Privacy Policy

1. Premesse

Il presente documento è stato predisposto da INVEST ITALY SIM SpA (di seguito anche “IISIM” o la “Società”) in attuazione delle disposizioni di cui:

  • al Regolamento (UE) 2016/679 del Parlamento e del Consiglio Europeo del 27 Aprile 2016 (“GDPR”), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE,
  • al D.Lgs. 196/2003, come modificato dal D.Lgs. n. 101 del 10 agosto 2018.

Nell’effettuare il trattamento di dati personali la SIM adotta una serie di principi, conformemente al disposto di cui all’art. 5 del GDPR. Segnatamente, i dati personali saranno:

  • trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Principio di “liceità, correttezza e trasparenza”;
  • raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in un modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1 del GDPR, considerato incompatibile con le finalità iniziali. Principio di “limitazione della finalità”;
  • adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Principio di “minimizzazione dei dati”;
  • esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati. Principio di “esattezza”;
  • conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1 del GDPR, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal GDPR a tutela dei diritti e delle libertà dell’interessato. Principio di “limitazione della conservazione”;
  • trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. Principio di “integrità e riservatezza”.
    • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
    • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
    • le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati sensibili (articolo 9 del GDPR) o di dati giudiziari (articolo 10 del GDPR).

In forza del principio cardine del GDPR di “accountability” (o “responsabilizzazione/prova della responsabilità”), la SIM elabora un complesso di misure giuridiche, organizzative e tecniche per il trattamento e la protezione dei dati personali, la cui applicazione è diretta a garantire il massimo livello di sicurezza con riferimento al trattamento dei dati personali.


2. Modello organizzativo

Ai fini del corretto espletamento di tutti gli adempimenti richiesti dalla vigente normativa in materia di privacy, la SIM ha predisposto un modello organizzativo che identifica i seguenti soggetti:

Titolare del trattamento:

Titolare del trattamento è la SIM, nella persona dell’AD.

Il titolare del trattamento ricopre tale ruolo a norma degli articoli 4.7 e 24 del GDPR, in quanto decide autonomamente sulle finalità e modalità del trattamento stesso.

Gli obblighi del titolare del trattamento sono descritti negli articoli 24-30 del GDPR.

A norma dell’art. 37 del GDPR, il titolare del trattamento e il responsabile del trattamento designano un responsabile della protezione dei dati (“DPO”) ogniqualvolta:

a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati sensibili (articolo 9 del GDPR) o di dati giudiziari (articolo 10 del GDPR).

Alla luce di quanto precede e tenuto conto dell’attività svolta dalla SIM, oltre che della tipologia dei dati trattati dalla stessa, nessuno dei requisiti di cui alle precedenti lettere a), b) e c) risulta ricorrere nel trattamento dei dati da parte della Società che non è pertanto tenuta ad individuare un DPO.


Responsabile del trattamento:

Il responsabile del trattamento ai sensi del GDPR è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento (art. 4, par. 1, comma 8).

Il responsabile del trattamento tratta i dati attenendosi alle istruzioni del titolare, e assume responsabilità proprie e ne risponde alle autorità di controllo e alla magistratura.

Il responsabile del trattamento deve essere munito di un’organizzazione e di presidi idonei ad assicurare la tutela dei diritti dell’interessato nell’attività diretta al trattamento dei dati personali di tale soggetto.

Gli obblighi del responsabile del trattamento sono descritti negli articoli 27-29 del GDPR.

In base all'art. 28 del GDPR, la nomina del responsabile deve avvenire tramite contratto o altro "atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento".

Con il contratto il titolare delega al responsabile la concreta gestione del trattamento, affidandogli uno o più compiti specifici oppure una serie di compiti dettagliati in generale. Il responsabile a sua volta può nominare responsabili di secondo livello, a meno che non sia vietato dalle istruzioni del titolare. È comunque il responsabile principale a rispondere dell'operato degli altri da lui nominati, di fronte al titolare del trattamento.


Incaricati del trattamento:

Si tratta delle persone eventualmente incaricate per iscritto dal titolare di compiere le operazioni di trattamento e che operano sotto la sua diretta autorità, attenendosi alle istruzioni dallo stesso impartite.


3. La mappatura dei trattamenti

La Società, nell’ambito della propria attività, tratta dati personali prevalentemente:

a) dei clienti;

b) dei propri dipendenti;

c) dei propri fornitori e consulenti (inclusi gli outsourcers);

d) dei propri esponenti aziendali;

f) dei candidati.

Inoltre, ed in via residuale, la SIM può raccogliere e conservare in forma aggregata i dati personali degli utenti del sito internet.


La SIM tratta le seguenti tipologie di dati:

a) Dati personali ordinari identificativi e non identificativi[1]. Rientrano in tale categoria di dati le informazioni in merito a:

1) generalità: nome, cognome, sesso, codice fiscale, numero CI/passaporto, stato civile, stato di famiglia, data di nascita, residenza (e, se differente, domicilio) personale, telefono, indirizzo di posta elettronica personale, PEC (se esistente);
2) indirizzo della sede dell’azienda in cui si presta l’attività lavorativa, telefono aziendale, email aziendale;
3) professione (attuale e precedente);
4) titolo di studio e percorso formative/CV;
5) informazioni in merito alla situazione finanziaria;
6) informazioni in merito alla situazione patrimoniale;
7)informazioni relative alla retribuzione per attività lavorative svolte in passato;
8) informazioni relative a retribuzione, presenze, note spese per l’attività lavorativa in essere;
9) dati bancari;
10) dati relativi a partecipazioni detenute e cariche ricoperte;
11) dati relativi all’eventuale appartenenza alla categoria delle persone politicamente esposte a norma del Decreto Antiriciclaggio;
12) immagini.

b) Dati sensibili[2]. Rientrano in tale categoria:

1) i dati che possono rivelare l'origine razziale ed etnica;
2) i dati che possono rivelare le convinzioni religiose, filosofiche o di altro genere;
3) i dati che possono rivelare le opinioni politiche;
4) i dati che possono rivelare l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale;
5) i dati che possono rivelare lo stato di salute;
6) i dati che possono rilevare l’appartenenza a categorie protette;
7) i dati che possono rivelare informazioni in merito alla sfera sessuale;

c) Dati giudiziari. Rientrano in tale categoria:

1) i dati che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato;
2) procedimenti penali di familiari o conviventi more uxorio.

d) Altri dati. Rientrano in tale categoria dati aggregati non identificativi.


Le basi giuridiche di cui si avvale la SIM per il trattamento dei dati sono le seguenti:

a) esecuzione di misure precontrattuali richieste dall'interessato;
b) adempimenti di obblighi contrattuali;
c) adempimenti obblighi di legge;
d) legittimo interesse;
e) consenso (in via residuale).


A sensi di norma, la Società non è tenuta all’istituzione del Registro dei Trattamenti previsto dall’art. 30 del GDPR. La Società ha comunque effettuato una disamina delle attività di trattamento dei dati personali effettuate (c.d. “mappatura”) che tiene conto:

- delle diverse tipologie di trattamento;
- delle singole categorie di soggetti i cui dati sono oggetto di trattamento;
- del tipo di dati oggetto di trattamento;
- delle finalità del trattamento;
- delle basi giuridiche che legittimano il trattamento;
- dei soggetti (interni alla SIM o esterni) che effettuano il trattamento.


Vengono altresì fornite informazioni in merito alle modalità di raccolta e di trattamento dei dati, alle misure di sicurezza adottate ed alle tempistiche di conservazione dei dati.


La “mappatura” è oggetto di riesame e, se del caso, di aggiornamento, con frequenza almeno annuale da parte del CDA, o con maggiore frequenza in caso di modifiche della normativa di riferimento o di istituzione di nuovi prodotti il cui funzionamento possa rendere necessario il trattamento di dati diversi (o con modalità diverse) rispetto a quelli normalmente trattati.


4. Valutazione di impatto sulla protezione dei dati

A norma dell’articolo 35 del GDPR, quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

La valutazione d’impatto è richiesta in particolare nei casi seguenti:

a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione , e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1 del GDPR (dati sensibili), o di dati relativi a condanne penali e a reati di cui all’articolo 10 del GDPR (dati giudiziari); o

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.


Tenuto conto della tipologia dei dati trattati dalla SIM e delle modalità con cui gli stessi sono trattati, nessuna delle fattispecie di cui alle lettere a), b) e c) del presente paragrafo risulta integrata.


5. Informativa e consenso

Ai sensi della vigente normativa l’obbligo di rilasciare idonea informativa agli interessati deve essere assolto al momento della raccolta dei dati personali o in occasione del primo contatto con l’interessato.

L'informativa deve avere forma coincisa, deve essere chiara, facilmente accessibile ed intellegibile per l'interessato.

Ai sensi degli artt. 13 e 14 del GDPR, l’informativa deve contenere indicazioni con riferimento:

- alle categorie di dati trattati e finalità del trattamento (quali dati vengono trattati, a quale fine, per quanto tempo sono trattati, se i dati verranno trasferiti all'estero e, in questo caso, attraverso quali strumenti);
- alla base giuridica del trattamento, quindi se si tratta di trattamento basato su consenso o giustificato da leggi, legittimi interessi (in questo caso specificando quale è il legittimo interesse), ecc...;
- alla natura obbligatoria o facoltativa del conferimento dei dati (se il soggetto può rifiutare il consenso e le conseguenze di tale rifiuto, specificando che è possibile rifiutare il consenso a singoli trattamenti quali quelli a fini di marketing diretto);
- all’eventuale intenzione del titolare di utilizzare i dati per una finalità diversa da quella per la quale sono stati raccolti;
- ai soggetti e categorie di soggetti ai quali i dati possono essere comunicati e all’ambito di diffusione dei dati medesimi (l'indicazione di soggetti terzi non può essere generica);
- all’eventuale intenzione del titolare di trasferire i dati in paesi extra UE;
- ai diritti dell’interessato (diritto di chiedere se i dati personali sono presenti nella banca dati, diritto di prenderne visione e di chiederne la modifica, diritto di presentare reclamo all'autorità di controllo, eventuale diritto alla portabilità, ecc.) e in particolare il diritto di revocare il consenso in qualsiasi momento;
- ai dati identificativi (nome, denominazione o ragione sociale, domicilio o sede) del titolare del trattamento e, se designato, del DPO, nonché un recapito al quale gli interessati potranno rivolgersi per esercitare i propri diritti;
all’eventuale sussistenza di trattamenti che comportano processi decisionali automatizzati (come la profilazione), nel qual caso la cosa deve essere specificata indicando anche la logica di tali processi decisionali e le conseguenze previste per l'interessato.


Nel caso di siti web, all'interno dell'informativa privacy devono essere indicati anche i cookie che veicola il sito, le modalità di disabilitazione dei cookie (es. tramite opzioni del browser), e nel caso di cookie di terze parti, il link alle pagine delle privacy policy dei servizi delle terze parti.


Nel caso in cui i dati non siano raccolti direttamente presso l'interessato (art. 14 del GDPR), l'informativa deve essere fornita entro un termine ragionevole, e comunque non oltre 1 mese dalla raccolta dei dati. Il Garante ha ricordato che in alcuni casi l’informativa non è necessaria: (i) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; (ii) il trattamento è connesso allo svolgimento delle "investigazioni difensive" in materia penale (art. 38 norme di attuazione del c.p.p.) o alla difesa di un diritto in sede giudiziaria (a meno che il trattamento si protragga per un periodo superiore a quello strettamente necessario al perseguimento di tali finalità o sia svolto per ulteriori scopi).


L’AD, avvalendosi del supporto del Responsabile Amministrativo:

- individua le categorie di soggetti che necessitano della sola informativa;
- coordina le attività e gli standard aziendali di utilizzo del modulo di informativa appropriato rispetto al tipo di trattamento effettuato sui dati personali degli interessati (clienti, dipendenti, fornitori, ecc.);
- mette a disposizione delle unità organizzative interessate il modulo di informativa appropriato, affinché provvedano all’invio.


La copia del modulo di informativa rilasciata ad una determinata categoria di interessati viene archiviata dall’Area Amministrativa.


Ai sensi del GDPR, il consenso è richiesto nel caso di:

- trattamento di categorie particolari di dati personali (quali i dati sensibili);
- trasferimento extra UE o ad un’organizzazione internazionale di dati personali nel rispetto dell’articolo 49 del GDPR, in mancanza di una decisione di adeguatezza (articolo 45, paragrafo 3 del GDPR) o di garanzie adeguate ai sensi dell’articolo 46, comprese le norme vincolanti di impresa;
- trattamento di dati personali relativi a condanne penali e ai reati o a connesse misure di sicurezza (dati giudiziari).


A ciò si vanno ad aggiungere i trattamenti per i quali la SIM abbia identificato il consenso quale base giuridica.


I casi in cui il consenso al trattamento dei dati personali non è richiesto sono disciplinati all’articolo 6 del GDPR, fermi restando i limiti per il trattamento dei dati di cui agli articoli 9 e 10.


L’AD, avvalendosi del supporto del Responsabile amministrativo, ha il compito di:

- individuare le categorie di interessati ai quali, per la natura dei dati trattati o per le finalità e modalità del trattamento, occorre richiedere il consenso;
- coordinare le attività e gli standard aziendali di utilizzo del modulo di richiesta di consenso;
- mettere a disposizione delle unità organizzative interessate il modulo di consenso appropriato, affinché provvedano all’invio.


L’Area Amministrativa provvede ad archiviare i moduli di consenso restituiti dagli interessati.


6. Diritti dell’interessato

In base al GDPR ed alla normativa nazionale applicabile, l’interessato ha il diritto di ottenere le seguenti informazioni:

- le finalità del trattamento;
- le categorie di dati personali oggetto di trattamento;
- i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
- quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
- il diritto di proporre reclamo al Garante per la protezione dei dati personali per far valere i suoi diritti;
- qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
- l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, del GDPR e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato;
- la portabilità dei dati personali.


7. Gestione delle richieste dell’interessato

L’interessato può, al fine di esercitare i diritti sopra indicati, inoltrare richiesta alla SIM mediante lettera raccomandata o posta elettronica. Nell’esercizio di tali diritti l’interessato può conferire, per iscritto, delega o procura a persone fisiche, enti, associazioni o organismi.

L’AD, con il supporto del Responsabile amministrativo, provvede a:

- verificare l’esistenza dei dati dell’interessato presso le banche dati e gli archivi di propria competenza;
- effettuare, nel caso in cui la richiesta preveda interventi sui dati trattati, le operazioni richieste dall’interessato;
- predisporre e firmare la lettera di risposta all’interessato ed inviare la stessa, per mezzo di raccomandata con ricevuta di ritorno ovvero posta elettronica.


Il riscontro alla richiesta è fornito tempestivamente e comunque entro un mese dal ricevimento della richiesta dell’interessato. Qualora, tenuto conto della complessità e del numero delle richieste, la SIM ritenga necessaria un’estensione del termine ordinario di 30 giorni, può prorogare il predetto termine di ulteriori due mesi, procedendo comunque, entro un mese dal ricevimento della richiesta, ad informare l’interessato di tale proroga e dei motivi del ritardo.


La Società può rifiutare la richiesta avanzata dell’interessato, dando comunque riscontro entro 30 giorni:

- se dimostra di non essere in grado di identificare l’interessato, anche a seguito di richiesta integrativa inviata all’interessato medesimo;

- se le richieste dell’interessato sono manifestamente infondate o eccessive (es. richieste ripetitive e pretestuose). In questo caso la SIM potrà decidere di:

- addebitare all’interessato un contributo ragionevole, tenuto conto dei costi amministrativi sostenuti per fornire le informazioni o intraprendere l’azione richiesta;

- rigettare la richiesta dell’interessato, indicando i motivi dell’inottemperanza e segnalando la possibilità di proporre reclamo ad un’autorità di controllo o di proporre ricorso giurisdizionale.


Trascorso il termine di 30 giorni senza che sia giunta risposta da parte della SIM, l’interessato ha il diritto di proporre reclamo al Garante per la protezione dei dati personali o ricorso avanti l’autorità giudiziaria.


Tutta la documentazione ricevuta, nonché copia della/e lettera/e di risposta all’interessato, unitamente alla ricevuta di ritorno della/e raccomandata/e, viene opportunamente archiviata a cura dell’Area Amministrativa.


8. Data breach

L’art. 33 del GDPR impone al titolare del trattamento di notificare all’autorità di controllo la violazione di dati personali (data breach).

Per “violazione di dati” si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (art. 4 par.12 del GDPR).

La violazione di dati è un particolare tipo di incidente di sicurezza, per effetto del quale, il titolare non è in grado di garantire il rispetto dei principi prescritti dall’art. 5 del GDPR per il trattamento dei dati personali.

In sostanza le modalità di violazione dei dati possono essere di tre tipi: (i) di riservatezza, quando si verifica una divulgazione o un accesso a dati personali non autorizzato o accidentale; (ii) di integrità, quando si verifica un’alterazione di dati personali non autorizzata o accidentale; (iii) di disponibilità/accesso, quando si verifica perdita, inaccessibilità[4], o distruzione, sempre non autorizzata o accidentale, di dati personali.

I data breach vanno rimossi con interventi tempestivi ed appropriati al fine di evitare che i medesimi possano essere causa di danni materiali, immateriali, reputazionali o economici per la persona fisica interessata (derivanti inter alia, da furto d’identità, frode, discriminazione, violazione del segreto professionale ecc.).

Sebbene il GDPR introduca l'obbligo di notificare una violazione, non è obbligatorio farlo in tutte le circostanze[5]. La notifica all'autorità di controllo competente è effettuata soltanto qualora una violazione comporti un rischio per i diritti e le libertà delle persone fisiche. La notifica di una violazione nei confronti dell'individuo viene attivata solo quando è probabile che si traduca in un alto rischio per i loro diritti e le loro libertà.

Ciò significa che immediatamente dopo essere venuti a conoscenza di una violazione, è fondamentale che la SIM non cerchi solo di contenere la violazione, ma valuti anche il rischio che ne potrebbe derivare, per le seguenti ragioni:

- in primo luogo, conoscere la verosimiglianza e la potenziale gravità dell'impatto sull'individuo aiuterà la SIM del trattamento ad adottare misure efficaci per contenere e affrontare la violazione;
- in secondo luogo, la aiuterà a determinare se è necessaria la notifica all'autorità di controllo e, se necessario, alle persone interessate.


Nel condurre la valutazione la SIM deve tenere in considerazione almeno i seguenti elementi:

1) tipo di violazione;
2) natura, sensibilità e volume dei dati personali oggetto di violazione;
3) facilità di riconoscimento degli interessati;
4) serietà delle conseguenze per le persone fisiche interessate;
5) caratteristiche specifiche delle persone fisiche interessate;
6) quantità di persone fisiche coinvolte.


Se la violazione è suscettibile di presentare un rischio per i diritti e le libertà degli interessati la SIM deve notificare tale violazione al Garante per la protezione dei dati personali senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuta a conoscenza. Qualora la notifica non sia effettuata entro 72 ore, dovrà essere corredata dai motivi del ritardo.


La notifica deve perlomeno:

- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione, nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- comunicare il nome e i dati di contatto del DPO, ove nominato, o di altro punto di contatto presso cui ottenere più informazioni;
- descrivere le probabili conseguenze della violazione dei dati personali;
- descrivere le misure adottate o di cui si propone l’adozione da parte della SIM per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.


Le notifiche al Garante vengono eseguite utilizzando il modulo reso disponibile dal Garante stesso (tempo per tempo) e dovranno essere trasmesse all’indirizzo di posta elettronica protocollo@pec.gdp.it.

Se la violazione riguarda interessati di più di uno Stato membro, in ogni caso la SIM deve notificarla al Garante per la protezione dei dati personali.

Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

Di ogni violazione, anche non oggetto di notifica viene debitamente tenuta traccia, mantenendo annotazioni in merito alle circostanze e alle conseguenze della violazione, nonché ai provvedimenti adottati per porvi rimedio. Lo schema del registro delle violazioni in uso presso la Società (“Registro data breach”).

Nel caso in cui la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà degli interessati la SIM comunica la violazione all’interessato, senza ingiustificato ritardo. Tale comunicazione deve descrivere con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui ai punti b), c) e d) del precedente elenco.

La comunicazione all’interessato non è richiesta, ai sensi dell’articolo 34 del GDPR, se è soddisfatta una delle seguenti condizioni:

- la SIM ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
- la SIM ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati i cui dati personali sono stati oggetto di violazione;
- detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, la SIM può effettuare una comunicazione pubblica o adottare una misura simile, tramite la quale gli interessati siano informati con analoga efficacia.


9. Conservazione dei dati (data retention)

Ai sensi dell’art. 5, paragrafo 1, lett. e) del GDPR, i dati personali devono essere conservati in una forma che consente l’identificazione degli interessati per un arco di tempo non superiore a quello necessario per il conseguimento delle finalità per le quali i dati sono acquisiti e successivamente trattati.

Il periodo di conservazione dei dati è da considerarsi come l’arco temporale massimo durante il quale i dati personali raccolti possono essere conservati in funzione della relativa finalità del trattamento; al termine di tale periodo, i dati devono essere cancellati o anonimizzati, in quanto non più necessari rispetto alle finalità per le quali sono stati raccolti e successivamente trattati. Qualora ai medesimi dati si applichino termini di conservazione differenti (ad. esempio perché trattati con diverse finalità), gli stessi non devono essere cancellati fino a quando non sia decorso il termine di conservazione di durata maggiore.

In qualità di titolare del trattamento dei dati, la SIM è tenuta a procedere alla cancellazione dei dati personali nei seguenti casi:

- Cancellazione d’ufficio: i dati vengono cancellati dagli incaricati del trattamento per esaurimento delle finalità o per decorso dei termini di prescrizione;
- Cancellazione su richiesta dell’interessato: i dati devono essere cancellati nel caso in cui l’interessato ne faccia richiesta, ai sensi dell’art. 17 del CGPR.

Sulla base delle principali finalità di trattamento perseguite, la SIM ha stabilito dei periodi di conservazione per ciascuna categoria di interessati. I relativi termini sono individuati all’interno della mappatura e delle informative fornite agli interessati.

In taluni casi è consentita la conservazione per un lasso di tempo superiore rispetto a quello previsto dal periodo di conservazione stabilito. In particolare, nel caso in cui i dati siano richiesti per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, i dati medesimi potranno essere conservati per tutta la durata del contenzioso, anche nel caso in cui sia nel frattempo decorso il periodo di conservazione.


10. Formazione

A norma del GDPR tutti i titolari e responsabili del trattamento dei dati sono tenuti ad effettuare attività di formazione in materia di privacy.

Il piano di formazione può prevedere corsi ad hoc tenuti da professionisti specializzati presso la Società, ovvero il ricorso a modalità di partecipazione a distanza, purché la partecipazione sia debitamente documentabile.

La partecipazione ai corsi è obbligatoria per tutti i dipendenti.



[1] Si tratta di qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

[2]A norma dell’art. 9 del GDPR:

1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;

b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;

c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;

d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;

e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;

f ) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;

h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;

i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;

j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

3. I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.

4. Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute.”

[3] In base alla definizione di profilazione data dal GDPR, la profilazione si ha in presenza di 3 elementi: (i) un trattamento automatizzato, (ii) eseguito su dati personali, (iii) con lo scopo di valutare aspetti personali di una persona fisica. Se ne deduce che le attività comunemente definite “di profilazione” svolte dalla SIM non sono assimilabili alla “profilazione” come definita dal GDPR.

[4] Anche quando l’inaccessibilità dei dati risulti essere di natura temporanea deve essere considerata alla stregua di “violazione”.

[5] Considerazioni tratte dalla versione inglese delle linee-guida in materia di notifica delle violazioni di dati personali del Gruppo "Articolo 29”.