MAGICSAN S.r.l.
Via Corsica 2, – 16128 Genova
INFORMATIVA E RICHIESTA DI CONSENSO AL TRATTAMENTO DATI
(ai sensi Regolamento UE 2016/679)
Tipologia dei dati trattati: nell’ambito del trattamento effettuato la Magicsan S.r.l. acquisisce e tratta le seguenti tipologie di dati a Voi riferiti:
- dati personali (anagrafici e residenziali, contabili, fiscali)
- dati personali particolari (sanitari per pratiche IVA e simili).
Finalità, liceità e base giuridica del trattamento: i dati personali da noi richiesti e da Voi liberamente forniti in maniera facoltativa, sono:
-raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in maniera conforme al Regolamento Europeo 2016/679, ed in modo lecito, trasparente e corretto che non sia incompatibile con tali finalità,
-adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono raccolti,
-esatti e, se necessario, verificati e/o aggiornati,
-trattati in maniera da garantire un’adeguata sicurezza degli stessi,
-accessibili agli interessati per l’esercizio dei loro diritti
-conservati per un tempo non superiore al conseguimento delle finalità per le quali sono trattati.
In particolare la base giuridica del trattamento (in conformità al diritto dell’Unione o dello Stato membro, alla politica aziendale e a eventuali autorizzazioni in atto da parte del Garante della Privacy) è costituita da:
A) Per dati personali
-l’interessato ha espresso il consenso esplicito al trattamento dei propri dati personali per una o più specifiche finalità;
-il trattamento rappresenta un requisito necessario (e condizionante) all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; la mancata comunicazione di tali dati può invalidare un contratto o rendere impossibile la sua gestione;
-il trattamento è necessario per assolvere gli obblighi (legali e non) ai quali è soggetto il Titolare del trattamento ed esercitare i diritti specifici dello stesso e/o dell’interessato, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.
B) Per dati personali particolari
-l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;
-il trattamento è necessario per assolvere gli obblighi (legali e non) ai quali è soggetto il Titolare del trattamento ed esercitare i diritti specifici dello stesso e/o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;
-il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al reg.to;
I dati personali particolari possono essere trattati per le finalità di cui sopra se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.
Natura e tipo di trattamento effettuato: i dati raccolti sono registrati od organizzati, estratti, inseriti, consultati, conservati ed aggiornati, nonché comunicati o messi disposizione ove necessario sotto forma:
- cartacea (schede ed archivi dati conservati in siti segregati ed accessibili solo a Titolare, Responsabile ed alle persone autorizzate al trattamento, d’ora in poi indicati come Incaricati)
- elettronica (banche dati ed elenchi accessibili solo a Titolare, Responsabile ed Incaricati in possesso di determinati strumenti di accesso)
Gli stessi, al termine dell’intervento, sono poi conservati in archivio protetto e non più ulteriormente trattati se non in caso di nuovo incarico.
Categorie di destinatari: i dati possono essere trasferiti per alcune specifiche necessità di trattamento ad altri soggetti (personale amministrativo, commerciale, marketing, legali, amministratori di sistema), nominati anche, se necessario, Responsabili del Trattamento da parte del titolare. L’elenco aggiornato dei Responsabili potrà essere richiesto in qualsiasi momento al Titolare del Trattamento.
Tali soggetti (che si configurano anche quali Responsabili Esterni del trattamento) sono designati ed operano in funzione di un atto giuridico specifico tra le parti (Titolare e Responsabile) acquisendo gli stessi obblighi del Titolare. In ogni caso il Titolare del trattamento ricorre unicamente a Responsabili del trattamento che presentano garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato.
Nel caso di variazione dei soggetti di cui sopra Vi sarà data specifica informazione sui nuovi dati di contatto con gli stessi.
Inoltre i dati sono conferiti ad Enti pubblici e/o pubblici servizi (banche, ecc.) per lo svolgimento delle rispettive pratiche di competenza:
Gli stessi possono anche essere forniti in riferimento ad espresso provvedimento di richiesta, alle competenti autorità di pubblica sicurezza.
Titolare del trattamento dei dati:
Magicsan S.r.l. – info@magicsan.it
Periodo di conservazione dei dati e relativi criteri di definizione: i dati in oggetto, raccolti e trattati solo per gli scopi suddetti e dalle sole persone abilitate sono conservati, in una forma che consenta l’identificazione degli interessati per un arco di tempo strettamente necessario e non superiore al conseguimento delle finalità per le quali sono trattati, in modo idoneo e tale da garantire la inaccessibilità degli stessi a persone non abilitate e subito distrutti al termine ultimo dell’utilizzo stabilito come segue:
- i dati, al termine dell’intervento, sono poi conservati in archivio protetto e non più ulteriormente trattati se non in caso di nuovo incarico.
Analisi del rischio e misure di sicurezza tecniche e organizzative per la protezione dei dati: l’analisi dei rischi correlati al trattamento ha permesso di evidenziare le seguenti possibilità di impatti potenzialmente negativi sulle libertà e diritti degli interessati (anche se il livello di rischio è considerato basso):
-perdita o distruzione dei dati
-accesso o modifica illegali, accidentali o non autorizzati
-divulgazione o trasmissione non autorizzati.
Conseguentemente il Titolare ed il Responsabile del trattamento, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del livello di rischio per i diritti e le libertà delle persone fisiche, hanno predisposto, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, adeguate misure tecniche ed organizzative, volte ad attuare in modo efficace i principi di protezione dei dati.
Tali misure soddisfano i requisiti del Regolamento UE, assicurando che il trattamento è effettuato conformemente allo stesso, garantendo l’integrità e la riservatezza dei dati a tutela dei diritti degli interessati ed in particolare per:
-proteggere i dati da qualunque intrusione, accesso e/o trattamento o divulgazione non autorizzato o illecito, come pure da perdita, modifica o distruzione
-cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati
Tre sono le tematiche inerenti le misure di sicurezza che compongono un approccio razionale ad una gestione assicurata dei dati, ovvero:
- le misure di sicurezza fisiche
- le misure logico/procedurali di sicurezza
- gli interventi di controllo
Tali misure comprendono:
a)la programmazione e l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento, tali che, per impostazione predefinita, siano resi disponibili ed utilizzati solo i dati personali necessari per ogni specifica finalità del trattamento e dalle sole persone incaricate (ad es. con la redazione di procedure di specie e con la formazione degli operatori, nonché con particolari requisiti di accesso e autorizzazione);
b) la capacità di assicurarne su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (ad es. con la pseudonimizzazione e la cifratura dei dati personali, nonché con presidio dei dati cartacei e informatizzati durante il trattamento e segregazione dei dati non in utilizzo);
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico o ambientale (con la dotazione e messa in atto di sistemi di back up e di ripristino anche a cura di amministratori di sistema esterni e di sistemi di allarme, rilevamento e protezione e gruppi di continuità)
d) una procedura e strumenti documentali per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Dette misure sono riesaminate e aggiornate qualora necessario.
Diritti dell’interessato: in ossequio alle disposizioni di cui agli artt. dal 14 al 22 del regolamento UE l’interessato ha diritto di:
- Reclamo: ad una autorità di controllo (art. 14)
- Accesso: l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere
- l’accesso ai dati personali e alle informazioni di cui all’art. 15
- Rettifica: l’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa (art. 16).
- Cancellazione («diritto all’oblio»): l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi di cui alle lettere da a ad f dell’art. 17 ed in particolare se:
- a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati
- b) l’interessato revoca il consenso o si oppone al trattamento.
Limitazione di trattamento: l’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle ipotesi di cui alle lettere da a a d dell’art. 18.
Portabilità dei dati: l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti, artt. 19 e 20.
Opposizione: l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 21.
Opposizione al Processo decisionale automatizzato, compresa la profilazione: l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona (art. 22).
In tutti questi casi il Titolare del trattamento agevola l’esercizio dei diritti dell’interessato fornendogli le informazioni relative all’azione intrapresa riguardo alla richiesta pervenuta ai sensi degli articoli succitati al più tardi entro un mese dal ricevimento della richiesta stessa (tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste) o, ove non possibile, il Titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e (tra cui anche il carattere manifestamente infondato o eccessivo della richiesta) della possibilità di proporre reclamo a un’autorità di controllo (v. art.14)
Notifica violazioni: nel caso in cui avvengano violazioni in ordine ai dati trattati il Titolare (e/o il Responsabile esterno ove presente) del trattamento provvede a notificare la stessa all’autorità di controllo ai sensi dei disposti di cui all’art. 33 del Regolamento e, ove necessario, anche all’interessato ai sensi dell’art. 34 dello stesso.
Ultima modifica: 17/09/2018