Policy sui diritti degli interessati
Policy sui diritti degli interessati
Policy sui diritti degli interessati - Template di istanza per l’esercizio dei diritti dell’Interessato
La Società di Mutuo Soccorso Cesare Pozzo in qualità di Titolare e/o Responsabile Esterno del trattamento dei dati (di seguito anche solo “SNMS Cesare Pozzo”), si impegna ad assicurare agli interessati (le persone fisiche cui si riferiscono i dati trattati) il pieno e concreto rispetto dei principi e degli obblighi previsti dal Regolamento UE 2016/679 (di seguito “GDPR”) ed, in particolare, l’esercizio dei diritti di cui agli artt. 15-22 GDPR, stabilendo con tali soggetti un rapporto basato sulla massima trasparenza.
Questa policy risponde, quindi, all’esigenza di garantire agli interessati l’esercizio dei diritti stabiliti dalla normativa vigente. A tale scopo il presente documento contiene l’elenco dei diritti esercitabili dall’interessato secondo quanto disposto dal GDPR e la procedura per la gestione delle richieste pervenute.
Diritto di accesso (art. 15 GDPR)
L'interessato ha il diritto di ottenere dalla SNMS Cesare Pozzo la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni:
· le finalità del trattamento;
· le categorie di dati personali in questione;
· i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
· quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
· l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
· il diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati;
· qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;
· l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'art. 22, co. 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.
Qualora i dati personali siano trasferiti a un paese terzo o a un'organizzazione internazionale, l'interessato ha il diritto di essere informato dell'esistenza di garanzie adeguate ai sensi dell'art. 46 relative al trasferimento.
La SNMS Cesare Pozzo fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall'interessato, la SNMS Cesare Pozzo può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l'interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell'interessato, le informazioni sono fornite in un formato elettronico di uso comune. Il diritto di ottenere una copia non deve ledere i diritti e le libertà altrui.
Diritto di rettifica (art. 16 GDPR)
L'interessato ha il diritto di ottenere dalla SNMS Cesare Pozzo la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Diritto alla cancellazione (cd. diritto all’oblio, art. 17 GDPR)
L'interessato ha il diritto di ottenere dalla SNMS Cesare Pozzo la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo ed la SNMS Cesare Pozzo ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
· i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
· l'interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento;
· l'interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell'art. 21, par. 2 ( marketing e profilazione) ;
· i dati personali sono stati trattati illecitamente;
· i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell'Unione o dello Stato membro cui è soggetto la SNMS Cesare Pozzo;
· i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione ai minori ( lecito solo se il minore abbia 14 anni o se minore di 14 anni sia autorizzato dal titolare della responsabilità genitoriale).
La SNMS Cesare Pozzo, se ha reso pubblici dati personali ed è obbligata a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare gli altri Titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali ( diritto all’oblio).
Quanto premesso non trova applicazione nella misura in cui il trattamento sia necessario:
· per l'esercizio del diritto alla libertà di espressione e di informazione;
· per l'adempimento di un obbligo giuridico che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui è soggetta la SNMS Cesare Pozzo o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investita la SNMS Cesare Pozzo;
· per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell'art. 9, par. 2, lett. h) e i), e dell’ art. 9, par. 3;
· a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all'art. 89, par. 1, nella misura in cui il diritto rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o
· per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
Diritto di limitazione del trattamento (art. 18 GDPR)
L'interessato ha il diritto di ottenere da ECRA la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
· l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al Titolare del trattamento per verificare l'esattezza di tali dati personali;
· il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo;
· benché la SNMS Cesare Pozzo non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;
· l'interessato si è opposto al trattamento ai sensi dell'art. 21, par. 1, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi della SNMS Cesare Pozzo rispetto a quelli dell'interessato.
Se il trattamento è limitato a norma di quanto sopra, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell'interessato o per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un'altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell'Unione o di uno Stato membro.
L'interessato che ha ottenuto la limitazione del trattamento viene informato dalla SNMS Cesare Pozzo prima che detta limitazione sia revocata.
La SNMS Cesare Pozzo comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell'art. 16, dell'art.
17 e dell'art. 18, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. La SNMS Cesare Pozzo comunica all'interessato tali destinatari qualora l'interessato lo richieda (cfr. art. 19 GDPR).
Diritto alla portabilità dei dati (art. 20 GDPR)
L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti alla SNMS Cesare Pozzo e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:
· il trattamento si basi sul consenso ai sensi dell'art. 6, par. 1, let. a), o dell'art. 9, par. 2, let. a), o su un contratto ai sensi dell'art. 6, par. 1, let. b); e
· il trattamento sia effettuato con mezzi automatizzati.
Nell'esercitare i propri diritti relativamente alla portabilità dei dati, l'interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un Titolare del trattamento all'altro, se tecnicamente fattibile.
L'esercizio del diritto lascia impregiudicato l'art. 17. Tale diritto non si applica al trattamento necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento.
Questo diritto alla portabilità dei dati non deve ledere i diritti e le libertà altrui.
Diritto di opposizione (art. 21 GDPR)
L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell'art. 6, par. 1, lett. e) o f), compresa la profilazione sulla base di tali disposizioni. La SNMS Cesare Pozzo si asterrà dal trattare ulteriormente i dati personali salvo che dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. Qualora i dati personali siano trattati per finalità di marketing diretto, l'interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.
Qualora l'interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento per tali finalità.
Il diritto è esplicitamente portato all'attenzione dell'interessato ed è presentato chiaramente e separatamente da qualsiasi altra informazione al più tardi al momento della prima comunicazione con l'interessato.
Qualora i dati personali siano trattati a fini di ricerca scientifica o storica o a fini statistici a norma dell'art.
89, par. 1, l'interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguardano, salvo se il trattamento è necessario per l'esecuzione di un compito di interesse pubblico.
Processo decisionale automatizzato, compresa la profilazione (art. 22 GDPR)
L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
Questa regola non si applica nel caso in cui la decisione:
· sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e il Titolare del trattamento;
· sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il Titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato;
· si basi sul consenso esplicito dell'interessato.
Nei predetti casi, il Titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, almeno il diritto di ottenere l'intervento umano da parte del Titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
Esercizio dei diritti e gestione della richiesta dell’interessato
Chiunque intenda esercitare i propri diritti relativamente al trattamento dei propri dati personali può fare richiesta alla SNMS Cesare Pozzo mediante i canali di comunicazione attivati dalla SNMS Cesare Pozzo medesima, riportati nelle informative e sul proprio sito web (www.mutuacesarepozzo.it e privacy@mutuacesarepozzo.it).
Pervenuta la richiesta di esercizio dei predetti diritti da parte di un interessato ( cfr. template), la SNMS Cesare Pozzo tramite il proprio Referente privacy – se necessario supportato dal Data Protection Officer, - dopo aver provveduto all’identificazione dell’interessato (ad es. richiedendo copia di un documento d’identità valido, anche via email), valuterà l’ammissibilità e la fondatezza della domanda per stabilire se è possibile, e in quale misura, adempiere alla richiesta del soggetto interessato. Nei casi ritenuti più complessi, potrà essere richiesto il parere del Data Protection Officer.
Qualora la richiesta non possa essere ritenuta ammissibile, si risponderà all'interessato entro il termine di un mese dal ricevimento della richiesta informandolo del diniego, dei motivi dell’inottemperanza, della possibilità di proporre reclamo all’Autorità di controllo e di proporre ricorso giurisdizionale (cfr. infra, template, Esempio 1). La chiusura del procedimento verrà annotata nel Registro delle richieste
degli interessati allegato alla presente procedura.
Viceversa, nel caso in cui la richiesta fosse ritenuta ammissibile, le attività proseguono come di seguito specificato.
Il Referente privacy, supportato dal Data Protection Officer, in relazione a tutte le possibili tipologie di richieste esercitate dagli interessati:
· identifica il trattamento dei dati e, ove necessario, coinvolge gli autorizzati al trattamento o il Responsabile del trattamento;
· individua le banche dati e/o gli archivi presso cui risiedono i dati oggetto di richiesta;
· qualora ritenuto utile, redige una nota sintetica atta ad identificare, correttamente e prontamente, i dati oggetto della richiesta;
· attiva le misure necessarie per dare seguito alla richiesta (ad es., raccogliere le informazioni da trasmettere all’interessato in caso di richiesta di accesso; rettificare i dati personali inesatti o integrare quelli incompleti; cancellare i dati trattati secondo procedura interna; limitare il trattamento dei dati; rendere i dati in un formato strutturato, idoneo alla portabilità, per essere inoltrati all’interessato e/o al nuovo Titolare; bloccare l’ulteriore trattamento dei dati personali; prevedere l'intervento umano del Titolare nel processo automatizzato e la possibilità per l’interessato di esprimere la propria opinione e di contestare la decisione);
· predispone la risposta per l’interessato fornendo le informazioni sulle attività svolte rispetto alla richiesta pervenuta (cfr. infra, template, Esempio 2), condividendola con il Titolare del trattamento ai fini della sua approvazione prima dell’invio;
· annota la chiusura del procedimento nel Registro delle richieste degli interessati.
Le richieste pervenute, corredate della documentazione a supporto delle attività svolte, dovranno essere conservate in allegato al Registro delle richieste.
Il termine per la risposta all’interessato è, per tutti i diritti, un mese dal ricevimento della richiesta. Tale termine può essere prorogato di due mesi, se necessario, in casi di particolare complessità. L’interessato dovrà comunque essere informato di tale proroga e dei motivi del ritardo entro un mese dalla richiesta.
Le informazioni fornite e le relative comunicazioni ed azioni intraprese sono gratuite, salvo un contributo spese ragionevole quando le richieste sono manifestamente infondate od eccessive (in particolare per il loro carattere ripetitivo).
Seguici sui nostri social
