GDPR & Privacy
POLITICA SULLA PROTEZIONE DEI DATI PERSONALI AI SENSI DEL GDPR
1. CAMPO DโAPPLICAZIONE, SCOPO E DESTINATARI
LโAzienda si impegna a rispettare le leggi e i regolamenti applicabili relativi alla protezione dei dati personali nei paesi in cui lโAzienda opera. Questa Politica stabilisce i principi di base con cui lโAzienda tratta i dati personali di consumatori, clienti, fornitori, partner commerciali, dipendenti e altre persone e indica le responsabilitร dei propri dipartimenti aziendali e dipendenti durante il trattamento dei dati personali.
La presente politica si applica allโAzienda e alle aziende che controlla direttamente o indirettamente che svolgono attivitร allโinterno dello Spazio Economico Europeo (SEE) o che trattano i dati personali degli interessati allโinterno del SEE.
I destinatari di questo documento sono tutti i dipendenti, permanenti o temporanei, e tutti i collaboratori che lavorano per conto dellโAzienda.
2. DOCUMENTI DI RIFERIMENTO
โข Il Regolamento (UE) 2016/679 del 27 Aprile 2016 (di seguito GDPR)
โข Decreto legislativo n. 196 del 30 Giugno 2003 (Codice Privacy) e s.m.i.
โข Politica di conservazione dei Dati
โข Linee guida per lโelenco dei dati e la mappatura delle attivitร di trattamento
โข Descrizione dei Ruolo del Responsabile della Protezione dei Dati
โข Procedura per la richiesta di accesso ai dati da parte dellโinteressato
โข Metodologia di valutazione dโimpatto sulla protezione dei dati
โข Procedura di comunicazione di una violazione di dati
โข Manuale SGI
3. OGGETTO E FINALITร
Il GDPR stabilisce le norme per la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchรฉ le norme per la libera circolazione di tali dati (articolo 1).
4. AMBITO DI APPLICAZIONE MATERIALE
Nellโambito di applicazione materiale del Regolamento vi sono:
โข I dati personali sottoposti a trattamento interamente o parzialmente automatizzato.
โข I dati personali contenuti in un archivio o destinati a esservi inseriti.
Fuori dallโambito di applicazione materiale vi sono:
โข I dati personali utilizzati nel corso di attivitร che non rientrano nellโambito di applicazione del diritto dellโUE.
โข I dati personali utilizzati nei controlli doganali e per le pratiche di asilo e immigrazione.
โข I dati personali utilizzati in relazione ad attivitร puramente personali.
โข I dati personali utilizzati a fini di prevenzione dei crimini, ecc.
5. AMBITO DI APPLICAZIONE TERRITORIALE
Il Regolamento si applica:
โข I dati personali utilizzati nel corso di attivitร che non rientrano nellโambito di applicazione del diritto dellโUE.
โข I dati personali utilizzati nei controlli doganali e per le pratiche di asilo e immigrazione.
โข I dati personali utilizzati in relazione ad attivitร puramente personali.
โข I dati personali utilizzati a fini di prevenzione dei crimini, ecc.
6. DEFINIZIONI
Rispetto al Codice della Privacy (Decreto legislativo n. 196 del 30/06/2003) รจ stata eliminata la definizione di dati sensibili e di dati giudiziari; ora si parla di:
โข Ai titolari e ai responsabili del trattamento nellโUnione, a prescindere dal luogo in cui avviene il trattamento.
โข Ai titolari e ai responsabili del trattamento che non sono residenti nellโUnione quando le attivitร di trattamento riguardano:
โข โ Beni o servizi, a prescindere dal fatto che sia richiesto o meno un pagamento. โ Il monitoraggio del comportamento degli interessati allโinterno dellโUE.
โข Ai titolari del trattamento non stabiliti nellโUnione, ma in un luogo in cui si applica il diritto di uno Stato membro.
โข Categorie particolari di dati personali: dati personali che rivelino lโorigine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o lโappartenenza sindacale, i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o allโorientamento sessuale della persona.
โข Dati relativi alla salute: dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
โข Categorie particolari di dati personali: dati personali che rivelino lโorigine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o lโappartenenza sindacale, i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o allโorientamento sessuale della persona.
โข Dati genetici: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dallโanalisi di un campione biologico della persona fisica in questione;
โข Dati biometrici: dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano lโidentificazione univoca, quali lโimmagine facciale o i dati dattiloscopici.
โข Le seguenti definizioni di termini utilizzati in questo documento sono tratte dal Regolamento Generale sulla Protezione dei Dati dellโUnione Europea (GDPR):
โข Dato Personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (ยซInteressatoยป); si considera identificabile la persona fisica che puรฒ essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi allโubicazione, un identificativo online o a uno o piรน elementi caratteristici della sua identitร fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
โข Titolare del trattamento dei dati (Titolare): la persona fisica o giuridica, lโautoritร pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalitร e i mezzi del trattamento di dati personali.
โข Responsabile del trattamento dei dati (Data Processor DP): la persona fisica o giuridica, lโautoritร pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare.
โข Responsabile della protezione dei dati (Data Protection Officer DPO): la persona fisica, la societร , lโente pubblico o privato, lโassociazione o lโorganismo cui il titolare affida, anche allโesterno della sua struttura organizzativa, specifici e definiti compiti di gestione e controllo del trattamento dei dati. La designazione di un DPO รจ obbligatoria:
โ se il trattamento รจ svolto da unโautoritร pubblica o da un organismo pubblico;
โ se le attivitร principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure โ se le attivitร principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
La designazione obbligatoria di un DPO puรฒ essere prevista anche in casi ulteriori in base alla legge nazionale o al diritto dellโUe. Qualora si proceda alla designazione di un DPO su base volontaria, si applicano gli identici requisiti โ in termini di criteri per la designazione, posizione e compiti โ che valgono per i DPO designati in via obbligatoria (art. 37 GDPR).
โข Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza lโausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, lโorganizzazione, la strutturazione, la conservazione, lโadattamento o la modifica, lโestrazione, la consultazione, lโuso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o lโinterconnessione, la limitazione, la cancellazione o la distruzione.
โข Consenso dellโinteressato: qualsiasi manifestazione di volontร libera, specifica, informata e inequivocabile dellโinteressato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
โข Violazione dei dati personali: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o lโaccesso ai dati personali trasmessi, conservati o comunque trattati.
โข Anonimizzazione : Deidentificazione irreversibile dei dati personali in modo tale che la persona non possa essere identificata utilizzando tempi, costi e tecnologie ragionevoli da parte del Titolare o di qualsiasi altra persona per identificare lโinteressato. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile.
โข Pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano piรน essere attribuiti a un interessato specifico senza lโutilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile. La pseudonimizzazione riduce, ma non elimina completamente, la possibilitร di collegare il dato personale allโinteressato. Poichรฉ i dati pseudonimizzati sono comunque dati personali, il trattamento dei dati pseudonimizzati dovrebbe essere conforme ai principi del trattamento dei dati personali.
โข Trattamento transfrontaliero: trattamento di dati personali che ha luogo nellโambito delle attivitร di stabilimenti in piรน di uno Stato membro di un Titolare o DP dei dati nellโUnione ove il Titolare o il DP siano stabiliti in piรน di uno Stato membro; oppure il trattamento di dati personali che ha luogo nellโambito delle attivitร di un unico stabilimento di un Titolare o DP nellโUnione, ma che incide o probabilmente incide in modo sostanziale su interessati in piรน di uno Stato membro;
โข Autoritร di Controllo: lโautoritร pubblica indipendente istituita da uno Stato membro ai sensi dellโarticolo 51 del GDPR dellโUE; per lโItalia รจ il Garante per la protezione dei dati personali (GARANTE) con sede in Piazza di Monte Citorio n. 121 โ 00186 Roma โ www.gpdp.it โ www.garanteprivacy.it E-mail: garante@gsdp.it Fax: (+39) 06.69677.3785 Centralino telefonico: (+39) 06.69677.1
7. PRINCIPI APPLICABILI AL TRATTAMENTO DEI DATI PERSONALI
I principi applicabili alla protezione dei dati delineano le responsabilitร delle organizzazioni nella gestione dei dati personali. Il Titolare รจ competente per il rispetto dei principi, e deve essere in grado di comprovarlo.
LICEITร, CORRETTEZZA E TRASPARENZA
I dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dellโinteressato.
Il trattamento รจ lecito solo se e nella misura in cui ricorre almeno UNA delle seguenti condizioni:
โข Lโinteressato ha espresso il consenso per una o piรน specifiche finalitร .
โข Il trattamento รจ necessario allโesecuzione di un contratto di cui lโinteressato รจ parte.
โข Il trattamento รจ necessario per adempiere un obbligo legale del titolare del trattamento.
โข Il trattamento รจ necessario per la salvaguardia degli interessi vitali dellโinteressato.
โข Il trattamento รจ necessario per lโesecuzione di un compito di interesse pubblico o connesso allโesercizio dei poteri di cui รจ investito il titolare del trattamento.
โข Il trattamento รจ necessario per il perseguimento del legittimo interesse del titolare del trattamento.
LIMITAZIONE DELLE FINALITร
I dati personali devono essere raccolti per finalitร determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalitร .
MINIMIZZAZIONE DEI DATI
I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario in relazione alle finalitร per cui sono trattati. Lโazienda deve applicare lโanonimizzazione o la pseudonimizzazione ai dati personali, se possibile, per ridurre il rischio per gli interessati.
ESATTEZZA
I dati personali devono essere esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalitร per le quali sono trattati.
LIMITAZIONE DEL PERIODO DI CONSERVAZIONE
I dati devono essere conservati in una forma che consenta lโidentificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalitร per le quali sono trattati.
INTEGRITร E RISERVATEZZA
Tenendo conto delle tecnologie e di altre misure di sicurezza disponibili, dei costi di attuazione e la probabilitร e gravitร dei rischi per i dati personali, lโAzienda ha messo in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato per i dati personali, inclusa la protezione dalla distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o lโaccesso non autorizzati.
RESPONSABILIZZAZIONE
Il Titolare del trattamento dei dati รจ competente per il rispetto dei principi sopra descritti e attraverso la corretta applicazione ed osservazione della presente politica รจ in grado di comprovarlo.
8. PRINCIPI DI PROTEZIONE DEI DATI NELLE ATTIVITร COMMERCIALI
LโAzienda ha implementato i principi della protezione dei dati nel proprio sistema gestionale privacy, garantendo la conformitร normativa delle diverse fasi operative, dalla raccolta al trattamento.
NOTIFICA AGLI INTERESSATI
(Vedi il capitolo Linee guida sul corretto trattamento.)
SCELTA E CONSENSO DELLโINTERESSATO
(Vedi il capitolo Linee guida sul corretto trattamento.)
RACCOLTA
Obiettivo dellโAzienda รจ adottare e migliorare costantemente i propri processi organizzativi ed operativi per raccogliere il minor numero di dati personali possibile. Se i dati personali sono raccolti da terzi, il responsabile del trattamento deve garantire che i dati personali siano raccolti legalmente. Manuale del Modello Organizzativo Privacy ai sensi del Regolamento (UE) 2016/679 Rev. 01 del 14/09/2018 DOCUMENTO AD USO INTERNO Pag. 13 di 44
USO, CONSERVAZIONE E SMALTIMENTO
Le finalitร , i metodi, il limite di registrazione e il periodo di conservazione dei dati personali devono essere coerenti con le informazioni contenute nellโInformativa sulla Privacy. Lโazienda deve mantenere lโesattezza, lโintegritร , la riservatezza e la rilevanza dei dati personali in base allo scopo del trattamento. ร necessario utilizzare adeguati meccanismi di sicurezza volti a proteggere i dati personali per impedire che vengano rubati, utilizzati in modo improprio o abusati e prevenire le violazioni dei dati personali. Il Titolare รจ responsabile della conformitร con i requisiti elencati in questa sezione.
DIVULGAZIONE A TERZI
Ogni volta che la Societร utilizza un fornitore o un partner commerciale terzo per il trattamento dei dati personali per suo conto, รจ necessario ottenere garanzie che questo fornisca misure di sicurezza per salvaguardare i dati personali adeguate ai rischi associati (per esempio uso inappropriato dei dati personali, divulgazione non autorizzata ecc). LโAzienda si impegna a richiedere contrattualmente al fornitore o partner commerciale di fornire un adeguato livello di protezione dei dati (Modulo GDPR-NRET Nomina Responsabile Esterno Trattamento). I fornitori o i partner commerciali devono trattare i dati personali solo per adempiere ai propri obblighi contrattuali nei confronti dellโAzienda o dietro istruzioni dellโAzienda e non per altri scopi. Quando lโAzienda tratta i dati personali congiuntamente con un terzo indipendente, essa deve specificare esplicitamente le responsabilitร proprie e quelle del terzo nel relativo contratto o qualsiasi in altro documento legalmente vincolante.
TRASFERIMENTO TRANSFRONTALIERO DEI DATI PERSONALI
LโAzienda non esegue trasferimenti di dati personali allโestero, comunque eventualmente prima di trasferire i dati personali dallo Spazio Economico Europeo (SEE) devono essere utilizzate misure di protezione adeguate, compresa la firma di un accordo sul trasferimento dei dati, come richiesto dallโUnione Europea e, se necessario, deve essere ottenuta lโautorizzazione della relativa Autoritร per la Protezione dei Dati.
DIRITTO DโACCESSO DA PARTE DEGLI INTERESSATI
Lโazienda รจ responsabile di fornire agli interessati un ragionevole meccanismo di accesso per consentire loro di accedere ai propri dati personali e deve consentire loro di aggiornare, rettificare, cancellare o trasmettere i propri dati personali, se del caso o richiesto dalla legge. Il meccanismo di accesso sarร ulteriormente dettagliato nella Procedura di richiesta di accesso ai dati da parte dellโInteressato.
PORTABILITร DEI DATI
Gli interessati hanno il diritto di ricevere, su richiesta, una copia dei dati che ci hanno fornito in un formato strutturato e di trasmettere tali dati a un altro Titolare, gratuitamente. Lโazienda รจ responsabile di garantire che tali richieste vengano elaborate entro un mese, non siano eccessive e non incidano sui diritti relativi ai dati personali di altre persone.
DIRITTO ALLโOBLIO
Su richiesta, gli interessati hanno il diritto di ottenere dallโAzienda la cancellazione dei propri dati personali se sussiste uno dei seguenti motivi:
โข I dati personali non sono piรน necessari rispetto alle finalitร per le quali erano stati raccolti o altrimenti trattati.
โข Lโinteressato revoca il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico per il trattamento.
โข Lโinteressato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento.
โข I dati personali sono stati trattati illecitamente.
โข I dati personali devono essere cancellati per adempiere un obbligo legale.
9. LINEE GUIDA SUL CORRETTO TRATTAMENTO
I dati personali devono essere trattati solo se esplicitamente autorizzati dal Titolare del trattamento. Il Titolare stabilisce se eseguire la Valutazione dโImpatto sulla protezione dei dati per ciascuna attivitร di trattamento dei dati in base alle Linee guida sulla Valutazione dโImpatto sulla protezione dei dati.
COMUNICAZIONI AGLI INTERESSATI
Al momento della raccolta o prima della raccolta di dati personali per qualsiasi tipo di attivitร di trattamento, ma non limitata alla vendita di prodotti, servizi o attivitร di marketing, il Titolare รจ responsabile di informare adeguatamente gli interessati di quanto segue:
โข lโidentitร e i dati di contatto del Titolare del trattamento;
โข se nominato, lโidentitร e i dati di contatto del Responsabile della Protezione dei dati (DPO);
โข modalitร e finalitร del trattamento dei dati;
โข presupposti giuridici al trattamento dei dati;
โข categorie di destinatari;
โข i potenziali trasferimenti dei dati (eventuale);
โข il periodo di conservazione;
โข i diritti dellโinteressato riguardo ai suoi dati personali;
โข se i dati saranno condivisi con terzi e le misure di sicurezza stabilite dallโAzienda per proteggere i dati personali;
โข le conseguenze del mancato consenso al trattamento.
Queste informazioni sono fornite tramite lโInformativa sulla Privacy (Modello GDPR-IC per i Clienti; GDPR-IF per i Fornitori). Lโazienda inoltre, in osservanza del principio di Accountability (responsabilizzazione) dovrร ottenere dallโinteressato la conferma che lo stesso ha letto e compreso il contenuto dellโinformativa mediante apposita dichiarazione sulla copia della stessa.
OTTENERE I CONSENSI
Ogni volta che il trattamento dei dati personali si basa sul consenso dellโinteressato, o su altri motivi legittimi, il Titolare รจ responsabile:
โข della conservazione di una registrazione di tale consenso (mediante conservazione del modulo di informativa sottoscritto dallโinteressato);
โข di fornire agli interessati le opzioni per dare il consenso;
โข di informare gli interessati e garantire loro come il consenso prestato (ogni volta che il consenso venga utilizzato come base legale per il trattamento) possa essere revocato in qualsiasi momento.
Laddove la raccolta di dati personali si riferisca a un minore di etร inferiore ai 16 anni, il Titolare deve garantire che il consenso del titolare della responsabilitร genitoriale sia fornito prima della raccolta utilizzando il modulo specifico. Quando si richiede di correggere, modificare o distruggere le registrazioni dei dati personali, il Titolare deve garantire che tali richieste siano gestite entro un ragionevole lasso di tempo e deve anche registrare le richieste e tenere un registro di queste. I dati personali devono essere trattati solo per le finalitร per cui sono stati originariamente raccolti. Nel caso in cui lโAzienda desideri trattare i dati personali raccolti per un altro scopo, lโAzienda deve richiedere il consenso degli interessati in forma scritta chiara e concisa. Qualsiasi richiesta di questo tipo dovrebbe includere lo scopo originale per cui sono stati raccolti i dati e anche gli scopi nuovi o aggiuntivi. La richiesta deve includere anche il motivo del cambiamento di scopo. Ora e in futuro, il Titolare deve garantire che i metodi di raccolta siano conformi alla legge, alle buone pratiche e alle norme industriali pertinenti. Il Titolare รจ responsabile della creazione e della manutenzione di un registro delle Informative sulla Privacy.
TRATTAMENTO DI CATEGORIE PARTICOLARI DI DATI PERSONALI
ร vietato trattare dati personali che rivelino:
โข razza;
โข origine etnica;
โข opinioni politiche;
โข convinzioni religiose;
โข convinzioni filosofiche;
โข appartenenza sindacale;
โข dati genetici;
โข dati biometrici;
โข dati relativi alla salute;
โข vita sessuale di una persona;
โข orientamento sessuale.
Eccezioni: lโinteressato ha prestato il proprio consenso esplicito;
โข Il trattamento รจ necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dellโinteressato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dellโUnione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dellโinteressato;
โข il trattamento รจ necessario per tutelare un interesse vitale dellโinteressato o di unโaltra persona fisica qualora lโinteressato si trovi nellโincapacitร fisica o giuridica di prestare il proprio consenso;
โข il trattamento รจ effettuato, nellโambito delle sue legittime attivitร e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalitร politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, lโassociazione o lโorganismo a motivo delle sue finalitร e che i dati personali non siano comunicati allโesterno senza il consenso dellโinteressato;
โข i dati personali sono resi manifestamente pubblici dallโinteressato;
โข il trattamento รจ necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autoritร giurisdizionali esercitino le loro funzioni giurisdizionali;
โข il trattamento รจ necessario per motivi di interesse pubblico rilevante sulla base del diritto dellโUnione o degli Stati membri, che deve essere proporzionato alla finalitร perseguita, rispettare lโessenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dellโinteressato;
โข il trattamento รจ necessario per finalitร di medicina preventiva o di medicina del lavoro, valutazione della capacitร lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dellโUnione o degli Stati membri o conformemente al contratto con un professionista della sanitร ;
โข il trattamento รจ necessario per motivi di interesse pubblico nel settore della sanitร pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualitร e sicurezza dellโassistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dellโUnione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertร dellโinteressato, in particolare il segreto professionale;
โข il trattamento รจ necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
La liceitร del trattamento รจ un prerequisito.
10. REQUISITI PER IL TRATTAMENTO DEI DATI PERSONALI DEI DIPENDENTI
Qualsiasi trattamento dei dati personali dei dipendenti da parte di dipartimenti e individui allโinterno dellโAzienda deve avvenire per uno scopo legittimo e deve soddisfare i seguenti requisiti.
COMUNICAZIONE AI DIPENDENTI
Ai fini della trasparenza del trattamento dei dati personali dei dipendenti, quando un dipartimento o un individuo allโinterno dellโAzienda raccoglie i dati personali di un dipendente, il dipendente deve essere informato dei tipi di dati raccolti, delle finalitร e dei tipi di trattamento, dei diritti del dipendente e delle misure di sicurezza adottate per proteggere i dati personali. Queste informazioni sono fornite da apposita Informativa al trattamento dei dati personali (Modulo GDPR-ID).