La Confederazione Generale dell’Agricoltura Italiana – Confagricoltura ha approvato un Regolamento Data Protection, che descrive il “modello organizzativo” di cui essa si è dotata in riferimento ai trattamenti di dati personali di persone fisiche, in coerenza alla normativa vigente, tra cui, in particolare, il Regolamento europeo n.679/2016 (“GDPR”).
All’interno del documento, è descritta la struttura organizzativa dell’ente (Titolare, Delegato del Titolare, Data Manager, Incaricati, etc), i ruoli e le responsabilità dei soggetti che effettuano i trattamenti, nonché i principi che regolamentano e disciplinano le modalità di esecuzione delle attività di trattamento di dati personali eseguite da Confagricoltura per le finalità di trattamento di cui è Titolare, Contitolare o Responsabile.
Il modello organizzativo ivi descritto ha l’obiettivo di formalizzare le linee guida che la Confagricoltura ha adottato e intende applicare per assicurare che i trattamenti di dati personali siano effettuati in conformità alle disposizioni previste dalla normativa in materia, in particolare:
a) siano acquisiti e trattati su idonea e pertinente base giuridica per scopi determinati, espliciti e legittimi;
b) siano trattati solo per le finalità proprie dell’ente e in maniera non eccedente le predette finalità;
c) siano trattati nel rispetto dei diritti e della dignità degli interessati;
d) siano protetti dal rischio, anche solo potenziale, di distruzione, perdita, modificazione, rivelazione non autorizzata, accesso non autorizzato, non esattezza e non adeguatezza rispetto alle finalità per cui sono trattati;
e) siano comunicati legittimamente all’interno e all’esterno dell’ente.
Le politiche presenti nel Regolamento si applicano a tutti i dipendenti e collaboratori di Confagricoltura.
Il Regolamento descrive e tratta altresì i processi dell’ente connessi ai trattamenti di dati personali, quali, a titolo esemplificativo e non esaustivo, la gestione delle richieste di esercizio diritti dell’interessato o la gestione e notifica delle violazioni di dati personali (Data Breach).
Esso contiene, infine, Policy dell’Ente per l’utilizzo di dispositivi e di strumenti informatici e per l’utilizzo degli archivi cartacei.
Ai sensi dell’art. 4 del Regolamento, con l’espressione “trattamento di dati personali” s’intende "qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali", in particolare:
- la raccolta dei dati;
- la registrazione dei dati, ovvero il loro inserimento su supporti, automatizzati o manuali, al fine di rendere i dati disponibili per successivi trattamenti;
- l’organizzazione dei dati in senso stretto, ovvero il permesso di lavorazione che ne favorisca la fruibilità attraverso l’aggregazione o la disaggregazione, l’accorpamento, la catalogazione etc.;
- la conservazione dei dati alla quale la legge dedica particolari attenzioni sotto il profilo della sicurezza;
- l’adattamento o la modifica dei dati registrati in relazione a variazioni o a nuove acquisizioni;
- l’estrazione, ipotesi specifica che rientra nell’ipotesi più generale dell’elaborazione;
- la consultazione;
- l’uso;
- la comunicazione, ovvero la trasmissione dei dati ad uno o più soggetti determinati, in qualunque forma, mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione;
- il raffronto o l’interconnessione, ovvero la messa in relazione di banche dati diverse e distinte fra loro al fine di compiere ulteriori processi di elaborazione, selezione, estrazione o raffronto;
- la limitazione;
- la cancellazione;
- la distruzione.
Il trattamento di dati personali è esercitabile solo da parte dei soggetti individuati da parte del Delegato del Titolare; non è consentito il trattamento da parte di persone non autorizzate. Il trattamento dei dati, anche di natura sensibile o giudiziaria, effettuato dall’ente è diretto all’espletamento delle finalità strettamente connesse all’attività ed i servizi erogati.
Confagricoltura tratta, inoltre, i dati, anche di natura sensibile, dei propri dipendenti per le finalità di instaurazione e di gestione dei rapporti di lavoro.
I dati personali oggetto del trattamento, come previsto dall’art.5 del GDPR, vengono:
- trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (“liceità, correttezza e trasparenza”);
- raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità (“limitazione delle finalità”);
- adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);
- esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (“esattezza”);
- conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (“limitazione della conservazione”);
- trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
Come sancito dall’art.6 del Regolamento, il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
- l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
- il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
- il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
- il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
- il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
- il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.
Il trattamento delle “categorie particolari di dati personali”, che per loro natura può presentare un rischio per gli interessati, è vietato dal Regolamento Europeo, a meno che l’interessato non abbia espresso il proprio consenso esplicito al trattamento di tali dati o sia soddisfatta una delle condizioni tassativamente indicate dall’art. 9 del Regolamento stesso (es. la necessità di difendere un diritto in sede giudiziaria), nonché in conformità alle misure di garanzia disposte dal Garante per la protezione dei dati personali e nel rispetto di quanto previsto dall’art. 2-septies del D. Lgs. 196/03.
In base alle disposizioni del Codice in materia di protezione dei dati personali e del Regolamento Europeo, fatto salvo quanto previsto dal decreto legislativo 18 maggio 2018, n. 51, il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza sulla base dell'articolo 6, paragrafo 1, del GDPR, che non avviene sotto il controllo dell'autorità pubblica, è consentito, ai sensi dell'articolo 10 del medesimo Regolamento, solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati.
Confagricoltura riconosce e promuove il valore e i benefici di un approccio proattivo all’adozione di prassi e tecniche di tutela dei dati personali degli interessati, a partire dalla fase di “design di nuove iniziative di business e/o di sistemi”, in maniera consistente su tutti i programmi e progetti intrapresi.
A tal fine, i Data Manager devono considerare la tutela dei diritti e delle libertà degli interessati quale requisito fondamentale nello sviluppo di nuovi prodotti e/o servizi, riconoscendo i potenziali rischi e le limitazioni che potrebbero derivare per tali diritti e libertà.
In particolare, nello sviluppo di qualsivoglia nuovo servizio che abbia ad oggetto un trattamento dei dati personali, o nell’ipotesi di modifiche di servizi già realizzati o resi dall’ente o di cambiamenti significativi nelle modalità di progettazione ed erogazione di tali servizi, nonché in tutte le occasioni in cui i Data Manager intendano procedere con iniziative di qualsivoglia natura che abbiano come destinatari imprese agricole associate, imprese agricole in generale, dipendenti o altre categorie di interessati, questi devono immediatamente coinvolgere nel progetto il Comitato Data Protection e, nel caso, il RPD, assicurandosi che siano tempestivamente messo a disposizione tutte le informazioni pertinenti al potenziale trattamento, affinché Comitato Data Protection e, nel caso, il RPD possano compiutamente valutare gli impatti che potrebbero derivare agli interessati a seguito del trattamento dei dati personali e coinvolgere il Delegato Titolare per le opportune valutazioni.
All’interno della Confagricoltura, tutti gli Incaricati dovranno attenersi al principio di minimizzazione dei dati, in forza del quale non dovranno essere richiesti agli interessati o, più in generale, non dovranno essere trattati dati personali ulteriori o eccedenti rispetto a quelli strettamente necessari al perseguimento delle finalità di trattamento.
I dati personali raccolti non devono essere trattati per un periodo eccedente quello strettamente necessario per il raggiungimento delle finalità perseguite dall’ente. Pertanto, al fine di ottemperare ai principi di “Privacy by Design” e “Privacy by Default”, i Data Manager, fin dalla fase progettuale del servizio e/o iniziativa devono svolgere specifiche valutazioni sulla durata del trattamento e relativo periodo di conservazione dei dati personali, anche in virtù di eventuali obblighi di legge.
Sulla base delle risultanze della valutazione svolta, devono essere identificati appositi presidi e processi volti a garantire che i dati personali non vengano trattati e conservati per un periodo superiore a quello strettamente necessario al perseguimento delle finalità previste, salvo l’adempimento di specifici obblighi di conservazione imposti dalla legge.
Nello sviluppo del servizio i Data Manager dovranno mettere in atto misure tecniche ed organizzative idonee ad assicurare che, per impostazione predefinita, i dati personali non siano resi accessibili ad un numero indefinito di persone e che, al contrario, l’accessibilità agli stessi sia segregata sulla base del principio di necessità. In tal senso, l’accesso dovrà essere reso disponibile esclusivamente a quei soggetti che sono tenuti al trattamento di quei dati personali per il raggiungimento delle finalità perseguite dall’ente.
Il Regolamento Data Protection viene aggiornato dal Titolare del Trattamento su proposta del Delegato del Titolare, del Responsabile della protezione dei Dati Personali e/o del Comitato Data Protection in conseguenza di modifiche normative o per esigenze organizzative o operative.
Confagricoltura ha nominato un RPD (Responsabile della protezione dei dati personali, in inglese DPO) esterno, in forza di un contratto di servizi. L’RPD possiede le seguenti caratteristiche:
- conoscenza specialistica della normativa e della prassi in materia di protezione dei dati personali;
- capacità di adempiere ai compiti di cui sarà responsabile come RPD, anche in termini di esperienza nel settore del business dell’ente;
- caratteristiche personali di integrità ed etica professionale;
- assenza di situazioni di conflitto di interesse.