Login    

Protezione della privacy

Protezione della privacy

Snam considera la tutela della privacy dei dipendenti e di tutti gli stakeholder di fondamentale importanza per operare in modo trasparente, coerente ai propri valori etici. Al fine di assicurare la corretta gestione del tema da parte di tutto il Gruppo, Snam ha adottato una specifica Linea Guida, i cui contenuti principali sono di seguito rappresentati.

Il Consiglio di Amministrazione di Snam ha approvato, in data 8 maggio 2018, la Linea Guida in materia di Privacy, un documento nel quale sono contenuti i principi che governano la corretta gestione della privacy e le norme interne relative al trattamento dei dati personali.

La Linea Guida specifica le azioni che devono essere intraprese in conformità alla normativa sia nazionale sia comunitaria con riguardo al trattamento e alla protezione dei dati personali, nonché dei provvedimenti del Garante e degli orientamenti della dottrina e della giurisprudenza in materia, affinché il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali delle persone fisiche e in particolare del diritto alla protezione dei dati personali.

La Linea Guida si applica a Snam e alle società Controllate soggette ad attività di direzione e coordinamento ed è inoltre portata a conoscenza delle altre società partecipate allo scopo di promuovere principi e comportamenti coerenti con quelli espressi da Snam.

 

Il sistema di gestione della privacy in Snam

Snam ha elaborato il proprio Compliance Programme Privacy, al fine di: definire gli adempimenti da attuare in materia di protezione dei dati personali a livello aziendale; indirizzare tutti i dipendenti di Snam affinché il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali delle persone fisiche e, in particolare, del diritto alla protezione dei dati personali; valutare, sulla base del dettato normativo, i ruoli e le relative responsabilità a livello aziendale.

Snam procede periodicamente ovvero tutte le volte in cui si verifichino modifiche organizzative all’esecuzione delle attività di risk assessment al fine di identificare e gestire i rischi più rilevanti in riferimento al trattamento dei dati personali.

In coerenza con i principi di privacy by design e by default, per ogni nuovo progetto/iniziativa aziendale che abbia impatti sulla normativa GDPR viene svolta un’attività di privacy impact assessment (DPIA) proprio al fine di valutare la coerenza delle misure progettuali rispetto al Compliance Programme Privacy e ai diritti degli interessati.

Il sistema di gestione della data protection viene mantenuto costantemente aggiornato anche attraverso l’implementazione delle misure organizzative e tecniche per la protezione dei dati personali trattati, nonché attraverso l’adozione e la revisione della documentazione aziendale rilevante a fini privacy.

Il Compliance Programme Privacy si inserisce nel più ampio modello di Risk Assurance & Compliance Integrata, che consente l’integrazione dei modelli di compliance di secondo livello in un percorso di condivisione delle strategie e delle risposte ai rischi di non conformità, nel più ampio processo di risk management aziendale. In tale ottica, vengono effettuate attività di risk assessment in relazione ai processi aziendali e il monitoraggio della corretta applicazione del documento "Linee Guida in materia di Privacy".

Il Sistema di Controllo Interno e Gestione dei Rischi di Snam prevede inoltre, un terzo livello di assurance indipendente e obiettiva sull’adeguatezza ed effettiva operatività del primo e secondo livello di controllo e in generale sulle modalità complessive di gestione dei rischi svolto dalla funzione Internal Audit. I controlli relativi alla privacy vengono presi in considerazione durante le attività di audit sui diversi processi aziendali, qualora pertinenti all’ambito del controllo, nonché in specifici audit sul Compliance Programme Privacy in base al piano di audit annuale approvato dal CdA di Snam.

Il DPO riferisce periodicamente – in ogni caso con cadenza almeno annuale – sull’attività svolta al Responsabile dell’Osservanza di ciascuna società di riferimento.

 

Natura dei dati personali trattati

Ai sensi dell’art. 4 del GDPR, per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Nell’esercizio della propria attività, Snam tratta dati personali di vari soggetti in qualità di Titolare del Trattamento (“Interessati”). Ad esempio:

  • candidati e dipendenti (compreso personale non a ruolo quali stagisti, personale a progetto, comandi e personale dirigente);
  • visitatori;
  • fornitori/appaltatori;
  • proprietari di immobili dai quali si acquisiscono diritti di servitù o di proprietà;
  • azionisti, amministratori e sindaci.

 

I dati personali sono: trattati secondo i principi di liceità, correttezza e trasparenza nei confronti degli Interessati; raccolti per finalità determinate, esplicite e legittime; adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati; trattati in maniera da garantirne un'adeguata sicurezza.

 

L’informativa sulla privacy

Snam, in qualità di Titolare del Trattamento, fornisce agli Interessati l’informativa sul trattamento dei dati personali (“Informativa”) ai sensi degli artt. 13 e 14 del GDPR, raccogliendone il consenso ove necessario. Nell’informativa vengono indicati, inter alia:

  • i dati di contatto del Titolare del Trattamento e del data protection officer;
  • la finalità del trattamento dei dati raccolti e la base giuridica del trattamento;
  • il periodo di conservazione dei dati personali (oppure, se non è possibile, i criteri utilizzati per determinare tale periodo);
  • l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati.

 

Utilizzo e protezione dei dati personali

I dati personali vengono trattati in relazione alle finalità per i quali sono stati raccolti.

Snam conserva i dati personali in archivi elettronici o cartacei, adottando diverse misure finalizzate alla tutela degli stessi contro accessi non autorizzati e minacce alla cybersecurity.

Snam adotta e implementa nel tempo misure di carattere sia organizzativo sia tecnico per la protezione dei dati personali trattati, al fine di rafforzare l’accountability aziendale. Tra le misure di carattere tecnico adottate vi sono, ad esempio, l’adozione di crittazione dei dispositivi e dei supporti di memorizzazione rimovibili, l’adozione di una SandBox per la posta elettronica e di una soluzione di Information Right Management (IRM), l’anonimizzazione dei dati in ambienti non produttivi, l’enforcement degli accessi/password.

 

Ruoli e responsabilità

Nell’ambito dell’organizzazione aziendale è prevista la definizione di ruoli e responsabilità in materia di trattamento dei dati personali, in coerenza alle disposizioni del GDPR.

  • Responsabile dell’Osservanza: in Snam è la persona fisica cui è demandata, a seguito di delibera consiliare, la responsabilità di adempiere autonomamente agli obblighi previsti in materia di trattamento dei dati personali ed esercitare i diritti e le facoltà previsti dal GDPR in capo al Titolare, nonché il potere di individuare all’interno dell’organizzazione aziendale le figure cui attribuire specifiche deleghe in materia.
  • Delegato (interno) al trattamento: assicura e garantisce il mantenimento dei presidi di controllo posti a tutela dei diritti degli interessati e mette in atto, nell’ambito dei processi di competenza, tutte le misure tecniche e organizzative adeguate per il trattamento dei dati personali.
  • Incaricato del trattamento: ciascun dipendente che effettua trattamento di dati personali, cui debbono essere impartite istruzioni per l’esercizio dell’incarico.
  • Amministratore di Sistema: tale figura svolge attività di natura tecnica (ad esempio, gestione supporti di memorizzazione, manutenzione hardware, gestione sistemi di autenticazione e di autorizzazione).
  • Data Protection Officer: svolge i compiti previsti dall’art. 39 del GDPR. Gli Interessati possono contattare il DPO per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei diritti derivanti dal GDPR.
  • Responsabile (esterno) del trattamento: soggetto esterno rispetto all’organizzazione aziendale, che effettua un trattamento per conto del Titolare su specifiche istruzioni.

 

La formazione in materia di privacy è garantita mediante lo svolgimento di corsi formativi specifici a cui devono obbligatoriamente prendere parte i dipendenti nominati Delegati al Trattamento, Amministratori di Sistema o Incaricati.

 

Periodo di conservazione dei dati

Snam conserva i dati personali raccolti per un periodo non superiore a quello strettamente necessario agli scopi per i quali essi sono stati raccolti. Questo si traduce nella valutazione -per ogni singolo processo- degli specifici fattori che incidono sui tempi di conservazione che, pertanto, vengono modulati e analizzati volta per volta, in coerenza con quanto previsto dal GDPR.

 

Il registro dei trattamenti

Come disposto dal GDPR, Snam ha adottato e aggiorna periodicamente il proprio Registro dei trattamenti.

Tale strumento consente una gestione più efficace della data protection all’interno dell’organizzazione aziendale, in quanto consente di tenere traccia delle operazioni di trattamento effettuate, di censire in maniera ordinata gli elementi rilevanti per la corretta gestione dei dati personali, nonché di contribuire a valutare il rischio inerente correlato a ciascun trattamento.

Nello specifico, il Registro dei trattamenti contiene le seguenti informazioni: il nome e i dati di contatto del Titolare del Trattamento e del DPO,  le finalità del trattamento, una descrizione delle categorie di interessati e delle categorie di dati personali, le categorie di destinatari cui i dati sono stati o saranno comunicati,  ove applicabile i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, la documentazione delle garanzie adeguate, ove possibile i termini ultimi previsti per la cancellazione delle diverse categorie di dati e ove possibile una descrizione generale delle misure di sicurezza tecniche ed organizzative.

 

Violazione dei dati personali (data breach)

La violazione dei dati personali (data breach) consiste nella violazione degli standard di sicurezza adottati per la protezione dei dati personali che può comportare la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque trattati (ad es. furto dei dati).

Snam ha adottato un’apposita procedura per gestire l’eventualità di data breach, individuando ruoli e responsabilità al fine di garantire, nel rispetto delle tempistiche indicate dal GDPR, l’ottemperanza degli obblighi di legge.

A seguito di data breach, il Responsabile dell’Osservanza pone in essere tutte le azioni correttive necessarie in conformità alle misure di sicurezza, valutando con il supporto delle funzioni competenti la necessità e/o l’opportunità di incrementare le misure di sicurezza al fine di elevare gli standard generali di tutela dei dati.

Ad oggi non si sono registrati casi di data breach.

 

Diritti degli interessati

In conformità alla disciplina applicabile in materia di trattamento dei dati personali, Snam garantisce e dispone strumenti e misure atti ad assicurare idoneo e puntuale riscontro agli Interessati che esercitano i diritti previsti dal GDPR:

  • Diritto di accesso: Snam dà pronta risposta all’Interessato che abbia chiesto la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in caso affermativo, ne garantisce l’accesso, fornendo le informazioni relative al trattamento dei dati personali dell’Interessato.
  • Diritto di rettifica: l’Interessato ha il diritto di ottenere la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Snam rettifica i dati personali inesatti o procede all’integrazione dei dati personali incompleti, anche mediante una dichiarazione integrativa fornita dall’Interessato.
  • Diritto di cancellazione (cd. diritto all’oblio): Snam procede alla cancellazione dei dati personali inerenti l’Interessato nei casi determinati e previsti dalla legge applicabile (ad esempio, nel caso in cui i dati non siano più necessari agli scopi per i quali erano stati raccolti; la revoca del consenso, se necessario ed espresso dall’Interessato in precedenza).
  • Diritto di limitazione al trattamento: Snam procede ad attuare la limitazione del trattamento dei dati personali qualora l’Interessato ne faccia richiesta e ricorrano i presupposti di legge.
  • Diritto alla portabilità dei dati: Snam, nel rispetto di quanto previsto e disciplinato dall’art. 20 del GDPR garantisce, a seguito di espressa richiesta da parte dell’Interessato: (a) la ricezione da parte dell’Interessato dei dati personali che lo riguardano in un formato strutturato, di uso comune e leggibile da dispositivo automatico; (b) la trasmissione di tali dati a un altro titolare quando il loro trattamento sia basato sul consenso dell’interessato ovvero sulla base di un contratto stipulato con l’interessato.

 

La gestione di eventuali richieste degli Interessati è curata dal Data Protection Officer di Snam.

Page Alert
ultimo aggiornamento
20 maggio 2021 - 15:19 CEST