Politica di raccolta, uso, comunicazione e condivisione dei dati personali

La Politica di raccolta, uso, comunicazione e condivisione dei dati personali definisce i requisiti operativi per le modalità con cui le informazioni personali identificabili sono raccolte, usate, comunicate e condivise nell’ambito di applicazione del PIMS. La finalità dichiarata è assicurare che i dati personali siano trattati solo per finalità documentate, approvate, limitate e soggette a responsabilizzazione. La politica si applica nei contesti di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile, e copre la raccolta tramite canali diretti, indiretti, automatizzati, manuali, interni, esterni e di terze parti. Disciplina inoltre l’uso interno approvato da parte di processi aziendali, sistemi e applicazioni, l’uso secondario per finalità nuove o modificate in modo sostanziale, la comunicazione esterna a destinatari e terze parti, nonché gli accordi ricorrenti di condivisione dei dati e le comunicazioni una tantum. Un elemento centrale della politica è l’uso dei registri delle evidenze per collegare le decisioni privacy a registrazioni verificabili in sede di audit. REG02 è utilizzato per l’inventario dei trattamenti di dati personali, le finalità approvate, le regole di raccolta, le regole d’uso e le verifiche di compatibilità dell’uso secondario. REG08 è utilizzato per le registrazioni relative a responsabile del trattamento, sub-responsabile e condivisione dei dati, inclusi l’identità del destinatario, il ruolo del destinatario, la finalità della comunicazione, le categorie di dati personali, la frequenza della condivisione, il luogo del trattamento e la fonte dell’autorità. REG09 è utilizzato quando la condivisione coinvolge un nuovo paese, un’organizzazione internazionale, un luogo di accesso remoto, un luogo del destinatario o un luogo di trasferimento successivo. REG12 è utilizzato per eccezioni, non conformità, risultanze dell’audit, azioni correttive, problematiche che bloccano l’attuazione e registrazioni dei riesami della politica. La politica stabilisce punti di controllo chiari prima dell’avvio del trattamento. I Proprietari del processo o i titolari dell’attività devono registrare in REG02 finalità della raccolta, fonti o canali, categorie di dati personali, categorie di interessati ed elementi minimi di dati prima dell’avvio di una nuova raccolta o di una modifica sostanziale. Devono inoltre documentare una giustificazione di necessità per ciascun elemento di dati personali prima della raccolta. I proprietari dei sistemi o i Proprietari delle applicazioni possono implementare solo campi di raccolta, campi di workflow, report, esportazioni o output di comunicazione approvati e coerenti con l’approvazione REG02 o REG08. Nei contesti di responsabile del trattamento, l’allineamento alle istruzioni del cliente deve essere registrato prima che i dati personali del cliente siano raccolti, usati o comunicati. L’uso secondario è trattato come una decisione soggetta a governance, non come un’estensione informale di un’attività esistente. Prima che i dati personali siano usati per una finalità non già approvata in REG02, il Proprietario del processo o il titolare dell’attività deve registrare una verifica di compatibilità che copra finalità originaria, finalità proposta, dipendenza dalla base giuridica, categorie di dati personali, aspettative degli interessati, motivazione della minimizzazione, impatto della comunicazione o del trasferimento e instradamento verso altre politiche PIMS ove necessario. Il Responsabile privacy o il Responsabile del PIMS deve registrare un’approvazione o un rigetto prima dell’avvio dell’uso secondario. Quando sono coinvolti condivisione ricorrente sensibile, interessati vulnerabili, registrazioni ad alto impatto o aspettative modificate in modo sostanziale, il parere del Responsabile della protezione dei dati o del consulente privacy deve essere registrato prima dell’approvazione. Governance, misurazione e rispetto della politica sono integrati nella politica. Il Responsabile privacy o il Responsabile del PIMS riesamina le regole d’uso approvato almeno annualmente, riconcilia almeno annualmente le finalità approvate in REG02 con le registrazioni attive di condivisione in REG08 e registra gli esiti in REG12. I responsabili dei fornitori o degli approvvigionamenti riconciliano almeno trimestralmente le voci attive di condivisione in REG08 con i rapporti attivi con responsabili del trattamento, sub-responsabili, destinatari e soggetti coinvolti nella condivisione dei dati. I revisori di audit interno o conformità campionano annualmente le evidenze REG02, REG08 e REG09 e registrano i risultati in REG12. La raccolta, l’uso, la comunicazione o la condivisione non approvati devono essere registrati come non conformità entro cinque giorni lavorativi, e il trattamento può essere sospeso entro un giorno lavorativo se mancano evidenze approvate.