Protezione dei dati personali e impegno per la privacy

Sistema di gestione privacy come modello per il controllo dei dati personali: una proposta operativa

Le nuove norme in materia di protezione dei dati personali impongono modalità operative concrete e lontane dai formalismi del mero adempimento normativo: di conseguenza, l’utilizzo di un sistema di gestione privacy costituisce un efficace strumento utile non solo per la messa in sicurezza dei dati, ma anche per la loro valorizzazione e la tutela dell’intero del patrimonio informativo aziendale.

Sistema di gestione privacy e accountability

Alle organizzazioni spetta l’onere di dimostrare la propria diligenza perseguendo gli obiettivi di conformità normativa su base autonoma, responsabile e documentata attraverso l’implementazione di un complesso di misure di sicurezza in grado di proteggere, nel tempo, i dati personali.

WEBINAR Governance e sicurezza dei dati. Come gestirli al meglio? Big Data Sicurezza

In più occasioni è stato osservato che, nel confronto con le responsabilità richieste dalle nuove norme europee, il corretto atteggiamento deve essere sostanziale e pragmatico, lontano dall’adempimento documentale formale, rigido e burocratico.

Ciò comporta, indubbiamente, uno sforzo ulteriore rispetto al passato, soprattutto per le organizzazioni meno abituate alle norme di matrice europea. I principi del Regolamento UE 679/2016 (GDPR) devono tradursi in prassi operative, controlli e comportamenti efficaci, assumendosi la responsabilità delle scelte.

Si tratta dell’oramai noto principio di accountability: Titolari e Responsabili devono saper progettare e implementare misure di sicurezza pertinenti alla propria realtà organizzativa, ai rischi connessi al trattamento, funzionali agli obiettivi di protezione dei dati e del rispetto del Regolamento.

Il modello organizzativo deve essere efficiente e flessibile, un vero e proprio strumento operativo in grado di sostenere l’impianto di protezione dei dati e rappresentare adeguatamente, alle autorità ed alle parti interessate, le capacità e l’attitudine dell’intera organizzazione alla valorizzazione e tutela del patrimonio informativo.

Sistema di gestione privacy: strutturare il modello organizzativo

Sono da tempo tramontati i giorni dei documenti programmatici redatti seguendo il puntuale dettato normativo. Sebbene molti di questi documenti, opportunamente riadattati e aggiornati, rappresentino ancora oggi un eccellente strumento di compliance nella nuova era della data protection (e questo perché le organizzazioni più attente hanno ritenuto utile mantenerli in vita, traendone vantaggio) per molte realtà i DPS sono oramai seppelliti da anni, più meno da quando è venuto meno l’obbligo di redigerli.

Di fatto trascinando nell’oblio anche le misure di sicurezza che questi documenti dovevano rappresentare, organizzare e sostenere, condannando di conseguenza le organizzazioni meno accorte (e non solo le PMI, strette nella morsa della competizione e della crisi economica, ma anche entità pubbliche o imprenditoriali più complesse) ad una pericolosa perdita di attenzione alle questioni della data protection e, più in generale, della sicurezza informatica, della sicurezza delle informazioni e della tutela del patrimonio informativo.

Asset critici, questi, che nel frattempo continuano inesorabilmente a migrare su piattaforme digitali di ogni genere, locali e in outsourcing, e che, sempre inesorabilmente, diventano oggetto di attacchi informatici sempre più aggressivi e sofisticati.

A farne le spese le stesse organizzazioni che, ancora oggi, continuano a marcare un preoccupante ritardo sulla delicata questione della cultura della sicurezza dei dati e sui temi della cyber security.

Va anche detto che molte realtà non si sono fatte sorprendere e hanno adattato fin da subito modelli di gestione delle informazioni già esistenti (ad esempio gli standard della famiglia ISO / IEC 27701 sulla sicurezza delle informazioni) adeguandoli ai nuovi requisiti e ricavando un vantaggio significativo dalla familiarità con i concetti di valutazione del rischio e con i principi di riservatezza, integrità e diponibilità dei dati.

Opportunità che oggi consente loro di approcciarsi con sicurezza alle evoluzioni degli stessi standard, che hanno avviato da qualche tempo un processo di integrazione con i nuovi requisiti privacy.

Più frequentemente Titolari e Responsabili hanno affrontato la questione adottando soluzioni molto eterogenee, più meno strutturate (dai fagli di calcolo a complessi database relazionali), sia di natura commerciale che basate su realizzazioni proprietarie, progettate sotto la guida dai consulenti e avvalendosi le numerose guide ed indicazioni disponibili (del Garante Privacy italiano innanzitutto, ma anche delle altre autorità di controllo, alcune molto attive nel sostegno alle organizzazioni).

Tra le tante soluzioni di compliance, proviamo ad analizzare i vantaggi offerti da un approccio “di sistema” nella strutturazione di un modello organizzativo di protezione dei dati, flessibile e adatto ad organizzazioni di diversa dimensione, a partire da Micro Imprese e PMI.

La logica di un sistema di gestione privacy

La discrezionalità offerta dal principio di responsabilizzazione rappresenta una preziosa opportunità che può essere colta attraverso la scelta, libera e consapevole, di un modello di gestione attinente alle reali esigenze organizzative ed alla complessità dei trattamenti. Un sistema di gestione rientra di sicuro tra queste opzioni.

Un sistema è inteso come insieme delle procedure e dei processi organizzativi funzionali al soddisfacimento di requisiti definiti. È uno strumento di carattere organizzativo e gestionale utilizzato per rispettare, in modo visibile e dimostrabile, i criteri ed i requisiti della previsti dalla norma di riferimento. Presenta fisiologiche caratteristiche di dinamicità, flessibilità e capacità di miglioramento.

Non a caso il sistema di gestione è lo strumento privilegiato per dimostrare la conformità, tramite l’ottenimento di una certificazione, a numerose norme volontarie, spesso basate su standard internazionali (qualità, sicurezza delle informazioni, ambiente, responsabilità sociale ecc.). Quando ben implementato è un potente strumento di gestione e miglioramento dei processi, a beneficio dell’incremento della competitività nello sviluppo, commercializzazione, erogazione di prodotti, servizi e competenze e via dicendo.

Nel definire un modello di gestione privacy si può trarre grande vantaggio dall’applicazione di una logica “di sistema”. Senza dover necessariamente ambire all’ottenimento di una vera e propria “certificazione privacy” (settore in notevole fermento che sta già offrendo, ed offrirà, notevoli opportunità) l’adozione di un metodo sistemico consentirà a Titolari e Responsabili di soddisfare gli obblighi di legge dotandosi di un prezioso strumento di lavoro: il sistema di gestione privacy.

Sistema di gestione privacy: il metodo

Il metodo applicato nello sviluppo del sistema di gestione è quello circolare del Plan-Do-Check-Act (Pianificazione-Esecuzione-Controllo-Correzione e miglioramento, o Ciclo di Deming), che assicura il monitoraggio ed il miglioramento continuo dei processi e delle procedure.

Il metodo prevede che il sistema sia pianificato, implementato, controllato. I risultati dei controlli (es risultati di audit periodici) saranno valutati e costituiranno azione di miglioramento, attraverso, ove necessario, al ritorno tavolo della pianificazione.

Applicato alla protezione dei dati personali diventa prassi di miglioramento delle modalità di trattamento dei dati, delle misure di sicurezza e dello stesso sistema di gestione privacy.

Una sorta di circolo virtuoso che si addice perfettamente ai requisiti dell’articolo 32 del GDPR dove sono richieste “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” e “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.

Questi controlli su base permanente sono una condizione di molti requisiti del Regolamento, vediamo i principali:

Valutazioni dell’ambito di applicazione, del contesto e delle finalità del trattamento (art 24, par 1). Queste valutazioni consentono di definire l’ambito di trattamento e sono particolarmente importanti per le organizzazioni che hanno avviato nuove attività o strategie che hanno impatto sul trattamento dei dati personali (es videosorveglianza, direct marketing, servizi web, geolocalizzazione, applicazioni ecc.); che non presidiano da diverso tempo gli adempimenti privacy; che per motivi diversi hanno subito un disallineamento dei processi interni (a causa di crescite o contrazioni, riorganizzazioni, ridefinizione degli obiettivi ecc.); che hanno mutato le proprie modalità operative, esternalizzando alcuni servizi, o affidandosi a sistemi evoluti di gestione dei dati e delle informazioni (nuove tecnologie, cloud computing, strumenti di geolocalizzazione, uso di dati biometrici ecc.). Valutazione del rischio, da cui derivano le misure di sicurezza messe in atto (art 24, par 1 e art 32), che necessitano revisione periodica a fronte dei cambiamenti interni (del contesto) o esterni (evoluzione delle minacce, richieste della committenza, cambiamenti del mercato di riferimento ecc.). Protezione per impostazione predefinita (art 25). La privacy “by default”, per definizione, implica il costante presidio dell’efficace attuazione dei principi di protezione dei dati. Controllo in vigilando del mantenimento delle garanzie offerte dai Responsabili del trattamento (art 28) e della pertinenza delle istruzioni fornite rispetto al risultato atteso (art 29). Della gestione delle violazioni dei dati personali (art 33 e 34), adottando procedure, criteri e metodologie di valutazione delle probabilità di rischio pertinenti, aggiornate e funzionali all’obiettivo di prevenzione della violazione affinché non avvenga o non si ripeta. In merito, il parere dell’EDPB è prezioso e lungimirante nel concepire la gestione della violazione nel quadro di un progetto complessivo di conformità. Valutazioni di impatto (art 35 par.11) che devono essere sottoposte a riesame qualora insorgano significative variazioni di rischio. Non di meno, al pari della gestione delle violazioni, devono essere monitorati ed eventualmente migliorate le metodologie di valutazione, tra le molte disponibili, affinché risultino efficaci e pertinenti all’obiettivo di protezione.

Queste caratteristiche di permanenza, resilienza e continuità attengono alla capacità dell’organizzazione di non perdere di vista l’obiettivo di protezione e di mantenere efficiente nel tempo il complesso di misure di sicurezza adottato, migliorandolo se e quando necessario. In questo senso la forza dello strumento “sistema” risiede nell’obbligo, autoregolamentato, documentato e quindi perfettamente accountability, del monitoraggio e del miglioramento continuo effettuato sulla base dei risultati di controlli sistematici.

Sistema di gestione privacy: il risk-based thinking

L’approccio basato sul rischio suggella definitivamente i rapporti tra data protection e sistemi di gestione. Il concetto di rischio si pone alla base di qualsiasi attività di protezione dei dati, a partire dalla progettazione e revisione delle misure di sicurezza e dalla conduzione delle valutazioni di impatto.

L’approccio basato sul rischio è alla base dei sistemi di gestione privacy di nuova generazione, perché “permette all’organizzazione di determinare i fattori che potrebbero fare deviare i suoi processi e il suo sistema di gestione […] dai risultati pianificati, di mettere in atto controlli preventivi per minimizzare gli effetti negativi e massimizzare le opportunità, quando esse si presentano”.

In termini di valorizzazione dei dati rappresenta il criterio di valutazione delle opportunità connesse all’utilizzo dei dati nel quadro dello sviluppo e del miglioramento dei servizi, quelli digitali ed innovativi in particolare. Ciò si pone in linea con le intenzioni del legislatore europeo, i cui numerosi interventi sono focalizzati all’incremento della fiducia nel mercato digitale.

Il sistema di gestione privacy: a cosa serve

Il sistema di gestione privacy è il modello di gestione, organizzazione e controllo che governa il trattamento in sicurezza dei dati personali ed il rispetto dei principi e delle regole delle normative di riferimento.

Per sistema di gestione privacy e si intendono la struttura organizzativa, le responsabilità, i documenti, le procedure, i registri, le misure di sicurezza e le risorse messe in atto dall’organizzazione per pianificare, implementare, mantenere e migliorare un sistema gestione e controllo.

Il sistema ha lo scopo di:

definire il contesto del trattamento;

individuare e classificare le risorse e gli strumenti impiegati nel trattamento;

identificare e gestire i rischi connessi al trattamento;

incrementare la competenza e la consapevolezza del personale riguardo la sicurezza ed i rischi connessi al trattamento dei dati personali;

applicare i principi e le regole imposte delle normative nazionali ed europee;

incrementare la fiducia dei clienti, dei partner e dei portatori di interesse;

rafforzare l’immagine e migliorare la competitività dell’organizzazione.

Struttura del sistema di gestione privacy

Nell’organizzare il sistema ci si può avvalere della logica della Struttura ad Alto Livello (High Level Structure) stabilita dalle direttive ISO quale standard di riferimento per i nuovi sistemi di gestione. Si tratta di uno standard al quale tutti i requisiti e linee guida dei sistemi di gestione stanno aderendo, via via che ne vengono emesse le nuove versioni.

La struttura può essere organizzata come una sorta di contenitore, composto da cartelle di rete, sezioni dell’applicativo di gestione degli adempimenti privacy, capitoli dei manuali di gestione o tutti questi elementi insieme. Ogni elemento conterrà i documenti, i registri, le procedure che compongono il sistema.

Sulla base della Struttura ad Alto Livello, il sistema di gestione privacy potrà essere progettato come segue. Si tratta ovviamente di una traccia operativa, che può essere liberamente sviluppata anche avvalendosi delle specifiche e dei requisiti dei recenti standard come la ISO/IEC 27701:2019 o la UNI/PdR 43.

0. introduzione

In questa sezione sono fornite le informazioni preliminari, la presentazione dell’organizzazione, le attività ed i servizi principali, la mission, le strategie ecc. Le notizie utili, ovvero, a conoscere il Titolare o il Responsabile del trattamento, anche avvalendosi di collegamenti esterni (siti web, carta dei servizi ecc.)

1. scopo del sistema

Sono dichiarati gli scopi del sistema, afferenti alla protezione dei dati ed al rispetto dei requisiti di legge.

2. Riferimenti normativi

In questa sezione possono essere raccolte le norme specifiche applicabili all’organizzazione riferite alle attività di trattamento, indicando anche gli eventuali provvedimenti, autorizzazioni, codici deontologici, linee guida, opinioni dell’EDPB rilevanti eccetera. Questa ricognizione, aggiornata periodicamente e ad ogni occorrenza (ad esempio a seguito di nuove emanazioni dell’autorità) sarà utile per tenere traccia dell’evoluzione delle leggi e della loro corretta interpretazione.

Qui si raccoglieranno anche le norme di riferimento che regolano l’attività del Titolare o del Responsabile, incluse quelle volontarie (statuti, regolamenti, norme di settore, schemi di certificazione ecc.).

3. Termini e definizioni

Non è necessario riscrivere tutte le definizioni dell’art 4 del GDPR. È invece utile fornire la definizione di termini specifici o tecnici, ricorrenti nei documenti del sistema (ad esempio termini informatici o relativi allo specifico settore di appartenenza dell’organizzazione) affinché la lettura sia comprensibile e con il minimo il ricorso a fonti esterne o richieste di chiarimento. Ciò facilita il lavoro delle parti terze destinatarie della documentazione, autorità di controllo incluse.

4. Contesto dell’organizzazione

Si tratta di una sezione di grande importanza poiché definisce e delimita l’ambito del trattamento effettuato dal Titolare o dal Responsabile. Qui sono descritte la natura e le finalità dei trattamenti di dati personali relativi alle categorie di interessati a cui i trattamenti si riferiscono, effettuati in relazione alle attività ed al contesto operativo dell’organizzazione. Sono individuati gli adempimenti normativi specifici dell’organizzazione e chiariti i ruoli chiave, ovvero se si sta operando come Titolare o Responsabile del trattamento in relazione ai trattamenti effettuati. Queste informazioni saranno sviluppate nel Registro dei trattamenti, nelle modalità richieste dall’art 30 del GDPR.

Nell’analisi del contesto è molto utile riportare gli elementi che hanno influenza nelle attività di trattamento: il mercato o il settore di riferimento dell’organizzazione, i processi che presentano criticità in termini di protezione dei dati, la scala del trattamento, l’utilizzo di particolari tecnologie, le aspettative delle parti interessate (committenti, clienti, utenti, dipendenti, Titolari, contitolari, partner ecc.), le contingenze che derivano della concorrenza o dalle opportunità offerte dall’innovazione digitale che hanno incidenza nelle modalità di trattamento (ad esempio necessità di rinnovamento tecnologico, utilizzo di piattaforme digitali, ricorso a strategie di marketing più aggressive ecc.).

5. Leadership / Ruoli e responsabilità

Sono qui individuate le funzioni ed i soggetti che trattano i dati personali o che hanno responsabilità dirette nella gestione dei sistemi di trattamento e nell’applicazione del Sistema di Gestione Privacy. In questa sezione trova spazio l’organigramma/funzionigramma e l’elenco dei ruoli e delle responsabilità, tra cui:

soggetti autorizzati / designati, con i riferimenti dei compiti e delle funzioni ad essi attribuiti, tra cui eventuali incarichi che richiedono speciali istruzioni (es. custodia dei backup, al controllo degli accessi ad archivi / aree sensibili, custodia di particolari credenziali di accesso o copie di chiavi crittografiche ecc.);

Responsabili IT e Amministratori di Sistema, interni o esterni, declinando le funzioni ad essi attribuite;

Responsabile della Protezione dei Dati, indicando le ragioni della nomina, se effettuata su base volontaria o, al contrario, le motivazioni che non l’hanno resa necessaria;

Responsabili del trattamento ed i relativi accordi e procedure di individuazione e controllo.

6. Pianificazione

Il luogo ideale per raccogliere i criteri e le metodologie di valutazione del rischio, di valutazione di impatto e di gestione delle violazioni. Si possono richiamare metodologie note, quando pertinenti alle esigenze di valutazione, come quella ENISA (European Union Agency For Network and Information Security) per la gestione del rischio o della valutazione della gravità delle violazioni, oppure del CNIL, Garante francese ( Commission nationale de l’informatique et des libertés) per la gestione delle valutazioni di impatto. Oppure descrivere il modello, proprietario o commerciale o basato su altri standard di gestione, di cui si è scelto di avvalersi. Inutile ricordare che questo lavoro di pianificazione, in un modello di gestione risk-based thinking, costituisce uno dei primi passi in termini di responsabilizzazione.

7. Supporto

Questa sezione raccoglie la descrizione degli asset impiegati nel trattamento: sistemi informatici, banche dati, servizi digitali, archivi, locali e stabilimenti. Già da ora si possono applicare alle risorse i criteri di valutazione del rischio.

Le persone che compiono operazioni di trattamento rientrano nel novero di questi asset strategici. La loro competenza e consapevolezza è fondamentale per assicurare una adeguata protezione dei dati: in questa sezione, pertanto, si raccolgono le attività formazione, pianificate ed effettuate, le procedure che le governano, i risultati delle attività, gli attestati, i materiai formativi (regolamenti, disciplinari ecc.).

8. Attività operative di trattamento

Il cuore del Sistema di Gestione Privacy, dove sono documentate l’insieme delle operazioni di trattamento, delle attività di protezione dei dati, delle azioni poste a tutela degli interessati e dei loro diritti.

Qui sono raccolti i documenti di privacy compliance oppure i riferimenti alla disponibilità di queste informazioni su altre piattaforme di gestione degli adempimenti privacy. Eccone un elenco, non esaustivo:

registri dei trattamenti;

valutazioni del rischio;

misure di sicurezza in essere, pianificate, ed in corso di adozione, con il riferimento alle informazioni di supporto (documenti tecnici, procedure, istruzioni operative, LOG informatici dei sistemi di protezione, registri degli accessi ecc.). Sono qui preziosissimi i controlli proposti dalla ISO/IEC 27701:2019, adeguatamente applicati ai ruoli (attività di Titolare e/o Responsabile) ed alle necessità di sicurezza dei trattamenti effettuati;

registri delle violazioni;

valutazioni di impatto e le relative procedure;

piani di data retention;

documentazione relativa ai rapporti con gli interessati (informative sul trattamento, procedure di gestione dell’esercizio dei diritti e di gestione dei consensi ecc.);

documentazione di supporto relativa a specifiche attività di trattamento (es relazioni tecniche, valutazioni preliminari, autorizzazioni ecc. ad esempio riferite a sistemi di videosorveglianza, localizzazione satellitare, particolari dispositivi tecnologici, attività di profilazione ecc.).

9. Monitoraggio e valutazione

L’attività di controllo del sistema viene condotta principalmente con lo strumento dell’audit. Sono quindi presi in esame:

i risultati di audit privacy precedenti;

i risultati della valutazione dei rischi;

i risultati delle valutazioni di impatto;

le registrazioni riferite alle violazioni dei dati personali, notificate o meno;

le segnalazioni di non conformità (anche provenienti da audit su eventuali altri sistemi di gestione e pertinenti alla protezione die dati personali);

i reclami degli interessati ed azioni di esercizio dei diritti;

i risultati delle attività di revisione ed aggiornamento delle misure di sicurezza e le valutazioni riguardo i controlli effettuati;

la valutazione delle segnalazioni ricevute, interne ed esterne all’organizzazione;

i nuovi pareri, opinioni, linee guida ed emanazioni delle autorità.

Sono qui documentate le procedure di conduzione dell’audit e raccolte le informazioni necessarie ad avviare le attività di riesame e correzione. Anche in questa fase sarà molto utile avvalersi della lista dei controlli ISO/IEC 27701:2019 come traccia di riferimento per il monitoraggio dello stato di implementazione delle misure di sicurezza. Sono inoltre raccolti i pareri le opinioni delle parti interessate (direzione, funzioni responsabili, consulenti, DPO / ufficio privacy, Amministratori di sistema, Chief Security e Information Officer ecc.).

10. Miglioramento

Il miglioramento è documentato attraverso un Piano di miglioramento, che raccoglie le azioni da intraprendere, la relativa tempistica, l’impiego di risorse, i costi, le responsabilità e le altre valutazioni del caso allo scopo di risolvere le criticità rilevate in fase di monitoraggio, affinché ne siano eliminate le cause e non se ne ripresentino le condizioni.

Le azioni correttive che risultano dal piano di miglioramento servono ad rivedere ed aggiornare i processi e le modalità trattamento, tra cui l’applicazione dei principi e la scelta delle corrette basi giuridiche, i criteri precedentemente pianificati, le valutazioni del rischio di impatto (l’applicazione di misure di sicurezza rafforzate modificherà i parametri di vulnerabilità alle minacce), le procedure e le istruzioni di trattamento, la distribuzione delle responsabilità, le modalità di risposta ai diritti degli interessati.

Integrazione dei sistemi

L’obiettivo di normalizzazione perseguito dalla logica della Struttura ad Alto Livello favorisce la compatibilità e l’integrazione tra i diversi sistemi di gestione, facilitandone il dialogo. Il sistema di gestione privacy che rispetta questa struttura potrà essere allineato, nelle parti ove questo risulta possibile, con altri sistemi di gestione compatibili (ad esempio es qualità o sicurezza delle informazioni).

Si eviteranno inutili ridondanze e repliche di documenti e procedure, che potranno essere facilmente integrati nei contenuti (ad esempio utilizzando una unica procedura per attività comuni, come la gestione dei fornitori responsabili del trattamento, delle attività formative, delle attività di audit e revisione ecc.).

Intellegibilità dei modelli organizzativi

I modelli organizzativi e di controllo devono adeguarsi ai nuovi rapporti, quelli tra Titolari e Responsabili, oggetto negoziazione e ridefinizione secondo le regole del GDPR: utilizzare un linguaggio comprensibile nel documentare gli adempimenti e le prassi concordate rappresenta un sicuro vantaggio per entrambi. Ad esempio avvalendosi di procedure strutturate secondo un criterio condiviso o standardizzato, oppure nel rendere trasparenti o condividere i criteri di valutazione del rischio e di impatto sulla protezione dei dati o di valutazione della gravità delle violazioni.

I modelli devono anche adeguarsi all’orizzonte internazionale dei requisiti: i committenti, le società capogruppo, o i contitolari al trattamento, potrebbero chiedere all’organizzazione di rappresentare la propria conformità al GDPR, ad esempio nel contesto di un capitolato di appalto che prevede specifici requisiti di compliance, oppure nel quadro delle attività di coordinamento e armonizzazione degli adempimenti tra le società di una multinazionale. In tutti questi casi il sistema di gestione privacy, strutturato secondo criteri standard, può offrire queste caratteristiche di trasparenza, flessibilità ed intellegibilità.

NOTE

WEBINAR Threat intelligence e Cyber Security: ecco le nuove strategie per prevenire gli attacchi Big Data CIO

@RIPRODUZIONE RISERVATA

Gestione dei dati personali dei membri delle associazioni

La legge sulla protezione dei dati si fonda sui seguenti principi generali:

Trasparenza: I membri delle associazioni devono essere informati apertamente e in modo completo sui dati personali raccolti e sulle finalità della loro utilizzazione. Quindi le associazioni devono ad esempio comunicare ai membri a chi e per quale fine i dati vengono eventualmente trasmessi.

Proporzionalità: Possono essere raccolti e utilizzati solo i dati effettivamente necessari al conseguimento degli scopi dell'associazione.

Uso vincolato: Le associazioni possono raccogliere e utilizzare i dati solo per conseguire gli scopi indicati all'atto della raccolta, risultanti dalle circostanze, oppure previsti da una legge.

Quantità di dati limitata

Le associazioni non possono chiedere ai membri di fornire tutti i dati personali.

Il comitato dell'associazione può richiedere solo i dati necessari al conseguimento degli scopi sociali. Ogni ulteriori richiesta o trattamento di dati va preventivamente annunciata ai membri indicandone le finalità e specificando che non si tratta di un dovere.

Trasmissione di dati a terzi estranei dall'associazione

I dati personali dei membri (ad esempio liste o anche singoli indirizzi) possono essere comunicati a terzi solo alle seguenti condizioni:

se ogni membro acconsente espressamente oppure è stato informato, con indicazione del destinatario e delle finalità della trasmissione, e ha avuto la possibilità di opporsi;

oppure se gli statuti dell'associazione indicano chiaramente quali dati possono essere forniti, a chi (con l'indicazione di ogni singolo destinatario) e per quali finalità;

oppure se una legge consente o esige la trasmissione dei dati (ad es. nell'ambito di una procedura penale).

Comunicazione di dati all'interno dell'associazione

I dati personali dei membri possono essere comunicati all'interno dell'associazione solo alle seguenti condizioni:

se ogni membro acconsente espressamente oppure è stato informato, con indicazione del destinatario e delle finalità della trasmissione, e ha avuto la possibilità di opporsi;

oppure se gli statuti dell'associazione indicano chiaramente i casi in cui è lecito procedere alla comunicazione dei dati (ad esempio la distribuzione di liste con nomi, cognomi e indirizzi);

oppure se una legge consente o esige la trasmissione dei dati.

Bisogna essere prudenti quando un'associazione (regionale) comunica dati dei propri membri alla federazione (nazionale). Un'associazione è una persona giuridica indipendente con personalità giuridica propria. Anche le federazioni sono persone giuridiche indipendenti e quindi parificate ai terzi. Quindi anche in questo caso la comunicazione di dati personali presuppone in linea di massima il consenso dei singoli membri. Oppure, detto in altro modo: una federazione non può obbligare un'associazione a comunicare i dati personali dei propri membri.

Ogni membro è libero di esercitare in ogni momento il proprio diritto di blocco oppure di revocare parzialmente o totalmente un consenso già espresso.

Protezione dei dati personali e impegno per la privacy

Il presente Protocollo per la Protezione dei Dati Personali (di seguito "Protocollo") si applica alla Capogruppo bioMérieux S.A., la cui sede legale è: 376 Chemin de l’Orme, 69280 - Marcy l'Etoile - Francia, e alle altre Società del Gruppo, ivi compresa bioMérieux Italia S.p.A, a cui di seguito faremo riferimento utilizzando i termini "bioMérieux"," noi "o" nostro "o" Gruppo bioMérieux ".

Nel contesto del presente Protocollo, le Vostre informazioni personali sono chiamate dati personali. Con riferimento alla loro raccolta, gestione, raccolta, protezione e conservazione, ecc., potremo utilizzare il termine "trattamento" dei dati personali.

Il presente Protocollo contiene anche informazioni sulla nostra condivisione dei dati personali all'interno del Gruppo bioMérieux e la condivisione con terzi (come ,ad esempio, i nostri fornitori di servizi).

Abbiamo adottato il presente Protocollo, al fine che Voi possiate comunicare i Vostri dati personali in conformità con una severa politica di riservatezza e sicurezza, attraverso la quale ci impegniamo a proteggere la Vostra privacy e trattare i Vostri dati personali in modo equo e trasparente. A questo proposito, al fine di garantire una corretta condotta e il nostro impegno in materia di protezione dei dati personali, bioMérieux ha nominato un Responsabile della Protezione dei Dati, in conformità con le leggi e i regolamenti applicabili: Yves Raisin - 100, Allée Luis Pasteur - 69280 - Marcy L'Etoile - Francia - Tel: +33 04 78 87 21 42, Cell: +33 620 99 82 37,

Categorie di dati personali raccolti

Possiamo raccogliere o ottenere tali dati personali perché Voi stessi ce li avete forniti (ad esempio, attraverso un modulo presente sul nostro sito web) o tramite una comunicazione da parte di terzi (ad esempio, da parte del Vostro datore di lavoro o di un Vostro consulente o da parte di terzi fornitori di servizi, ai quali ci rivolgiamo per necessità legate alla nostra attività) o perché tali dati personali sono pubblicamente disponibili e accessibili.

Potremmo altrettanto raccogliere o ottenere Vostri dati personali notando o deducendo tali informazioni attraverso il Vostro modo di interagire direttamente con noi o, indirettamente, tramite altre persone (ad esempio, dei partner, contitolari del trattamento o fornitori, che potrebbero partecipare alle operazioni di raccolta dati in nome e per conto di bioMérieux).

I dati personali che raccogliamo o otteniamo possono comprendere: nome, cognome, indirizzo e-mail e, in alcune circostanze, potremmo raccogliere altre categorie particolari di dati personali che Vi riguardano, o con il Vostro previo consenso espresso, o su base contrattuale o, ancora, in presenza di un obbligo di legge.

Natura e scopo del trattamento

Utilizzeremo i Vostri dati personali per informarVi su offerte o notizie su prodotti, servizi o eventi di bioMérieux.

Se non desideraste più ricevere informazioni commerciali da parte nostra, potete annullare l'iscrizione, cliccando sull’apposita funzione presente sulla nota informativa o inviando un'email a

Destinatari dei dati personali

In relazione a una o più delle finalità di trattamento sopra descritte, potremmo trasmettere dati all’interno Gruppo bioMérieux e/o a terzi fornitori del Gruppo bioMérieux.

Potremmo altresì essere tenuti a divulgare i Vostri dati personali nel caso in cui tale divulgazione sia richiesta dalla legge, da un'autorità amministrativa o ai fini di un procedimento giudiziario.

Protezione dei dati personali

bioMérieux prende tutte le precauzioni necessarie, comprese misure amministrative, tecniche, organizzative nonché fisiche, al dine di proteggere i dati personali di dipendenti, clienti e partner allo scopo di prevenire il rischio di qualsiasi perdita, furto o sottrazione fraudolenta, nonché da qualsiasi accesso, divulgazione, alterazione o distruzione non autorizzati di dati personali.

Sebbene applichiamo tutte le misure di sicurezza ritenute ragionevolmente necessarie una volta che i Vostri dati personali sono stati raccolti, la trasmissione dei dati su Internet (oltre che via e-mail) non è mai completamente sicura. Ci impegniamo a proteggere i dati personali in nostro possesso, ma non possiamo garantire la sicurezza della comunicazione dei dati da noi o a noi trasmessi.

Principi applicabili al trattamento dei dati personali

bioMérieux si impegna a garantire che i dati personali in proprio possesso siano:

Raccolti per finalità specifiche, esplicite e legittime, e non ulteriormente trattati in modo non in linea con tali finalità;

Trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (persona fisica);

Adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (minimizzazione dei dati);

Esatti e, se necessario, aggiornati;

Conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;

Trattati in maniera da garantire un'adeguata sicurezza;

Trasferiti da un Paese a un altro unicamente in presenza di (i) una decisione di adeguatezza adottata dalla Commissione Europea o (ii) misure di salvaguardia appropriate.

Protezione della privacy dei minori

bioMérieux comprende l'importanza di proteggere la privacy dei minori, soprattutto in un ambiente digitale. A questo proposito, i nostri siti non sono progettati intenzionalmente per, né destinati a minori di età inferiore ai 16 anni. È nostra politica non raccogliere né conservare consapevolmente informazioni su chiunque abbia meno di 16 anni, salvo che per l’esecuzione della fornitura dei nostri servizi professionali.

Periodo di conservazione

Conserveremo i dati personali nei nostri sistemi per: (i) il tempo richiesto per le connesse attività o le operazioni; (ii) il termine di conservazione imposto per legge; (iii) il termine di prescrizione applicabile in caso di controversie o di procedimenti insorti nel contesto dell'attività o dei servizi, salvo che una precedente richiesta di cancellazione non sia già stata inviata a Al termine del periodo, i Vostri dati personali saranno distrutti, in conformità con le normative applicabili.

Diritti dell’interessato

Conformemente alla normativa nazionale ed europea, qualsiasi persona fisica ha il diritto di esercitare le seguenti azioni nei confronti di bioMérieux, in caso trattasse i suoi dati personali:

Essere informato dell'esistenza e delle finalità di qualsiasi trattamento dei propri dati personali;

Accedere ai propri dati personali e richiederne la rettifica o la cancellazione o la limitazione del trattamento;

Opporsi al trattamento e richiedere la portabilità dei propri dati personali;

Revocare, in qualsiasi momento, il proprio consenso a bioMérieux;

Informare tempestivamente il Responsabile della Protezione dei Dati in caso di perdita o abuso (trattamento illecito) dei propri dati personali.

Al fine di esercitare i Vostri diritti, o se avete domande sull'uso dei Vostri dati personali, potrete contattarci al seguente indirizzo:

Potrete utilizzare il presente indirizzo per qualsiasi reclamo riguardante il rispetto della Vostra privacy.

Diritto di presentare un reclamo

In caso di insoddisfazione per le modalità con le quali avessimo gestito i Vostri dati personali o nel caso una qualsiasi domanda o richiesta inoltrata ai i nostri servizi fosse rimasta insoddisfatta, avete il diritto di presentare un reclamo presso l’Autorità Garante per la Protezione dei Dati Personali .

Potrete contattarci, per essere reindirizzati all' Autorità Garante competente o per qualsiasi questione riferita alla privacy o al trattamento dei dati personali, all'indirizzo

Modifiche al presente Protocollo per Protezione dei Dati

Il presente Protocollo può essere soggetto ad aggiornamenti o modifiche (anche in ragione di nuove normative o regolamenti).

La data indicata su questa pagina verrà periodicamente aggiornata ogniqualvolta un nuovo testo di Protocollo per la Protezione dei Dati sarà pubblicato e applicabile. Pertanto Vi invitiamo a rivedere periodicamente la presente informativa, in modo da rimanere aggiornati sulle modalità di protezione dei Vostri dati personali.