Salta
  1. Home
  2. Chi Siamo
  3. Policy Privacy

Policy Privacy

POLICY PER L’ACCESSO AI DATI PERSONALI DEGLI ISCRITTI

INTRODUZIONE

Il presente regolamento descrive:

  • I presupposti normativi che regolamentano l’accesso ai dati personali degli iscritti al partito Più Europa (di seguito, i “Dati”)

  • l’elenco dei soggetti che possono accedere ai Dati

  • le modalità di trattamento dei Dati

  • le modalità con cui richiedere l’accesso ai Dati

 

1 PRESUPPOSTI NORMATIVI CHE REGOLAMENTANO L’ACCESSO AI DATI

1.1 FINALITÀ DI TRATTAMENTO

1.1.1 Finalità e trattamenti effettuati dal Titolare

IL trattamento dei dati personali può essere svolto dal Titolare (il Partito Più Europa, di seguito il “Partito” o anche il “Titolare”) esclusivamente nel rispetto di quanto previsto dalla vigente normativa privacy (GDPR, D.lgs. 196/03, Atti dell’Autorità Garante, Linee guida EDPB…).

In particolare, l’articolo 5 del GDPR recita:

“1. I dati personali sono: (C39)

  1. b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»)”.

Di tali finalità il Titolare dà evidenza sia nel Registro delle attività di trattamento sia nelle informative rilasciate agli interessati (nella fattispecie, gli iscritti al Partito).

Il Titolare ha individuato le seguenti finalità di trattamento:

Finalità

Dati trattati

Gestione del contenzioso anche stragiudiziale (inadempimenti contrattuali, diffide, transazioni, recupero crediti, arbitrati, controversie giudiziarie) 

Dati anagrafici e fiscali, dati di contatto, dati economici e contabili.

Gestione normative

Dati anagrafici, cariche ricoperte, ruolo organizzativo interno, donazioni effettuate.

Gestione del sistema informativo (anche sicurezza informatica)

Tutti.

Gestione degli iscritti

Dati anagrafici e fiscali, professione, dati di contatto, dati economici e contabili, adesione a campagne e iniziative politiche / organizzative, gruppo territoriale di appartenenza, cariche ricoperte (attuale e storico), annualità di iscrizione, strumenti di pagamento, donazioni effettuate.

 

1.1.2 Nuove finalità e nuovi trattamenti

Ogni ulteriore finalità rispetto a quelle originariamente indicate nei documenti citati, e i relativi trattamenti, prima di poter essere formalizzata e perseguita deve sottostare a una serie di verifiche previste dagli art. 24, 25 e 32 GDPR, che prescrivono che:

  • il Titolare valuti i rischi per i diritti e libertà delle persone fisiche derivanti dalle nuove finalità dal punto di vista del rispetto (i) della normativa nel suo complesso (art. 24), (ii) dei principi (art. 25), (iii) della sicurezza (art. 32)

  • provvedendo, se del caso, all’adozione di idonee misure tecniche ed organizzative atte a ridurre tali rischi al minimo.

Nel caso in cui dalle valutazioni di cui al paragrafo precedente il rischio dei trattamenti legati alla nuova finalità risulti alto, oppure se la finalità rientra fra quelle specificamente previste dall’art. 35 del GDPR, il Titolare deve procedere a una valutazione d’impatto al fine di individuare ulteriori misure finalizzate alla riduzione del rischio.

Nel caso in cui, dopo questi interventi, il rischio risulti ancora elevato, il Titolare dovrà rivolgersi all’Autorità Garante per la valutazione del caso, oppure astenersi dai nuovi trattamenti.

Se le analisi condotte non evidenziano rischi per i diritti e le libertà delle persone fisiche, il Titolare prima di procedere ai trattamenti deve:

  • registrare la nuova finalità nel Registro delle attività di trattamento

  • integrare l’informativa agli iscritti e comunicarla loro.

 

1.2 SOGGETTI DI CUI SI TRATTA I DATI: GLI ISCRITTI AL PARTITO

Il trattamento dei Dati è regolato dall’art. 9 del GDPR, che vieta (art. 9 comma 1) il trattamento dei dati particolari, quali sono quelli rivelatori delle opinioni politiche.

La condizione di iscritto al Partito si configura dunque come dato particolare che, come tale, è particolarmente tutelato dall’ordinamento.

Conseguenza è che il relativo trattamento è consentito unicamente in particolari condizioni, fra le quali:

“d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;” (art. 9, comma 2 lett. d).

 

1.2.1 Diritto di accesso ai dati da parte dell’interessato

Il soggetto di cui si trattano i dati (interessato, e nel caso in specie l’iscritto al Partito), può di regola accedere esclusivamente ai propri dati.

Al riguardo la normativa (art. 12-21 GDPR) prevede infatti che l’esercizio dei diritti, fra cui quello di accesso da parte di un interessato, faccia salvi i diritti di terzi.

Non è consentito quindi a un interessato accedere ai dati degli altri interessati, e il Titolare deve avere cura di gestire adeguatamente il diritto di accesso e gli altri diritti dell’interessato per evitare di fornire informazioni relative ad altri interessati.

 

1.3 SOGGETTI CHE POSSONO TRATTARE I DATI PERSONALI

Un indotto del principio di minimizzazione previsto dalla normativa (art. 25.2) è che il numero di soggetti che accedono ai dati personali sia il minimo strettamente necessario per raggiungere la finalità proposta.

Il trattamento[1] dei dati personali, compreso l’accesso, può avvenire unicamente da parte di soggetti appositamente designati, mediante un atto formale, da parte del Titolare.

Tali soggetti, persone fisiche o meno, possono assumere il ruolo di:

  • titolari

  • contitolari

  • rappresentanti

  • responsabili

  • autorizzati/incaricati

Tra questi, i:

  • rappresentanti

  • responsabili

  • autorizzati/incaricati

costituiscono parte integrante del contesto organizzativo del Titolare.

Al di fuori di questo novero di soggetti, nessuno può accedere ai dati personali trattati dal Titolare, salvo la preventiva raccolta di uno specifico consenso informato degli interessati medesimi o la ricorrenza di un’altra idonea base giuridica, come previsto dall’art. 9 del GDPR.

Tali soggetti devono essere, in base a quanto previsto dalla normativa:

  • formalmente individuati

  • designati con atto formale

 

1.3.1 Categorie di soggetti individuati dal Titolare che possono accedere ai Dati

Il Titolare ha individuato: (i) le categorie di soggetti che possono accedere ai Dati per lo svolgimento delle finalità istituzionali, (ii) il relativo ruolo di trattamento e (iii) il perimetro del trattamento che possono/devono svolgere. Questi sono:

  • AUTORIZZATI al trattamento, in quanto:

    • sono membri di organi del Partito, che possono essere autorizzati a trattare i Dati per le sole finalità statutarie

    • si tratta di personale con funzioni amministrative, che viene autorizzato a trattare i Dati limitatamente a tale contesto

  • RESPONSABILI del trattamento, per i trattamenti specificamente connessi alla loro funzione organizzativa o al servizio prestato:

    • Coordinatori di Gruppi territoriali

    • 3DNA Corp., dba, NationBuilder

    • Piattaforme di gestione del voto elettronico

    • Eventuali altri designati di volta in volta

  • ALTRI TITOLARI DEL TRATTAMENTO

    • enti che gestiscono le quote di iscrizione nel contesto della loro attività istituzionale.

 

2 MODALITA’ DI TRATTAMENTO MESSE IN ATTO DAL TITOLARE

Il trattamento dei Dati personali viene effettuato da parte del Titolare tramite l’applicativo NationBuilder, che opera in modalità SAAS.

L’accesso diretto al database degli iscritti avviene mediante l’utilizzo di apposite credenziali ed è consentito a un numero limitato di soggetti, appositamente autorizzati.

Non sono presenti altri database con i nomi degli iscritti al Partito e non ne è disponibile un elenco su carta.

Il Titolare ha infatti valutato che, in considerazione del carattere di dato particolare che caratterizza tale informazione, la trasposizione su un documento cartaceo non sia compatibile con il livello di sicurezza richiesto.

Ne consegue che:

  • l’accesso diretto al database degli iscritti al Partito è limitato ai soggetti a ciò specificatamente autorizzati

  • in ogni altro caso, l’accesso ai Dati da parte di soggetti eventualmente legittimati avviene indirettamente, mediante specifiche estrazioni effettuate sul database da parte dei soggetti autorizzati.

 

3 RICHIESTA DI ACCESSO AI DATI

3.1 REQUISITI PER L’ACCESSO AI DATI

L’accesso ai Dati da parte di un iscritto al Partito che non sia compreso nell’elenco riportato nel paragrafo 1.3.1 può avvenire unicamente nel rispetto delle prescrizioni normative (di cui al punto 1).

Tale accesso può quindi avvenire:

  • unicamente per le finalità indicate al punto 1.1.1 e limitatamente alla tipologia di Dati indicata per ogni specifica finalità,

  • previa specifica autorizzazione scritta, che riporta le istruzioni alle quali dovrà attenersi l’autorizzato al trattamento

  • unicamente su estrazioni appositamente effettuate sul database NationBuilder da parte dei soggetti a ciò addetti e autorizzati.

Tale accesso può riguardare:

  • solo un numero limitato di Dati, selezionati in stretta connessione con le finalità del caso, in base a quanto prescritto dall’art. 25.2 GDPR (principio di minimizzazione),

  • che, una volta estratti, non potranno essere comunicati ad altri soggetti né interni né esterni al Partito, salvo quelli individuati al paragrafo 1.3.1 nei limiti in cui le loro autorizzazioni siano compatibili con quelle della finalità agita.

Inoltre:

  • i Dati potranno essere trattati per un periodo di tempo limitato predefinito di volta in volta, nella comunicazione di accettazione della richiesta di accesso, in funzione della finalità agita, e dopo dovranno essere distrutti

  • è vietato effettuare una copia o una stampa dei Dati trattati

  • il soggetto richiedente l’accesso dovrà dare evidenza dell’avvenuta distruzione dei Dati

  • il soggetto richiedente l’accesso risponde personalmente se opera in violazione delle indicazioni sopra riportate: un trattamento non in linea con quanto sopra indicato può comportare:

  • una violazione di dati personali, ai sensi dell’art. 33 del GDPR, con rilevanza amministrativa

  • a seconda delle circostanze, un illecito trattamento di dati personali ai sensi dell’art. 167 del D. Lgs 196/03 o un altro reato tra quelli previsti dagli artt. da 167 a 168 del D. Lgs 196/03,

di cui risponde direttamente il soggetto che ha richiesto l’accesso.

 

3.2 MODALITÀ DI RICHIESTA DI ACCESSO

Per richiedere l’accesso ai Dati è necessario:

  1. inoltrare mediante e-mail all’indirizzo [email protected] lo specifico modulo allegato alla presente Policy (Allegato 1), debitamente compilato e sottoscritto.

  2. il Tesoriere valuterà la richiesta entro 20 giorni dalla ricezione e qualora:

    1. ritenga accettabile la richiesta, provvederà a comunicare al richiedente l’esito positivo della valutazione e gli adempimenti necessari per darvi seguito

    2. ritenga non accettabile la richiesta, provvederà a comunicare l’esito negativo della valutazione e la motivazione del rifiuto al richiedente.

  3. In caso di accettazione della richiesta il Tesoriere provvederà a:

    1. richiedere agli addetti a ciò autorizzati l’estrazione dei Dati richiesti

    2. predisporre (se non già esistente) la lettera di autorizzazione al trattamento dei dati per il soggetto richiedente; tale autorizzazione avrà durata limitata nel tempo, finalizzata unicamente a potere soddisfare la richiesta

    3. la lettera di autorizzazione al trattamento per il soggetto richiedente comprenderà le istruzioni per il trattamento dei Dati.

  4. Alla cessazione del trattamento, che deve avvenire nel termine definito nella comunicazione di accettazione della richiesta, il soggetto richiedente cancellerà definitivamente i Dati con modalità sicure, attraverso l’uso di software che garantiscano che i Dati cancellati non siano recuperabili, quali Norton Utilities.

Infine, il soggetto richiedente attesterà l’avvenuta cancellazione inoltrando via e-mail lo specifico modulo allegato alla presente Policy (Allegato 2), debitamente compilato e sottoscritto.

 

3.3 POSSIBILI CAUSE CHE COMPORTANO IL RIGETTO DELLA RICHIESTA DI ACCESSO

Un elenco puramente esemplificativo delle cause che comportano il rigetto di una richiesta di accesso ai Dati comprende:

  • finalità di trattamento indicata nella richiesta non compresa fra quelle del Titolare

  • tipologia di Dati non coerente con la finalità indicata nella richiesta

  • numero di iscritti per i quali si richiede l’accesso eccessivo o comunque non coerente con la finalità indicata nella richiesta

  • assenza di una base giuridica legittimante l’accesso relativa alla finalità indicata nella richiesta

  • carenza di adeguata informazione preventiva agli interessati relativa alla finalità indicata nella richiesta.

 

3.4 DIRITTI DEL TITOLARE

Il Titolare si riserva di rivalersi nei confronti del soggetto che ha richiesto l’accesso per qualsiasi danno, sanzione, risarcimento o conseguenza onerosa derivante a suo carico in connessione a violazioni della normativa, della presente Policy, delle istruzioni comunque ricevute per l’accesso o per l’inadempimento o non veridicità delle dichiarazioni fatte negli Allegati 1 e 2.

 

ALLEGATO 1 – MODULO DI RICHIESTA DI ACCESSO AI DATI

ALLEGATO 2 – MODULO DI ATTESTAZIONE DI CANCELLAZIONE DATI

 

[1] «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (art. 4, n. 2 GDPR).

Mostra una reazione

Controlla la tua e-mail per un collegamento per attivare il tuo account.