“Codice di Condotta”

Articolo 40

Regolamento Europeo 679/2016

CM3 S.r.l.

Indice

Premessa ............................................................................................................................................................ 3

Definizioni .......................................................................................................................................................... 4

Articolo 40 Regolamento Europeo 679/2016 “Codici di Condotta” .......................................................... 7

Il trattamento corretto e trasparente dei dati ............................................................................................. 9

I legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici ....................... 10

La raccolta dei dati personali ....................................................................................................................... 11

La pseudonimizzazione dei dati personali .................................................................................................. 12

L'informazione fornita al pubblico e agli interessati ................................................................................ 13

L'esercizio dei diritti degli interessati ........................................................................................................ 14

l'informazione fornita e la protezione del minore, e le modalità con cui è ottenuto il consenso dei

titolari della responsabilità genitoriale sul minore .................................................................................. 15

Le misure e le procedure di cui agli articoli 24 e 25 e le misure volte a garantire la sicurezza del

trattamento di cui all'articolo 32 ................................................................................................................. 16

La notifica di una violazione dei dati personali alle autorità di controllo e la comunicazione di tali

violazioni dei dati personali all'interessato ............................................................................................... 17

Il trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali ........................... 19

Le procedure stragiudiziali e di altro tipo per comporre le controversie tra titolari del trattamento e

interessati in materia di trattamento, fatti salvi i diritti degli interessati ai sensi degli articoli 77 e

79 ....................................................................................................................................................................... 20

Best Practices .................................................................................................................................................. 21

Sottoscrizione e Accettazione ...................................................................................................................... 22

Premessa:

L'articolo 40 del Regolamento Europeo 679/2016 prescrive l'adozione di codici di condotta allo scopo di precisarne

l'applicazione a tutela della protezione dei dati.

Tale Codice di Condotta deve essere recepito e sottoscritto da tutti i soggetti che a vario titolo trattano dati, e ha lo

scopo di fungere da guida ai comportamenti corretti rispetto al trattamento dei dati.

- 4 di 22 -

Definizioni

Ai fini del Regolamento Europeo 679/2016 s'intende per:

«dato personale» 1. : qualsiasi informazione riguardante una persona fisica identificata o identificabile

(«interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o

indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione,

dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità

fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2. «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi

automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione,

l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la

consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a

disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

3. «limitazione di trattamento»: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il

trattamento in futuro;

4. «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali

dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per

analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le

preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta

persona fisica;

5. «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più

essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali

informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese

a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

6. «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati,

indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo

funzionale o geografico;

7. «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che,

singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le

finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare

del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto

dell'Unione o degli Stati membri;

8. «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro

organismo che tratta dati personali per conto del titolare del trattamento;

9. «destinatario»: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve

comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono

ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto

dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette

autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del

trattamento;

10. «terzo»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia

l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento

dei dati personali sotto l'autorità diretta del titolare o del responsabile;

- 5 di 22 -

«consenso dell'interessato» 11. : qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile

dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva

inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

12. «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito

la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi,

conservati o comunque trattati;

13. «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona

fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che

risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;

14. «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche

fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano

l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;

15. «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica,

compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di

salute;

16. «stabilimento principale»:

a. per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo

della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del

trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento

nell'Unione e che quest'ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel

qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento

principale;

b. con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il

luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento

non ha un'amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento

nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno

stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a

obblighi specifici ai sensi del presente regolamento;

17. «rappresentante»: la persona fisica o giuridica stabilita nell'Unione che, designata dal titolare del

trattamento o dal responsabile del trattamento per iscritto ai sensi dell'articolo 27, li rappresenta per quanto

riguarda gli obblighi rispettivi a norma del presente regolamento;

18. «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti

un'attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente

un'attività economica;

19. «gruppo imprenditoriale»: un gruppo costituito da un'impresa controllante e dalle imprese da questa

controllate;

20. «norme vincolanti d'impresa»: le politiche in materia di protezione dei dati personali applicate da un

titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al

trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile

del trattamento in uno o più paesi terzi, nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese

che svolge un'attività economica comune;

21. «autorità di controllo»: l'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo

51;

22. «autorità di controllo interessata»: un'autorità di controllo interessata dal trattamento di dati personali in

quanto:

il titolare del trattamento o il a. responsabile del trattamento è stabilito sul territorio dello Stato membro

di tale autorità di controllo;

b. gli interessati che risiedono nello Stato membro dell'autorità di controllo sono o sono probabilmente

infuenzati in modo sostanziale dal trattamento; oppure

c. un reclamo è stato proposto a tale autorità di controllo;

23. «trattamento transfrontaliero»:

a. trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato

membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del

trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure

b. trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un

titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente

incide in modo sostanziale su interessati in più di uno Stato membro;

24. «obiezione pertinente e motivata»: un'obiezione al progetto di decisione sul fatto che vi sia o meno una

violazione del presente regolamento, oppure che l'azione prevista in relazione al titolare del trattamento o

responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente

la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli

interessati e, ove applicabile, alla libera circolazione dei dati personali all'interno dell'Unione;

25. «servizio della società dell'informazione»: il servizio definito all'articolo 1, paragrafo 1, lettera b), della

direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio (19);

26. «organizzazione internazionale»: un'organizzazione e gli organismi di diritto internazionale pubblico a

essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

Articolo 40 Regolamento Europeo 679/2016 “Codici

di Condotta”

Gli Stati membri, le autorità di 1. controllo, il comitato e la Commissione incoraggiano l'elaborazione di codici

di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle

specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.

2. Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del

trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare

l'applicazione del presente regolamento, ad esempio relativamente a:

a. il trattamento corretto e trasparente dei dati;

b. i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici;

c. la raccolta dei dati personali;

d. la pseudonimizzazione dei dati personali;

e. l'informazione fornita al pubblico e agli interessati;

f. l'esercizio dei diritti degli interessati;

g. l'informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei

titolari della responsabilità genitoriale sul minore;

h. le misure e le procedure di cui agli articoli 24 e 25 e le misure volte a garantire la sicurezza del

trattamento di cui all'articolo 32;

i. la notifica di una violazione dei dati personali alle autorità di controllo e la comunicazione di tali

violazioni dei dati personali all'interessato;

j. il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali;

k. le procedure stragiudiziali e di altro tipo per comporre le controversie tra titolari del trattamento e

interessati in materia di trattamento, fatti salvi i diritti degli interessati ai sensi degli articoli 77 e 79.

3. Oltre all'adesione ai codici di condotta approvati ai sensi del paragrafo 5 del presente articolo e aventi

validità generale a norma del paragrafo 9 del presente articolo da parte di titolari o responsabili soggetti al

presente regolamento, possono aderire a tali codici di condotta anche i titolari del trattamento o i

responsabili del trattamento che non sono soggetti al presente regolamento ai sensi dell'articolo 3, al fine di

fornire adeguate garanzie nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni

internazionali alle condizioni di cui all'articolo 46, paragrafo 2, lettera e). Detti titolari del trattamento o

responsabili del trattamento assumono l'impegno vincolante e azionabile, mediante strumenti contrattuali o

di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i

diritti degli interessati.

4. Il codice di condotta di cui al paragrafo 2 del presente articolo contiene i meccanismi che consentono

all'organismo di cui all'articolo 41, paragrafo 1, di effettuare il controllo obbligatorio del rispetto delle norme

del codice da parte dei titolari del trattamento o dei responsabili del trattamento che si impegnano ad

applicarlo, fatti salvi i compiti e i poteri delle autorità di controllo competenti ai sensi degli articoli 55 o 56.

5. Le associazioni e gli altri organismi di cui al paragrafo 2 del presente articolo che intendono elaborare un

codice di condotta o modificare o prorogare un codice esistente sottopongono il progetto di codice, la

modifica o la proroga all'autorità di controllo competente ai sensi dell'articolo 55. l'autorità di controllo

esprime un parere sulla conformità al presente regolamento del progetto di codice, della modifica o della

proroga e approva tale progetto, modifica o proroga, se ritiene che offra in misura sufficiente garanzie

adeguate.

Qualora il progetto di codice, la modifica o la proroga 6. siano approvati ai sensi dell'articolo 55, e se il codice

di condotta in questione non si riferisce alle attività di trattamento in vari Stati membri, l'autorità di

controllo registra e pubblica il codice.

7. Qualora il progetto di codice di condotta si riferisca alle attività di trattamento in vari Stati membri, prima di

approvare il progetto, la modifica o la proroga, l'autorità di controllo che è competente ai sensi dell'articolo

55 lo sottopone, tramite la procedura di cui all'articolo 63, al comitato, il quale formula un parere sulla

conformità al presente regolamento del progetto di codice, della modifica o della proroga o, nel caso di cui

al paragrafo 3 del presente articolo, sulla previsione di adeguate garanzie.

8. Qualora il parere di cui al paragrafo 7 confermi che il progetto di codice di condotta, la modifica o la

proroga è conforme al presente regolamento o, nel caso di cui al paragrafo 3, fornisce adeguate garanzie, il

comitato trasmette il suo parere alla Commissione.

9. La Commissione può decidere, mediante atti di esecuzione, che il codice di condotta, la modifica o la

proroga approvati, che le sono stati sottoposti ai sensi del paragrafo 8 del presente articolo, hanno validità

generale all'interno dell'Unione. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui

all'articolo 93, paragrafo 2.

10. La Commissione provvede a dare un'adeguata pubblicità dei codici approvati per i quali è stata decisa la

validità generale ai sensi del paragrafo 9.

11. Il comitato raccoglie in un registro tutti i codici di condotta, le modifiche e le proroghe approvati e li rende

pubblici mediante mezzi appropriati.

Il trattamento corretto e trasparente dei dati

CM3 S.r.l. si attiene ai “Principi applicabili al trattamento di dati personali” con riferimento all'Art. 5 del

Regolamento Europeo 679/2016.

In particolare i dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell'interessato

(«liceità, correttezza e trasparenza»).

I dati vengono raccolti unicamente ed esclusivamente per finalità direttamente e strettamente connesse

all'esercizio dell'attività, nei relativi rapporti professionali con clienti, fornitori, dipendenti, soci e

collaboratori di vario ordine e grado.

I dati sono raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non

sia incompatibile con tali finalità.

Un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica

o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le

finalità iniziali («limitazione della finalità»).

I dati raccolti son adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono

trattati («minimizzazione dei dati»).

I dati raccolti sono esatti e, se necessario, aggiornati. CM3 S.r.l. adotta nella propria operatività tutte le

misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali

sono trattati («esattezza»).

CM3 S.r.l. garantisce che i dati sono conservati in una forma che consenta l'identificazione degli interessati

per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali

possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di

archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente

all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal

presente regolamento a tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»).

I dati vengono trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la

protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e

dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

Il titolare del trattamento, CM3 S.r.l., è competente per il rispetto del paragrafo 1 e in grado di comprovarlo

(«responsabilizzazione»)

I legittimi interessi perseguiti dal responsabile

del trattamento in contesti specifici

CM3 S.r.l. esercita un trattamento su dati unicamente ove l'interessato ha espresso il consenso al trattamento

dei propri dati personaliper le finalità specificate.

Tali trattamenti sono necessari per l'esecuzione di un contratto o per l'esecuzione di misure precontrattuali

adottate su richiesta dell'interessato.

Inoltre il trattamento è necessario per adempiere obblighi legali al quale è soggetto il titolare del

trattamento.

CM3 S.r.l. archivia i dati in proprio possesso con adeguate misure di sicurezza e controllo.

La raccolta dei dati personali

CM3 S.r.l. raccoglie dati personali unicamente e limitatamente a quanto necessario per l'esecuzione di un

contratto di cui l'interessato è parte, o per l'esecuzione di misure precontrattuali adottate su richiesta dello

stesso.

La raccolta di dati personali è altresì messa in atto laddove è necessario per adempiere a un obbligo legale al

quale è soggetto il titolare del trattamento.

La pseudonimizzazione dei dati personali

CM3 S.r.l. non effettua pseudonimizzazione dei dati personali raccolti (e trattati conformemente ai principi

di legittimità, liceità e trasparenza), in quanto nell'esercizio della propria operatività il processo di

pseudonimizzazione risulterebbe inadatto alla scala della tipologia e quantità dei dati trattati.

L'informazione fornita al pubblico e agli

interessati

CM3 S.r.l. opera conformemente all'Art 7 del Regolamento Europeo 679/2016 relativo alle “Condizioni per il

consenso”.

Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare

che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

Se il consenso dell'interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre

questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in

forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di

una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.

l'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non

pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio

consenso, l'interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.

Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità,

tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla

prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto.

L'esercizio dei diritti degli interessati

Il titolare del trattamento (CM3 S.r.l.) adotta misure appropriate per fornire all'interessato tutte le

informazioni di cui agli articoli 13 e 14 del Regolamento Europeo 679/2016 e le comunicazioni di cui agli

articoli da 15 a 22 e all'articolo 34 del Regolamento Europeo 679/2016 relative al trattamento in forma

concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare

nel caso di informazioni destinate specifcamente ai minori. Le informazioni sono fornite per iscritto o con

altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall'interessato, le informazioni possono

essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato.

Il titolare del trattamento (CM3 S.r.l.) agevola l'esercizio dei diritti dell'interessato ai sensi degli articoli da 15

a 22. del Regolamento Europeo 679/2016 Nei casi di cui all'articolo 11, paragrafo 2, il titolare del trattamento

non può rifutare di soddisfare la richiesta dell'interessato al fine di esercitare i suoi diritti ai sensi degli

articoli da 15 a 22, salvo che il titolare del trattamento dimostri che non è in grado di identifcare l'interessato.

Il titolare del trattamento (CM3 S.r.l.) fornisce all'interessato le informazioni relative all'azione intrapresa

riguardo a una richiesta ai sensi degli articoli da 15 a 22 del Regolamento Europeo 679/2016 senza

ingiustifcato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale

termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle

richieste. Il titolare del trattamento informa l'interessato di tale proroga, e dei motivi del ritardo, entro un

mese dal ricevimento della richiesta. Se l'interessato presenta la richiesta mediante mezzi elettronici, le

informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell'interessato.

Se non ottempera alla richiesta dell'interessato, il titolare del trattamento informa l'interessato senza ritardo,

e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità

di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale.

Le informazioni fornite ai sensi degli articoli 13 e 14 del Regolamento Europeo 679/2016 ed eventuali

comunicazioni e azioni intraprese ai sensi degli articoli da 15 a 22 e dell'articolo 34 sono gratuite. Se le

richieste dell'interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere

ripetitivo, il titolare del trattamento può:

addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire

le informazioni o la comunicazione o intraprendere l'azione richiesta; oppure

rifiutare di soddisfare la richiesta.

Incombe al titolare del trattamento l'onere di dimostrare il carattere manifestamente infondato o eccessivo

della richiesta.

Fatto salvo l'articolo 11, qualora il titolare del trattamento nutra ragionevoli dubbi circa l'identità della

persona fisica che presenta la richiesta di cui agli articoli da 15 a 21, può richiedere ulteriori informazioni

necessarie per confermare l'identità dell'interessato.

l'informazione fornita e la protezione del minore,

e le modalità con cui è ottenuto il consenso dei

titolari della responsabilità genitoriale sul minore

CM3 S.r.l. recepisce l'articolo 8 del Regolamento Europeo 679/2016 “Condizioni applicabili al consenso dei

minori in relazione ai servizi della società dell'informazione”.

Qualora si applichi l'articolo 6, paragrafo 1, lettera a) del Regolamento Europeo 679/2016 (l'interessato ha

espresso il consenso al trattamento dei propri dati personali per una o più specifche finalità), per quanto

riguarda l'offerta diretta di servizi della società dell'informazione ai minori, il trattamento di dati personali

del minore è lecito ove il minore abbia almeno 14 anni. Ove il minore abbia un'età inferiore ai 14 anni, tale

trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della

responsabilità genitoriale.

Il titolare del trattamento CM3 S.r.l. si adopera in ogni modo ragionevole per verificare in tali casi che il

consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione

delle tecnologie disponibili.

Il paragrafo 1 non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le

norme sulla validità, la formazione o l'efficacia di un contratto rispetto a un minore.

Le misure e le procedure di cui agli articoli 24 e

25 e le misure volte a garantire la sicurezza del

trattamento di cui all'articolo 32

Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché

dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del

trattamento CM3 S.r.l. mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in

grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento Europeo 679/2016. Dette

misure sono riesaminate e aggiornate qualora necessario.

Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano

trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del

trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo

di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefnita,

non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della

persona fisica.

Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e

delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà

delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure

tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

La notifica di una violazione dei dati personali

alle autorità di controllo e la comunicazione di

tali violazioni dei dati personali all'interessato

In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di

controllo competente a norma dell'articolo 55 del Regolamento Europeo 679/2016 senza ingiustificato ritardo

e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che

la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere

venuto a conoscenza della violazione.

La notifca deve almeno:

descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero

approssimativo di interessati in questione nonché le categorie e il numero approssimativo di

registrazioni dei dati personali in questione;

comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di

contatto presso cui ottenere più informazioni;

descrivere le probabili conseguenze della violazione dei dati personali;

descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per

porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti

negativi.

Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni

possono essere fornite in fasi successive senza ulteriore ingiustifcato ritardo.

Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa

relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente

all'autorità di controllo di verifcare il rispetto dell'articolo 33 del Regolamento Europeo 679/2016.

Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà

delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustifcato

ritardo.

La comunicazione all'interessato descrive con un linguaggio semplice e chiaro la natura della violazione dei

dati personali e contiene almeno le informazioni e le misure di cui sopra.

Non è richiesta la comunicazione all'interessato se è soddisfatta una delle seguenti condizioni:

il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e

tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle

- 18 di 22 -

destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali

la cifratura;

il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di

un rischio elevato per i diritti e le libertà degli interessati;

detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una

comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con

analoga efficacia.

Il trasferimento di dati personali verso Paesi terzi

o organizzazioni internazionali

Qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un

trattamento dopo il trasferimento verso un Paese terzo o un'organizzazione internazionale, compresi

trasferimenti successivi di dati personali da un Paese terzo o un'organizzazione internazionale verso un

altro Paese terzo o un'altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il

responsabile del trattamento rispettano le condizioni di cui al “Capo V” “Trasferimenti di dati personali

verso Paesi terzi o organizzazioni internazionali” del Regolamento Europeo 679/2016, fatte salve le altre

disposizioni del Regolamento Europeo 679/2016.

Tutte le disposizioni del suddetto “Capo V” sono applicate al fine di assicurare che il livello di protezione

delle persone fisiche garantito dal Regolamento Europeo 679/2016 non sia pregiudicato.

Le procedure stragiudiziali e di altro tipo per

comporre le controversie tra titolari del

trattamento e interessati in materia di

trattamento, fatti salvi i diritti degli interessati ai

sensi degli articoli 77 e 79

Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento

che lo riguarda violi il Regolamento Europeo 679/2016 ha il diritto di proporre reclamo a un'autorità di

controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è

verifcata la presunta violazione.

Best Practices

CM3 S.r.l. con riferimento al Regolamento Europeo 679/2016 impone ai propri soci, dipendenti, collaboratori

a vario titolo e grado:

di attuare sempre quei comportamenti accorti e di buonsenso nella gestione dei dati personali;

di aggiornare con adeguata frequenza e ragionevole attenzione le password e i codici di accesso agli

archivi informatici e non, e in ogni caso dopo variazioni dell'organico aziendale;

di effettuare copie di backup degli archivi e di custodire con appropriate cautele tali copie;

di redigere un “registro” delle password e dei backup effettuati, su cui annotare gli aggiornamenti e le

variazioni;

di assicurarsi che i dati personali raccolti sia in formato elettronico che cartaceo, o in qualsivoglia

modalità, non restino incustoditi e vengano gestiti secondo i tempi e le modalità previsti e concordati

con l'interessato con riferimento alle informative sottoscritte;

che non vengano sottratti né divulgati registri, archivi, documenti o quant'altro contenga dati personali

o dati in qualsivoglia modalità riconducibili a dati personali, nemmeno in forma e misura parziale;

che nessun riferimento aziendale, di qualsivoglia natura, venga utilizzato o pubblicato in rete né su

strumenti “social network” senza autorizzazione formale e sottoscritta da CM3 S.r.l.;

vincolo di riservatezza rispetto alle dinamiche aziendali in generale, e con particolare riferimento ai

dati personali (o ad essi riconducibili), affinchè nessuna azione volta a creare un danno reputazionale

diretto o indiretto sia messa in atto; clean desk best practice: nessun documento contenente dati

personali e/o informazioni sensibili deve essere lasciato in vista al di fuori dei momenti di elaborazione

del documento stesso, e nei momenti di accesso al luogo di lavorazione dei suddetti documenti da

parte di soggetti non autorizzati al trattamento, i riferimenti a dati personali devono essere

adeguatamente protetti e coperti.

La mancata osservanza di tali misure comporterà l'adozione di provvedimenti disciplinari a carico degli

inosservanti, oltre alle conseguenti implicazioni di ordine civile e/o penale ravvisati nelle opportune sedi.

Sottoscrizione e Accettazione

Con la sottoscrizione del presente Codice di Condotta di CM3 S.r.l., se ne accettano e recepiscono

integralmente e senza riserve i relativi contenuti.

CM3 S.r.l. qualora ravvedesse difformità di comportamenti operativi rispetto a quanto contenuto nella

presente, si riserva di intraprendere azioni disciplinari opportune e adeguate alla gravità degli effetti

riscontrati per le azioni messe in atto.

CM3 S.r.l.