INFORMATIVA AI SENSI DELL’ART. 13 DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (D.LGS. 30 GIUGNO 2003 N. 196), “Codice in materia di protezione dei dati personali”, E DEL GDPR 679/16, “Regolamento europeo sulla protezione dei dati personali”.
Egr. Sig. Professionista,
1. DEFINIZIONI
Ai fini della presente nomina si considerano:
- “Gestore”: la società IDEGO srl, p. iva 13672551002 con sede in viale Carso 57, la quale fornisce i propri Servizi ed i Servizi Accessori anche attraverso la Piattaforma Idego.it;
- “Professionista”: lo psicologo, psicologo psicoterapeuta, medico psicoterapeuta regolarmente iscritto all’Albo degli Psicologi o dei Medici, che presta agli Utenti la sua attività professionale all’interno della Piattaforma;
- “Parti”: il Gestore ed il Professionista congiuntamente;
- “Piattaforma”: la piattaforma web allocata all’indirizzo www.idego.it;
- “Servizi”: l’insieme delle attività / prestazioni offerti dalla Piattaforma e/o usufruibili tramite la stessa da parte dei Beneficiari;
- “Servizi accessori”: ogni altro servizio, risorsa e/o strumento predisposto all’interno della Piattaforma, diverso ed ulteriore rispetto ai Servizi;
- “Network”
- “Codice Privacy”: si intende il Codice in materia di protezione dei dati personali, ovvero il Decreto Legsislativo n. 196 del 2003, in materia di trattamento dei dati personali.
- “Attività”: l’insieme delle attività che l’Incaricato svolge per conto e comunque nell’interesse del Gestore in relazione alle prestazioni offerta dalla Piattaforma;
- “Titolare”: la persona fisica o giuridica e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza; il titolare dei dati può essere il Gestore stesso o il Professionista;
- “Responsabile”: la persona fisica o giuridica e qualsiasi altro ente, associazione od organismo preposti al trattamento dei dati personali; il responsabile del trattamento può essere il Gestore, o altro soggetto Incaricato, o lo stesso Professionista;
- “Amministratore di sistema”: la persona fisica o giuridica chiamata a svolgere delicate funzioni che comportino la concreta capacità di accedere a tutti i dati che transitano sulle reti e sui server di gestione del Portale, con il compito di vigilare sul corretto utilizzo dei sistemi informatici.
- “Incaricati al Trattamento” o “Incaricati”: le persone fisiche incaricate a compiere operazioni di trattamento dal Titolare o dal Responsabile;
- “Interessato”: la persona fisica cui si riferiscono i dati personali oggetto di trattamento (e che per tali dati è identificata o identificabile); ove non specificato altrimenti, ai fini della presente informativa, per Interessato si intenderà l’Utente e/o il Beneficiario e/o il Professionista;
- “Trattamento dei dati personali”: si intende qualunque operazione o complesso di operazioni, svolti con o senza l’ausilio di mezzi elettronici, o comunque automatizzati, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati;
- “Terzi”: ogni soggetto diverso dal Titolare, dai Professionisti e/o dai loro Incaricati e/o Responsabili, con cui essi collaborino;
- “Dato Personale”: qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
- “Dato Sensibile”: i dati personali idonei a rivelare l’origine raziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
- “Dati Giudiziari”: si intendono i dati personali idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
- “Consenso al Trattamento”: è il consenso validamente prestato da parte dell’Interessato al trattamento dei dati personali da parte del Titolare e/o dei suoi Incaricati e/o dei suoi Rappresentanti.
2. PREMESSO
- che le definizioni fanno parte integrante della presente incarico;
- che il Codice Privacy autorizza il Responsabile del trattamento a individuare e designare propri incaricati;
- che l’esecuzione dell’Attività potrebbe comportare l’accesso, da parte sua, agli archivi cartacei ed elettronici gestiti dal Titolare o Responsabile, in ottemperanza al rapporto di collaborazione professionale in essere tra Lei e la nostra Società (di seguito semplicemente “Rapporto”), nonché la gestione del trattamento dei dati personali degli Interessati nell’ambito del Servizio secondo le istruzioni che Le vengono rese per iscritto e quelle ulteriori che Le vengono rese anche oralmente ai sensi del Provvedimento del Garante del 27.11.2008;
ciò premesso, con la presente, il Gestore in qualità di Titolare dei dati cui Lei avrà accesso mediante l’utilizzo della Piattaforma, nello svolgimento del Rapporto ed in relazione all’esecuzione dell’Attività, La nomina “Incaricato del trattamento” (di seguito semplicemente “Incaricato”), ai sensi dell’art. 30, 2° co., del D.lgs 196/2003 (di seguito semplicemente “Codice Privacy”), con le modalità e nei termini indicati qui di seguito.
3. CATEGORIE DI DATI
Nello svolgimento del Rapporto in relazione all’esecuzione dell’Attività, l’Incaricato potrebbe avere accesso alle informazioni personali contenute nelle banche dati informatiche impiegate nella resa dei Servizi, sulle quali dovrà svolgere le mansioni previste dal Rapporto, oltre che relazionarsi direttamente con l’Utente e/o Beneficiario al fine della resa del Servizio stesso.
Tali informazioni potranno riguardare le seguenti categorie di soggetti:
- Clienti, effettivi o potenziali;
- Fornitori;
- Collaboratori;
- Beneficiari, suoi congiunti, tutori ed in genere quei soggetti che abbiano una relazione con il Beneficiario che risulti di interesse nell’ambito del Servizio reso sulla Piattaforma;
- Altri soggetti dei quali sarà stato, di volta in volta, ottenuto il conferimento dei dati.
I dati che saranno oggetto di Trattamento ad opera dell’Incaricato nell’adempimento delle mansioni relative al Rapporto potranno riguardare ogni sorta di Dato Personale, sia esso dato comune identificativo dell’Interessato, sia qualsiasi Dato Sensibile o Giudiziario conferito in occasione e/o al fine e/o nell’ambito del Servizio reso attraverso la Piattaforma. Pertanto, al fine di poter trattare eventuali Dati Sensibili o Giudiziari dell’Interessato durante la sessione di comunicazione oggetto del Servizio reso attraverso la Piattaforma, ovvero a Dati Sensibili memorizzati in specifiche banche dati in forma cifrata, l’Incaricato dovrà verificare che sia stata resa idonea informativa e raccolto il relativo consenso dell’Interessato precedentemente all’avvio della sessione oggetto del Servizio ovvero, nei casi d’urgenza, entro il più breve tempo possibile.
4. MODALITÀ DEL TRATTAMENTO
Il Trattamento effettuato sarà svolto principalmente attraverso la Piattaforma nell’ambito del Servizio, o con l’ausilio di ulteriori strumenti informatici e/o telematici e/o comunque di comunicazione a distanza anche telefonica, nonché manualmente anche in forma cartacea.
In ogni caso è fatto espresso divieto all’Incaricato di estrarre copia, cartacea o su supporti rimovibili, dei Dati Personali dei diversi Interessati, contenuti nelle banche dati della Piattaforma o di quelle ulteriori presenti presso il Titolare o il Responsabile come sopra individuati, per effettuare qualsivoglia operazione di trattamento diversa da quelle concordate e/o specificamente autorizzate, e/o necessarie all’esecuzione dell’Attività.
In particolare, tutti i dati personali conservati nelle banche dati informatiche e cartacee, cui l’Incaricato avrà accesso, costituiscono beni in custodia del Gestore: sono pertanto consentiti unicamente i trattamenti necessari per l’espletamento delle mansioni proprie del Rapporto e connesse all’esecuzione dell’Attività nell’ambito del Servizio ed ogni abuso verrà perseguito ai sensi di legge.
5. CONTENUTO DELLE MANSIONI DI INCARICATO
Ai sensi delle disposizioni del Codice Privacy l’Incaricato è tenuto a svolgere, con correttezza e buona fede, le seguenti attività:
- rispettare i principi di correttezza, finalità, qualità, pertinenza e conservazione di cui al Codice Privacy, esplicitati nella modulistica privacy adottata nell’ambito della Piattaforma;
- accedere ai dati allo scopo di eseguire le prestazioni oggetto dell’Attività, evitando qualsiasi operazione di trattamento che non sia strettamente necessaria a tale esecuzione;
- rispettare le regole di organizzazione dettate nell’ambito del Servizio, nonché le istruzioni inerenti alla collocazione e all’accesso agli archivi, sia cartacei che elettronici;
- rispettare le regole di raccolta, archiviazione e conservazione dei dati disposte nell’ambito dell’Attività, nonché in particolare assicurarsi che il modulo di informativa e consenso sia reso agli Interessati ed assicurarsi che il medesimo sia debitamente compilato e sottoscritto, oppure curare che tali documenti siano a pronta disposizione precedentemente all’esecuzione del Servizio sulla Piattaforma o, in casi di urgenza, entro il più breve tempo possibile;
- rispettare le misure di sicurezza adottate nell’ambito dei Servizi, in conformità al Codice Privacy, in particolare rispettare le disposizioni che seguono;
- effettuare la comunicazione dei dati personali a terzi, laddove prevista, solo nei limiti consentiti dalle finalità del trattamento dichiarate nella modulistica privacy adottata e/o su diversa istruzione del Titolare o Responsabile come sopra individuati;
- rivolgersi al Titolare o al Responsabile come sopra individuati per ogni dubbio o chiarimento in merito all’applicazione e all’interpretazione delle disposizioni del Codice Privacy e della modulistica privacy adottata;
- segnalare al Titolare o al Responsabile come sopra individuati qualunque azione o evento possa costituire o causare un rischio per la conservazione dei dati o la loro integrità, adottando nel contempo tutte le misure idonee ad evitare conseguenze pregiudizievoli al trattamento dei dati.
6. OBBLIGHI DEL TITOLARE
Il Gestore, per i dati e le informazioni di cui è Titolare, si impegna ad informare l’Incaricato circa le misure di sicurezza privacy adottate in conformità alla normativa vigente in materia, nonché a fornire al medesimo le necessarie indicazioni relative ai sistemi ed alle regole di archiviazione e conservazione dei dati, nonché di gestione degli archivi, cartacei ed informatici. Ciò potrà avvenire anche oralmente ai sensi delle regole di semplificazione previste dal Provvedimento del Garante del 27.11.2008.
Il Gestore, in qualità di Titolare, si impegna a fornire costantemente chiarimenti in merito all’interpretazione delle disposizioni normative in materia di tutela dei dati personali, nonché a mettere a disposizione dell’Incaricato la modulistica privacy adottata nei confronti degli Interessati.
7. MISURE DI SICUREZZA
In conformità con le disposizioni vigenti in materia di sicurezza dettate dalla legge, il Gestore, in qualità di Titolare, ha adottato una serie di misure di sicurezza dirette a garantire la riservatezza dei dati personali in loro possesso e ad impedirne l’alterazione, la cancellazione, la distruzione, l’accesso non autorizzato o il trattamento non consentito o non conforme alle finalità della raccolta.
A questo proposito l’Incaricato è tenuto all’osservanza di quanto segue.
I dati saranno trattati dall’Incaricato secondo le modalità necessarie allo svolgimento delle prestazioni di cui al Rapporto e connesse all’esecuzione dell’Attività, attraverso strumenti tanto informatici e telematici, quanto cartacei. L’Incaricato potrà portare all’esterno del luogo di lavoro i dati personali degli Interessati soltanto temporaneamente ed all’esclusivo fine dello svolgimento delle funzioni inerenti all’esecuzione dell’Attività e richieste dal Rapporto.
Per l’uso degli elaboratori elettronici e della Piattaforma, nonché dei Servizi Accessori, viene confermata all’Incaricato una credenziale di autenticazione (formata da USER-ID e Password di almeno otto caratteri) che consenta l’accesso ai dati da trattare, che l’Incaricato dichiara custodire. Se l’Incaricato non lo avesse già fatto, è onere dello stesso modificare la password al primo accesso ed in ogni caso è suo onere modificare la password ogni 6 mesi. E’ altresì onere dell’Incaricato creare una propria password di screensaver al fine di non lasciare incustodito la propria postazione di lavoro ed aggiornarla periodicamente, nonché apposita procedura di protezione dei dati per i casi di assenza prolungata (ad esempio nell’assenza per ferie, tramite procedura di redirect della posta elettronica), il tutto almeno una volta al semestre.
La password scelta, sia per l’accesso alla Piattaforma, sia per l’accesso al Pannello Utente, sia degli strumenti informativi propri dell’Incaricato, sarà esclusivamente e strettamente personale, riservata e non cedibile e non dovrà essere riconducibile, direttamente o indirettamente, all’operatore Incaricato. E’ fatto obbligo all’Incaricato di conservare la credenziale in luogo non accessibile a terzi.
La credenziale dovrà essere disattivata al termine dell’incarico o comunque in caso di mancato utilizzo del medesimo per un periodo superiore ai 6 (sei) mesi.
E’ in ogni caso fatto divieto all’Incaricato di accedere ai dati che esulano dalla specifica area attività di spettanza del proprio ruolo organico e comunque a quelli non afferenti al Rapporto.
L’Incaricato deve assicurarsi che il proprio dispositivo informatico (PC o simili) aggiorni con la cadenza di legge i sistemi antivirus, anti-malware e simili, e sia dotato di firewall, nonché che siano predisposte apposite procedure di back up dei dati contenuti nel dispositivo di propria spettanza e nelle banche dati connesse, chiedendo nei casi di dubbio debite informazioni ed istruzioni al Titolare.
L’Incaricato è infine istruito circa le modalità di trattamento degli atti e dei documenti contenenti dati personali, effettuati con strumenti non informatici, relative al controllo ed alla custodia per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento stesso.
L’Incaricato deve altresì attenersi a tutte le ulteriori istruzioni rese dal Titolare anche per via orale, ai sensi degli artt. 33 e ss. E All. B Codice Privacy, come letti alla luce del Provvedimento di semplificazione del 27.11.2008 che segue quello del 19.6.2008, che riceve in copia e che si impegna a leggere con attenzione. Nel caso di utilizzo di dispositivi informativi propri dell’Incaricato, questi dovrà adottare ed attuare analoghe misure di sicurezza.
8. VERIFICHE
Il Gestore, in qualità di Titolare, effettuerà periodiche verifiche sull’osservanza, da parte dell’Incaricato, delle disposizioni di cui alla presente nomina.
A fronte di apposita richiesta da parte del Titolare o del Responsabile, l’Incaricato dovrà mettere a disposizione del medesimo tutta la documentazione necessaria ad effettuare le verifiche.
9. DURATA
Il presente Incarico avrà la stessa durata del Rapporto e quindi cesserà al venir meno di quest’ultimo.
10. AMMINISTRATORE DI SISTEMA
La informiamo che è stato designato anche un Amministratore di Sistema nell’ambito del Servizio e pertanto Le chiediamo di attenersi alle ulteriori direttive ed istruzioni per la gestione del sistema informatico che le vengono rese anche oralmente da parte di tale soggetto.
Il relativo nominativo è reso noto nelle forme d’uso.
11. ISTRUZIONI PER IL SISTEMA INFORMATICO
Sono previste istruzioni specifiche per l’utilizzo del sistema informatico, rese sia in forma scritta che in forma orale.
L’Incaricato dichiara di ben conoscere dette istruzioni e si impegna ad attenervisi.
12. LISTA INCARICATI
Il nome dell’incaricato è inserito nella lista incaricati a disposizione presso gli atti aziendali, con relativa definizione dell’ambito di trattamento entro cui l’Incaricato può operare.
La presa visione della nomina può essere accettata con apposita spunta sul sito.