Il Gruppo Assir (di seguito il Gruppo) tratta i dati personali dei propri stakeholder (clienti, associati, dipendenti, fornitori, navigatori web, etc. – di seguito, congiuntamente, definiti gli “Interessati”) nel ruolo di autonomo titolare del trattamento e nell’ambito della gestione ordinaria dei rapporti in essere, acquisendo, ove necessario, il consenso.
Foto. Le foto introdotte nel sito sono state acquisite da internet come free, gratuite e di libero utilizzo. Nel caso remoto, dovessero essere soggette a copyright, siete pregati di informarci tempestivamente in modo che provvederemo a toglierle immediatamente dal sito.
Il Gruppo, in applicazione della normativa vigente in materia di protezione dei dati personali, per assolvere a funzioni di supporto e controllo relativamente all’applicazione del Regolamento UE n. 679/2016 (“GDPR”), ha nominato un Responsabile della Protezione dei Dati (“RPD”) nel dott.ssa Simonetta Sorbi.
Vengono trattati soltanto i dati personali strettamente necessari a realizzare le predette finalità, sia in modalità cartacea sia con l’ausilio di strumenti elettronici.
Il Gruppo acquisisce i soli dati personali strettamente necessari all’espletamento dei servizi richiesti o delle finalità per cui sono stati raccolti fornendo la specifica informativa; particolare attenzione viene posta in caso di dati personali particolari, che vengono trattati solo se prettamente indispensabili.
Il Gruppo tratta i dati personali adottando le misure di sicurezza necessarie, siano esse fisiche che informatiche, in sintonia con quanto previsto dal Regolamento UE n. 679/2016 e normativa vigente.
Alcuni dati possono essere indispensabili e la loro assenza può rendere impossibile la gestione dei rapporti in essere. Tali dati vengono trattati dai nostri collaboratori, in qualità di Responsabili. Non viene effettuata alcuna diffusione dei dati personali, salvo che ciò non derivi da uno specifico obbligo di legge.
I dati personali possono essere conservati per un arco temporale diverso a seconda della finalità per la quale sono trattati dal Gruppo in conformità alla normativa privacy, in particolare:
-
per finalità contrattuali per un periodo di 10 anni dal momento della cessazione dell’efficacia del contratto o, in caso di contestazioni, per il termine prescrizionale previsto dalla normativa per la tutela dei diritti connessi,
Ognuno che dovesse ravvisare un trattamento dei propri dati non coerente può sporgere reclamo al Garante per la protezione dei dati personali, con le modalità indicate sul sito del Garante stesso.
Anche in considerazione di futuri cambiamenti che potranno intervenire sulla normativa privacy applicabile, il Gruppo potrà integrare e/o aggiornare, in tutto o in parte, la presente Informativa. A tal proposito il Gruppo ha recepito quanto indicato nel successivo intervento a modifica effettuata da parte del Parlamento europeo e del Consiglio relativo alla protezione delle Persone Fisiche con riguardo al trattamento dei dati personali e quindi alla libera circolazione di tali dati abrogando la direttiva 95/46/CE (Gu L 119 del 4 mag 2016) La riforma e recepimento della stessa da parte del Gruppo
Il Gruppo presta la massima attenzione alla riservatezza, alla tutela e alla sicurezza delle informazioni in proprio possesso, ancor più se relative a dati personali dei Clienti e dei soggetti con cui entra in contatto o che raccoglie presso gli utenti (“Utenti”).
Nel presente documento sono state analizzate le modalità di gestione del sito che rientrano in quelle più ampie appartenenti al Gruppo, in riferimento al trattamento dei dati personali degli Interessati che vi navigano. Si tratta di una informativa sul trattamento dei dati personali ai sensi degli articoli 13 e 14 del Regolamento UE n. 679/2016 del 27 aprile 2016 (“Regolamento), resa a coloro che interagiscono con i servizi erogati, tramite internet, dal Gruppo.
Al fine di garantire il massimo rispetto della normativa privacy vigente, il Gruppo si è dato un’organizzazione specifica, come qui descritta.
La navigazione nel nostro sito per la sola attività di consultazione non prevede alcuna richiesta di dati personali;
Cos’è una violazione dei dati personali (Personal Data Breach)?
Con il termine violazione dei dati personali si intende una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Tale divulgazione può avvenire, ad esempio, in seguito a:
perdita accidentale: ad esempio, una violazione dei dati personali causata dallo smarrimento di una chiavetta USB contenente dati personali. In questo caso il Gruppo non appena ci si accorge dello smarrimento effettua regolare denuncia alle autorità ed informa tutti coloro che erano all’interno della chiavetta dell’evento accaduto. Evento questo risolto attraverso il non uso della chiavetta. Si riporta comunque per come sarebbe stato affrontato.
furto: ad esempio, una violazione dei dati personali causata dal furto di un notebook contenente dati personali. Come sopra.
infedeltà aziendale: ad esempio, una violazione dei dati personali causata da una persona interna che, avendo autorizzazione ad accedere ai dati personali, ne produce una copia da distribuire in ambiente pubblico. Anche in questo caso immediatamente, una volta che il Gruppo ne sia venuto a conoscenza, immediatamente effettuerà denuncia alle autorità. diffiderà il soggetto se individuato e informerà tutti dell’evento accaduto.
accesso abusivo: ad esempio, una violazione dei dati personali causata da un accesso non autorizzato ai sistemi informatici con successiva divulgazione delle informazioni acquisite. Vedersi sopra
La nuova normativa europea in materia di protezione dei dati personali (GDPR) prevede, al ricorrere di determinate circostanze, l’obbligo di notificare la violazione dei dati personali all’Autorità di vigilanza competente entro 72 ore da quando il Gruppo ne viene a conoscenza nonché di comunicare tale violazione ai soggetti interessati. Cosa che verrà espletata nel malaugurato caso dovesse accadere.
Nel caso in cui voleste comunicarci la rilevazione di un eventuale violazione dei dati personali, vi invitiamo di scrivere all’indirizzo mail del Gruppo.
Si precisa che ogni Collaboratore interno od esterno è a conoscenza di quanto riguardi la privacy e come debba adempiervi potendo sempre, in caso di dubbi, rivolgersi ai Responsabili.
Glossario normativo
Il testo normativo di riferimento è il Decreto Legislativo n. 196 del 30 giugno 2003, c.d. “Codice in materia di protezione dei dati personali“, come modificato dal Regolamento (UE) n. 679 del 27 aprile 2016.
“Trattamento”
Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
“Profilazione”
Qualsiasi forma di trattamento automatizzato consistente nell’utilizzo di tali dati personali al fine di valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti dell’interessato.
“Dato personale”
Qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi incluso un numero di identificazione personale, dati relativi all’ubicazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
“Categorie particolari di dati personali”
Dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
“Dati personali relativi a condanne penali e reati”
Dati personali relativi alle condanne penali ed ai reati o a connesse misure di sicurezza applicate all’interessato.
“Titolare”
La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, anche rispetto al profilo della sicurezza.
“Responsabile“
La persona fisica o giuridica (quali ad esempio outsourcer, fornitori di servizi, consulenti, distributori ed agenti), l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
“Destinatario”
La persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento.
“Terzo”
La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.
“Responsabile del riscontro alle richieste di esercizio dei diritti degli interessati”
Il responsabile designato per il riscontro all’interessato, in caso di esercizio dei diritti di cui agli artt. 12 – 22 del Regolamento.
“Incaricati”
Le persone fisiche, quali i dipendenti o i collaboratori, che il titolare o il responsabile abbiano autorizzato per iscritto a svolgere operazioni di trattamento di dati personali.
“Informativa”
L’ interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto sulle finalità e modalità del trattamento ai sensi degli artt. 13 e 14 del Regolamento.
“Interessato”
La persona fisica cui si riferiscono i dati personali.
“Diritti dell’interessato”
L’interessato ha diritto di poter esercitare i diritti di cui agli artt. 12 – 22 del Regolamento.
“Consenso”
Qualsiasi dichiarazione o azione per mezzo della quale l’interessato manifesti, in maniera libera, specifica, informata e inequivocabile, il proprio assenso affinché i dati a lui/lei riferiti siano oggetto di trattamento.
“Comunicazione”
Il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
“Diffusione”
Il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
“Outsourcers”
Fornitore esterno cui sono affidati attività/processi aziendali.
Glossario tecnico
Indirizzo IP
Consiste in un numero identificativo del computer dell’utente assegnato dal Provider (fornitore) di servizio Internet;
da solo non è considerato dato personale perché spesso assegnato dinamicamente, cioè varia di volta in volta in base alla connessione;
può servire per funzioni di diagnostica e di ottimizzazione da parte del fornitore del servizio.
Cookies
Consistono in stringhe di registrazioni informatiche, di dimensione contenuta, inviate dal server del fornitore del servizio al computer dell’utente, corredati da un identificativo che ne consente un utilizzo successivo, per una futura identificazione del computer e delle preferenze di navigazione precedentemente manifestate.
Possono essere:
temporanei, detti anche di sessione o sessione per sessione, se vengono cancellati al termine del collegamento, servono ad ottimizzare la navigazione;
permanenti, se rimangono memorizzati sul disco fisso dell’utente, a meno che l’utente medesimo non li cancelli; possono registrare una grande varietà di informazioni, recuperabili successivamente dal fornitore del servizio per varie finalità.
E’ possibile controllare l’utilizzo dei cookies mediante opportune impostazioni del browser, p. es. Internet Explorer consente, sia per i cookies non memorizzati (sessione per sessione) che per quelli memorizzati, di optare per una piena attivazione, per una attivazione previo messaggio di avviso e conferma ovvero per la loro disattivazione.
Internet tags
Consistono in funzioni informatiche costituite da stringhe più piccole dei cookies, prevalentemente utilizzate per registrare dati tecnici come l’IP e il tipo di browser dell’utente. Sono note anche come: invisible GIFs, clear GIFs, 1-by-1 GIFs o single-pixel GIFs.
Dati di navigazione
Sono files che risiedono sui server dei provider, denominati anche log files, dati clickstream, server logs; possono registrare automaticamente dati relativi al collegamento per scopi diversi ad es.
funzioni contabili-amministrative
ricostruzione del profilo dell’utente (ad es.: gestione del sistema, tipo di browser, data e ora della visita, immagini o testi selezionati, eventuali acquisti, download di file, impostazioni dello schermo, ecc.) anche al fine di migliorare i contenuti del sito.
Servizio di Posta Elettronica gestito da un Fornitore attraverso Internet.
Mailing list
Lista di distribuzione di posta elettronica e/o newsletter;
elenco di destinatari che riceveranno automaticamente i messaggi che verranno spediti.
Registrazione
All’utente viene richiesta una serie di dati, che possono essere obbligatori o facoltativi per il perfezionamento del rapporto, con eventuali implicazioni contrattuali legate alle tipologie dei servizi forniti;
E’ prevista una specifica informativa e, se necessario, il relativo consenso.
INFORMATIVA RELATIVA AL TRATTAMENTO DEI DATI PERSONALI DEGLI ASSOCIATI, DI DIPENDENTI, DI COLLABORATORI O DI ALTRE FORME DI COLLABORAZIONE E TERZI AI SENSI DEGLI ARTICOLI 13 E 14 DEL REGOLAMENTO (UE) 2016/679 (GDPR)
Ai sensi degli art. 13 e 14 del regolamento UE 2016/679 Gdpr riguardo la protezione delle persone fisiche e al trattamento dei dati personali entrata in vigore 24 Maggio 2016 e resa applicabile dal 25 maggio 2018, ferme le successive modifiche e gli adattamenti che successivamente intervenire quali modifiche, vengono qui fornite, in via riassuntiva, ma non esaustiva, le informazioni riguardanti i dati personali che vengono trattati dallo studio Associato Assir e dalla Assir srl.
Tali realtà sono operanti nella sanità pubblica e privata nei diversi ambiti che le riguardano, occupandosi principalmente di servizi dediti alla assistenza della Persona. In tale configurazione il rapporto esistente tra tutte le realtà Assir, che costituiscono un’unica contitolarità di Gruppo. Questo anche per le future eventuali diverse formule societarie cooperativistiche e altre, che rientreranno comunque nella legislazione giuslavorista e nei diversi accordi previsti.
Consenso dei dati Articolo 4, n.11 del GDPR
Il consenso è definito come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. Il presente assolve quanto previsto dall’articolo 29.
Categorie di dati personali trattati.
In via del tutto riassuntiva, ma non esaustiva, possono essere trattati i seguenti dati:
nome cognome, luogo e data di nascita, di residenza, codice fiscale, numero documento d’identità, sesso, contatti telefonici, titolo di studio, IBAN, dati contenuti nel curriculum vitae, immagini in formato digitale, dati relativi alla dichiarazione dei redditi, certificati di malattia, chat, foto e riprese, dati personali etc che vengono comunemente definiti di base. Tali dati possono riguardare anche i familiari del dipendente così come anche sono i dati attinenti alla PEC o indirizzi di posta elettronica.
Dati relativi alla salute
In via del tutto riassuntiva, ma non esaustiva possono essere trattati i seguenti dati corrispondenti a:
certificati, dati delle assenze per malattia, infortunio, dati relativi alle idoneità a determinati lavori, ovviamente obbligatoria maternità categorie protette, e quanto altro attenga all’aspetto sanitario personale, etc.
Dati generali
In via del tutto riassuntiva, ma non esaustiva possono essere trattati i seguenti dati corrispondenti a:
appartenenze ad associazioni o altre forme previste che siano tra loro diverse, alla espressione o partecipazione alla politica o opinioni politiche, ad assunzione di cariche particolari richieste, a trattenute afferenti e diverse richieste, alle convinzioni religiose, alle categorie particolari, a qualunque dato possa essere raccolto che sia di natura personale. Dati che vengono raccolti oltre che direttamente dall’interessato perché sono stati dallo stesso forniti anche durante il corso del rapporto di collaborazione, oppure acquisiti da Terzi. Come potrebbe essere, ad esempio, dalla Agenzia delle Entrate, da Professionisti abilitati, INPS, Inail, commercialisti eccetera
Finalità del trattamento
Le finalità connesse all’instaurazione e alla gestione del rapporto di collaborazione, in via del tutto riassuntiva, ma non esaustiva possono essere corrispondenti:
Alla gestione anagrafica, pianificazione dell’attività lavorativa, turnistica, amministrazione, sviluppo e formazione del personale, invio fogli ore, all’organizzazione di eventi, gestione di benefici, comunicazioni interne, e quanto altro qui non indicato. Quindi rientranti precisamente nel nome cognome indirizzo di posta elettronica ufficio di appartenenza postale. Vengono trattati, ai fini dell’esecuzione della collaborazione e conservati per almeno 10 anni. Come stabilito dalla legge disposto 2220 codice civile.
Adempimento di obblighi esercizio di diritti previsti dal diritto nazionale o dell’Unione Europea o da contratti collettivi o associativi o in qualsiasi altra conformità al diritto nazionale
Quindi di adempiere agli obblighi legali cui è soggetto il titolare nonché, per quanto concerne le categorie particolari di dati, nell’ assolvere gli obblighi ed esercitare i diritti del Titolare dell’interessato nei diversi ambiti, come in via del tutto riassuntiva, ma non esaustiva possono essere quelli corrispondenti al diritto del lavoro, della sicurezza sociale e protezione sociale. In conformità con quanto previsto nell’articolo 9.2 lettera b gdpr o per finalità di medicina come per la medicina del lavoro. Sulla valutazione della capacità lavorativa da parte del medico competente ai sensi dell’articolo 9 comma 2 lettera h e In conformità con quanto previsto articolo 9 comma 3 del gdpr per chi ivi vi rientri.
Durata contrattuale dopo cessazione
Per 10 anni, come stabilito per legge dal disposto dell’articolo 2020 codice civile verranno tratti i dati e saranno questi archiviati. Se necessario per accertare esercitare o difendere i diritti dei titolari in sede giudiziaria e ad ogni altro interesse legittimo del titolare per accertare, esercitare o difendere i propri diritti sempre in sede giudiziaria nei confronti degli interessati per la durata del contenzioso.
Chiarimento dei termini di esperibilità delle azioni
Ai fini della possibile impugnazione e controllo degli accessi fisici, ivi compresa la videosorveglianza, questa, dove presente, per quanto dichiarato, è esclusivamente esercitata per garantire la sicurezza di persone e beni, nel pieno rispetto dell’articolo 4 dello Statuto dei lavoratori e successive modifiche e integrazioni. Per quanto concerne le apparecchiature installate queste, per quanto dichiarato, non sono preordinate al controllo a distanza dell’attività di interesse legittimo titolare di gestione della sicurezza in relazione al pc. Sono state permesse da parte dell’ispettorato Nazionale del Lavoro quale videosorveglianza per le ore stabilite nell’accordo. Il controllo degli accessi fisici diverso da videosorveglianza è per un massimo di 12 mesi, laddove il controllo degli accessi logici ai sistemi informativi aziendali ai fini di garanzia di persone di beni è un interesse legittimo del titolare che riguarda la gestione della sicurezza. Come da provvedimento del garante del 27 novembre 2008 e altro afferente, si precisa che l’eventuale pubblicazione delle fotografie o di altre forme dove siano tutte evidenti e riconducibile alla Persona, queste vengono al momento dell’adesione o assunzioni autorizzate, salvo disposizione contraria. Così come nell’essere introdotti in chat aziendali salvo non vi sia successivamente un diniego. Da quel momento non saranno più introdotte. Queste sono riguardanti gli ambienti dove si presti il proprio servizio, attraverso le diverse forme come, si citano in via del tutto riassuntiva, ma non esaustiva nelle strutture, nei siti internet aziendale/i, eventualmente social network, e dove si trovi necessità ai fini Aziendali. Con un consenso che è revocabile in qualsiasi momento. Il rifiuto di fornire i dati non consente di instaurare o proseguire il rapporto di lavoro con i destinatari dei dati. I dati possono essere comunicati a soggetti operanti in qualità di titolare del trattamento quali, in via del tutto riassuntiva, ma non esaustiva possono essere ad esempio le autorità di vigilanza e controllo interni o esterni, e altri soggetti qui non menzionati. I dati potranno essere trattati per conto del titolare da soggetti designati come responsabili del trattamento ex articolo 28 gdpr tra cui particolare società professionisti che forniscono supporto all’implementazione o informatico e degli applicativi aziendali e società che forniscono servizi di conservazione sostitutiva della documentazione oltre che di servizi sicurezza di sorveglianza. Soggetti autorizzati al trattamento i dati potranno essere trattati dai dipendenti delle funzioni aziendali deputate al perseguimento di finalità sopra indicate che sono stati espressamente autorizzati al trattamento e che hanno ottenuto delle istruzioni diritti dell’interessato in relazione al trattamento dei suoi dati personali. Ognuno ha diritto in qualunque momento di ottenere la conferma dell’esistenza o meno dei medesimi dati e di conoscerne il contenuto e l’origine verificandone l’esattezza, l’integrazione, l’aggiornamento oppure la rettificazione. Inoltre ha il diritto di chiedere la cancellazione dei dati trattati in violazione di legge o in caso di revoca del consenso la limitazione trattamento in caso di contestazione, nonché di opporsi al loro trattamento per motivi legittimi oppure in ogni caso discrezionalmente per tutte. Quelle finalità basate sul consenso danno diritto di ottenere il rilascio di dati personali oggetto di trattamento in un formato compatibile con applicazioni informatiche standard sempre che questa sia tecnicamente fattibile non violando quanto stabilito è indicato dalla Assir. Se vi siano lesioni che la riguardi il Presidente potrà esercitare quanto in suo diritto nelle sedi più opportune.
Dati sensibili che riguardano Assir e/o l’Azienda e/o Terzi e/o altri qui non menzionati dove si presti servizio.
Operando nel sanitario ognuno è tenuto a non divulgare un qualsiasi dato, atto, documento etc che sia sensibile e che comunque riguardi nelle diverse forme, ogni Persona con cui si viene a contatto per una qualsiasi ragione che lo riguardi (sanitaria e non). In via del tutto riassuntiva, ma non esaustiva, citiamo ad esempio quale Persona, il Paziente, Famigliare, Parente, Amico, Conoscente, Collaboratore, Associato, Dipendente, Fornitore, Medico, Liberi professionisti, Infermieri, Operatori Socio Sanitari, Addetti alla sanificazione, Manutentori, Addetti alla cucina, Assistente sociale, Educatore, Psicologo, Psicoterapeuta, Specialisti, Fisioterapista, Autonomi, Artigiani, Impiegati, Direzione, Dirigenti, Amministratori, Titolari, Presidenti, Consiglieri, Enti ispettivi, Autorità, Terzi, Soci cooperative, e chiunque altro qui non citato. Persona quindi che intrattenga nelle diverse forme delle azioni dirette o indirette che rientrino nella privacy e normativa che la regoli. Questo vale tanto per l’Azienda Assir con cui ognuno collabora nelle diverse forme per quanto la riguardi anche nell’ambito della privacy, oltre che per tutte le Aziende profit o no profit, o Onlus, o Fondazioni o strutture private o pubbliche etc. dove si presti il proprio servizio. Nulla che sia afferente e riconducibile a dove si presti il proprio servizio dovrà pertanto mai trapelare.
Reclami verso Assir o Autorità di controllo.
Un qualsiasi reclamo verso Assir potrà essere esercitato nelle diverse modalità possibili come, in via del tutto riassuntiva, ma non esaustiva, si cita ad esempio la raccomandata ar o pec i cui dati si possono estrarre dal sito www.gruppoassir.com. E’ possibile altresì rivolgersi alle Autorità competenti. L’informativa sulla privacy è presente nelle diverse forme visibili nel sito nei vari accessi.