La Cooperativa Idealservice e le norme sulla privacy

Le Norme sulla privacy in Idealservice descrivono il modo in cui vengono trattati i dati personali durante lo svolgimento delle attività imprenditoriali e sociali della Cooperativa.

La Cooperativa Idealservice è perfettamente consapevole della fiducia che i portatori di interessi (stakeholder) ripongono su di essa e la sua responsabilità di proteggere la loro privacy.

Parte delle responsabilità della Cooperativa sulla privacy prevede la comunicazione delle informazioni che raccoglie quando entra in contatto con i pubblici di riferimento per lo svolgimento delle proprie attività, perché le raccoglie e come le utilizza.

Per questo motivo la Cooperativa Idealservice si è data 5 principi che descrivono il suo approccio alle informazioni sulla privacy degli stakeholder per tutte le proprie attività.

Essi sono:

• Utilizzare le informazioni degli stakeholder solo con il consenso per offrire prodotti e servizi di valore.
• Sviluppare prodotti e servizi che soddisfino elevati standard di privacy.
• Rendere trasparente la raccolta dei dati personali.
• Offrire ai portatori di interessi opzioni efficaci per proteggere la loro privacy.
• Essere amministratori responsabili delle informazioni in proprio possesso.

Questa pagina sulla privacy è stata creata per fornire informazioni di facile comprensione relative ai prodotti e servizi della cooperativa e alle proprie norme, per consentire di scegliere in modo più consapevole come utilizzarle e quali informazioni fornire.

Diritto alla riservatezza delle informazioni personali.

La privacy, termine inglese ormai entrato ampiamente nell'uso comune e traducibile con riservatezza, indica, per l'appunto, il diritto alla riservatezza relativamente alle informazioni personali e alla propria vita privata.

La protezione della privacy si traduce principalmente nella possibilità di un soggetto (o di un gruppo) di impedire che informazioni riguardanti la propria persona vengano rese note ad altri, incluse organizzazioni ed enti, in assenza di un esplicito e volontario consenso a fornire tali informazioni.

Nella sua originaria accezione difensiva il diritto alla privacy implicava una difesa della sfera privata della persona, ma negli ultimi decenni, con l'avvento dell'informatica ed il perfezionamento dei mezzi di comunicazione di massa, tale diritto ha subito un'evoluzione estensiva, arrivando ad indicare il diritto al controllo sui propri dati personali.

L'incessante progresso tecnologico, infatti, ha permesso di attuare una raccolta notevolmente più ampia di dati personali, un accesso molto più semplice e rapido e, quindi, un'elevata circolazione delle informazioni, assottigliando sensibilmente la barriera della privacy: basti pensare alla tracciabilità dei cellulari o alla relativa facilità a reperire gli indirizzi di posta elettronica delle persone.

Oggi, pertanto, la privacy - intesa come "sovranità su di sé", nell'accezione nuova di tale concetto, non limitato, come in passato, ad un diritto alla "non intromissione nella sfera privata" - si pone quale indiscutibile strumento di salvaguardia della libera e piena autodeterminazione dell'individuo.

Privacy non è infatti soltanto il sacrosanto diritto a che nessuno invada il "nostro mondo" precostituito, bensì è anche l'altrettanto sacrosanto diritto a che ciascuno possa liberamente esprimere le proprie aspirazioni più profonde e realizzarle, attingendo pienamente e senza impedimenti ad ogni propria potenzialità.

È negli anni '70 e '80, con la diffusione delle tecnologie informatiche, che la tutela della privacy diviene un'esigenza particolarmente sentita, concretizzandosi nella richiesta di adeguate ed efficaci misure di protezione.

In Svezia, per esempio, all'inizio degli anni '70 fece notizia il caso di un cittadino che si vide rifiutare un posto di lavoro perché nella sua cartella clinica elettronica era riportata l'informazione che un pro-zio aveva mostrato sintomi di alterazione delle facoltà mentali. Si trattava, evidentemente, di un uso improprio di dati raccolti con finalità mediche.

La normativa sulla Privacy nasce proprio con lo scopo di evitare che i dati personali di ogni individuo, in particolare quelli sensibili, vengano utilizzati per un fine diverso da quello per il quale sono stati legittimamente raccolti. Tale uso distorto dei dati personali, infatti, può condizionare pesantemente la personalità del soggetto cui tali dati si riferiscono e rappresenta una gravissima aggressione agli aspetti più intimi della persona.

I primi esempi di leggi relative alla privacy si trovano negli Stati Uniti, a partire dal Privacy Act del 1974; quindi, via via, anche i paesi europei hanno adeguato la propria legislazione, regolamentando tale delicata problematica.



La normativa sulla privacy in Italia

In Italia, malgrado le prime proposte volte a regolamentare la tutela della privacy risalgano agli anni '80, anche grazie alle iniziative di sensibilizzazione ed alle sollecitazioni provenienti dall'Unione Europea, solo nel 1996 fu (finalmente) approvata la Legge N ° 675, cd. Codice di Protezione della Privacy, che recepiva anche nel nostro paese i principi sanciti da una specifica Direttiva Comunitaria in materia.

Più recentemente, l'ultimo provvedimento normativo del legislatore italiano in tema di tutela della riservatezza individuale è stato il Decreto Legislativo N. 196 del Giugno 2003, denominato "Codice in materia di protezione dei dati personali".

Nel nuovo Codice sono stati delineati in modo più approfondito sia i principi generali che alcune tematiche settoriali, già regolamentate dalla precedente legge (ad esempio, la riservatezza nelle comunicazioni elettroniche).

Come la Cooperativa Idealservice e le società del Gruppo garantiscono la protezione dei dati personali.

La Cooperativa Idealservice e le società del Gruppo prendono molto seriamente l'obiettivo di salvaguardare la privacy dei dati personali. In ottemperanza a quanto previsto dal "Testo Unico sulla Privacy", il quale regolamenta molti aspetti dell'attività aziendale, imponendo di organizzare un sistema per la corretta gestione dei dati personali tra cui quelli sensibili e giudiziari, Idealservice ha redatto un Documento Programmatico della Sicurezza. Inoltre la cooperativa è costantemente impegnata nella gestione di un processo volto al continuo monitoraggio e miglioramento della sicurezza delle informazioni, garanzia di un corretto trattamento dei dati stessi (conservazione, divulgazione, ecc.).

Si suggerisce, pertanto, di prendere visione del Documento Programmatico della Sicurezza (DPS) per saperne di più sulle linee di condotta adottate dalla Cooperativa e dalle società del Gruppo in materia di tutela dei dati personali.

Precisiamo che il DPS elaborato dalla Cooperativa e ormai giunto alla terza edizione (elaborata in data 27.03.2008), riporta le linee di condotta adottate da Idealservice e dalle società del Gruppo in materia di tutela dei dati personali con riferimento, di volta in volta, alle persone che entrano in rapporto con l'intero Gruppo e per le quali è necessaria la registrazione.

Le cose più importanti da sapere...

La cooperativa Idealservice e le società del Gruppo raccolgono e utilizzano i dati personali dei propri stakeholders secondo le norme del Decreto Legislativo n.196/2003 ("Codice in materia di protezione dei dati personali") Titolare del trattamento è Idealservice soc. coop., con sede in via Basaldella 90, C.A.P. 33037 Pasian di Prato. Per esercitare i diritti previsti dall'art. 7 del Codice in materia di protezione dei dati personali, per avere ulteriori informazioni sulle modalità di raccolta e utilizzo dei dati personali, oppure per domande e suggerimenti, contatta direttamente Idealservice soc. coop..

La cooperativa Idealservice e le società del Gruppo sono tenute, ai sensi dell'art. 13 del Codice in materia di protezione dei dati personali, a fornire ai propri stakeholders alcune specifiche informazioni in merito alle finalità e alle modalità di utilizzo dei dati personali. L'informativa richiesta dalla Legge (nonché la richiesta dei relativi consensi, ove necessari) è fornita da Idealservice.

Il DPS è soggetto a continue migliorie ed innovazioni, in funzione anche dell' allargamento della Cooperativa Idealservice e delle società del Gruppo.

Organizzazione per la Privacy

La realizzazione e l'amministrazione ordinaria del sistema aziendale per la gestione della privacy fa parte dell'organizzazione complessiva dell'impresa e ne segue criteri e principi.

Le persone che lavorano in azienda, per lavorare in modo coordinato e per il raggiungimento di uno scopo comune, hanno bisogno di essere inquadrate in modo preciso nella realtà aziendale e di operare secondo regole comuni.

Da qui l'importanza di definire la struttura organizzativa individuando e nominando ufficialmente i vari ruoli aziendali.

Un ruolo aziendale non è rappresentato solo dalla persona chiamata a ricoprirlo, ma anche dai compiti e dalle responsabilità proprie dello stesso. E' quindi indispensabile che per ogni ruolo, o per ogni raggruppamento di ruoli, vi siano delle regole scritte, formalizzate in manuali interni o integrate nella lettera d'incarico.

Il Titolare deve:

• Definire la struttura organizzativa.
• Nominare formalmente con una lettera d'incarico le varie figure.
• Definire le procedure interne che regolano i compiti di ogni figura

La scelta della gerarchia migliore dipende dalle capacità delle persone coinvolte.

E’ importante precisare che la struttura non è necessariamente rigida, ma spetta al Titolare scegliere quella che più si addice alla sua realtà aziendale.

Nella maggior parte delle aziende si è soliti trovare più ruoli attribuiti ad una stessa persona: nei piccoli uffici è probabile che l’amministratore di sistema sia anche il responsabile della sicurezza informatica ed il custode delle password. La presenza di persone distinte per ogni ruolo è un’esigenza che fa capo principalmente ad aziende medio – grandi.

Ai fini dell'organizzazione della Privacy, quindi , bisogna individuare e nominare con apposita lettera d'incarico le specifiche figure prevista dalla normativa.

Figure esplicitamente nominate e definite nel D.Lgs. 196/2003

Il Garante: l’autorità istituita dalla legge n. 675 del 31 dicembre 1996 che tutela la riservatezza dei dati personali.

L’Interessato: la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali.

Il Titolare: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.

Il Responsabile: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.

L’Incaricato: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.

Altre figure individuate per una corretta gestione della sicurezza.

L’Amministratore di sistema: persona responsabile dell’amministrazione di determinati strumenti elettronici. Può essere l’incaricato responsabile della sua postazione o una persona alla quale compete l’amministrazione di più postazioni.

Il Responsabile della sicurezza informatica: persona con conoscenze informatiche adeguate a garantire la sicurezza informatica in azienda. Prepara il piano di sicurezza aziendale scegliendo gli strumenti e le procedure più idonee per salvaguardare gli strumenti informatici aziendali ed i dati contenuti o passanti per essi.

Il Manutentore di sistema: persona che si occupa degli interventi tecnici hardware e software sugli strumenti elettronici. Ad esempio: installazione antivirus, sostituzione componenti hardware, configurazione della rete …



Il Custode delle password: persona incaricata alla custodia delle parole chiave delle credenziali di autenticazione delle persone incaricate al trattamento dati.

L’Incaricato al controllo dei locali: persona responsabile dell’accesso ai locali nei quali si effettuano i trattamenti.

Il Professionista esterno: professionista esterno chiamato a prestare il suo servizio utilizzando i dati personali raccolti dall’azienda ed a lui affidati. Ad esempio il commercialista.

L’Esterno che accede ai locali: persona che per motivi ben definiti accede ai locali nei quali vengono trattati i dati personali.

Ricordiamo che è possibile attribuire più ruoli ad una stessa persona; in questa circostanza si può predisporre una sola lettera d’incarico comprendente più ruoli.

Per garantire la continuità dell’attività è bene che alcuni ruoli siano assegnati ad almeno due persone diverse o che si predispongano dei regolamenti interni grazie ai quali si potranno attivare delle procedure idonee a sopperire alla momentanea mancanza di una figura.

E’ opportuno individuare un elenco di professionisti esterni che possano intervenire prontamente al verificarsi di un evento che possa pregiudicare la continuità dell’attività aziendale.

L’elenco dovrà essere organizzato in una tabella.

Alle figure devono essere date precise indicazioni per l’espletamento della loro funzione lavorativa. Vi è quindi la necessità di predisporre dei manuali operativi nei quali siano indicati con precisione i compiti e le responsabilità proprie del ruolo.

Le procedure che il Titolare deve regolamentare sono:

 

• Accesso ai locali del trattamento
• Accesso agli archivi cartacei
• Utilizzo dei sistemi informatici
• Utilizzo di Internet
• Utilizzo della posta elettronica
• Procedura di backup e ripristino
• Procedura per l’esercizio dei diritti degli interessati
• Piano di formazione