L’obiettivo del codice consiste nello stabilire standard di protezione e sicurezza uniformi, adeguati e globali all’interno della GLOBO srl, allo scopo di soddisfare i requisiti fissati dalle normative vigenti.

Il codice di condotta crea in questo contesto un livello di protezione dei dati uniforme a livello di tutta l’azienda, senza sostituire la legittimazione che deve essere alla base di qualsiasi elaborazione o trasmissione di dati.

Il codice di condotta è una direttiva aziendale valida sia per il trattamento di qualunque dati necessario alla gestione delle procedure aziendali.

Nell’elaborazione dei dati è necessario tutelare i diritti personali alla privacy degli interessati.

I dati personali possono essere elaborati esclusivamente se ciò risulta legalmente ammissibile o se il soggetto interessato ha fornito il proprio consenso. I dati personali possono essere elaborati esclusivamente ai fini per i quali sono stati originariamente raccolti e ai quali si estende l’ammissibilità giuridica o il consenso rilasciato.

I dati personali devono essere memorizzati correttamente e, qualora necessario, periodicamente aggiornati. A tale scopo occorre adottare provvedimenti idonei per cancellare o rettificare i dati che risultano incorretti o incompleti.

Ai dati personali possono accedere soltanto i dipendenti che operano in un settore di attività connesso al trattamento di tali dati: l’autorizzazione all’accesso deve essere limitata in base al tipo e alla portata della rispettiva area di competenza.

I dati personali che non risultano più necessari ai fini per i quali sono stati originariamente raccolti e memorizzati, devono essere cancellati in conformità con le norme vigenti sulla conservazione dei dati.

Qualora l’interessato si sia opposto all’utilizzo dei propri dati personali a scopo di marketing, i dati non potranno essere utilizzati a tal fine.

Il trattamento dei dati deve essere finalizzato allo scopo di rilevare, elaborare e utilizzare esclusivamente i dati personali necessari, ovvero la minima quantità possibile di informazioni. Le possibilità di anonimizzazione e pseudonimizzazione sono ammesse, laddove ciò sia possibile e gli oneri di queste procedure risultino adeguatamente rapportati alle finalità di protezione dei dati che si intende perseguire. Le valutazioni statistiche o le analisi effettuate sulla base di dati anonimizzati o pseudonimizzati non sono rilevanti ai fini della protezione dei dati personali, in quanto tali dati non risultano più individualizzabili.

Nei progetti di elaborazione dei dati dai quali possono derivare particolari rischi per la tutela del diritto alla privacy degli interessati, il Responsabile del trattamento dei dati deve essere interpellato a partire dalle prime fasi del processo di elaborazione.

Quanto sopra vale in particolare per le tipologie di dati personali elencate qui di seguito.

L’elaborazione dei dati personali relativi alla provenienza razziale ed etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, all’appartenenza a sindacati oppure sulla salute o sull’orientamento sessuale dell’interessato è generalmente vietata, salvo che la legittimità dell’elaborazione non derivi da un’autorizzazione legale o da un requisito di legge.

L’elaborazione di questo genere di dati personali, inoltre, è consentita per la convalida, l’esercizio o la tutela di diritti legali anche nell’ambito di una controversia giudiziaria, qualora non sussista alcun motivo per supporre che prevalga il legittimo interesse dell’interessato all’esclusione dell’elaborazione o dell’utilizzo dei dati.

In tutti gli altri casi, l’interessato deve avere fornito espressamente il proprio consenso all’elaborazione di questi dati.

I dati personali dell’interessato possono essere rilevati ed elaborati sulla base e ai fini di esecuzione del contratto e dell’avviamento del rapporto di lavoro. In questo contesto sono consentiti anche l’elaborazione e l’utilizzo a fine di marketing o di ricerche di mercato e sondaggi di opinione, nella misura in cui ciò risulti in accordo con lo scopo per i quali i dati sono stati originariamente rilevati.

Al momento del rilevamento dei dati personali presso l’interessato, l’interessato deve essere consapevole o informato di quanto segue:

• l’identità e i dati di contatto del titolare del trattamento
• le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento
• i legittimi interessi perseguiti dal titolare del trattamento o da terzi
• gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
• l’eventuale intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

Nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

• il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo
• l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati
• l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca
• il diritto di proporre reclamo a un’autorità di controllo
• se la comunicazione di dati personali è un obbligo legale o contrattuale, oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati
• l’esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Qualora i dati non siano stati ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato le seguenti informazioni:

• l’identità e i dati di contatto del titolare del trattamento
• le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento
• le categorie di dati personali in questione
• gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
• l’eventuale intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

Il titolare del trattamento fornisce all’interessato anche le seguenti informazioni necessarie per garantire un trattamento corretto e trasparente nei confronti dell’interessato:

• il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo
• i legittimi interessi perseguiti dal titolare del trattamento o da terzi
• l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati
• l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca
• il diritto di proporre reclamo a un’autorità di controllo
• la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico
• l’esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Questa trasparenza può essere assicurata mediante una comunicazione individuale od informazioni fornite a carattere generale.

Qualora non sussista un rapporto contrattuale, l’interessato deve avere acconsentito al rilevamento e all’elaborazione dei propri dati personali, a meno che l’ammissibilità del rilevamento e dell’elaborazione non sia fondata sulle norme del diritto nazionale.

Quanto sopra vale anche nel caso in cui si debba procedere a un’ulteriore elaborazione o al successivo trattamento dei dati per motivi che esulano dai fini originari del rilevamento. Prima di rilasciare il consenso, l’interessato deve essere informato.

La dichiarazione di consenso, per esigenze probatorie, deve essere regolarmente rilasciata per iscritto. Qualora si tratti, per esempio, di un consenso che viene rilasciato nell’ambito della conclusione di un contratto di servizi, la clausola contrattuale che contiene il consenso deve essere evidenziata visivamente sul modulo del contratto di servizio. Nella dichiarazione di consenso devono essere specificati l’entità e lo scopo della procedura di elaborazione dei dati.

Di norma, i dati personali devono essere rilevati direttamente dall’interessato. Qualora i dati vengano raccolti presso terzi o trasmessi da terzi, è necessario verificare che alla prima richiesta dei dati l’interessato sia stato o venga conformemente informato.

Per eventuali chiarimenti e reclami, gli interessati possono rivolgersi al titolare del trattamento in persona del legale rappresentante pro tempore o al proprio referente. In particolare, qualora gli interessati intendano esercitare i diritti elencati in seguito, le richieste in tal senso devono essere immediatamente evase.

L’interessato può chiedere informazioni in merito al contenuto dei dati personali memorizzati sul suo conto, alla loro provenienza e allo scopo per il quale sono stati archiviati.

In caso di trasmissione di dati personali a terzi, è necessario fornire informazioni anche sull’identità dei destinatari o sulle categorie di destinatari dei dati.

Qualora, per esempio nell’ambito dell’esercizio del diritto di informazione, si dovesse riscontrare che i dati personali risultano inesatti o incompleti, l’interessato ha il diritto di esigere una correzione. Laddove dovesse risultare che lo scopo dell’elaborazione dei dati sia venuto meno per decorrenza dei termini o per altri motivi, oppure il trattamento dei dati sia illegale e questo finora sia stato ignorato nell’ambito delle verifiche periodiche, i dati dovranno essere cancellati, tenendo eventualmente conto degli obblighi di legge sulla conservazione delle informazioni.

L’interessato ha il diritto di rifiutare il suo consenso all’utilizzo dei propri dati personali ai fini di pubblicità diretta, oppure di ricerche di mercato o sondaggi di opinione. L’utilizzo dei dati a tali scopi deve essere pertanto interdetto.

Inoltre, l’interessato ha il diritto fondamentale di rifiutare il proprio consenso all’elaborazione dei propri dati personali, del quale va tenuto conto nel caso in cui una verifica determini che il suo legittimo interesse, a causa di una particolare situazione, prevalga sull’interesse dell’ufficio responsabile. Quanto sopra non è valido nel caso in cui una norma di legge prescriva l’obbligo di elaborazione o di utilizzo dei dati.

L’interessato ha il diritto di esercitare il diritto all’oblio, ovvero di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

• i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati
• l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento
• l’interessato si oppone al trattamento, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento
• i dati personali sono stati trattati illecitamente
• i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione europea o dello stato membro cui è soggetto il titolare del trattamento
• i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.

Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione, adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali sui quali vige una richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

• l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali
• il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo
• benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
• l’interessato si è opposto al trattamento, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

L’interessato ha il diritto di esercitare il diritto alla portabilità dei dati ovvero ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora il trattamento si basi sul consenso o su un contratto e il trattamento sia effettuato con mezzi automatizzati.

Nell’esercitare i propri diritti relativamente alla portabilità dei dati, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile.

L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

Esclusivamente i dipendenti autorizzati ed espressamente vincolati all’obbligo di segretezza sul contenuto dei dati possono raccogliere, elaborare o utilizzare le informazioni personali.

In particolare, è vietato sfruttare questi dati a fini privati, trasmettere le informazioni a persone non autorizzate o comunque renderle accessibili a queste ultime in altro modo.

L’obbligo di segretezza permane anche dopo la conclusione del rapporto di lavoro.

Le misure tecniche e organizzative necessarie per garantire la sicurezza dei dati si riferiscono a:

• elaboratori (server e workstation)
• reti o connessioni per la comunicazione in rete
• applicazioni
• addetti alla gestione dei dati personali.

Per quanto concerne i server, sono previste misure di sicurezza fisiche e infrastrutturali che comprendono i controlli di accesso (con livelli di autorizzazione differenziati), sistemi di chiusura e dispositivi antincendio.

Tutte le workstation sono dotate di un sistema di protezione mediante password.

La rete aziendale è protetta da sistemi firewall contro i tentativi di accesso dall’esterno non autorizzati e di intromissioni da Internet.

Al fine di proteggere i dati personali contenuti nelle banche dati, è previsto un sistema di accesso e di intervento riferito al nominativo personale e al tipo di applicazione.

Per ciò che attiene il personale che gestisce i dati lo stesso è stato adeguatamente formato per una corretta gestione dei dati ai sensi del disciplinare tecnico in materia di misure minime di sicurezza (Allegato B)

Le suddette misure tecnico-organizzative sono integrate in un sistema di gestione della tutela e sicurezza dei dati che presiede alle diverse responsabilità.

Il titolare del trattamento dei dati nella persona del legale rappresentate pro tempore, ha l’obbligo di garantire nei confronti degli interessati il rispetto dei requisiti di protezione dei dati personali.

I collaboratori che si occupano dell’elaborazione dei dati personali devono sapere che le violazioni delle norme sulla tutela della privacy vengono perseguite anche penalmente e possono dare luogo a richieste di risarcimento.

Le trasgressioni per le quali possono essere considerati responsabili i singoli collaboratori comportano generalmente le sanzioni previste dal diritto del lavoro, secondo la norma nazionale corrispondente.