Allegato 7
Disciplinare per il trattamento dei dati personali ai sensi del
regolamento (UE) 2016/679 (GDPR) e informativa
1. Ambito di applicazione e definizioni
Il presente documento definisce i trattamenti di dati personali
effettuati nell'ambito delle procedure previste dal decreto
ministeriale cui e' allegato, di seguito «Decreto», di competenza del
Ministero delle imprese e del made in Italy, di seguito «Ministero»,
delle camere di commercio e dell'Unioncamere.
A tal fine, sono identificati quali soggetti interessati gli
istanti nei procedimenti di rilascio e di rinnovo dell'autorizzazione
ad operare sui tachigrafi, di seguito «Autorizzazione», nonche' i
soggetti coinvolti negli altri procedimenti di cui al decreto, in
particolare quelli di ispezione e sorveglianza.
Per tutto quanto non previsto dal presente documento e per le
definizioni terminologiche, si fa rinvia al regolamento (UE) 2016/679
del Parlamento europeo e del Consiglio del 27 aprile 2016, di seguito
«GDPR» e alla ulteriore disciplina sul trattamento dei dati personali
applicabile.
2. Identita' del titolare del trattamento e relativi dati di
contatto
Il Ministero, la camera di commercio e l'Unioncamere sono,
ciascuno per i procedimenti di propria competenza, come individuati e
descritti dal decreto, titolari del trattamento dei dati personali.
Il Ministero e le camere di commercio rendono pubblici i propri
dati di contatto nei modi di legge, attraverso la pubblicazione sui
rispettivi siti internet istituzionali e nelle informative rese agli
interessati.
3. Responsabili della protezione dei dati («RPD»)
I Responsabili della protezione dei dati sono:
per il Ministero il soggetto designato ai sensi dell'art. 37
GDPR individuato sulla base dell'organizzazione interna dello stesso,
i cui dati di contatto sono resi disponibili nelle forme di legge sul
sito internet dell'amministrazione, ed esercita i poteri e le
funzioni allo stesso attribuiti dalle norme vigenti;
per ciascuna camera di commercio e per Unioncamere i soggetti
designati ai sensi dell'art. 37 GDPR, i cui dati di contatto sono
resi disponibili nelle forme di legge sul sito internet di ogni
amministrazione e che esercitano i poteri e le funzioni allo stesso
attribuiti dalle norme vigenti.
I dati di contatto dei responsabili della protezione dei dati
sono altresi' indicati nell'ambito delle informative rese agli
interessati.
4. Finalita' e base giuridica del trattamento
Il trattamento dei dati da parte del Ministero e delle camere di
commercio avverra' esclusivamente nell'ambito dei procedimenti di
propria competenza previsti dal decreto e per lo svolgimento delle
attivita' necessarie all'applicazione dello stesso.
La base giuridica, per i dati ordinari, e' definita nell'ambito
di quanto disposto dall'art. 6, par. 1, lettera c) ed e), del GDPR.
Per il trattamento di eventuali dati relativi a condanne penali o
reati, di cui all'art. 10 del GDPR, si fara' riferimento alle
previsioni contenute nell'art. 2-octies del decreto legislativo n.
196/2003.
5. Interessati al trattamento dei dati personali ed esercizio dei
rispettivi diritti
Sono individuati quali interessati i soggetti istanti nei
procedimenti di competenza del Ministero e delle camere di commercio
di cui al decreto, nonche' coloro i quali siano oggetto dei controlli
previsti nel corso delle rispettive istruttorie.
I suddetti soggetti, in sede di presentazione dell'istanza ovvero
di comunicazione d'avvio del procedimento, sono destinatari di
specifica «Informativa» riguardante il trattamento dei dati
personali, resa ai sensi del regolamento generale sulla protezione
dei dati regolamento (UE) 2016/679 e della normativa vigente in
materia del trattamento dei dati personali.
6. Flussi, titolarita' e responsabilita' del trattamento
Il Ministero e' titolare del trattamento dei dati acquisiti con
riferimento ai procedimenti di propria competenza ed in particolare
quelli disciplinati dai seguenti articoli: art. 4 (Omologazioni);
art. 8 (Autorizzazione dei Centri tecnici), art. 10 (Estensione
dell'autorizzazione); art. 11 (Variazioni dei Centri tecnici); art.
20 (Sorveglianza straordinaria); art. 21 (Sospensione o revoca
dell'autorizzazione).
Le camere di commercio sono titolari del trattamento dei dati
acquisiti con riferimento:
a) alle attivita' funzionali ai procedimenti e provvedimenti di
competenza del Ministero, secondo quanto indicato in precedenza;
b) ai procedimenti ad esse interamente delegati dall'art. 3 del
decreto e disciplinati dagli articoli 9 (rinnovo dell'autorizzazione)
e19 (sorveglianza), nonche' per i dati acquisiti ai fini del rilascio
delle carte tachigrafiche.
L'Unioncamere e' titolare del trattamento dei dati personali, ove
presenti, al fine della gestione dell'Elenco di cui all'art. 13 del
decreto.
L'Unioncamere sottoscrive, altresi', in nome per conto delle
camere di commercio, la designazione, del gestore del sistema
informativo, quale responsabile del trattamento.
7. Modalita' e garanzie del trattamento
Il conferimento da parte dell'interessato dei dati necessari alla
realizzazione delle finalita' del decreto richiamate al punto 4 del
presente documento, risponde a criteri di proporzionalita' ed ai
principi di minimizzazione ed esattezza dei dati, nonche' ad ogni
altro criterio individuato e previsto dal GDPR.
Nell'ambito di tali finalita', i dati degli interessati, ad
esclusione di quelli per i quali e' prevista la pubblicazione
nell'elenco di cui all'art. 13, comma 2, del decreto, saranno
trattati esclusivamente nell'ambito dei procedimenti amministrativi
di cui agli articoli 4, 8, 9, 10, 12, 19, 20 e 21 dello stesso e non
saranno pertanto divulgati a soggetti diversi da quelli
istituzionalmente individuati per lo svolgimento delle attivita' ad
essi inerenti ed alle persone autorizzate al trattamento dei dati
personali, sotto l'autorita' diretta del titolare o del responsabile.
Tutti i dati sono trattati nel rispetto dei principi e delle
previsioni del GDPR e di ogni altra norma in materia, esclusivamente
nell'ambito delle finalita' di cui all'art. 4 del presente documento,
anche con l'ausilio di mezzi elettronici o automatizzati.
Per quanto di competenza, il Ministero applica i protocolli e le
misure di sicurezza previsti in materia di trattamento dei dati
personali dalle «Politiche di sicurezza e conduzione dei sistemi
informativi del Ministero dello sviluppo economico», o atto
equivalente del Dicastero.
Le camere di commercio, per quanto di competenza, adottano,
nell'ambito delle rispettive policy di sicurezza, le misure di
seguito descritte.
Il sistema informativo in utilizzo alle CCIAA viene erogato da
Infocamere, societa' in house delle stesse, dotata di un sistema di
gestione della sicurezza delle informazioni certificato ISO 27001,
nonche' ulteriori certificazioni.
Il suddetto sistema di gestione della sicurezza delle
informazioni comprende un insieme articolato di processi aziendali
finalizzato a mettere in atto misure di sicurezza tecniche e
organizzative in tutti gli ambiti previsti dallo standard ISO 27001;
tra queste, figurano l'adozione dell'analisi dei requisiti di
sicurezza e privacy "by design" e "by default", le gestione
controllata degli accessi logici (con minimizzazione delle
abilitazioni secondo il "need to access"), la gestione degli
incidenti (comprensiva di una gestione specializzata per le
violazioni di dati personali / "data breach"), un'analisi periodica
dei rischi di sicurezza con relativi piani di trattamento dei rischi
non accettabili, il controllo degli accessi fisici, la continuita'
operativa (con certificazione ISO 22301), i salvataggi delle
informazioni, la tracciatura (log) delle attivita', gli strumenti di
contrasto ai tentativi di intrusione dalla rete e molti altri
strumenti e procedure finalizzati proteggere la riservatezza,
l'integrita' e la disponibilita' delle informazioni e a supportare
una gestione dei dati conforme alle normative applicabili.
E' inoltre prevista la formazione del personale su detti temi in
relazione ai singoli applicativi impiegati.
Le camere di commercio svolgono le funzioni di controllo previste
dalla normativa sulla metrologia legale attraverso lo strumento
informatico «Servizio Metrico (Eureka)», tra le funzioni del quale
rientra la tenuta della Banca dati officine autorizzate per i
tachigrafi.
Il suddetto sistema informativo «Servizio metrico (Eureka)» e'
protetto tramite i sistemi di identity management, autenticazione e
autorizzazione, utilizzati da Infocamere a difesa della maggior parte
dei servizi erogati, ivi incluso il servizio di rilascio delle Carte
tachigrafiche e del ciclo di vita dei dispositivi, erogato attraverso
l'applicativo denominato TACHO.
Gli operatori camerali, opportunamente abilitati, possono
accedere al «Servizio metrico» attraverso le proprie credenziali: in
merito alla funzionalita' specifica di gestione Banca dati officine
autorizzate (funzionale al sistema tachigrafi digitali), l'utente,
sulla base del livello di abilitazione assegnato, potra' accedere in
sola visualizzazione ovvero in modifica dei dati specifici.
8. Durata del trattamento ed eliminazione dei dati
I dati personali verranno conservati per tutta la durata dei
procedimenti e per il periodo di cui al comma 3 dell'art. 24 del
decreto, strettamente necessario al perseguimento delle specifiche
finalita' del trattamento.
Decorso il suddetto termine, tutti i dati non soggetti a
pubblicazione e/o conservazione sulla base delle norme vigenti,
saranno definitivamente cancellati.