Questo manuale fornisce una guida dettagliata sulle pratiche e le valutazioni necessarie per la protezione della privacy, in conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR) 2016/679/UE. L'obiettivo è fornire una panoramica completa, dalla documentazione delle procedure alla gestione dei rischi e dei diritti degli interessati.
Introduzione
La protezione dei dati personali è diventata una priorità imprescindibile nell'era digitale. Questo manuale di autodifesa per la privacy mira a fornire una guida pratica e completa per affrontare le sfide poste dal trattamento dei dati personali, in conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR). Lo scopo è quello di documentare i comportamenti e le valutazioni opportune e richieste ai fini della privacy. Lo si faceva anche prima, ma senza tenerne traccia.
Quadro Normativo di Riferimento
GDPR (Regolamento 2016/679/UE)
Il Regolamento Generale sulla Protezione dei Dati (GDPR), Regolamento 2016/679/UE disponibile su Garanteprivacy.it, rappresenta la pietra angolare della legislazione europea in materia di privacy. Questo regolamento stabilisce i principi, i diritti e gli obblighi relativi al trattamento dei dati personali, garantendo un livello elevato di protezione per tutti i cittadini dell'Unione Europea.
Art. 13 del GDPR
L'articolo 13 del GDPR impone al titolare del trattamento di fornire all'interessato una serie di informazioni chiare e trasparenti al momento della raccolta dei dati. Queste informazioni includono l'identità del titolare del trattamento, le finalità del trattamento, le categorie di dati trattati, i destinatari dei dati, il periodo di conservazione dei dati e i diritti dell'interessato. L’informativa è divisa in una prima parte di carattere generale e in una seconda parte dove sono affrontati i singoli trattamenti. Viene fornita ex art. 13 e le norme (v. dopo) correlate del GDPR, Regolamento 2016/679/UE disponibile su Garanteprivacy.it.
Articoli 15 e seguenti del GDPR
Gli articoli 15 e seguenti del GDPR delineano i diritti degli interessati, tra cui il diritto di accesso ai dati personali, il diritto di rettifica, il diritto alla cancellazione (diritto all'oblio), il diritto alla limitazione del trattamento e il diritto di opposizione al trattamento. Gli interessati hanno diritto all’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda o di opporsi al trattamento (artt. 15 e ss. del Regolamento). Ex art. 12, si gode dei diritti ex artt.
Leggi anche: Cinema da Combattimento: I 400 Calci
Art. 77 del GDPR
L'articolo 77 del GDPR conferisce agli interessati il diritto di proporre reclamo al Garante per la protezione dei dati personali qualora ritengano che il trattamento dei loro dati violi il regolamento. AZIONI: Gli interessati hanno il diritto di proporre reclamo al Garante, come previsto dall’art. 77 del Regolamento stesso, o di adire le opportune sedi giudiziarie (art.
Condizioni Generali di Privacy
Le condizioni generali di privacy devono essere allegate ai contratti firmati la prima volta e citate e richiamate nei contratti successivi. Possono essere aggiornate tramite pubblicazione sul sito web. Nota sulle condizioni generali di privacy: andranno allegate, insieme alle condizioni generali, ai contratti firmati la prima volta; poi dovranno essere citate nelle trattative e richiamate nei contratti successivi. Possono essere aggiornate nello stesso modo in cui sono pubblicate, e cioè sul vostro sito.
Informativa sulla Privacy
L'informativa sulla privacy deve essere strutturata in due parti: una di carattere generale e una specifica per i singoli trattamenti. L’informativa è divisa in una prima parte di carattere generale e in una seconda parte dove sono affrontati i singoli trattamenti. Viene fornita ex art. 13 e le norme (v. dopo) correlate del GDPR, Regolamento 2016/679/UE disponibile su Garanteprivacy.it.
Analisi di Rischio
L'analisi di rischio è un elemento fondamentale per la protezione dei dati personali. Deve essere comune a tutti i trattamenti effettuati. L’analisi di rischio è comune: a tutti i trattamenti.
Valutazione dei Rischi (Art.)
La valutazione dei rischi deve essere effettuata per ogni trattamento di dati personali, considerando la probabilità e la gravità dei rischi per i diritti e le libertà degli interessati. Si rinvia ad ogni singolo trattamento; in generale non ci sono rischi assoluti ma relativi. Scopo dell’associazione è diffondere le iniziative collettive e personali a richiesta; per alcuni la discrezione è più importante che per altri. Ogni richiesta va quindi annotata e valutata per costituire un precedente da seguire anche in altri casi, sotto il coordinamento del responsabile privacy. In concreto medio alto, in ipotesi alto (v.
Leggi anche: Storia del Taekwondo ITF e FITAE
Diritti degli Interessati
Gli interessati godono di una serie di diritti che devono essere garantiti dal titolare del trattamento.
Diritto di Accesso
Gli interessati hanno il diritto di ottenere la conferma che sia o meno in corso un trattamento di dati personali che li riguardano e, in tal caso, di ottenere l'accesso ai dati personali e alle informazioni specificate nell'articolo 15 del GDPR. DIRITTI: Gli interessati hanno diritto all’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda o di opporsi al trattamento (artt. 15 e ss. del Regolamento). Ex art. 12, si gode dei diritti ex artt.
Diritto di Rettifica
Gli interessati hanno il diritto di ottenere la rettifica dei dati personali inesatti che li riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Diritto alla Cancellazione (Diritto all'Oblio)
Gli interessati hanno il diritto di ottenere la cancellazione dei dati personali che li riguardano senza ingiustificato ritardo, se sussiste uno dei motivi di cui all'articolo 17 del GDPR.
Diritto alla Limitazione del Trattamento
Gli interessati hanno il diritto di ottenere la limitazione del trattamento quando ricorre una delle ipotesi di cui all'articolo 18 del GDPR.
Leggi anche: Strategie di autodifesa verbale
Diritto di Opposizione
Gli interessati hanno il diritto di opporsi in qualsiasi momento, per motivi connessi alla loro situazione particolare, al trattamento dei dati personali che li riguardano ai sensi dell'articolo 6, paragrafo 1, lettere e) o f) del GDPR, compresa la profilazione sulla base di tali disposizioni.
Diritto di Proporre Reclamo al Garante
Gli interessati hanno il diritto di proporre reclamo al Garante per la protezione dei dati personali qualora ritengano che il trattamento dei loro dati violi il GDPR. AZIONI: Gli interessati hanno il diritto di proporre reclamo al Garante, come previsto dall’art. 77 del Regolamento stesso, o di adire le opportune sedi giudiziarie (art.
Mancata Contestazione Specifica
La mancata contestazione specifica, completa e documentata («messa in mora») dell’interessato che dovrà identificarsi (artt. RICHIESTE: Le richieste manifestamente infondate o eccessive o ripetitive ex art.12 o in più copie (art.
Misure di Sicurezza Tecniche e Organizzative
Le misure di sicurezza tecniche e organizzative sono essenziali per garantire un livello di sicurezza adeguato al rischio.
Credenziali di Accesso
Ad ogni addetto devono essere fornite credenziali di accesso personali e password diverse per ogni servizio, ove tecnicamente possibile. Ad ogni addetto fornire credenziali di accesso personali e password diverse per ogni servizio, ove tecnicamente possibile. L’apposita policy sintentica costituisce il punto di partenza da integrare con le altre istruzioni che verranno date nel tempo facendo riferimento a chi si occupa di privacy.
Password
La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi.
Gestione delle Assenze
Quando l’accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema.
Protezione da Intrusioni e Programmi Dannosi
I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art.
Aggiornamenti dei Programmi
Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente.
Formazione degli Incaricati
la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. Le indicazioni generali vengono fornite all’incarico e successivamente.
Protezione dei Dati Sensibili e Giudiziari
I dati sensibili o giudiziari sono protetti contro l’accesso abusivo, di cui all’art.
Controllo degli Accessi agli Archivi
L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate.
Istruzioni Scritte agli Incaricati
Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.
Copie di Sicurezza
effettuare copie di sicurezza complete o incrementali (es. usare un password manager (es. I dati vengono backuppati su NAS non connesso a internet, e aggiornato manualmente (non sincronizzato in tempo reale che comporterebbe rischi per il ransomware).
Software
software v.
Sensori di Movimento
Sensori di movimento ad infrarossi per antifurto. Installare i sensori di movimento Verisure è semplice e rapida, non richiede la realizzazione di opere murarie perché i dispositivi sono 100% wireless. I sensori di movimento, come tutti gli altri dispositivi Verisure, sono conformi alla tutela del diritto alla privacy. In conformità con la normativa degli Istituti di Vigilanza Privata, la Centrale Operativa Verisure può visualizzare cosa accade all’interno della proprietà solo se i sensore allarme si attivano, per effettuare la verifica dell’evento.
Comunicazione di Violazione dei Dati Personali
Art. 34 Comunicazione di una violazione dei dati personali all’interessato
Modalità di Trattamento dei Dati
Forma delle Comunicazioni
La forma scritta si intende assolta tra le parti per ogni finalità di legge in relazione ad ogni comunicazione telematica. FORMA: La forma scritta si intende assolta tra le parti per ogni finalità di legge in relazione ad ogni comunicazione telematica.
Dati non Diffusi
Dati non diffusi se non in pubblico a richiesta, v.
Prestito Librario
Comune prestito librario. Chi si occupa del prestito deve accertare l’identità dichiarata ma senza conservare i documenti; la tessera potrà essere rilasciata o trattenuta a richiesta dell’interessato se non vuole tenere la tessera con sè. Registro privacy in sede, a cura dell’addetto privacy.
Statistiche del Sito Web
Viene scelto il software per le statistiche tramite plugin WordPress sviluppati per l’adeguamento al GDPR wp-statistics ad esempio. Viene scelto il software per le statistiche tramite plugin WordPress sviluppati per l’adeguamento al GDPR wp-statistics ad esempio.
Hosting
Quelli correlati all’hosting di un sito (v. L’hosting praticamente non è funzionale a trattare dati specifici, quando a pubblicare qualsiasi cosa.
Newsletter
La gestione delle newsletter è sempre vista come un rischio. I singoli coordinatori di circoli possono concordare con i soci per territorio di adottare newsletter interne. In tal caso operano come titolari e devono provvedere agli adempimenti di legge raccogliendo richieste/consense dagli interessati. Area dove comunicare con gli associati, anche informandoli delle attività territoriali oltre che nazionali.
Eventi di Promozione Culturale
UAAR organizza eventi di promozione culturale. I dati sono archiviati dopo un mese la premiazione e tenuti ancora ma offline massimo per due anni per finalità di documentazione e verifica; poi distrutti salvo tutela giurisdizionale.
Discussioni Online
Discutere online non è un rischio in sè, sotto il profilo tecnico; sotto il profilo umano i conflitti o flame possono scoppiare in ogni momento. - Base giuridica: negoziale, promuovere le discussioni senza commettere reati o attività dannose (diffamazione o altro). I commenti ai post sul sito www.uaar.it (WordPress) si possono lasciare solo registrandosi su uaar; la registrazione non è condivisa con Discourse. La registrazione è necessaria per partecipare. I dati lasciati durante le discussioni e alla registrazione non sono usati per profilare ma solo per partecipare.
Corsi di Formazione
I dati gestiti sono funzionali ad espletare il corso; i nomi dei partecipanti sono comunicati al formatore per la formazione, mentre le comunicazioni originano sempre da Uaar su iniziativa del formatore o per comunicazioni correlate all’attività formativa. L’esito della formazione viene certificato quando a buon fine. Parte automatizzati, parte manuale. Il sistema offre dati aggiornati, ma l’errore umano è dietro l’angolo.
Mappe
La mappa sarà pubblicata aggregando i dati in modo da non sapere quali parrocchie hanno un numero troppo piccolo di procedure (es.
Reindirizzamenti
Il servizio, installato internamente SOLO per chi cura i contenuti e indica i link su siti e social, viene usato per evitare che i soliti redirect più famosi possano tracciare. In particolare registra il numero di clic senza fare controlli di ip o altri dati. Si noti come molti servizi sono stati installati internamente (mappe, redirect) per evitare di lasciare dati sul web.
Ecommerce
E’ una normale attività di ecommerce. Newsletter: non sembra collegata alle vendite.
Siti Web
Alcuni siti sono realizzati solo per campagne informative sui diritti civili: pagine statiche senza raccolta di dati. Analitiche (v. Siti informativi. Per la durata dell’assistenza. Per restare aggiornato delle attività del sito.
Cookie
Possono essere cancellati dai browser, accedendo a opzioni/impostazioni sicurezza o cercando gestione cookies. COOKIES: Possono essere cancellati dai browser, accedendo a opzioni/impostazioni sicurezza o cercando gestione cookies. Ricorda: il cookie banner è obbligatorio solo in presenza di profilanti, ma comunque devono essere bloccati prima del consenso. Ogni tracciante o cookie ha un nome, valore, durata, tipologie pubblicamente consultabili tramite pannello sviluppo / tasto f12. I traccianti e i cookies sono indicati per categoria, finalità di trattamento, durata, e tipologia come indicato per ogni singola voce della policy e come risultano dai browser, tasto F12/modalità sviluppatore. Senza di essi non è possibile aggiornare o accedere alle aree riservate del sito. Sono usati i seguenti cookies tecnici e temporanei, utili per gestire il sito e personalizzare la navigazione o eseguire i servizi richiesti. I nostri cookies si distinguono facilmente e sono tecnici, solo per la gestione del sito. Se usati,i cookie di Google per le analitics sono gestiti direttamente da Google analitics o tramite Google Tag Manager con i suffissi da loro scelti (di solito _gxxx). In alternativa possono essere utilizzati in singoli siti tool open source (Matomo, OWA o plugin per WordPress) di analitiche interne, anonimizzati, eventualmente con tracciamento di aree calde (heat maps) per periodi limitati, per migliorare le interfacce dei siti. Questo sito potrebbe, in sede di aggiornamento del sito, utilizzare plugin di parti terze che possono essere inserite nella struttura del sito su richiesta dal gestore o direttamente da chi inserisce i contenuti. Il visitatore può gestire i cookies tramite browser o programmi esterni. Cookie tecnici per la raccolta dell’ordine e del carrello (v. Attualmente i siti utilizzano font e contenuti da cdn solo in locale.
Responsabile della Privacy
V. Il responsabile per la privacy è Loris Tissino.
tags: #ico #ed #exchange #manuale #di #autodifesa