Politica generale sulla protezione dei dati personali
1. Ambito di applicazione
Compito del Titolare del trattamento è di rispettare le leggi e i regolamenti che disciplinano la protezione dei dati personali.
Questa Politica è adottata da DG Travel al fine di stabilire i principi posti alla base del trattamento dei dati personali.
2. Documenti di riferimento
3. Definizioni principali
Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («Interessato») direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, economica, culturale o sociale.
Dati personali “particolari”: dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, determinando rischi significativi per i diritti e le libertà fondamentali. Si tratta di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
Titolare del trattamento dati: La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Responsabile del trattamento dati: La persona fisica o giuridica che tratta dati personali per conto del Titolare del trattamento dati.
Addetto incaricato al trattamento: La persona fisica autorizzata al trattamento di dati personali per lo svolgimento di specifiche mansioni cui è preposto.
Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicati a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
4. Principi generali
L’articolo 5 (2) del GDPR stabilisce che “il Titolare del trattamento dati è competente per il rispetto dei principi, e in grado di comprovarlo.”
Liceità, Correttezza e Trasparenza
I dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato.
Limitazione delle finalità
I dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo tale che il trattamento non sia incompatibile con tali finalità.
Minimizzazione dei dati
I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità del trattamento.
Esattezza
I dati personali devono essere esatti e, se necessario, aggiornati. Pertanto, devono essere adottate tutte le misure necessarie per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.
Limitazione del periodo di conservazione
I dati personali devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
Integrità e riservatezza
Considerando le tecnologie e le altre misure di sicurezza disponibili, costi di attuazione, la probabilità e la gravità dei rischi per i dati personali, occorre adottare misure tecniche e organizzative per garantire un livello di sicurezza adeguato, inclusa la protezione dalla distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati.
Responsabilizzazione
Compito del Titolare del trattamento dati è quello di assicurare e comprovare il rispetto dei principi sopra descritti.
Raccolta
Il Titolare dei dati deve raccogliere solo i dati essenziali allo scopo del trattamento.
Le finalità, i metodi, il limite di registrazione e il periodo di conservazione dei dati personali devono essere coerenti alle informazioni contenute nell’Informativa sulla Privacy.
Occorre garantire l’esattezza, l’integrità, la riservatezza e la rilevanza dei dati personali in base allo scopo del trattamento.
I fornitori, i dipendenti e i collaboratori devono trattare i dati personali solo per adempiere ai propri obblighi contrattuali e non per altri scopi.
5. Linee guida sul corretto trattamento
I dati personali devono essere trattati solo se esplicitamente autorizzati dall’interessato.
Comunicazioni agli interessati
Per qualsiasi tipo di attività di trattamento, inclusa l’erogazione dei servizi, il Titolare del trattamento dati è tenuto ad informare adeguatamente gli interessati in merito ai tipi di dati personali raccolti, alle finalità del trattamento, ai metodi di trattamento, ai diritti degli interessati riguardo ai loro dati personali, al periodo di conservazione.
Queste informazioni verranno fornite tramite un’Informativa sulla Privacy.
Acquisizione del consenso
Il Titolare del trattamento è tenuto a dare agli interessati, in merito al consenso, esplicita informativa circa la possibilità di revocarlo in ogni momento.
6. Misure da adottare in caso di violazioni
Qualora si venisse a conoscenza di una presunta o effettiva violazione dei dati personali, occorre adottare misure correttive appropriate in modo tempestivo. Laddove sussistano rischi per i diritti e le libertà degli interessati, sarà necessario informare l’Autorità di controllo competente in materia di protezione dei dati senza indebiti ritardi e, ove possibile, entro 72 ore.
7. Responsabilizzazione
Qualsiasi dipendente che violi la presente Politica sarà soggetto ad azioni disciplinari e potrebbe anche essere soggetto a responsabilità civili o penali qualora la sua condotta violasse leggi o regolamenti.
8. Trattamento dati personali Dipendenti/Collaboratori
Il trattamento dei dati personali dei dipendenti è ammesso esclusivamente per legittime finalità riguardanti, a mero titolo esemplificativo ma non esaustivo:
Gestione delle risorse umane: attività di gestione delle risorse umane svolte durante l’assunzione o l’esecuzione di un contratto di lavoro, come colloqui, assunzione, cessazione del rapporto di lavoro, presenza, gestione delle prestazioni, indennità e benefici, formazione, servizi ai dipendenti, salute e sicurezza sul lavoro, e altre attività ai fini della gestione delle risorse umane o della protezione degli interessi vitali dei dipendenti.
Altre operazioni: gestione di viaggi e spese, gestione di beni, fornitura di servizi IT, svolgimento di audit interni, adempimento degli obblighi di contratti commerciali, consulenza legale e preparazione a contenziosi legali, ecc.
Conformità con la legge: trattamento dei dati personali dei dipendenti posto in essere per adempiere a obblighi di legge, comunicare dati personali dei dipendenti a un’autorità fiscale al fine di ottemperare alle leggi fiscali applicabili.
9. Validità del documento
Il presente documento ha effetto dal 01-12-2021.