Privacy

Modello Organizzativo Privacy (MOP)

Il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito “GDPR” o “Regolamento”) stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.
A livello nazionale, in attuazione dell’art. 13 della l. 163/2017, il legislatore italiano ha adottato il decreto legislativo 10 agosto 2018, n. 101, a mezzo del quale ha provveduto all’abrogazione e alla modifica di tutte le disposizioni del decreto legislativo 30 giugno 2003, n. 196 incompatibili con il GDPR.
I soggetti che trattano dati personali sono chiamati al rispetto dei principi fissati dal GDPR quali la liceità, correttezza e trasparenza nel trattamento, la limitazione delle finalità, la minimizzazione dei dati, la limitazione della conservazione, adottando misure tecniche ed organizzate adeguate. Detti soggetti, in omaggio al principio di responsabilizzazione, sono chiamati a provare il rispetto e l’adozione di dette misure.

In questo quadro, la COOPERATIVA NONCELLO – Società Cooperativa Sociale Imp. Sociale O.N.L.U.S. (di seguito “Cooperativa”) con sede in Via dell’Artigianato 20, 33080 Roveredo in Piano (PN) email: info@coopnoncello.it pec: coopsocnoncello@legalmail.it – in qualità di Titolare ovvero di Responsabile del trattamento dati a seconda della funzione rivestita – ha adottato un Modello Organizzativo Privacy conformandosi alla normativa appena citata.

Cos'è il Modello Organizzativo Privacy?

Il Modello Organizzativo Privacy (di seguito “MOP”) è un complesso di strumenti, procedure, documenti adottato da parte di ciascun Titolare del Trattamento nell’ambito della gestione dei dati personali e che consente a quest’ultimo di dimostrare in ogni momento il rispetto della conformità dei trattamenti al GDPR e l’efficacia delle misure scelte ed adottate. Il MOP deve essere mantenuto aggiornato alle nuove normative ed alle attività di trattamento che si susseguono nel tempo.

In particolare, il MOP deve essere adottato tenendo conto della natura, dell’ambito di applicazione, del contesto, delle finalità di trattamento dati e dei rischi correlati per i diritti e le libertà delle persone.

Richiamando quanto riportato nel Regolamento, si precisa che:
• Per «dato personale» si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Nello specifico, per quanto qui rileva, per «dati relativi alla salute» si intendono i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
• Con il temine «trattamento» si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
• Il «titolare del trattamento» è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.
• Il «responsabile del trattamento» è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

 

Come la Cooperativa Noncello ha implementato il Modello Organizzativo Privacy?

La Cooperativa Noncello è Titolare quando determina le finalità ed i mezzi del trattamento di dati personali relativi agli interessati con cui viene a contatto per la gestione di vari rapporti in essere mentre opera quale Responsabile esterno del trattamento quando tratta i dati per conto di un altro soggetto (titolare del trattamento).
In tali vesti la Cooperativa ha strutturato il MOP nelle seguenti modalità.

1. Responsabile della protezione dati ex art. 37 GDPR

Il Responsabile della Protezione dati (DPO) è una figura introdotta dall’art. 37 del GDPR che all’interno della Cooperativa ha il compito di informare e consigliare il Titolare del trattamento dati, il Responsabile del trattamento e tutti gli incaricati sugli obblighi previsti dalle norme in materia, verificare e monitorare sull’attuazione e l’applicazione delle norme in materia di privacy, fornire pareri ed assistere il Titolare in merito alle valutazioni di impatto sulla protezione dei dati, cooperare con le autorità di controllo e fungere da punto di contatto, non solo per il Garante ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all’esercizio dei loro diritti. Il DPO non è, però, personalmente responsabile nei confronti dei terzi dell’inosservanza degli obblighi in materia di protezione dei dati personali in quanto è compito del Titolare (art. 24 GDPR) mettere in atto le misure tecniche ed organizzative adeguate.
In adempimento a quanto sopra la Cooperativa Noncello ha nominato il suo DPO che può essere contattato dagli interessati per qualsiasi chiarimento o problematica riguardante la propria privacy nei rapporti con la Cooperativa all’indirizzo mail dpo@coopnoncello.it

2. Registro trattamento dati

Il Registro trattamento dati è un documento, redatto dal Titolare del trattamento o dal Responsabile, che contiene tutte le informazioni richieste dall’art. 30 del GDPR, in relazione alle attività che vengono svolte.
La Cooperativa si è dotata di un Registro interno che contiene l’elenco di tutte le attività di trattamento che vengono svolte sia in qualità di Titolare che in qualità di Responsabile Esterno del Trattamento dati con le relative informazioni e connessa analisi del rischio.
Il Registro indica inoltre tutte le misure di sicurezza in essere nella Cooperativa sia di carattere informatico che fisico ed organizzativo, che sono volte a prevenire ed evitare il rischio di violazione dati.

3. Le Informative

Ai sensi degli artt. 12, 13 e 14 del GDPR la Cooperativa Noncello nella veste di Titolare del trattamento mette a disposizione delle persone i cui dati sono trattati (“Interessati”), un’informativa, ossia un documento con cui la stessa informa gli interessati sulle tipologie di dati, le finalità, le modalità nonché i motivi di liceità del trattamento. In quest’ottica l’informativa rappresenta l’espressione del dovere del Titolare di assicurare la trasparenza e la correttezza dei trattamenti fin dalla fase di progettazione degli stessi e di essere in grado di comprovarlo in qualunque momento.

La documentazione messa a disposizione degli interessati, a seconda del ruolo degli stessi è la seguente:

4. Soggetti Incaricati/Autorizzati al trattamento dati

Il MOP prevede che ciascun dipendente/collaboratore del Titolare tratti solamente i dati indispensabili per svolgere le proprie mansioni, in funzione dell’organizzazione interna e soprattutto per le finalità indicate all’interessato (principio di “limitazione della finalità e minimizzazione dei dati”, art. 5 comma 1 lett. b) e c) del Reg. 679/16).
Considerata l’organizzazione interna della Cooperativa sono stati individuati e distinti i referenti interni e gli incaricati al trattamento dati, anche al fine di rendere espliciti i relativi ruoli all’interno dell’organizzazione aziendale: nelle nomine sono, in particolare, indicate tutte le istruzioni che la Cooperativa fornisce ai propri dipendenti per un corretto trattamento dei dati.Si producono i modelli di atti di nomina generici che la Cooperativa adotta in tali situazioni:

5. Responsabile esterno del trattamento dati ex art. 28 GDPR

La Cooperativa, nello svolgimento delle proprie attività, potrebbe trattare i dati di cui sopra anche nella veste di Responsabile esterno del trattamento ai sensi dell’art 28 GDPR, in tutti i casi in cui il trattamento da parte della Cooperativa avviene per conto di un altro soggetto.

Ai sensi dell’art 28 la Cooperativa Noncello, può allo stesso modo avere necessità che soggetti terzi trattino dati per proprio conto. In detti casi la Cooperativa ricorre a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in ragione al trattamento e che garantiscano i diritti e le libertà degli interessati. La Cooperativa provvede a concludere contratti che vincolano ciascun responsabile del trattamento e che disciplino la materia e la durata del trattamento nonché la natura e le finalità, il tipo di dati trattati e le categorie di interessati, gli obblighi ed i diritti.

Si produce un modello di convenzione generale che la Cooperativa adotta in tali situazioni:

6. Regolamento Privacy

La Cooperativa si è dotata di un Regolamento privacy interno che disciplina, nell’ambito delle proprie attività, le modalità di trattamento dei dati personali, nel rispetto di quanto previsto dalla normativa europea e nazionale. Ad integrazione, inoltre, il regolamento privacy per lo smart working.

7. Regolamento sull’utilizzo degli strumenti informatici

La sicurezza informatica è un elemento sempre più rilevante nell’ambito degli Enti, soprattutto in virtù della continua interconnessione dei sistemi ed il considerevole aumento dei servizi offerti attraverso la rete.
Per la Cooperativa è pertanto un obiettivo preciso quello di garantire sempre più alti standard di sicurezza informatica volti a prevenire rischi informatici e di violazione dati. Per tale ragione, oltre alle misure di sicurezza prettamente tecniche, la Cooperativa si è dotata anche di un Regolamento sull’utilizzo degli strumenti informatici quale misura di carattere organizzativo che indica tutte le procedure e le regole di condotta che devono essere tenute da dipendenti e collaboratori per contrastare i rischi informatici.

8. Esercizio diritti degli interessati

Per garantire l’esercizio dei diritti degli interessati previsti dal GDPR quali Diritto di revoca del consenso (art. 7 comma III, art. 13 par. 2 lett. C e art. 9 par. 2 lett. A), Diritto di accesso ai dati (art. 15), Diritto di rettifica (art. 16), Diritto all’oblio (art. 17), Diritto alla limitazione del trattamento (art. 18), Diritto alla portabilità (art. 20), potrà utilizzare i seguenti modelli, da spedire all’indirizzo di posta elettronica certificata coopsocnoncello@legalmail.it debitamente compilati e sottoscritti.

9. Violazione dati (Data Breach)

Cos’è una violazione dei dati personali?

L’art. 4 del GDPR definisce la violazione dei dati personali (data breach) come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Un data breach quindi non è solo un evento doloso come un attacco informatico, ma può essere anche un evento accidentale come un accesso abusivo, un incidente (es. un incendio o una calamità naturale), la semplice perdita di una chiavetta USB o la sottrazione di documenti con dati personali.

In tale ottica i Titolari del trattamento dati devono predisporre le misure tecniche e organizzative adeguate per garantire un livello di sicurezza commisurato al rischio cui sono esposti i dati trattati.

Il GDPR infatti disciplina il data breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al Titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati.

In conformità a quanto previsto, la Cooperativa Noncello si è dotata di una specifica procedura interna, volta a fronteggiare malaugurate ipotesi di violazione dati e tutti i dipendenti e i collaboratori hanno a disposizione il modulo attraverso cui segnalare un data breach. Tuttavia, al fine di consentire alla Cooperativa di adempiere a quanto previsto dal GDPR, in caso di violazione dei dati personali, anche i soggetti esterni possono segnalare potenziali violazioni tempestivamente tramite il seguente modulo.

La Cooperativa si è dotata anche di un registro delle violazioni aggiornato all’occorrenza.

logo coop noncello

COOP NONCELLO
Soc. Coop. Sociale Imp. Sociale O.N.L.U.S.
Via dell’Artigianato 20
33080 Roveredo in Piano (PN)
info@coopnoncello.it
Tel.: (+39) 0434.386811
Fax: (+39) 0434.949960
P. IVA IT00437790934