Informativa privacy

REGOLAMENTO PER IL TRATTAMENTO DEI DATI PERSONALI

premessa

In funzione dell’approvazione, in data 25 Maggio 2016, del nuovo Regolamento U.E. n. 679/2016 che mira a garantire una disciplina sulla protezione dei dati personali uniforme ed omogenea in tutta l’Unione Europea; rilevato che detta normazione comunitaria costituisce fonte sovraordinata rispetto alle normazioni nazionali e che, per quanto riguarda l’Italia, esso costituisce norma di riferimento e parametro di legittimità delle normativa nazionale vigente e, quindi, del  “Codice della Privacy in vigore dal 01 Gennaio 2004, d. lgs 196/2003,  con le modifiche introdotte dal d. lgs. 101/2018, vigente dal 19.09.2018,  (adeguamento normativa italiana a Regolamento UE 679_2016) il presente regolamento si prefigge di rendere conforme alla nuova normativa il trattamento dei dati personali che viene eseguito all’interno della “AtemporaryStudio/PR di Felluga e Punis”.

Si chiarisce che le novità introdotte dal Regolamento UE si traducono in obblighi organizzativi, documentali e tecnici che tutti i titolari del trattamento dei dati personali devono considerare per consentire la piena e consapevole applicazione del nuovo quadro normativo in materia di Privacy, e per tali ragioni, questo titolare del trattamento (il “AtemporaryStudio/PR di Felluga e Punis”, d’ora innanzi così denominato) ha inteso dotarsi di una procedura generale di attuazione del Regolamento (da qui in poi definito “GDPR”), al fine di ottemperare agli obblighi previsti e di comprovare l’adeguamento alla normativa.

Sommario

INTRODUZIONE
1. Oggetto
2. Finalità
3. Sensibilizzazione
4. Titolare del trattamento
5. Responsabili del trattamento
6. Incaricati interni del trattamento
7. I dati trattati
8. Principi applicabili al trattamento dei dati personali
9. Il trattamento dei dati personali
10.Il trattamento dei dati sensibili
11. Il trattamento dei dati del personale del titolare
12. Registro delle attività di trattamento
13. Valutazione d’impatto sulla protezione dei dati
14. Informative
15. Consenso al trattamento dei dati
16. Diritti dell’interessato
17. Modalità di esercizio dei diritti dell’interessato
18. Descrizione dell’attività – Ambienti fisici e virtuali – Videosorveglianza
19. Misure di sicurezza
20. Formazione del personale
21. Modulistica
23. Responsabilità in caso di violazione delle disposizioni in materia di Privacy
24. Comunicazione della violazione dei dati personali (“Data Breach”)
Conclusioni

INTRODUZIONE

Il presente regolamento sulla privacy è uno strumento di applicazione del Decreto Legislativo 30 Giugno 2003, n.196 (“Codice sulla Privacy”) come modificato ed integrato dal d.lvo 101/2018 e del Regolamento UE 2016/679, nell’ambito dell’organizzazione del Titolare “AtemporaryStudio/PR di Felluga e Punis”; il medesimo verrà periodicamente aggiornato, in linea con le novità normative, giurisprudenziali e con le pronunce del Garante della Privacy.

Dall’esame della materia emerge come sia ormai naturale un cambiamento di mentalità che porti alla piena tutela della Privacy, da considerare non solo come un onere burocratico ma anzitutto come garanzia di una riservatezza sostanziale. La policy in materia, quindi, è da leggersi sia in funzione di tutela dei diritti degli interessati che di realizzazione di corrette procedure aziendali, tenuto conto della delicatezza degli interessi sottesi.

Il diritto alla privacy infatti è un vero e proprio diritto inviolabile della persona che non si limita alla tutela della riservatezza o alla protezione dei dati, ma si estende – strumentalmente – alla piena realizzazione degli altri diritti e delle libertà fondamentali.

1. OGGETTO

Il presente regolamento disciplina, all’interno della struttura del Titolare “AtemporaryStudio/PR di Felluga e Punis”  la tutela delle persone e degli altri soggetti in ordine al trattamento dei dati personali, nel rispetto ed in conformità di quanto previsto dalla nuova normativa sovranazionale, il Regolamento UE n. 679 del Parlamento Europeo e del Consiglio del 27 Aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, tenuto conto del d.lvo 101/2018.

2. FINALITA’

Il Titolare “AtemporaryStudio/PR di Felluga e Punis” garantisce che il trattamento dei dati, a tutela delle persone fisiche, si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale ed al diritto di protezione dei dati personali, a prescindere dalla loro nazionalità o dalla loro residenza.

La protezione delle persone fisiche con riguardo al trattamento dei dati personali è un diritto fondamentale: “Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano” (art. 8, paragrafo 1, Carta dei Diritti Fondamentali dell’UE)

3. SENSIBILIZZAZIONE

Il Titolare “AtemporaryStudio/PR di Felluga e Punis” sostiene e promuove al suo interno ogni strumento di sensibilizzazione che possa consolidare il pieno rispetto del diritto alla riservatezza e migliorare la qualità del proprio operato: uno degli strumenti essenziali di sensibilizzazione è l’attività formativa del personale. Per garantire la conoscenza reale delle disposizioni del presente regolamento, al momento dell’assunzione viene consegnata a ciascun dipendente copia della presente documentazione ed egli si impegna a prenderne visione ed attenersi alle sue prescrizioni.

4. TITOLARE DEL TRATTAMENTO

In generale, il “titolare” del trattamento dei dati personali è la persona fisica, giuridica, la PA e qualsiasi altro Ente, Associazione od organismo cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali ed agli strumenti utilizzati, compreso il profilo della sicurezza.

Il “trattamento” è qualunque operazione effettuata con o senza l’ausilio di strumenti elettronici concernente la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, l’estrazione, l’utilizzo, la comunicazione, la diffusione, la cancellazione, la distruzione dei dati (GDPR, art.4).

Il titolare del trattamento dei dati personali ai sensi e per gli effetti del GDPR è il  “AtemporaryStudio/PR di Felluga e Punis”, in persona delle legali rappresentanti pro tempore Giovanna Felluga e Samantha Punis, con sede in Trieste, via Belpoggio n. 1, p. iva 01177710322, email: info@atemporarystudio.com —internet: www.atemporarystudio.com; numeri di telefono e indirizzi specifici reperibili su:  http://www.atemporarystudio.com/contatti/

5. RESPONSABILI DEL TRATTAMENTO

Ai fini del presente regolamento s’intende per “Responsabile” la persona fisica, giuridica, la PA e qualsiasi altro Ente, Associazione ed Organismo preposti dal titolare al trattamento di dati personali.

Il titolare, in considerazione della complessità e della molteplicità delle funzioni dell’Azienda, designa quali Responsabili del trattamento di dati personali unicamente i soggetti che presentino garanzie sufficienti per metter in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato (GDPR art.28).

Tutti i soggetti esterni che effettuano operazioni di trattamento sui dati del Titolare “AtemporaryStudio/PR di Felluga e Punis”, per conto e nell’interesse della stessa, per finalità connesse all’esercizio delle funzioni, sono nominati “Responsabili Esterni” del trattamento, qualora siano in possesso dei requisiti di esperienza, capacità ed affidabilità.

I Responsabili esterni del trattamento hanno l’obbligo di:

  • Trattare i dati in modo lecito, secondo correttezza e nel pieno rispetto della normativa vigente in materia di privacy;
  • Rispettare le misure di sicurezza ed adottare tutte le misure che siano idonee a prevenire e/o evitare la comunicazione o diffusione dei dati, il rischio di distruzione o perdita, anche accidentale, di accesso non autorizzato o di trattamento non autorizzato o non conforme alle finalità della raccolta;
  • Trattare i dati personali esclusivamente per le finalità previste dal contratto o dagli obblighi di legge;
  • Attenersi alle disposizioni impartite dal titolare del trattamento.

Nel caso di mancato rispetto delle predette disposizioni ne risponde direttamente, verso l’Azienda, il Responsabile esterno del trattamento.

La designazione del Responsabile esterno viene effettuata mediante “atto di nomina” da parte del titolare del trattamento (Allegato 1. – Lettera di nomina del Responsabile Esterno al trattamento dei dati personali) e mediante le Istruzioni operative ivi incluse, da allegare agli accordi, convenzioni o contratti che prevedono l’affidamento di trattamenti di dati personali esternamente al Titolare.

L’accettazione della nomina è condizione necessaria per l’instaurarsi del rapporto giuridico fra le parti.

6. INCARICATI INTERNI DEL TRATTAMENTO

Gli “Incaricati” del trattamento sono le (eventuali) persone fisiche, direttamente dipendenti del Titolare “AtemporaryStudio/PR di Felluga e Punis”, incaricati di svolgere le operazioni di trattamento dei dati personali di loro competenza con l’indicazione dei compiti, dell’ambito di trattamento consentito e delle modalità.

Ogni dipendente eventualmente preposto ad un determinato servizio e tenuto ad effettuare operazioni tecniche di trattamento è da considerare “Incaricato”. La designazione dell’incaricato al trattamento dei dati personali è di competenza del titolare del trattamento e la nomina è effettuata per iscritto, in modo da individuare puntualmente i compiti spettanti all’incaricato e le modalità cui deve attenersi per l’espletamento degli stessi e l’ambito del trattamento consentito (Allegato 2. – Lettera di nomina dell’incaricato interno al trattamento di dati personali).

L’incaricato collabora con il titolare segnalando eventuali situazioni di rischio nel trattamento dei dati e fornendo ogni informazione necessaria per l’espletamento delle funzioni di controllo.

In particolare, l’incaricato deve assicurare che, nel corso del trattamento, i dati siano:

  • Trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
  • Raccolti e registrati per scopi determinati, espliciti e legittimi e, successivamente, trattati in modo compatibile con tali finalità;
  • Adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
  • Esatti e, se necessario, aggiornati: devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
  • Conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore a quello necessario per il conseguimento delle finalità;
  • Trattati in modo tale che venga ad essere garantita un’adeguata sicurezza dei dati, compresa la protezione mediante misure organizzative e tecniche adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale.

L’incaricato è tenuto alla completa riservatezza sui dati di cui sia venuto a conoscenza in occasione dell’espletamento della sua attività, impegnandosi a comunicare i dati esclusivamente ai soggetti indicati dal titolare e nei soli casi previsti dalla legge.

Gli incaricati devono ricevere idonee ed analitiche istruzioni, anche per gruppi omogenei di funzioni, riguardo le attività sui dati affidate e gli adempimenti a cui sono tenuti.

7. I DATI TRATTATI

Il Titolare, nell’esercizio delle sue funzioni, tratta dati, in modo anche automatizzato (totalmente o parzialmente), delle seguenti categorie di interessati:

  • Dati del personale dipendente (qualora esso sia presente)
  • Dati dei fornitori
  • Dati degli Amministratori
  • Dati dei clienti

I dati che sono o possono essere trattati dal Titolare “AtemporaryStudio/PR di Felluga e Punis” rientrano nelle seguenti categorie di dati:

  • Dati personali comuni: rappresentano qualunque informazione relativa alla persona fisica, identificata o identificabile.
  • Dati sensibili: sono i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione ai partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale nonché i dati personali idonei a rivelare lo stato di salute dell’interessato.

8. PRINCIPI APPLICABILI AL TRATTAMENTO DEI DATI PERSONALI

I dati personali sono:

  • Trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
  • Raccolti per finalità determinate, esplicite e legittime;
  • Adeguati, pertinenti e non eccedenti (limitati) a quanto necessario rispetto alle finalità perseguite (“principio di minimizzazione dei dati”);
  • Esatti e, se necessario, aggiornati;
  • Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni (GDPR art. 5 e 6):
    • L’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
    • Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
    • Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
    • Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi e le libertà dell’interessato che richiedono la protezione dei dati personali

9. IL TRATTAMENTO DEI DATI PERSONALI

Con l’espressione “trattamento” si intendono tutte le operazioni o complesso di operazioni, compiuti con o senza l’ausilio di processi automatizzati applicati a dati personali o all’insieme di dati personali, concernenti le tipologie indicate dall’art. 4 del GDPR.

Il trattamento dei dati è esercitabile solo da parte del titolare, dei Responsabili e degli incaricati. Non è consentito il trattamento da parte di persone non autorizzate.

10. IL TRATTAMENTO DEI DATI SENSIBILI

Il Titolare “AtemporaryStudio/PR di Felluga e Punis” può trattare i dati sensibili solo quando il trattamento è autorizzato da espressa disposizione di legge ed in esecuzione di clausole contrattuali.

In ogni ipotesi di trattamento di dati sensibili occorre verificare, preliminarmente e durante il trattamento, che i dati trattati siano indispensabili per svolgere l’attività consentita e non sia sufficiente utilizzare dati anonimi.

Tale trattamento deve essere effettuato con modalità volte a prevenire la violazione dei diritti delle libertà fondamentali e della dignità dell’interessato.

11. IL TRATTAMENTO DEI DATI PERSONALI DEL PERSONALE DELL’AZIENDA

Il Titolare “AtemporaryStudio/PR di Felluga e Punis” tratta i dati, anche di natura sensibile, dei propri dipendenti per le finalità di instaurazione e di gestione di rapporti di lavoro di qualunque tipo.

Per i trattamenti dei dati connessi alla gestione del rapporto di lavoro (o di tirocinio o di altro tipo) con il personale dipendente, è predisposta apposita informativa (Allegato 3 – Informativa per il trattamento dei dati dei dipendenti).

Secondo la normativa, il Titolare adotta le massime cautele nel trattamento di informazioni personali del proprio dipendente che siano idonee a rivelare lo stato di salute, le abitudini sessuali, le convinzioni politiche, sindacali, religiose, filosofiche o d’altro genere e l’origine razziale ed etnica. Il trattamento dei dati sensibili del dipendente deve avvenire secondo i principi di necessità e di indispensabilità che impongono di ridurre al minimo l’utilizzo dei dati personali e sensibili e, quando non vi si possa prescindere, di trattare solo le informazioni che si rivelino indispensabili per la gestione del rapporto di lavoro.

Il Titolare, nel trattamento dei dati sensibili relativi alla salute dei propri dipendenti, rispetta i principi di necessità e indispensabilità.

12. REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO

Il titolare del trattamento AtemporaryStudio/PR di Felluga e Punis, pur non essendovi tenuto a norma del punto 5) dell’art. 30 del Regolamento Europeo, sceglie di istituire un registro, in forma scritta anche elettronica, delle attività di trattamento svolte sotto la propria responsabilità, che terrà aggiornato.

Tale registro contiene le seguenti informazioni:

  • Il nome e i dati di contatto del titolare del trattamento;
  • Le finalità del trattamento;
  • La descrizione delle categorie di interessati e delle categorie dei dati personali;
  • Le categorie dei trattamenti effettuati;
  • Le categorie dei destinatari a cui i dati personali sono o saranno comunicati;
  • L’indicazione delle misure di sicurezza applicate;
  • Eventuale possibilità di trasferimenti di dati all’estero;
  • Indicazione dei termini ultimi previsti per la cancellazione delle diverse categorie di dati trattati.

13. VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI

La valutazione dell’impatto dei trattamenti sulla protezione dei dati personali deve essere realizzata dal titolare quando un tipo di trattamento, considerata la natura, il contesto, le finalità possono presentare un rischio per i diritti e le libertà delle persone fisiche.

La valutazione deve contenere almeno:

  • Una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare;
  • Una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • Una valutazione dei rischi per i diritti e le libertà degli interessati;
  • Le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza ed i meccanismi per la protezione dei dati e per dimostrare la conformità al presente regolamento ed alla normativa in vigore.

Quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento, il titolare del trattamento, se necessario, procede ad un riesame della valutazione d’impatto sulla protezione dei dati.

Il titolare AtemporaryStudio/PR di Felluga e Punis, pur non essendovi tenuto a norma dell’art. 35 del Regolamento Europeo, sceglie di redigere ed aggiornare la valutazione di impatto, conglobandola in unico documento assieme al Registro dei Trattamenti suddetto.

Il Registro dei Trattamenti e La valutazione di impatto costituiscono l’allegato n. 4 al presente regolamento

14. INFORMATIVA

Il titolare del trattamento, al momento della raccolta dei dati personali, è tenuto a fornire all’interessato, avvalendosi del personale incaricato, l’informativa prevista, redatta per iscritto, mediante idonei strumenti:

  • Attraverso appositi moduli da consegnare agli interessati;
  • Avvisi agevolmente visibili al pubblico, tramite pubblicazione ad es. sull’eventuale sito web.

L’informativa contiene:

  • Le finalità e le modalità del trattamento;
  • L’indicazione della natura facoltativa del conferimento dati;
  • L’indicazione del titolare;
  • Il trattamento dei dati in casi particolari;
  • L’indicazione dei diritti dell’utente, paziente, cliente;
  • L’ambito di comunicazione e diffusione dei dati.

(Allegato n. 3, informativa dipendenti; allegato 4: informativa fornitori; allegato 5: informativa clienti)

15. CONSENSO AL TRATTAMENTO DEI DATI

Nei trattamenti dei dati personali o sensibili effettuati per il perseguimento di finalità diverse da quelle cogenti, quindi in attuazione di obblighi di legge o di esecuzione di contratti, il Titolare organizza modalità atte a facilitare l’espressione del consenso da parte dell’interessato (GDPR art. 81 e 82).

Il consenso deve essere reso da parte dell’interessato attraverso la compilazione dell’apposito modulo (Allegato n. 6 – Modulo per espressione di consenso), previa consegna e presa d’atto dell’apposita informativa.

La manifestazione del consenso sarà valida ed efficace fino alla revoca della stessa: il consenso è validamente prestato al ricorrere di determinate caratteristiche, ovvero sia reso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato e se è documentato per iscritto.

L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento, con la stessa facilità con la quale lo ha espresso. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.

16. DIRITTI DELL’INTERESSATO

L’”interessato” è il soggetto, persona fisica, alla quale si riferiscono i dati oggetto del trattamento.

Il titolare “AtemporaryStudio/PR di Felluga e Punis” attua ogni misura necessaria a facilitare l’esercizio dei diritti dell’interessato ai sensi degli art. 12-22 del GDPR.

A tal fine, la normativa europea prevede che l’interessato ha il diritto di ottenere dal titolare del trattamento:

  • Conferma dell’esistenza o meno dei dati personali che lo riguardano e:
  • Origine dei dati;
  • Finalità e modalità di trattamento;
  • La logica applicata ed i criteri utilizzati nell’elaborazione elettronica dei dati;
  • Gli estremi identificativi del titolare e del Responsabile;
  • I soggetti e le categorie di soggetti ai quali i dati possono essere comunicati;
  • Periodo di conservazione dei dati ed i criteri utilizzati per la determinazione di tale periodo;
  • Comunicazione dei dati;
  • Rettifica, aggiornamento od integrazione dei dati;
  • Cancellazione dei dati (“diritto all’oblio”);
  • Trasformazione in forma anonima o blocco nel caso in cui siano trattati in violazione di legge;
  • Limitazione del trattamento ex art. 18, lettera a), b), c) e d) del GDPR;
  • Ricezione in formato strutturato, di uso comune e leggibile i dati personali che lo riguardano;
  • Proposizione di opposizione al trattamento dei dati;
  • Copia dei dati personali oggetto di trattamento.

17. MODALITA’ DI ESERCIZIO DEI DIRITTI DELL’INTERESSATO

La richiesta per l’esercizio dei diritti di cui all’art.16 del presente regolamento può essere fatta pervenire:

  • Direttamente dall’interessato;
  • Tramite altra persona fisica o associazione a cui abbia conferito per iscritto delega o procura;
  • Tramite chi esercita la potestà o la tutela.

L’interessato può presentare o inviare la richiesta di esercizio dei diritti tramite la modulistica predisposta (Allegato 7 – Modulo per l’esercizio dei diritti dell’interessato).

Il soggetto competente alla valutazione dell’istanza è il Titolare, il quale decide sull’ammissibilità della richiesta d’accesso.

All’istanza deve essere dato riscontro entro 30 giorni dalla data di ricezione della stessa

18. DESCRIZIONE DELL’ATTIVITA’ – AMBIENTI FISICI E VIRTUALI – VIDEOSORVEGLIANZA

AtemporaryStudio/PR è uno studio associato – che prossimamente assumerà veste societaria (alla quale cosa conseguiranno le dovute variazioni anche nella presente policy) – composto da sue professioniste iscritte all’ordine dei giornalisti. L’oggetto sociale è di comunicazione e consulenza rivolto al mondo del design e dell’arte contemporanea fondato appunto da Samantha Punis e Giovanna Felluga, nei rispettivi campi degli uffici stampa/direzione creativa e della consulenza/mediazione artistica, con il chiaro intento di proporre un modello personalizzato di avvicinamento al mondo del progetto e dell’arte contemporanea

Lo Studio dispone di adeguati spazi all’interno di ampio appartamento sito al primo piano dello stabile di via Belpoggio n. 1 a Trieste; gli spazi sono condotti in locazione e l’appartamento (ad uso esclusivo di ufficio) è condiviso con altri soggetti (Ufficio Stampa Priamo; Studio Grafico Giraldi; RNDR Architetti); le stanze in uso al Titolare sono autonome e dotate di meccanismi di chiusura che impediscono l’accesso di terzi; l’intero appartamento, di suo, è poi provvisto di adeguate serrature e di barra di sicurezza.

Non vi è sistema di videosorveglianza: vi è soltanto un videocitofono che non effettua registrazione; le porte sono provviste di barre di sicurezza. Durante il periodo di apertura l’ingresso e gli uffici sono presidiati dal personale.

Il Titolare dispone di proprio ambiente virtuale: in particolare è attivo e monitorato e gestito il sito internet sopra segnalato; le professioniste impiegano computer e device Apple, per i quali sono previsti requisiti di accesso e connesse credenziali.  La connessione wi-fi è garantita da Telecom; la funzione gestionale hardware e software è data a soggetto esterno (Infoera di Trieste) all’uopo nominato responsabile del trattamento dei dati.

19. MISURE DI SICUREZZA

Il Titolare garantisce l’applicazione di idonee e preventive misure di sicurezza che consentono di ridurre al minimo i rischi di distruzione o perdita, anche accidentale dei dati trattati, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta.

Le misure di sicurezza comprendono:

  • Eventuale anonimizzazione e cifratura dei dati personali;
  • Procedure per assicurare la riservatezza, l’integrità e la disponibilità dei sistemi e dei servizi di trattamento;
  • Modalità per garantire il ripristino tempestivo nell’accesso ai dati personali in caso di incidente fisico o tecnico.

20. FORMAZIONE DEL PERSONALE

Il titolare organizza interventi di formazione e aggiornamento in materia di tutela della riservatezza e di protezione dei dati personali, finalizzati alla conoscenza delle norme, all’adozione di idonei modelli di comportamento e procedure di trattamento, alla conoscenza delle misure di sicurezza per il trattamento e la conservazione dei dati, dei rischi individuati e dei modi per prevenire danni ai dati stessi.

21. MODULISTICA

All’interno della struttura del Titolare sono adottati modelli uniformi di informativa come da allegati al presente regolamento che sono periodicamente aggiornati.

22. RESPONSABILITA’ IN CASO DI VIOLAZIONE DELLE DISPOSIZIONI IN MATERIA DI PRIVACY

Il mancato rispetto delle disposizioni in materia di riservatezza dei dati personali con le sanzioni previste dalla nuova normativa; il titolare del trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento.

Il Responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi previsti nel presente regolamento e a lui specificatamente diretti o ha agito in modo difforme o contrario rispetto alle legittime istruzioni impartitegli dal titolare.

Il titolare o il Responsabile sono esonerati da responsabilità solo se dimostrano che l’evento dannoso non gli è in alcun modo imputabile.

23. COMUNICAZIONE DELLA VIOLAZIONE DEI DATI PERSONALI (“Data Breach”)

La comunicazione dell’avvenuta violazione dei dati personali è effettuata dal titolare al Garante della Privacy entro 72 ore dalla conoscenza dell’evento.

La notifica deve:

  • Descrivere la natura della violazione;
  • Descrivere le probabili conseguenze della violazione;
  • Descrivere le misure adottate o di cui si propone l’adozione.

Quando la violazione dei dati presenta un rischio elevato per i diritti delle persone fisiche, il titolare comunica la violazione e la natura della stessa all’interessato, attraverso un linguaggio semplice e chiaro.

24. CONCLUSIONI

Per quanto non previsto nel presente regolamento si applicano le disposizioni previste per la protezione dei dati personali dal Regolamento Europeo 2016/679 del 27 Aprile 2016 nonché il Codice della privacy, come vigente in funzione delle modifiche ed integrazioni operate con d.lvo 101/2018, vigente dal 19 settembre 2018.

Il presente regolamento sarà aggiornato a seguito di ulteriori modificazioni alla vigente normativa in materia di riservatezza e protezione dei dati personali.

ALLEGATI

Di seguito viene presentato l’elenco della modulistica predisposta ai fini dell’adeguamento al dettato del presente regolamento e della nuova normativa europea nell’ambito del trattamento dei dati personali:

1. Lettera di nomina del Responsabile esterno del trattamento dei dati personali

2. Nomina incaricato del trattamento

3. Informativa per il trattamento dei dati per i dipendenti

4. Informativa per il trattamento dei dati per altri soggetti – fornitori

5. Informativa per il trattamento per altri soggetti – clienti

6. Modulo per espressione del consenso

7. Modulo per l’esercizio dei diritti dell’interessato

8. Registro dei trattamenti e valutazione di impatto

 

REGULATIONS FOR THE PROCESSING OF PERSONAL DATA

premise

Based on the approval, on 25 May 2016, of the new EU Regulation, no. 679/2016 which aims to guarantee a uniform and homogeneous regulation on personal data protection throughout the European Union; it is noted that this Community standard constitutes a higher-level source than national standards and that, as regards Italy, it constitutes a reference standard and a parameter of legitimacy for the national legislation in force and, therefore, of the “Privacy Code in force since 01 January 2004, Legislative Decree 196/2003, with the changes introduced by Legislative Decree 101/2018, in force since 19.09.2018,  (Italian legislation adaptation to EU Regulation 679_2016) This Regulation aims to make it conform to the new treatment policy legislation that runs within the “AtemporaryStudio/PR di Felluga e Punis”. 

It is made clear that the innovations introduced by the EU Regulation translate into organizational, documentary and technical obligations that all the holders of personal data processing must consider in order to allow the full and conscious application of the new regulatory framework on Privacy, and for these reasons, this data controller (the “AtemporaryStudio / PR di Felluga e Punis”, henceforth referred to as “referred to above)” intends to adopt a general procedure for the implementation of the Regulation (hereinafter referred to as “GDPR”), in order to comply with the expected obligations and to demonstrate compliance with the legislation.

Summary

INTRODUCTION
1. Object
2. Purpose
3. Awareness
4. Data controlle
5. Managers of the treatment
6. Internal agents in charge of processing
7. The data processed
8. Principles relating to the processing of personal data
9. The processing of personal data
10. The processing of sensitive data
11. The processing of the data of the owner’s workforce
12. Register of processing activities
13. Impact assessment on data protection
14. Information
15. Consent to the processing of data
16. Rights of the interested party
17. Procedures for exercising the rights of the interested party
18. Description of the activity – physical and virtual environments – video surveillance
19. Security measures
20. Staff training
21. Forms
22. Liability in case of violation of the provisions regarding Privacy
23. Communication of violations of personal data (“Data Breach”)
24.Conclusion

 

INTRODUCTION 

This privacy regulation is an instrument for the application of the Legislative Decree of 30 June 2003, n.196 (“Privacy Code”) as amended and supplemented by Legislative Decree 101/2018 and EU Regulation 2016/679, within the organization of the owner “AtemporaryStudio / PR di Felluga e Punis”; the same will be periodically updated, in line with the new regulations, case law and with the rulings of the Privacy Guarantor.

An examination of the matter as it now emerges reveals a natural change of mentality leading to the full protection of privacy, to be considered not only as a bureaucratic burden but above all as a guarantee of a substantial confidentiality. The policy on the matter, therefore, is to be read both in terms of protection of the rights of the interested parties and of the implementation of correct corporate procedures, taking into account the sensitivity of the underlying interests.

In fact, the right to privacy is a real and inviolable right of the person which is not limited to the protection of confidentiality or data protection, but extends – instrumentally – to the full realization of other rights and fundamental freedoms.

 

1. OBJECT

This regulation governs, within the structure of the Owner “AtemporaryStudio / PR di Felluga e Punis” the protection of persons and other subjects with regard to the processing of personal data, in compliance with and in accordance with the new supranational legislation the EU Regulation no. 679 of the European Parliament and of the Council of 27 April 2016, concerning the protection of individuals with regard to the processing of personal data, as well as the free movement of such data, taking into account the legislative decree 101/2018.

2. PURPOSE

The Owner  “AtemporaryStudio/PR di Felluga e Punis” guarantees that the processing of data, for the protection of individuals, will be with respect for their human rights and fundamental freedoms and dignity, with particular reference to privacy, personal identity and the right to data protection personal, regardless of their nationality or residence.

The protection of individuals with regard to the processing of personal data is a fundamental right: “Every person has the right to protection of personal data concerning him or her” (article 8, paragraph 1, the EU Charter on Fundamental Rights).

3. AWARENESS

The Owner “AtemporaryStudio/PR di Felluga e Punis” supports and promotes within it every awareness tool that can consolidate full respect for the right to privacy and improve the quality of its work: one of the essential tools for awareness is staff training. To ensure real knowledge of the provisions of this regulation, at the time of recruitment a copy of this documentation is issued to each employee and he/she undertakes to read and comply with its requirements.

4. DATA CONTROLLER

In general, the “owner”/person responsible for the processing of personal data is the natural person, legal person, PA and any other body, association or organization which is responsible for decisions regarding the aims, methods of processing of personal data and the tools used, including the security profile.

The “treatment” is any operation carried out with or without the aid of electronic tools concerning the collection, registration, organization, storage, consultation, processing, extraction, use, communication, dissemination, deletion, destruction of data (GDPR, article 4).

The owner of the processing of personal data pursuant to and for the purposes of the GDPR is the “AtemporaryStudio/PR di Felluga e Punis”, in the persons of the legal representatives pro tempore Giovanna Felluga and Samantha Punis, with headquarters in Trieste, via Belpoggio n. 1, p. iva / VAT number 01177710322, email: info@atemporarystudio.com —internet: www.atemporarystudio.com; phone numbers and specific addresses available on:  https://www.atemporarystudio.com/contatti/

5. MANAGERS OF THE TREATMENT

For the purposes of this regulation “Manager” refers to the individual, legal person, PA and any other body, association and organisation appointed by the owner to process personal data.

In consideration of the complexity and the multiplicity of the Company’s functions, the Owner designates, as Data Processing Managers, only those who are able to put in place sufficient guarantees of suitable technical and organizational measures in such a way that the treatment meets the requirements of the Regulation and ensures the protection of the rights of the data subject (GDPR art.28).

All external subjects which carry out processing operations on the data held by the Owner “AtemporaryStudio / PR di Felluga e Punis”, on behalf and in the interest of the same, for purposes related to the exercise of its functions, are appointed “External Manager” of the data treatment, if they meet the requirements of experience , capability and reliability.

External data treatment managers are obliged to:

  • Treat data lawfully, fairly and in full compliance with current legislation on privacy;
  • Observe security measures and take all necessary measures that are appropriate to prevent and / or avoid disclosure or dissemination of data, the risk of destruction or loss, even accidental, unauthorized access or unauthorized processing or non-compliance with the purposes of the collection;
  • Treat personal data exclusively for the purposes specified in the contract or legal obligations;
  • Follow all instructions given by the data controller.

In the event of failure to comply with the aforementioned provisions, the external data treatment manager will answer directly to the Company.

The designation of the external manager is carried out by means of an “appointment document” by the data controller (Attachment 1. – Letter of appointment of the External Manager for the processing of personal data) and through the Operating Instructions included therein, to be attached to the agreements, conventions or contracts that provide for the external assignment of the processing of personal data by  the Owner.

The acceptance of the appointment is a necessary condition for the establishment of the legal relationship between the parties.

6. INTERNAL AGENTS IN CHARGE OF PROCESSING

The “persons in charge” of the treatment are the (possible) individuals directly employed by the Owner “AtemporaryStudio / PR di Felluga e Punis” responsible for carrying out the processing operations of personal data within their competence within the indication of the tasks, the permitted treatment and methods

Any employee who is in charge of a specific service and who is required to carry out technical processing operations must be considered “In charge”. The appointment of the person responsible for the processing of personal data is the responsibility of the data controller and the appointment is made in writing, so as to promptly identify the duties of the person in charge and the procedures to be followed to carry out the same and the scope of the permitted processing (Attachment 2. – Letter of appointment of the person in charge of processing personal data).

The person in charge cooperates with the Owner to report any risk situations in the treatment of the data and to provide any information necessary for the performance of the functions of checking or control.

In particular, the person in charge must ensure that, in the course of processing, the data is:

  • Treated in a lawful, correct and transparent manner with regard to the interested party;
  • Collected and registered for specific, explicit and legitimate purposes and subsequently processed in a manner compatible with these purposes;
  • Adequate, relevant and limited to what is necessary in relation to the purposes for which the data is processed;
  • Accurate and, where necessary, updated: to take all reasonable steps to promptly delete or rectify inaccurate data for the purposes for which it is processed;
  • Preserved in a form which permits identification of data subjects for a period of time not exceeding that necessary for the achievement of the purposes;
  • Treated in such a way that adequate data security is ensured, including protection through appropriate organizational and technical measures, in order to avoid unauthorized or unlawful processing and loss, destruction or accidental damage.

The person in charge is bound to complete confidentiality on the data that he/she has come to know during the performance of his/her activity, committing him/herself to communicating the data exclusively to persons specified by the Owner and only in situations provided for by law.

The persons in charge must receive suitable and analytical instructions, even for homogeneous groups of functions, regarding the activities on the assigned data and the obligations to which they are required.

7. THE DATA PROCESSED

The Owner, in carrying out their functions, is able to process data even in an automated manner (totally or partially), within the following categories:

  • the employee’s personal data (if it is present)
  • Data of suppliers
  • Data of Directors
  • Data of clients

The data that is or may be processed by the Owner “AtemporaryStudio / PR di Felluga e Punis” falls into the following categories:

  • Common personal data: representing any information relating to the individual, identified or identifiable.
  • Sensitive data: personal data that could reveal racial or ethnic origin, religious, philosophical or other beliefs, political opinions, membership of political parties, trade unions, associations or organizations of religious, philosophical, political or union type; in addition to personal data disclosing the state of health of the individual.

8. PRINCIPLES RELATING TO THE PROCESSING OF PERSONAL DATA

Personal data is:

  • Treated in a lawful, correct and transparent way with regard to the interested party;
  • Collected for specific, explicit and legitimate purposes;
  • Adequate, relevant and not excessive (limited) to what is necessary with respect to the objectives pursued (the “principle of data minimization”);
  • Accurate and, where necessary, updated;
  • Processing is permitted only if and to the extent that at least one of the following conditions applies (GDPR articles 5 and 6):
    • The data subject has consented to the processing of personal data for one or more specific purposes;
    • Processing is necessary for the execution of a contract of which the party concerned is a party or for the execution of pre-contractual measures taken at the request of the same;
    • The processing is necessary to protect the vital interests of the data subject or of another individual;

Treatment is necessary to achieve the legitimate interest of the data controller or third parties, provided that not overridden by the interests and freedoms that require the protection of personal data.

9. THE PROCESSING OF PERSONAL DATA

“Processing” is understood to mean all operations or sets of operations, performed with or without the aid of automated processes applied to personal data or sets of personal data relating to the types indicated in article 4 of the GDPR.

The processing of data can only be carried out by the Owner, the managers and the persons in charge. Processing by unauthorized persons is not permitted.

10. THE PROCESSING OF SENSITIVE DATA

The Owner “AtemporaryStudio/PR di Felluga e Punis” may process sensitive data only when the processing is authorized by an express provision of law and in execution of contractual clauses.

In any case involving the processing sensitive data, it is necessary to verify, preliminarily and during the treatment, that the data processed is indispensable for carrying out the permitted activity and the use of anonymous data would not be sufficient.

Such processing should be carried out by procedures designed to prevent violation of the rights and fundamental freedoms and the dignity of the individual.

11. THE PROCESSING OF THE DATA OF THE OWNER’S WORKFORCE

The Owner “AtemporaryStudio/PR di Felluga e Punis” may process the data, even of a sensitive nature, of its employees for the purposes of establishing and managing work relationships of any kind.

For the processing of data related to the management of relationships (or internship or any other) with employees, specific information is provided (Attachment 3 – Information for the processing of employee data).

According to law, the Owner must take the utmost caution in the processing of personal information of employees which may reveal the state of health, sexual habits, political beliefs, trade union membership, religious, philosophical or other views and racial and ethnic origin. The processing of the employees’ sensitive data must take place according to the principles of necessity and indispensability that require minimal use of personal and sensitive data and, when it cannot be avoided, to process only that information which is indispensable for the management of the employment relationship.

The Owner, when processing sensitive data related to the health of employees, respects the principles of necessity and indispensability.

12. REGISTER OF PROCESSING ACTIVITIES

The data controller AtemporaryStudio/PR di Felluga e Punis, even though not required to do so in accordance with point 5) of article 30 of the European Regulation, chooses to establish a register, in both written and electronic format, of the processing activities carried out under their own responsibility, which will be kept updated.

This register contains the following information:

  • The name and contact details of the data controller;
  • The purposes of the data processing;
  • The description of the categories of data subjects and of the categories of personal data;
  • The categories of the processes carried out;
  • The categories of recipients to whom personal data is or will be communicated;
  • Indication of the security measures applied;
  • Possible options for data transfers abroad;
  • Indication of the time limits provided for the deletion of the different categories of data.

13. IMPACT ASSESSMENT ON DATA PROTECTION

The impact assessment of the protection of personal data processing must be carried out by the Owner when a type of data processing, given its nature, context and purpose, may pose a risk to the rights and freedoms of individuals.

The evaluation must include at least:

  • A systematic description of the intended processes and the purposes of the processing, including, where applicable, the legitimate interest pursued by the Owner;
  • An assessment of the necessity and proportionality of the processes in relation to the purposes;
  • A risk assessment for the rights and freedoms of the interested parties;
  • The measures envisaged to address risks, including safeguards, security measures and data protection mechanisms and to demonstrate compliance with this regulation and the legislation in force.

When changes in the risk represented by the activities related to the processing occur, the data controller shall, if necessary, review the impact assessment on data protection.

The Owner AtemporaryStudio/PR di Felluga e Punis, even though there is no obligation to comply with the provisions of article 35 of the European Regulations, chooses to draw up and update the impact assessment, including it in a single document together with the aforementioned Register of Treatments.

The Register of Treatments and Impact Assessment constitute Attachment no. 4 to this regulatory document.

14. INFORMATION

The data controller, at the time of the collection of personal data, is required to provide the interested party, through the staff in charge, with the required information, expressed in writing, by means of appropriate tools:

  • Through appropriate forms to be delivered to interested parties;
  • Through notices easily visible to the public, for example through publication on the website.

The information includes:

  • The purposes and methods of the data processing;
  • An indication of the optional nature of the provision of data;
  • An indication of the Owner;
  • Data processing in special cases;
  • An indication of the rights of the user, patient, client;
  • The scope of the communication and dissemination of data.

(Attachment no. 3, employee information; attachment no. 4: supplier information; attachment no. 5: client information)

15. CONSENT TO THE PROCESSING OF DATA

In the processing of personal or sensitive data carried out for the pursuit of purposes other than those binding, in implementation of legal obligations or the execution of contracts, the Data Controller will organize methods for the facilitation of the expression of consent by the interested party (GDPR articles 81 and 82).

Consent must be given by the interested party by the completion of the appropriate form (Attachment No. 6 – Form for expression of consent), upon delivery and acknowledgment of the specific information.

This consent will be valid and effective until the revocation of the same: consent is validly given for the use of certain characteristics, or is made freely and specifically in reference to a clearly identified treatment which is documented in writing.

The interested party has the right to withdraw consent at any time, with the same ease with which it was expressed. The withdrawal of consent does not affect the lawfulness of the treatment based on consent before revocation.

16. RIGHTS OF THE INTERESTED PARTY

The “interested party” is the subject, the individual, to whom the data being processed refers.

The Owner “AtemporaryStudio/PR di Felluga e Punis” will implement all measures necessary to facilitate the exercise of the rights of the data subject pursuant to articles 12-22 of the GDPR.

To this end, European legislation provides that the person concerned has the right to obtain from the data controller:

  • Confirmation of the existence or non-existence of personal data concerning him/her and:
  • The origin of the data;
  • Purposes and methods of treatment;
  • The logic applied and the criteria used in electronic data processing;
  • The identity details of the Owner and data controller;
  • The persons and categories of persons to whom the data may be disclosed;
  • The data retention period and the criteria used for the determination of this period;
  • Communication of data;
  • Correction, updating or integration of data;
  • Erasure of data (“the right to be forgotten“);
  • Transformation into anonymous form or blocking in the event that they are in violation of the law;
  • Limitation of processing pursuant to article 18, letters a), b), c) and d) of the GDPR;
  • Reception in a structured format, for normal and readable use, of the personal data concerning him/her;
  • Propositions for opposition to the processing of data;
  • A copy of the personal data being processed.

17. PROCEDURES FOR EXERCISING THE RIGHTS OF THE INTERESTED PARTY

The request for the exercise of the rights specified in Article 16 of this Regulation may be sent to:

  • By the interested party directly;
  • Through another individual or association to which he/she has given a proxy or power of attorney in writing;
  • Through those exercising authority or guardianship.

The interested party can submit or send the request to exercise these rights through the forms provided (Attachment 7 – Form for exercising the rights of the interested party).

The person responsible for evaluating the request is the Data Controller, who decides on the admissibility of the request for access.

The request must be acknowledged within 30 days from the date of receipt of the same.

18. DESCRIPTION OF THE ACTIVITY – PHYSICAL AND VIRTUAL ENVIRONMENTS – VIDEO SURVEILLANCE

AtemporaryStudio / PR is an associated studio – which will soon take on a corporate role (at which time necessary variations will also be put in place in the present policy) – composed of professionals registered with the association of journalists. The corporate purpose is communication and consultation aimed at the world of design and contemporary art, founded precisely by Samantha Punis and Giovanna Felluga in their respective fields of press officer / creative director and artistic advice / mediation, with the clear intention of proposing a custom template approach to the world of design and contemporary art.

The Studio is situated  inside a large apartment located on the first floor of the building  at Via Belpoggio n. 1 in Trieste; the spaces are rented and the apartment (for the exclusive use of the office) is shared with other parties (Priamo Press Office, Giraldi Graphic Studio, RNDR Architetti); the rooms used by the Owner are autonomous and are equipped with locking mechanisms that prevent third parties from gaining access; the whole apartment, in itself, is then provided with adequate locks and security bar.

There is no video surveillance system: there is only a video intercom that does not record; the doors are equipped with safety bars. During opening hours the entrance and offices are manned by the staff.

The Owner has their own virtual environment: in particular, the website mentioned above is active and monitored and managed; the professionals use Apple computers and devices, for which access requirements and related credentials are provided.  The wi-fi connection is guaranteed by Telecom; the hardware and software management function is given to an external agency (Infoera di Trieste) appointed for this purpose as data controller.

19. SECURITY MEASURES

The Owner guarantees the application of suitable preventative security measures that help to minimize the risk of destruction or loss, even accidental, of the processed data, unauthorized access or treatment which is not permitted or not consistent with the purpose of data collection.

The security measures include:

  • Possible anonymisation and encryption of personal data;
  • Procedures to ensure the confidentiality, integrity and availability of data processing systems and services;
  • Methods to ensure timely restoration of access to personal data in the event of a physical or technical accident.

20. STAFF TRAINING

The Owner organizes training and refresher courses on the protection of privacy and protection of personal data, aimed at knowledge of the rules, the adoption of appropriate behaviour patterns and treatment procedures, and the knowledge of safety measures for data treatment and retention, identifying risks and methods to prevent data damage.

21. FORMS

Within the offices of the Owner, uniform disclosure models are adopted as per the attachments to the present regulation which are periodically updated.

22. LIABILITY IN CASE OF VIOLATIONS OF THE PROVISIONS REGARDING PRIVACY

Failure to comply with provisions on confidentiality of personal data with the penalties provided for by the new legislation; the data controller is liable for the damage caused by his/her treatment in violation of this Regulation.

The data processor is liable for the damage caused by the treatment only if obligations under this Regulation specifically directed to him/her have not been fulfilled, or he/she has acted in a manner incompatible with or contrary to the legitimate instructions given by the Owner.

The Owner or data processor is exempt from liability only if they are able to show that the damaging event is in no way attributable to them.

23. COMMUNICATIONS OF VIOLATIONS OF PERSONAL DATA (“Data Breach”)

The communication of the violation of personal data should be made by the holder to the Privacy Guarantor within 72 hours of the knowledge of the event.

The notification must:

  • Describe the nature of the violation;
  • Describe the probable consequences of the violation;
  • Describe the measures adopted or which it is proposed to adopt.

When the data breach presents a high risk for the rights of the individual, the holder will communicate the violation and the nature of the same to the interested party, by means of simple and clear language.

24. CONCLUSION

For anything not provided for in this regulation, the provisions for the protection of personal data from European Regulation 2016/679, of 27 April 2016 in addition to the Privacy Code, as applicable in relation to the changes and additions made with Legislative Decree 101/2018, effective from 19 September 2018, are applied.

This regulation will be updated following further amendments to the current regulations regarding privacy and protection of personal data.

ATTACHMENTS 

Below is a list of the forms prepared for the purpose of the adaptation to the provisions of this regulation and of the new European legislation in the field of personal data processing: 

1. Letter of appointment of the external manager for the processing of personal data

2.  Appointment of the data processor

3. Information regarding data processing for employees

4. Information for the processing of data for other parties – suppliers

5. Information for the processing of data for other parties – clients

6. Form for the expression of consent

7. Form for exercising the rights of the interested party

8. Register of data processing and impact assessment.