficace.

3.2.9 Garantire che al Consiglio di amministrazione, alla direzione e agli altri organi di controllo venga fornita un’adeguata garanzia sull’efficacia delle procedure e degli audit in materia di protezione dei dati.

4. Principi di protezione dei dati

4.1 La Società ha adottato i seguenti principi per disciplinare l’uso, la raccolta, l’elaborazione e la trasmissione dei Dati personali, salvo quanto specificamente previsto dalla presente Politica o quanto richiesto dalle leggi applicabili:

4.1.1 I Dati Personali saranno trattati solo in modo corretto e

4.1.2 I Dati Personali saranno ottenuti solo per finalità specifiche, esplicite, lecite e legittime e non saranno ulteriormente trattati in modo incompatibile con tali finalità.

4.1.3 I dati personali devono essere adeguati, pertinenti e non eccessivi rispetto alle finalità per cui sono raccolti e/o

4.1.4 I Dati Personali non saranno raccolti o trattati se non in presenza di una base legale per il trattamento.

4.2 Saranno adottate misure fisiche, tecniche e procedurali adeguate per:

4.2.1 Prevenire e/o identificare la raccolta, l’elaborazione e la trasmissione non autorizzata o illegale dei Dati Personali; e

4.2.2 Prevenire la perdita o la distruzione accidentale o il danneggiamento dei Dati Personali

5. Trasferimenti a terzi

5.1 I Dati Personali non saranno trasferiti a un’altra entità, paese o territorio, a meno che non siano state adottate misure ragionevoli e appropriate per stabilire e mantenere il livello richiesto di protezione dei Dati.

5.2 I Dati Personali possono essere comunicati a terzi solo per motivi coerenti con le finalità per le quali i Dati sono stati originariamente raccolti o per altre finalità autorizzate dalla legge.

5.3 Tutti i trasferimenti di Dati personali a terzi per un ulteriore trattamento saranno soggetti ad accordi scritti, a una base legale per il trasferimento o all’IGDTA della Società per i trasferimenti interni di Dati.

5.4 I dati personali dell’UE (e del Regno Unito) non saranno trasferiti in un paese o territorio al di fuori dello Spazio Economico Europeo (SEE), a meno che il trasferimento non avvenga in un paese o territorio riconosciuto dall’UE come dotato di un livello adeguato di sicurezza dei dati, o negli Stati Uniti ai sensi del quadro normativo statunitense sulla privacy dei dati.

5.5 Fatte salve le disposizioni di cui sopra, i Dati Personali possono essere trasferiti qualora si applichi una delle seguenti condizioni:

5.5.1 L’interessato ha dato il proprio consenso al trasferimento proposto;

5.5.2 Il trasferimento è necessario per l’esecuzione di un contratto tra l’Interessato (personalmente o tramite la sua società di lavoro in qualità di cliente della Società) e la Società;

5.5.3 Il trasferimento è necessario per la conclusione o l’esecuzione di un contratto stipulato nell’interesse dell’Interessato tra la Società e una terza parte o il datore di lavoro dell’Interessato;

5.5.4 Il trasferimento è necessario o legalmente richiesto per importanti motivi di interesse pubblico, o per l’istituzione, l’esercizio o la difesa di rivendicazioni legali;

5.5.5 Il trasferimento è richiesto dalla legge;

5.5.6 Il trasferimento è necessario al fine di proteggere gli interessi vitali dei Dati

6. Prevenzione dei sistemi informatici non conformi

6.1 Il Chief Information Security Officer (CISO) dell’Azienda dovrà stabilire una procedura per valutare l’impatto di qualsiasi tecnologia nuova o esistente sulla privacy e sulla sicurezza dei dati personali.

6.2 Nessun nuovo sistema o nuova versione di un sistema esistente sarà reso disponibile per l’uso fino a quando il DPO non avrà ottenuto conferma scritta dal CISO che non vi sarà alcuna violazione della Protezione dei Dati.

7. Fonti di dati personali

7.1 I Dati Personali saranno raccolti solo presso l’Interessato, a meno che la natura dello scopo commerciale non renda necessaria la raccolta dei Dati da altre persone o

7.2 Se i Dati personali vengono raccolti da un soggetto diverso dall’Interessato, l’unità aziendale che raccoglie i Dati deve avere la conferma, per iscritto, da parte del fornitore dei Dati, dell’esistenza di una base legale per il trattamento e il trasferimento dei Dati personali all’Azienda.

8. Diritti dell’interessato

8.1 I Soggetti interessati avranno il diritto di ottenere informazioni sui propri Dati Personali in possesso della Società presentando una richiesta scritta nel formato
qui
e la richiesta sarà protocollata.

8.2 La Società fornirà la propria risposta alla richiesta di cui sopra entro 40 giorni dalla data della richiesta scritta, o entro un termine più breve se richiesto dalle leggi sulla protezione dei dati applicabili.

8.3 Gli interessati hanno il diritto di richiedere alla Società di correggere o integrare i Dati personali errati, fuorvianti, obsoleti o incompleti in loro possesso.

9. Dati sensibili (categoria speciale)

9.1 I Dati Personali Sensibili non devono essere trattati a meno che:

9.1.1 Tale trattamento è specificamente autorizzato o richiesto dalla legge.

9.1.2 Il Soggetto interessato acconsente espressamente e senza ambiguità.

9.1.3 Quando l’interessato è fisicamente o legalmente incapace di dare il proprio consenso, ma il trattamento è necessario per proteggere un interesse vitale dell’interessato. Questa esenzione può essere applicata, ad esempio, nel caso in cui sia necessaria un’assistenza medica d’emergenza.

9.1.4 I dati relativi a reati penali possono essere trattati solo da o sotto il controllo dell’Ufficio Legale.

10. Garanzia di qualità dei dati

10.1 I Dati personali devono essere conservati solo per il periodo necessario agli usi consentiti. La Società ha stabilito una Politica di Conservazione dei Dati che determina le tempistiche applicabili per la cancellazione dei Dati.

10.2 I Dati Personali saranno cancellati se la loro conservazione viola una qualsiasi legge sulla protezione dei dati o se la conoscenza dei Dati non è più necessaria alla Società, o su richiesta dell’Interessato.

11. Elaborazione all’interno del gruppo

11.1 Nel caso in cui l’Azienda si affidi a un’altra società del gruppo per assistere le sue attività di trattamento, l’Azienda stipulerà un Contratto di Trasferimento dei Dati basato sulle Clausole Modello dell’UE con l’altra società del gruppo al fine di garantire che la responsabilità per i dati sia chiaramente identificata, in quanto entrambe le parti possono essere considerate Responsabili del Trattamento.

11.2 Nel caso in cui l’altra società del gruppo abbia sede all’estero, le società del gruppo coinvolte nel trattamento saranno denominate rispettivamente Esportatore e Importatore di dati, sebbene possano essere coinvolti nel trattamento più di un Importatore di dati.

12. Processori di terze parti.

12.1 Analogamente, nel caso in cui la Società si affidi a terzi per l’assistenza alle proprie attività di elaborazione, sceglierà un Responsabile del trattamento dei dati che fornisca misure di sicurezza sufficienti e adotti misure ragionevoli per garantire il rispetto di tali misure e, nel caso di terzi all’interno degli Stati Uniti, che siano anche registrati per il quadro normativo statunitense sulla privacy dei dati (precedentemente noto come Privacy Shield).

13. Contratti scritti per gli elaboratori di terze parti.

13.1 L’Azienda stipulerà un contratto scritto con ciascun Responsabile del trattamento dei dati che richieda il rispetto delle leggi sulla protezione dei dati e dei requisiti di sicurezza imposti all’Azienda dalla legislazione locale.

14. Audit dei Responsabili del trattamento dei dati di terze parti.

14.1 Nell’ambito del processo interno di verifica dei dati, la Società effettuerà controlli periodici sul trattamento dei dati da parte di terzi Responsabili del trattamento, in particolare per quanto riguarda le procedure di trasferimento dei dati, soprattutto per quanto riguarda le misure di sicurezza.

15. Avviso agli Amministratori, ai Dirigenti e ai Funzionari sulle potenziali sanzioni in caso di non conformità

15.1 Il DPO comunicherà agli amministratori, ai dirigenti e agli altri funzionari della Società che:

15.1.1 La mancata osservanza delle leggi sulla protezione dei dati può comportare responsabilità penali e civili, tra cui multe, reclusione e risarcimento danni; e

15.1.2 Possono essere personalmente responsabili nel caso in cui un reato sia stato commesso dall’Azienda con il loro consenso o la loro connivenza o sia attribuibile a una loro negligenza.

16. Sicurezza dei dati

16.1 La Società ha implementato una Politica di Gestione della Sicurezza dei Dati, in base alla quale adotterà misure fisiche, tecniche e organizzative per garantire la sicurezza dei Dati Personali, compresa la prevenzione della loro alterazione, perdita, danneggiamento, trattamento o accesso non autorizzato, tenendo conto della natura dei Dati e dei rischi a cui sono esposti in virtù dell’azione umana o dell’ambiente fisico o naturale. Queste misure saranno documentate all’interno della Politica di gestione della sicurezza dei dati, che sarà rivista almeno una volta all’anno o quando necessario per riflettere modifiche significative agli accordi di sicurezza.

16.2 Le misure di sicurezza adeguate devono includere tutti i seguenti elementi:

16.2.1 Prevenzione dell’accesso di persone non autorizzate ai sistemi di elaborazione dei dati in cui sono presenti i dati personali

16.2.2 Impedire alle persone autorizzate all’uso di un sistema di trattamento dei dati di accedere ai dati al di là delle loro necessità e

16.2.3 Garantire che i Dati Personali nel corso della trasmissione elettronica, durante il trasporto o l’archiviazione su un supporto dati, non possano essere letti, copiati, modificati o rimossi senza

16.2.4 Garantire che i Dati Personali siano protetti contro la distruzione indesiderata o

16.2.5 Garantire che i dati raccolti per scopi diversi possano essere trattati separatamente.

16.2.6 Garantire che i Dati non siano conservati più a lungo di quanto stabilito nella Politica di conservazione dei dati, anche richiedendo che i Dati trasferiti a terzi siano restituiti o distrutti.

17. Misurazione della conformità.

17.1 Il DPO stabilirà un calendario e attuerà un audit di conformità alla privacy per tutte le unità aziendali. Il DPO, in collaborazione con le unità aziendali, dovrà elaborare un piano e un calendario per correggere le carenze individuate entro un termine fisso e ragionevole.

17.2 Ciascuna business unit della Società dovrà rivedere annualmente le proprie pratiche di raccolta, trattamento e sicurezza dei dati e dovrà determinare quali dati personali la business unit sta raccogliendo, compresi quelli conservati in sistemi manuali che costituiscono “Sistemi di archiviazione rilevanti”.

17.3 Le informazioni raccolte in questa revisione annuale saranno consegnate al DPO per l’esame e l’adozione di misure appropriate, tra cui, a titolo esemplificativo, le seguenti:

17.3.1 formulare raccomandazioni per il miglioramento delle politiche e delle procedure al fine di migliorare la conformità con la presente Politica e con i regolamenti applicabili

17.3.2 Soddisfare i requisiti per l’autocertificazione di conformità da parte delle autorità locali per la protezione dei dati e la conformità con la Società stessa.

18. Implementazione.

18.1 La presente Politica sarà a disposizione dei dipendenti e di altri soggetti attraverso il sito web della Società.

18.2 La presente Politica può essere rivista in qualsiasi momento, ma almeno annualmente, e l’avviso di revisioni significative sarà fornito ai dipendenti attraverso il sistema di compliance aziendale e ad altri tramite il sito web della Società.

Nikki Matthews
Consigliere generale e responsabile della protezione dei dati personali
Dicembre 2024

Appendice A

Glossario

Consenso: Per consenso si intende “qualsiasi manifestazione di volontà libera, specifica e informata con la quale l’interessato manifesta il proprio consenso al trattamento dei dati personali che lo riguardano”.

Tuttavia, il consenso può essere ottenuto con diversi metodi. Questi possono includere clausole nei contratti di lavoro, caselle di controllo nelle risposte ai moduli di richiesta o di acquisto e caselle di clic nei moduli online in cui vengono inseriti i Dati personali.

Nella maggior parte dei paesi dell’Unione Europea, il consenso al trattamento dei dati personali sensibili deve essere chiaro e inequivocabile. Ciò significa generalmente che è richiesta una forma di consenso attivo e specifico. Questo requisito è talvolta meno inequivocabile al di fuori dell’Unione Europea.

Dati: Per dati (con o senza iniziale maiuscola), come utilizzati nella presente Politica di protezione dei dati, si intendono le informazioni che:

  • viene elaborato da un’apparecchiatura che opera in modo automatico in risposta a istruzioni impartite a tale scopo;
  • viene registrato con l’intenzione di essere elaborato per mezzo di tali apparecchiature;
  • è registrato come parte di un Sistema di Archiviazione Rilevante o con l’intenzione di far parte di un Sistema di Archiviazione Rilevante;
  • non rientra in nessuno dei casi precedenti, ma fa parte di un registro facilmente accessibile che riguarda un individuo.

I dati comprendono pertanto qualsiasi dato digitale proveniente da computer o apparecchiature automatizzate, registrazioni telefoniche e qualsiasi informazione manuale che faccia parte di un sistema di archiviazione pertinente.

Titolare del trattamento: Il Titolare dei Dati è una persona che (da sola o insieme ad altri) determina le finalità e le modalità di trattamento dei Dati Personali. In genere, nella maggior parte dei casi, il Titolare del trattamento è la Società stessa.

Data Exporter;
Data Exporter indica il Titolare o il Responsabile del trattamento che trasferisce i dati personali all’estero.

Importatore di dati;
Per Importatore di dati si intende il Titolare o il Responsabile del trattamento dei dati che accetta di ricevere dall’Esportatore di dati i dati personali per il successivo trattamento in conformità ai termini della presente Informativa e del relativo Contratto di trasferimento dei dati.

Responsabile del trattamento dei dati: Per Responsabile del trattamento dei dati si intende qualsiasi persona, diversa da un dipendente del Titolare del trattamento, che tratta i dati per conto del Titolare del trattamento. Una società può essere un Responsabile del trattamento dei dati se definita tale in base ai termini contrattuali con il Titolare del trattamento.

Autorità per la protezione dei dati: Un ente che ha il compito di proteggere i dati e la privacy. Le autorità sono istituite per tutelare i diritti di informazione nell’interesse pubblico e privato.

Leggi sulla protezione dei dati: Il Data Protection Act 2018 e il Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679); qualsiasi legislazione sulla protezione dei dati al di fuori dell’UE nei paesi in cui ATPI opera; e il Regolamento sulle Comunicazioni Elettroniche (Direttiva CE) del 2003 e qualsiasi sua revisione.

Sicurezza dei dati: Misure che il Titolare e il Responsabile del trattamento devono implementare per garantire il rispetto dei principi di protezione dei dati per progettazione e per impostazione predefinita e per assicurare un livello di sicurezza adeguato al rischio per i diritti e le libertà delle persone, tenendo conto dello stato dell’arte, dei costi di implementazione e della natura, dell’ambito, del contesto e delle finalità del trattamento.

Soggetto interessato: Per Soggetto dei dati si intende la persona a cui i dati si riferiscono. I Soggetti interessati includono clienti e utenti web, persone inserite in liste di contatto/emailing o database di marketing, dipendenti, appaltatori e fornitori.

Scudo per la privacy UE-USA: Un quadro costruito dal Dipartimento del Commercio degli Stati Uniti e dalla Commissione Europea per consentire lo scambio transatlantico di dati a fini commerciali. Lo scudo per la privacy UE-USA consente alle aziende dell’UE e degli USA di rispettare i requisiti di protezione dei dati quando trasferiscono dati personali dall’UE agli USA.

Dati personali: Per Dati personali si intendono i dati relativi a una persona fisica vivente che può essere identificata da tali dati o da tali dati e da altre informazioni in possesso, o che potrebbero entrare in possesso, di un Titolare o di un Responsabile del trattamento. I dati personali non includono informazioni che sono state anonimizzate, codificate o altrimenti private dei loro identificatori, o informazioni che sono pubblicamente disponibili a meno che non siano combinate con altre informazioni personali non pubbliche.

Trattamento: Il trattamento comprende un’ampia gamma di operazioni relative ai Dati, tra cui l’ottenimento, la registrazione o la conservazione dei Dati o l’esecuzione di qualsiasi operazione o serie di operazioni sui Dati, tra cui:

  • Organizzazione, adattamento o alterazione;
  • Divulgazione tramite trasmissione, diffusione o altro; e
  • Allineamento, combinazione, blocco, cancellazione o distruzione.

Il termine “elaborato” deve essere interpretato di conseguenza.

Sistema di archiviazione rilevante: Per Sistema di Archiviazione Rilevante si intende qualsiasi insieme di informazioni relative alle persone, conservate in archivi manuali o elettronici, strutturate con riferimento alle persone o con riferimento a criteri relativi alle persone, in modo tale da rendere facilmente accessibili le informazioni specifiche relative a una particolare persona.

Pertanto, qualsiasi Database digitale e/o file manuale organizzato relativo a persone viventi identificabili rientra nell’ambito di applicazione delle leggi e dei regolamenti sulla protezione dei dati, mentre un Database di mere informazioni statistiche o finanziarie (che non possono essere collegate direttamente o indirettamente a persone viventi identificabili) no.

Dati sensibili: Per Dati Sensibili si intendono i Dati Personali contenenti informazioni sui Soggetti interessati:

  • Razza o origine etnica;
  • Credenze religiose o altre credenze di natura simile;
  • Opinioni politiche;
  • Salute o condizione fisica o mentale;
  • Storia o orientamento sessuale;
  • Iscrizione ai sindacati;
  • Commissione o presunta commissione di un reato e relativi procedimenti giudiziari.

Tecnologia: La tecnologia deve essere interpretata in senso lato, in modo da includere qualsiasi mezzo di raccolta o di elaborazione dei dati, compresi, senza limitazioni, computer e reti, sistemi di telecomunicazione, dispositivi di registrazione video e audio, dispositivi biometrici, televisione a circuito chiuso, ecc.

Link al modulo di richiesta DSA
Link all’informativa sulla privacy GDPR