Allegato 7 Disciplinare per il trattamento dei dati personali ai sensi del regolamento (UE) 2016/679 (GDPR) e informativa 1. Ambito di applicazione e definizioni Il presente documento definisce i trattamenti di dati personali effettuati nell'ambito delle procedure previste dal decreto ministeriale cui e' allegato, di seguito «Decreto», di competenza del Ministero delle imprese e del made in Italy, di seguito «Ministero», delle camere di commercio e dell'Unioncamere. A tal fine, sono identificati quali soggetti interessati gli istanti nei procedimenti di rilascio e di rinnovo dell'autorizzazione ad operare sui tachigrafi, di seguito «Autorizzazione», nonche' i soggetti coinvolti negli altri procedimenti di cui al decreto, in particolare quelli di ispezione e sorveglianza. Per tutto quanto non previsto dal presente documento e per le definizioni terminologiche, si fa rinvia al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, di seguito «GDPR» e alla ulteriore disciplina sul trattamento dei dati personali applicabile. 2. Identita' del titolare del trattamento e relativi dati di contatto Il Ministero, la camera di commercio e l'Unioncamere sono, ciascuno per i procedimenti di propria competenza, come individuati e descritti dal decreto, titolari del trattamento dei dati personali. Il Ministero e le camere di commercio rendono pubblici i propri dati di contatto nei modi di legge, attraverso la pubblicazione sui rispettivi siti internet istituzionali e nelle informative rese agli interessati. 3. Responsabili della protezione dei dati («RPD») I Responsabili della protezione dei dati sono: per il Ministero il soggetto designato ai sensi dell'art. 37 GDPR individuato sulla base dell'organizzazione interna dello stesso, i cui dati di contatto sono resi disponibili nelle forme di legge sul sito internet dell'amministrazione, ed esercita i poteri e le funzioni allo stesso attribuiti dalle norme vigenti; per ciascuna camera di commercio e per Unioncamere i soggetti designati ai sensi dell'art. 37 GDPR, i cui dati di contatto sono resi disponibili nelle forme di legge sul sito internet di ogni amministrazione e che esercitano i poteri e le funzioni allo stesso attribuiti dalle norme vigenti. I dati di contatto dei responsabili della protezione dei dati sono altresi' indicati nell'ambito delle informative rese agli interessati. 4. Finalita' e base giuridica del trattamento Il trattamento dei dati da parte del Ministero e delle camere di commercio avverra' esclusivamente nell'ambito dei procedimenti di propria competenza previsti dal decreto e per lo svolgimento delle attivita' necessarie all'applicazione dello stesso. La base giuridica, per i dati ordinari, e' definita nell'ambito di quanto disposto dall'art. 6, par. 1, lettera c) ed e), del GDPR. Per il trattamento di eventuali dati relativi a condanne penali o reati, di cui all'art. 10 del GDPR, si fara' riferimento alle previsioni contenute nell'art. 2-octies del decreto legislativo n. 196/2003. 5. Interessati al trattamento dei dati personali ed esercizio dei rispettivi diritti Sono individuati quali interessati i soggetti istanti nei procedimenti di competenza del Ministero e delle camere di commercio di cui al decreto, nonche' coloro i quali siano oggetto dei controlli previsti nel corso delle rispettive istruttorie. I suddetti soggetti, in sede di presentazione dell'istanza ovvero di comunicazione d'avvio del procedimento, sono destinatari di specifica «Informativa» riguardante il trattamento dei dati personali, resa ai sensi del regolamento generale sulla protezione dei dati regolamento (UE) 2016/679 e della normativa vigente in materia del trattamento dei dati personali. 6. Flussi, titolarita' e responsabilita' del trattamento Il Ministero e' titolare del trattamento dei dati acquisiti con riferimento ai procedimenti di propria competenza ed in particolare quelli disciplinati dai seguenti articoli: art. 4 (Omologazioni); art. 8 (Autorizzazione dei Centri tecnici), art. 10 (Estensione dell'autorizzazione); art. 11 (Variazioni dei Centri tecnici); art. 20 (Sorveglianza straordinaria); art. 21 (Sospensione o revoca dell'autorizzazione). Le camere di commercio sono titolari del trattamento dei dati acquisiti con riferimento: a) alle attivita' funzionali ai procedimenti e provvedimenti di competenza del Ministero, secondo quanto indicato in precedenza; b) ai procedimenti ad esse interamente delegati dall'art. 3 del decreto e disciplinati dagli articoli 9 (rinnovo dell'autorizzazione) e19 (sorveglianza), nonche' per i dati acquisiti ai fini del rilascio delle carte tachigrafiche. L'Unioncamere e' titolare del trattamento dei dati personali, ove presenti, al fine della gestione dell'Elenco di cui all'art. 13 del decreto. L'Unioncamere sottoscrive, altresi', in nome per conto delle camere di commercio, la designazione, del gestore del sistema informativo, quale responsabile del trattamento. 7. Modalita' e garanzie del trattamento Il conferimento da parte dell'interessato dei dati necessari alla realizzazione delle finalita' del decreto richiamate al punto 4 del presente documento, risponde a criteri di proporzionalita' ed ai principi di minimizzazione ed esattezza dei dati, nonche' ad ogni altro criterio individuato e previsto dal GDPR. Nell'ambito di tali finalita', i dati degli interessati, ad esclusione di quelli per i quali e' prevista la pubblicazione nell'elenco di cui all'art. 13, comma 2, del decreto, saranno trattati esclusivamente nell'ambito dei procedimenti amministrativi di cui agli articoli 4, 8, 9, 10, 12, 19, 20 e 21 dello stesso e non saranno pertanto divulgati a soggetti diversi da quelli istituzionalmente individuati per lo svolgimento delle attivita' ad essi inerenti ed alle persone autorizzate al trattamento dei dati personali, sotto l'autorita' diretta del titolare o del responsabile. Tutti i dati sono trattati nel rispetto dei principi e delle previsioni del GDPR e di ogni altra norma in materia, esclusivamente nell'ambito delle finalita' di cui all'art. 4 del presente documento, anche con l'ausilio di mezzi elettronici o automatizzati. Per quanto di competenza, il Ministero applica i protocolli e le misure di sicurezza previsti in materia di trattamento dei dati personali dalle «Politiche di sicurezza e conduzione dei sistemi informativi del Ministero dello sviluppo economico», o atto equivalente del Dicastero. Le camere di commercio, per quanto di competenza, adottano, nell'ambito delle rispettive policy di sicurezza, le misure di seguito descritte. Il sistema informativo in utilizzo alle CCIAA viene erogato da Infocamere, societa' in house delle stesse, dotata di un sistema di gestione della sicurezza delle informazioni certificato ISO 27001, nonche' ulteriori certificazioni. Il suddetto sistema di gestione della sicurezza delle informazioni comprende un insieme articolato di processi aziendali finalizzato a mettere in atto misure di sicurezza tecniche e organizzative in tutti gli ambiti previsti dallo standard ISO 27001; tra queste, figurano l'adozione dell'analisi dei requisiti di sicurezza e privacy "by design" e "by default", le gestione controllata degli accessi logici (con minimizzazione delle abilitazioni secondo il "need to access"), la gestione degli incidenti (comprensiva di una gestione specializzata per le violazioni di dati personali / "data breach"), un'analisi periodica dei rischi di sicurezza con relativi piani di trattamento dei rischi non accettabili, il controllo degli accessi fisici, la continuita' operativa (con certificazione ISO 22301), i salvataggi delle informazioni, la tracciatura (log) delle attivita', gli strumenti di contrasto ai tentativi di intrusione dalla rete e molti altri strumenti e procedure finalizzati proteggere la riservatezza, l'integrita' e la disponibilita' delle informazioni e a supportare una gestione dei dati conforme alle normative applicabili. E' inoltre prevista la formazione del personale su detti temi in relazione ai singoli applicativi impiegati. Le camere di commercio svolgono le funzioni di controllo previste dalla normativa sulla metrologia legale attraverso lo strumento informatico «Servizio Metrico (Eureka)», tra le funzioni del quale rientra la tenuta della Banca dati officine autorizzate per i tachigrafi. Il suddetto sistema informativo «Servizio metrico (Eureka)» e' protetto tramite i sistemi di identity management, autenticazione e autorizzazione, utilizzati da Infocamere a difesa della maggior parte dei servizi erogati, ivi incluso il servizio di rilascio delle Carte tachigrafiche e del ciclo di vita dei dispositivi, erogato attraverso l'applicativo denominato TACHO. Gli operatori camerali, opportunamente abilitati, possono accedere al «Servizio metrico» attraverso le proprie credenziali: in merito alla funzionalita' specifica di gestione Banca dati officine autorizzate (funzionale al sistema tachigrafi digitali), l'utente, sulla base del livello di abilitazione assegnato, potra' accedere in sola visualizzazione ovvero in modifica dei dati specifici. 8. Durata del trattamento ed eliminazione dei dati I dati personali verranno conservati per tutta la durata dei procedimenti e per il periodo di cui al comma 3 dell'art. 24 del decreto, strettamente necessario al perseguimento delle specifiche finalita' del trattamento. Decorso il suddetto termine, tutti i dati non soggetti a pubblicazione e/o conservazione sulla base delle norme vigenti, saranno definitivamente cancellati.