1 - Obiettivo del Codice di Condotta

 

L’obiettivo del presente Codice consiste nello stabilire standard di protezione e sicurezza uniformi, adeguati e globali all'interno di Solewatt s.r.l. , allo scopo di soddisfare i requisiti fissati dalla Direttiva Europea sulla Protezione dei Dati Personali 1 e le altre normative nazionali sullo scambio di dati internazionale. Il Codice di Condotta crea in questo contesto un livello di protezione dei dati uniforme a livello di tutta l'azienda, senza tuttavia sostituire la legittimazione che deve essere alla base di qualsiasi elaborazione o trasmissione di dati. Parallelamente, i collaboratori e i dirigenti devono ricevere un adeguato supporto per poter integrare le questioni relative alla tutela dei dati personali dei nostri clienti e partner contrattuali nella configurazione dei prodotti e servizi della Casa. Questo paragrafo deve essere interpretato in correlazione con i seguenti paragrafi del presente Codice di Condotta, ed in particolare con il paragrafo III. che regola la validità delle norme di diritto dei singoli Stati.

 

2 - Limiti di validità

 

Il Codice di Condotta è una direttiva aziendale valida sia per l’elaborazione dei dati personali dei clienti, sia per il trattamento dei dati di fornitori, consulenti ed altri partner contrattuali che operano nell’ambito di Solewatt s.r.l. nel suo complesso.

 

3 - Validità delle norme di diritto dei singoli Stati

 

L’ammissibilità della raccolta ed elaborazione di dati deve essere valutata sulla base delle rispettive norme di diritto vigenti a livello nazionale e locale nel Paese in cui ha luogo tale raccolta ed elaborazione. Ciò significa che l’ammissibilità dell’elaborazione dei dati personali che non sono stati rilevati nei Paesi membri UE/CE e non verranno elaborati nell’area UE/CE, è regolata secondo il diritto nazionale e locale del Paese di provenienza. Nel caso di trasmissione di dati provenienti dall’area UE/CE o da Stati che richiedono un adeguato livello di protezione per il trasferimento in altri Paesi, durante l’elaborazione dei dati personali le sedi importatrici delle informazioni devono applicare il rispettivo diritto nazionale dello Stato dal quale i suddetti dati sono stati trasmessi. Quanto sopra non vale per lo scambio di dati all’interno dei Paesi UE/CE o per la trasmissione di dati a Stati terzi, il cui livello di protezione dei dati sia stato ritenuto adeguato dalla Commissione Europea ai sensi dell’Art. 25 della Direttiva UE sulla Tutela dei Dati Personali. Gli obblighi di segnalazione eventualmente vigenti ai sensi del diritto nazionale sulla protezione dei dati devono essere osservati. Qualsiasi società giuridicamente autonoma da Solewatt s.r.l. deve verificare, se ed in quale misura sussista un tale obbligo nei confronti delle autorità di vigilanza o degli enti di controllo nazionali. In caso di dubbio, si può consultare il responsabile aziendale per la protezione dei dati. La raccolta o la trasmissione di dati personali ad enti ed autorità statali può avvenire soltanto sulla base delle disposizioni di legge nazionali vigenti in materia.

 

Il presente Codice di Condotta contiene esclusivamente le limitazioni che risultano necessarie per soddisfare i seguenti requisiti prescritti dalle leggi nazionali sullo scambio di dati a livello internazionale.

 

1 Direttiva 95/46/CE del Parlamento e del Consiglio Europeo sulla protezione delle persone fisiche in caso di elaborazione dei dati personali e sul libero scambio di informazioni

 

 

4 - Principi per l’elaborazione dei dati personali

 

1. Nell’elaborazione dei dati è necessario tutelare i diritti personali alla privacy degli interessati.

 

2. I dati personali possono essere elaborati esclusivamente se ciò risulta legalmente ammissibile o se il soggetto interessato ha fornito il proprio consenso. I dati personali possono essere elaborati esclusivamente ai fini per i quali sono stati originariamente raccolti, e ai quali si estende l’ammissibilità giuridica o il consenso rilasciato.

 

3. I dati personali devono essere memorizzati correttamente e, qualora necessario, periodicamente aggiornati. A tale scopo occorre adottare provvedimenti idonei per cancellare o rettificare i dati che risultano incorretti od incompleti.

 

4. Ai dati personali possono accedere soltanto i dipendenti che operano in un settore di attività connesso al trattamento di tali dati; l’autorizzazione all’accesso deve essere limitata in base al tipo e alla portata della rispettiva area di competenza.

 

5. I dati personali che non risultano più necessari ai fini commerciali per i quali sono stati originariamente raccolti e memorizzati, possono essere eventualmente cancellati in conformità con le norme vigenti sulla conservazione dei dati.

 

6. Qualora l’interessato si sia opposto all’utilizzo dei propri dati personali a scopo di marketing, i dati non potranno essere utilizzati a tal fine.

 

7. L’elaborazione dei dati deve essere finalizzata allo scopo di rilevare, elaborare ed utilizzare esclusivamente i dati personali necessari, ovvero la minima quantità possibile di informazioni. Le possibilità di anonimizzazione e pseudonimizzazione sono ammesse, laddove ciò sia possibile e gli oneri di queste procedure risultino adeguatamente rapportati alle finalità di protezione dei dati che si intende perseguire. Le valutazioni statistiche o le analisi effettuate sulla base di dati anonimizzati o pseudonimizzati non sono rilevanti ai fini della protezione dei dati personali, in quanto tali dati non risultano più individualizzabili.

 

8. Le decisioni che possono avere ripercussioni giuridiche negative o comportare notevoli danni per l’interessato, non possono essere basate esclusivamente su di un sistema automatizzato di elaborazione dei dati personali, che serve alla valutazione di singole caratteristiche della persona, come ad esempio l’idoneità per la concessione di un credito. Le tecnologie informatiche possono essere fondamentalmente utilizzate soltanto come strumento ausiliario per formulare una decisione, senza tuttavia rappresentare l’unica base su cui tale decisione si fonda. Qualora, in casi particolari, dovesse rendersi oggettivamente necessario formulare una decisione automatizzata, l’interessato deve avere la possibilità di esprimere il proprio parere, a meno che tale decisione non sia consentita da una legge che fissa le norme di garanzia per la tutela dei legittimi interessi delle persone interessate.

 

9. Nei progetti di elaborazione dei dati dai quali possono derivare particolari rischi per la tutela del diritto alla privacy degli interessati, il settore Protezione Dati deve essere interpellato a partire dalle prime fasi del processo di elaborazione. Quanto sopra vale in particolare per le tipologie di dati personali elencate qui di seguito.

 

 

 

 

5 - Tipologie particolari di dati personali

 

L’elaborazione dei dati personali relativi alla provenienza razziale ed etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, all’appartenenza a sindacati oppure sulla salute o sull’orientamento sessuale dell’interessato è generalmente vietata, salvo che la legittimità dell’elaborazione non derivi da un’autorizzazione legale o da un requisito di legge. L’elaborazione di questo genere di dati personali, inoltre, è consentita per la convalida, l’esercizio o la tutela di diritti legali anche nell’ambito di una controversia giudiziaria, qualora non sussista alcun motivo per supporre che prevalga il legittimo interesse dell’interessato all’esclusione dell’elaborazione o dell’utilizzo dei dati. In tutti gli altri casi, l’interessato deve avere fornito espressamente il proprio consenso all’elaborazione dei suddetti dati.

 

6 - Informazione e consenso dell’interessato

 

1. Rapporto contrattuale

 

I dati personali dell’interessato possono essere rilevati ed elaborati sulla base e ai fini di esecuzione del contratto e dell’avviamento del rapporto di lavoro. Al momento del rilevamento dei dati, l’interessato deve essere consapevole od informato di quanto segue:

 

❍ identità del responsabile;

❍ finalità dell’elaborazione dei dati;

❍ terzi o categorie di terzi ai quali i dati possono essere eventualmente trasmessi;

 

Questa trasparenza può essere assicurata mediante una comunicazione individuale od informazioni fornite a carattere generale. L’interessato deve essere informato dei diritti di informazione e rettifica dei suoi dati personali. In seguito, al primo invio a scopo di pubblicità diretta, egli deve essere informato del diritto di rifiutare il proprio consenso all’elaborazione di questi dati a scopo di marketing diretto.

 

2. Scambio di dati con terzi/acquisizione di dati Di norma, i dati personali devono essere rilevati direttamente dall’interessato. Qualora i dati vengano raccolti presso terzi o trasmessi da terzi, è necessario verificare che alla prima richiesta dei dati l’interessato sia stato o venga conformemente informato come descritto al paragrafo VI. Punto 1 del presente Codice di Condotta.

 

7 - Diritti degli interessati

 

Per eventuali chiarimenti e reclami, gli interessati possono rivolgersi al Coordinatore Protezione Dati, al proprio Referente o al Responsabile Aziendale per la Protezione dei Dati. In particolare, qualora gli interessati intendano esercitare i diritti elencati qui di seguito, le richieste in tal senso devono essere immediatamente evase.

 

1. L’interessato può chiedere informazioni in merito al contenuto dei dati personali memorizzati sul suo conto, alla loro provenienza e allo scopo per il quale sono stati archiviati.

 

2. In caso di trasmissione di dati personali a terzi, è necessario fornire informazioni anche sull’identità dei destinatari o sulle categorie di destinatari dei dati.

 

3. Qualora, ad esempio nell’ambito dell’esercizio del diritto di informazione, si dovesse riscontrare che i dati personali risultano inesatti od incompleti, l’interessato ha il diritto di esigere una correzione. Laddove dovesse risultare che lo scopo dell’elaborazione dei dati sia venuto meno per decorrenza dei termini o per altri motivi, oppure il trattamento dei dati sia illegale e questo finora sia stato ignorato nell’ambito delle verifiche periodiche, i dati dovranno essere cancellati, tenendo eventualmente conto degli obblighi di legge sulla conservazione delle informazioni.

 

4. L’interessato ha il diritto di rifiutare il suo consenso all’utilizzo dei propri dati personali ai fini di pubblicità diretta, oppure di ricerche di mercato o sondaggi di opinione. L’utilizzo dei dati a tali scopi deve essere pertanto interdetto.

 

5. Inoltre, l’interessato ha il diritto fondamentale di rifiutare il proprio consenso all’elaborazione dei propri dati personali, del quale va tenuto conto nel caso in cui una verifica determini che il suo legittimo interesse, a causa di una particolare situazione, prevalga sull’interesse dell’ufficio responsabile. Quanto sopra non è valido nel caso in cui una norma di legge prescriva l’obbligo di elaborazione o di utilizzo dei dati.

 

8 - Segretezza del processo di elaborazione

 

Esclusivamente i dipendenti autorizzati ed espressamente vincolati all’obbligo di segretezza sul contenuto dei dati possono raccogliere, elaborare od utilizzare le informazioni personali. In particolare, è vietato sfruttare questi dati a fini privati, trasmettere le informazioni a persone non autorizzate o comunque renderle accessibili a queste ultime in altro modo. Non autorizzati, in questo senso, sono da ritenersi ad esempio anche i colleghi di lavoro, a meno che non risulti diversamente in considerazione della sfera di competenza o delle mansioni concretamente svolte da questi colleghi. L’obbligo di segretezza permane anche dopo la conclusione del rapporto di lavoro.

 

9 - Principi di sicurezza dei dati

 

Le misure tecnico-organizzative necessarie per garantire la sicurezza dei dati si riferiscono a:

 

❍ elaboratori (server e workstation);

❍ reti o connessioni per la comunicazione in rete;

❍ applicazioni.

 

Per quanto concerne i server, sono previste misure di sicurezza fisiche ed infrastrutturali che comprendono i controlli di accesso. Tutte le workstation sono dotate di un sistema di protezione mediante password. La rete aziendale è protetta da sistemi Firewall contro i tentativi di accesso dall’esterno non autorizzati e di intromissioni da Internet. Al fine di proteggere i dati personali contenuti nelle banche dati, è previsto un sistema di accesso e di intervento riferito al nominativo personale e al tipo di applicazione. Le suddette misure tecnico-organizzative sono integrate in un sistema di gestione della tutela e sicurezza dei dati che presiede alle diverse responsabilità.

 

10 - Telecomunicazioni ed Internet

 

L’elaborazione dei dati personali che si verifica nell’ambito delle telecomunicazioni intrattenute con l’interessato, incluso le comunicazioni via Internet, è regolata in base alle istruzioni di lavoro vigenti a livello locale, o secondo il diritto applicabile nei singoli casi.

 

 

Definizioni

 

• Interessato: ai sensi del presente Codice di Condotta, con questo termine si intendono tutte le persone con cui sussiste o si prevede di intrattenere un rapporto contrattuale, e pertanto anche i cosiddetti “potenziali clienti” (“prospects” o “potentials”), e comunque soltanto nella misura in cui ciò attiene ai dati personali riguardanti tali soggetti.

 

• Dati personali: si tratta di tutte le informazioni su una persona fisica determinata o determinabile. Una persona è determinabile quando, ad esempio, il riferimento ad essa può essere stabilito attraverso una combinazione di informazioni pertinenti con notizie supplementari a disposizione, anche solo casualmente, del rispettivo incaricato della raccolta dei dati.

 

• Elaborazione di dati personali: ogni processo svolto con o senza l’ausilio di procedure automatizzate, che mira al rilevamento, alla memorizzazione, all’organizzazione, alla conservazione, alla modifica, al richiamo, all’utilizzo, alla riproduzione tramite trasmissione, alla diffusione, alla combinazione e/o alla comparazione di dati. Ciò comprende anche il divieto di pubblicazione, la cancellazione o l’annullamento dei dati.

 

• Anonimizzazione: i dati vengono anonimizzati quando non è più possibile stabilire un riferimento personale in maniera permanente da parte di chicchessia, oppure quando il riferimento personale potrebbe essere stabilito soltanto con un dispendio sproporzionatamente eccessivo di tempo, costi e manodopera. Pseudonimizzare: significa sostituire con un codice il nome ed altre caratteristiche identificative, allo scopo di escludere o rendere difficoltosa la possibilità di individuare il soggetto interessato.

 

• Responsabile dell’elaborazione dei dati (Ufficio Responsabile): nei rapporti con i soggetti esterni, ad esempio nei confronti di clienti del Gruppo o di altri partner contrattuali, si tratta della società giuridicamente autonoma del Gruppo Daimler, la cui attività aziendale ha ordinato la rispettiva misura di elaborazione dei dati. Nel rapporto interno, spetta ad una struttura organizzativa e gerarchica stabilire quali collaboratori siano responsabili, e in che misura, per la regolarità del processo di elaborazione dei dati.

 

• Incaricati dell’elaborazione: si tratta delle persone fisiche o giuridiche che elaborano i dati personali (come commissionari) su ordine di un responsabile (in qualità di committente). Oltre ai fornitori di servizi nel settore del marketing, ad esempio, gli incaricati dell’elaborazione comprendono anche le società di gestione dei centri di elaborazione dati.

 

• Terzo: si tratta di qualsiasi persona fisica o giuridica, o di un’autorità, che non è da annoverare tra i responsabili dell’elaborazione dei dati. Pertanto, non sono da considerarsi terzi gli incaricati dell’elaborazione o i collaboratori del Responsabile, nel caso in cui i dati personali in questione rientrino nella loro sfera di competenza.

 

• Trasmissione: si tratta della diffusione di informazioni a terzi che non appartengono alla sfera di competenza del responsabile per l’elaborazione dei dati.

 

• Consenso: si tratta di una dichiarazione con cui un soggetto interessato, informato della fattispecie, dichiara senza evidenti coercizioni esterne di acconsentire al trattamento dei suoi dati personali.

 

• Diritto di rifiuto del consenso (diritto di opt-out): significa che l’interessato può terminare il trattamento dei dati, dopo specifica richiesta.