Informativa ai sensi dell’art. 13 del Regolamento europeo 679/2016 e consenso

Ai sensi dell’art. 13 del Regolamento europeo (UE) 2016/679 (di seguito GDPR), e in relazione ai dati personali di cui Il centro diving entrerà nella disponibilità, Le comunichiamo quanto segue:

Titolare del trattamento e responsabile della protezione dei dati personali 

Titolare del trattamento è il titolare Andrea Galliadi (di seguito indicato come “titolare”) residente in via Cavour 20/4, 16038 S. Margherita Ligure. Il Titolare può essere contattato mediante e-mail all’indirizzo andrea@divingevolution.com

Finalità del trattamento dei dati

Il trattamento è finalizzato alla corretta e completa esecuzione dell’attività professionale, sia in ambito giudiziale che in ambito stragiudiziale. I suoi dati saranno trattati anche al fine di:

  • adempiere agli obblighi previsti in ambito fiscale e contabile;
  • rispettare gli obblighi incombenti sul titolare e previsti dalla normativa vigente.

I dati personali potranno essere trattati a mezzo sia di archivi cartacei che informatici (ivi compresi dispositivi portatili) e trattati con modalità strettamente necessarie a far fronte alle finalità sopra indicate.

Base giuridica del trattamento

Diving Evolution di Galliadi Andrea tratta i Suoi dati personali lecitamente, laddove il trattamento:

  • sia necessario allo svolgimento dell’attività professionale;
  • sia necessario per adempiere un obbligo legale incombente sul professionista;
  • sia basato sul consenso espresso.

 

Conseguenze della mancata comunicazione dei dati personali

Con riguardo ai dati personali relativi all’attività professionale di cui Lei è parte o relativi all’adempimento ad un obbligo normativo, la mancata comunicazione dei dati personali impedisce il perfezionarsi del rapporto contrattuale stesso.

 

Conservazione dei dati

I Suoi dati personali, oggetto di trattamento per le finalità sopra indicate, saranno conservati per il periodo di durata dell’attività e, successivamente, per il tempo in cui il titolare sia soggetto a obblighi di conservazione per finalità fiscali o per altre finalità previste da norme di legge o regolamento.

 

Comunicazione dei dati

I Suoi dati personali potranno essere comunicati a:

  1. consulenti e commercialisti o altri legali che eroghino prestazioni funzionali ai fini sopra indicati;
  2. istituti bancari e assicurativi che eroghino prestazioni funzionali ai fini sopra indicati;
  3. soggetti che elaborano i dati in esecuzione di specifici obblighi di legge;
  4. autorità giudiziarie o amministrative per l’adempimento degli obblighi di legge.

 

Profilazione e Diffusione dei dati

I Suoi dati personali non sono soggetti a diffusione né ad alcun processo decisionale interamente automatizzato, ivi compresa la profilazione.

 

Diritti dell’interessato

Tra i diritti a Lei riconosciuti dal GDPR rientrano quelli di:

  • chiedere al titolare l’accesso ai Suoi dati personali ed alle informazioni relative agli stessi; la rettifica dei dati inesatti o l’integrazione di quelli incompleti; la cancellazione dei dati personali che La riguardano (al verificarsi di una delle condizioni indicate nell’art. 17, paragrafo 1 del GDPR e nel rispetto delle eccezioni previste nel paragrafo 3 dello stesso articolo); la limitazione del trattamento dei Suoi dati personali (al ricorrere di una delle ipotesi indicate nell’art. 18, paragrafo 1 del GDPR);
  • richiedere ed ottenere dal titolare – nelle ipotesi in cui la base giuridica del trattamento sia il mandato o il consenso e lo stesso sia effettuato con mezzi automatizzati – i Suoi dati personali in un formato strutturato e leggibile da dispositivo automatico, anche al fine di comunicare tali dati ad un altro titolare del trattamento (c.d. diritto alla portabilità dei dati personali);
  • opporsi in qualsiasi momento al trattamento dei Suoi dati personali al ricorrere di situazioni particolari che La riguardano;
  • revocare il consenso in qualsiasi momento, limitatamente alle ipotesi in cui il trattamento sia basato sul Suo consenso per una o più specifiche finalità e riguardi dati personali comuni (ad esempio data e luogo di nascita o luogo di residenza), oppure particolari categorie di dati. Il trattamento basato sul consenso ed effettuato antecedentemente alla revoca dello stesso conserva, comunque, la sua liceità;
  • proporre reclamo a un’autorità di controllo (Autorità Garante per la protezione dei dati personali – www.garanteprivacy.it).

 

IL REGOLAMENTO UE 2016/679 RELATIVO ALLA PROTEZIONE DEI DATI PERSONALI  IN VIGORE DAL 25 MAGGIO 2018.

INDICAZIONI GENERALI PER IL  REGISTRO DATI PERSONALI

Nell’ambito dell’esercizio delle attività di un centro diving, il trattamento dei dati personali del cliente riguarda:

  • tutti quei casi in cui è necessaria l’identificazione del cliente dietro richiesta di organismi di controllo e di pubblica sicurezza (guardia costiera, guardia di finanza, carabinieri, polizia, polizia provinciale, enti pubblici e privati).
  • la comunicazione dei dati personali alla Didattica di riferimento per ottenere le certificazioni per cui è avvenuta la formazione e per scopi commerciali.
  • la conservazione dei fascicoli legati alle attività di addestramento per un periodo non inferiore ai termini di legge.

Data la diversità delle attività legate alla subacquea, i dati possono essere molto diversi e possono essere relativi alla vita personale o ad aspetti che rivestono una particolare sensibilità.

L’istruttore potrebbe avere a che fare con dati personali che rivelano l’origine razziale o opinioni etniche, politiche, credenze religiose o filosofiche, così come l’elaborazione di dati genetici, dati sanitari unici o di vita, orientamento sessuale.

L’ articolo 9, comma 1 del GDPR prevede il divieto in linea di principio del trattamento di tali dati.

Tuttavia, l’articolo 9 prevede un’eccezione al comma 2.f) per “accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni”.

Il titolare di Diving Evolution nonché il suo personale autorizzato, possono quindi trattare dati particolari nell’esercizio della professione purché gli stessi siano strettamente necessari per esercitare o difendere i diritti dei clienti.

 

Registro di attività di trattamento (artt. 30 e 32 del Regolamento UE n.679/2016)

Andrea Galliadi è il titolare della ditta individuale Diving Evolution, con sede legale in via Cavour 20/4 e sede operativa in via Favale 31, 16038 S. Margherita Ligure (Ge). Le attività svolte dal titolare dal personale operante nel centro diving sono:

  • Guide subacquee per subacquei brevettati
  • Immersioni didattiche per subacquei brevettati e non.
  • Ricarica di bombole dedicate alla subacquea.
  • Noleggio e vendita attrezzatura e materiale promozionale del centro.
  • Noleggio di imbarcazione con conducente.
  • Guide ambientali nei parchi protetti della provincia di Genova.
  • Corsi e lezioni teoriche per subacquei e non subacquei.

All’uopo si trattano i seguenti dati comuni:

  • dati comuni dei clienti, dei fornitori o di terzi ricavati da albi, elenchi pubblici, visure camerali, banche accessibili al pubblico;
  • dati comuni dei clienti dagli stessi comunicati per l’espletamento dell’attività professionale, compresi quelli necessari a fini fiscali oppure attinenti alla reperibilità ed alla corrispondenza con gli stessi.
  • dati comuni di terzi forniti dai clienti per l’espletamento degli incarichi compresi i dati necessari a fini fiscali oppure attinenti alla reperibilità o alla corrispondenza con gli stessi, o per atti giudiziari.
  • dati comuni dei fornitori forniti dagli stessi e relativi alla reperibilità o alla corrispondenza con gli stessi, nonché inerenti a fini fiscali o di natura bancaria.
  • dati comuni di altri centri diving o professionisti, ai quali Diving Evolution affida incarichi o si rivolge per consulenze professionali attinenti alla specifica attività.

Diving Evolution tratta i seguenti dati sensibili:

  • dati sensibili dei clienti dagli stessi forniti per l’espletamento degli incarichi affidati al centro diving idonei a rivelare l’origine razziale ed etnica, le convinzioni o l’adesione ad organizzazioni a carattere religioso politico, sindacale, filosofico.
  • dati sensibili dei clienti dagli stessi forniti o acquisiti per l’espletamento degli incarichi affidati al centro diving idonei a rivelare lo stato di salute.
  • dati sensibili di terzi forniti dai clienti o acquisiti per l’espletamento degli incarichi idonei a rivelare lo stato di salute.
  • dati sensibili di clienti e di terzi afferenti la vita sessuale.
  • dati genetici di clienti e terzi.

I dati che non sono pubblici vengono acquisiti, trattati e conservati in fascicoli riposti in appositi schedari in ufficio, protetti e archiviati al termine dell’incarico, previa informativa (allegata al presente Registro di attività di trattamento ex art. 30).

Il trattamento dei dati è svolto all’interno dei locali di Diving Evolution dal titolare o dai suoi collaboratori autorizzati, per l’attività professionale, l’attività giudiziale, l’attività stragiudiziale e di consulenza, nonché per l’attività contabile ed amministrativa del centro diving.

Il locale ove vengono trattati i dati è sito al piano terreno di uno stabile con porta di ingresso con apertura e chiusura manuale e corrisponde all’ufficio di Diving Evolution, a cui possono accedere solo il titolare e il personale autorizzato.

L’ufficio è dotato di un computer fisso collegato con n. 1 linea Internet e di una stampante/fax/ fotocopiatrice.

Descrizione della rete informatica

La rete informatica è costituita da 1 stazione di lavoro dotata di sistema operativo Windows 10 e da una 1 stampante in rete.

L’abilitazione alla configurazione dei diritti di accesso è protetta da password. La stazione di lavoro è dotata di software antivirus con aggiornamento automatico tramite internet e firewall.

Criteri protezione accesso ad Internet:

L’accesso ad Internet avviene tramite rete mobile con connessione sicura protetta da password.

Criteri per assicurare l’integrità dei dati:

L’integrità dei dati è assicurata eseguendo le procedure di controllo dello stato logico dei dischi e dei database di configurazione in dotazione al sistema e le procedure di controllo in dotazione degli specifici applicativi di gestione delle basi dati. Non è previsto alcun reimpiego dei supporti di memorizzazione, che saranno distrutti al cessare della loro funzionalità per obsolescenza.

Incaricati del trattamento:

I dati comuni dei clienti, fornitori dei terzi, di altri professionisti domiciliatari, i dati dei clienti e dei terzi, i dati sensibili dei clienti e dei terzi sono trattati oltre che dal titolare, da tutto il personale incaricato.

ANALISI DEI RISCHI

Per quanto concerne i dati comuni raccolti relativi ai soggetti specificati nella prima parte del presente documento, il rischio legato alla gestione e al trattamento può definirsi basso.

Per i dati sensibili dei clienti e dei terzi i rischi legati al loro trattamento possono definirsi bassi.

Per i dati sensibili riguardanti lo stato di salute o idonei a rivelare la vita sessuale, per le pratiche riguardanti la sfera personale e familiare il rischio può definirsi basso.

I rischi relativi agli strumenti elettronici presenti in ufficio possono riguardare mal funzionamenti o guasti, eventi naturali, alterazioni nella trasmissione.

Per ridurre i rischi al minimo sono state adottate oltre alle misure di sicurezza sopra specificate le seguenti misure di sicurezza:

– password di otto o più caratteri scelta dall’incaricato e dallo stesso custodita;

– disposizione a tutti gli utilizzatori di non lasciare incustoditi gli strumenti elettronici; a tale riguardo è inserito screensaver automatico dopo 3 minuti di non utilizzo del computer.

– si è data disposizione di considerare internet e posta elettronica quali strumenti di lavoro e si è pertanto vietata la navigazione su siti non attendibili e si è data disposizione di non aprire e.mail provenienti da soggetti non conosciuti e di non inviare e-mail non autorizzate dal titolare.

 

I rischi relativi ai software possono consistere in errori o virus.

Si è data disposizione di provvedere periodicamente alla pulizia dei file temporanei e del disco rigido, alla deframmentazione e all’esecuzione del programma pc-cleaner.

ll rischio per il trattamento dei dati cartacei può essere considerato basso essendo l’archivio dotato di chiusura a chiave ed i fascicoli riposti in faldoni contrassegnati unicamente da codici alfa-numerici, fatti salvi gli eventi naturali.

E’ stata data disposizione che i fascicoli contenenti i dati siano sempre riposti negli appositi schedari e prelevati per il tempo necessario al trattamento e che non vengano lasciati incustoditi sulle scrivanie, che le comunicazioni a mezzo posta o fax debbano essere smistate immediatamente ai destinatari. Terminato l’incarico professionale, si è data istruzione che i fascicoli siano archiviati sugli appositi scaffali.

Fuori dell’orario di lavoro non è consentito l’accesso all’ufficio da parte di alcuno, se non previa autorizzazione.

E’ stata data disposizione che il materiale cartaceo destinato allo smaltimento sia triturato una volta scaduti i termini di legge.

Per quanto riguarda il rischio per il trattamento dei dati elettronici, lo stesso può essere considerato basso essendo adottati tutti i sistemi di sicurezza derivanti dalla gestione dei dati.

Gli incaricati del trattamento sono affidabili e riservati e quindi i rischi connessi ad incuria o distrazione sono bassi. I soggetti autorizzati sono formati dal titolare del trattamento circa i sistemi installati e sulle procedure per garantire le misure di sicurezza già all’atto dell’ingresso in ufficio.

Gli incaricati dovranno comunicare immediatamente al titolare eventuali disfunzioni dei sistemi operativi ed in tal caso sono autorizzati a richiedere l’intervento del tecnico informatico.

Terzi operatori tecnici interverranno sugli strumenti informatici previa autorizzazione ed invito ad effettuare gli interventi limitatamente alla prestazione da eseguire ed alla presenza del titolare o delle persone autorizzate.

Il rischio che terzi estranei accedano agli strumenti elettronici è basso essendo gli spogliatoi dei clienti ben separati dalla postazione di lavoro.

Diving Evolution ha provveduto ad adottare le disposizioni della legge 626/94 e ss. ed è dotato di salvavita ed estintori in tutti i locali. I rischi eventuali sono inerenti ad eventi naturali e accidentali e possono essere considerati bassi.

Infine, i dati trattati da Diving Evolution non possono essere considerati di interesse per i terzi.