PRIVACY POLICY
FEDRIGONI S.p.A.

DEFINIZIONI

Le seguenti definizioni di termini utilizzati in questo documento sono tratte dall’art. 4 del Regolamento Generale sulla Protezione dei Dati Personali dell'Unione Europea (o GDPR) e dalla normativa italiana in materia (D. Lgs. 30 giugno 2003, n. 196):

Dato Personale: si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (Interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente; con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Categorie Particolari di Dati Personali: questi meritano una specifica protezione perché, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tra questi dovrebbero essere compresi anche i dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose e filosofiche, l’appartenenza sindacale, oltreché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Responsabile del trattamento: una persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento.

Trattamento: ogni operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

Anonimizzazione: de-identificazione irreversibile dei dati personali in modo tale che essi non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali informazioni non siano attribuiti a una persona fisica identificata o identificabile. La pseudonimizzazione, invece, riduce ma non elimina completamente, la possibilità di collegare il dato personale all’interessato. Poiché i dati pseudonimizzati sono comunque dati personali, il trattamento dei dati pseudonimizzati dovrebbe essere conforme ai principi del Trattamento dei Dati Personali.

Trattamento transfrontaliero: il trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un Titolare o Responsabile nell'Unione ove essi siano stabiliti in più di uno Stato membro; oppure il trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un Titolare o Responsabile nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

Autorità di Controllo: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51 del GDPR dell’UE;

Autorità di Controllo Capofila: è quella con la responsabilità primaria di gestire un’attività di trattamento di dati transfrontaliera, ad esempio quando un interessato presenta un reclamo in merito al trattamento dei propri dati personali. È responsabile, tra l’altro, anche di ricevere le notifiche di violazione dei dati, di essere notificato su attività di trattamento rischiose e avrà piena autorità per quanto riguarda le sue funzioni per garantire l'osservanza delle disposizioni del GDPR dell’UE;

Ogni “autorità di controllo locale” manterrà comunque giurisdizione, all’interno del proprio territorio, e monitorerà qualsiasi trattamento di dati locale che incide sugli interessati o che viene effettuato da un Titolare o un Responsabile all’interno dell’Unione oppure all’esterno dell’Unione in caso il loro trattamento si rivolga a interessati residenti sul proprio territorio. I loro compiti e poteri comprendono lo svolgimento di indagini e l’applicazione di misure amministrative e sanzioni, la promozione della consapevolezza da parte del pubblico dei rischi, delle norme, della sicurezza e dei diritti in relazione al trattamento dei dati personali, nonché l'accesso a qualsiasi sede del Titolare e del Responsabile dei dati, compresi eventuali strumenti e mezzi per il trattamento.

Stabilimento principale per quanto riguarda un Titolare” con stabilimenti in più di uno Stato membro, individua il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del Titolare nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

Stabilimento principale con riferimento a un Responsabile” del trattamento con stabilimenti in più di uno Stato membro, individua il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi della presente policy;

Gruppo imprenditoriale”: un gruppo costituito da una impresa controllante e dalle imprese da questa controllate.



    1. Obiettivo del Gruppo

In continuità con i principi fondamentali e i codici di comportamento di cui ai regolamenti interni, alle policies e alle prassi già in vigore e uso presso il Gruppo Fedrigoni (per come nel corso degli anni modificati, implementati e integrati, in particolare a far data dal momento nel quale gli attuali azionisti di riferimento del Gruppo ne hanno assunto il controllo), lo stesso intende mantenere un fattivo impegno di massima salvaguardia dei principi di protezione, riservatezza e tutela dell’individualità e della dignità della persona in materia di trattamento e protezione dei dati personali. . A tal fine, il Gruppo Fedrigoni si impegna in particolare a proseguire nel percorso di:

▪ Protezione e tutela dei dati personali di ogni individuo;

▪ garanzia della riservatezza della sfera intimamente personale e della vita privata di ognuno;

▪ rispetto delle libertà fondamentali costituzionalmente garantite;

▪ rispetto dell’identità, della personalità e della dignità di ogni essere umano.

▪ tutela della riservatezza delle informazioni riferite ai dipendenti, clienti, fornitori, a tutti i soggetti terzi che operano in qualità di persona fisica e a tutti coloro che hanno rapporti con le singole Società del Gruppo.


    2. Impegno del Gruppo

Il Gruppo Fedrigoni si propone nel pieno rispetto delle normative di conseguire nel tempo un miglioramento continuo nella tutela dei dati personali provvedendo a:
a) sensibilizzare i dipendenti, i fornitori, i clienti e tutte le parti interessate sugli impegni assunti in materia di protezione dei dati personali e la sicurezza delle informazioni;
b) individuare i delegati dotati di adeguati requisiti, competenze e poteri per garantire il corretto funzionamento del sistema di trattamento dei dati;
c) adottare un sistema documentale integrato organicamente gestito (procedure, istruzioni operative e modelli documentali omogenei e standard sull’intera organizzazione);
d) ove sia previsto un trattamento di dati personali, una piena integrazione ai principi legislativi che lo regolano nella definizione, integrazione, modifica e revisione dei processi aziendali;
e) definire un modello organizzativo privacy1 adeguato ad un efficace presidio preventivo nel trattamento dei dati personali pertinenti ai diversi processi aziendali;
f) adottare le migliori tecniche disponibili, tenuto conto della loro sostenibilità sotto il profilo economico, per minimizzare i danni in caso di inconvenienti od eventi negativi in materia di trattamento di dati personali, inclusa l’adozione di opportune modalità di ripristino in caso di loro danneggiamento e/o perdita accidentale;
g) promuovere un dialogo ed un confronto, basato su principi di reciproca trasparenza, con tutti i portatori d’interesse come ad esempio i clienti ed i collaboratori esterni tenendo nel dovuto conto le loro istanze ed aspettative in materia di trattamento di dati personali, nel rispetto coerente degli strumenti di partecipazione e di comunicazione adottati dal gruppo.


    3. Privacy Policy

Il Gruppo Fedrigoni si impegnano a proteggere i dati personali e particolari trattati a qualsiasi titolo adeguando le proprie azioni ai seguenti Principi generali, nonché alle previsioni del Regolamento per l’Impiego degli Strumenti Informatici e Telematici Connessi all’Attività Lavorativa e a ogni altra policy o regolamento interno che disciplini, direttamente o indirettamente, profili inerenti alla protezione dei dati personali.
 

    3.1 Principi e politiche di trattamento

Il Gruppo Fedrigoni si impegna al trattamento dei dati secondo i principi nel pieno rispetto della normativa vigente.
Il trattamento dei dati viene sempre svolto secondo i seguenti principi:

1. raccogliere i dati per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non siano incompatibili con tali finalità;
Rif. : principio della limitazione della finalità

2. raccogliere e trattare i dati secondo misure di sicurezza e di prevenzione adeguate, progettate dopo aver effettuato un’analisi dei rischi e poste in atto prima di iniziare il trattamento assicurando tutte le azioni necessarie affinché siano protetti con misure organizzative e tecniche adeguate a garantirne la riservatezza e l’integrità;
Rif. : principio della sicurezza

3. trattare i dati in modo lecito, corretto e trasparente nei confronti dell'interessato dandogli opportuna informazione sull’uso che ne verrà fatto, ottenendo altresì il suo consenso per i trattamenti non necessari o per i trattamenti di particolari tipi di dati, ad esempio quelli idonei a rivelare lo stato di salute delle persone, le origini razziali, le idee religiose, ecc.;
Rif. : principi della liceità, della correttezza e della trasparenza

4. assicurare modalità di trattamento dei dati pertinenti e limitati a quanto necessario in riferimento alle finalità per le quali questi sono trattati;
Rif. : principi della minimizzazione dei dati, pertinenza, proporzionalità e privacy per default

5. se necessario, aggiornare tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
Rif. : principi di esattezza, necessità, non eccedenza ed essenzialità

6. conservare i dati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Vengono conservati per periodi più lunghi, laddove si rendesse necessario, solo a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica od a fini statistici;
Rif. : principio della limitazione della conservazione e diritto all’oblio

7. trattare i dati in maniera da garantirne adeguata sicurezza e protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali;
Rif. : principi dell’integrità e di riservatezza

8. assicurare all’interessato la possibilità di richiedere tutti i dati da lui forniti;
Rif. : principio di portabilità dei dati

9. garantire che ogni nuovo trattamento di dati venga progettato in modo tale da garantire la sicurezza richiesta in base ai rischi a cui è esposto prima di essere implementato. Pertanto, anche i sistemi informatici devono essere progettati secondo tale principio;
Rif. : principio della privacy by design

10. garantire che i dati dopo il trattamento non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
Rif. : pseudonimizzazione

11. gestire il trattamento dei dati in modo tale che qualsiasi violazione di sicurezza che comporti la distruzione, la perdita, la modifica, la divulgazione o l'accesso non autorizzato a dati personali, indipendentemente dalla causa che l’ha generata, venga notificata all’autorità competente ed, in casi gravi anche all’interessato, entro i tempi stabiliti dalla legge.
Rif. : principio del data breach


    3.2 Raccolta e trattamento delle informazioni

Le Società del Gruppo adottano misure e precauzioni per verificare che le informazioni contenenti dati personali siano pertinenti, accurate, complete e attuali come è necessario per gli scopi per i quali devono essere utilizzate. I trattamenti di dati personali effettuati si conformano al principio di minimizzazione dei dati ai sensi dell’art. art. 5, co. 1, lett. c), del Regolamento e della normativa italiana in materia (D. Lgs. 30 giugno 2003, n. 196) in base ai quali la raccolta e il successivo trattamento di dati personali avvengono in maniera da ridurre al minimo indispensabile l’utilizzo di dati personali identificativi degli Interessati.

Qualora alcune operazioni di trattamento, ovvero processi o fasi di processo, non necessitino la visualizzazione in chiaro di dati personali e identificativi degli Interessati, le medesime operazioni di trattamento devono essere effettuate mediante dati resi anonimi o, quantomeno, codificati.

Per comprendere al meglio lo spirito del GDPR in quest’ottica, è opportuno richiamare l’attenzione sul principio cardine del Regolamento e della normativa italiana in materia (D. Lgs. 30 giugno 2003, n. 196), ossia quello di accountability (responsabilizzazione): le Società del Gruppo che devono adottare e rispettare le regole e principi del GDPR sono chiamate a conoscere in primis la realtà in cui operano, gli strumenti di cui sono dotate, il personale che hanno a disposizione e i contenuti della propria attività. Solo attraverso questa indagine interna, propedeutica per la conoscenza della propria struttura, ci si può realmente rendere conto dello stato in cui si versa dal punto di vista della “privacy”.
In sostanza, per garantire il rispetto del principio dell’accountability, le Società del Gruppo devono essere sempre in grado di giustificare le proprie scelte adottate alla luce del Regolamento, soprattutto in vista delle visite ispettive.


    3.3 Integrità dei dati

Il Gruppo Fedrigoni, ai sensi dell’art. 5 del Regolamento Europeo e in base alla normativa italiana in materia (D. Lgs. 30 giugno 2003, n. 196), tratta i dati personali conformando il proprio operato ai seguenti criteri generali:
• ciascun trattamento deve avvenire in modo lecito, trasparente e secondo correttezza;
• i dati trattatati devono essere raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;
• i dati trattati devono essere esatti e, se necessario, aggiornati;
• i dati trattati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
• i dati trattati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
• i dati devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).


    3.4 Scelta e consenso

Le Società del Gruppo s’impegnano a rispettare l’obbligo di raccolta del consenso come stabilito dagli artt. 6 e 7 del Regolamento e della normativa italiana in materia (D. Lgs. 30 giugno 2003, n. 196). Il gruppo si assicura che il consenso venga validamente prestato quindi dovrà essere sempre:
• preceduto da un’informativa corretta e completa;
• espresso liberamente e in modo inequivocabile;
• riferito univocamente ad un determinato trattamento;
• documentato per iscritto in relazione al tipo di dati raccolti (ad es. uso di dati sensibili).
Ai sensi dell’art. 6, comma 1, lett. b) – f), del Regolamento e della normativa italiana in materia (D. Lgs. 30 giugno 2003, n. 196) il consenso non è dovuto quando:
• il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
• il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
• il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.


    3.5 Informative

Il Gruppo Fedrigoni si adopera affinché tutte le operazioni di trattamento avvengano conformemente a quanto richiesto dagli artt. 13 e 14 del Regolamento (Informativa) e della normativa italiana in materia (D. Lgs. 30 giugno 2003, n. 196). Agli interessati deve essere sempre resa adeguata informativa all’atto della raccolta dei dati; qualora ciò non sia possibile poiché i dati personali sono raccolti presso terzi, l’Interessato deve ricevere informativa nel più breve tempo possibile o comunque entro un mese dalla raccolta dei dati o in occasione del primo contatto con esso.
I contenuti dell'informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1 del Regolamento e nella normativa italiana in materia (D. Lgs. 30 giugno 2003, n. 196), qui sotto riportati e deve avere forma concisa, trasparente, intelligibile per l'interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice.

Il gruppo si propone di includere all’interno delle proprie informative:
• l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
• i dati di contatto del responsabile della protezione dei dati, ove applicabile;
• le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
• la descrizione dei legittimi interessi perseguiti dal titolare del trattamento o da terzi, qualora il trattamento abbia questa base giuridica;
• gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
• ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale e le garanzie sulla data protection legate a tale trasferimento;
• il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
• modalità possibilità di esercizio dei diritti previsti dal GDPR;
• il diritto di proporre reclamo a un'autorità di controllo;
• l’indicazione se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
• l'esistenza di un processo decisionale automatizzato, compresa la profilazione e informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

Non è ammesso il consenso tacito o presunto.


    3.6 Accesso ai dati personali e altri diritti dell’Interessato

Il Gruppo Fedrigoni garantisce a ciascun individuo di cui sono trattati i dati personali il libero esercizio dei diritti previsti dagli artt. 15- 22 del Regolamento e dalla normativa italiana in materia (D. Lgs. 30 giugno 2003, n. 196).

In particolare, l’Interessato ha il diritto di:
• ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, ottenerne l’accesso;
• opporsi ad un determinato trattamento di dati personali per motivi legittimi al fine di farlo cessare definitivamente;
• revocare il proprio consenso in qualsiasi momento, senza che venga pregiudicata la liceità del trattamento basata sul consenso prima della revoca;
• ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano, senza ingiustificato ritardo e l’integrazione dei dati personali incompleti, anche tramite apposita dichiarazione integrativa;
• richiedere che i propri dati siano trattati unicamente ai fini di conservazione, con esclusione di qualunque altra operazione di trattamento;
• ottenere la cancellazione dei propri dati personali quando ne ricorrano i presupposti.


    3.7 Trasferimento di dati personali

Le Società del Gruppo s’impegnano ad adottare le misure necessarie per garantire che i trasferimenti di dati personali siano conformi con la normativa applicabile anche nel caso in cui questo dovesse avvenire da parte di soggetti terzi che agiscono in qualità di subappaltatori. In ossequio al principio di libera circolazione dei dati personali, il Regolamento regola il trasferimento dei dati tra gli Stati membri dell’Unione Europea o allo Spazio Economico Europeo (Norvegia, Islanda, Liechtenstein).

Per il trasferimento dei dati verso un Paese non appartenete alla UE/SEE, invece, devono sussistere una o più delle seguenti condizioni:
• L’ordinamento del paese di destinazione o di transito dei dati assicura un livello di tutela delle persone giudicato “adeguato” dalla Commissione Europea
• sono stati adottati strumenti contrattuali che offrano garanzie adeguate (Standard contractual clauses, binding corporate rules, etc.);
• l’interessato abbia esplicitamente manifestato il proprio consenso al trasferimento (per iscritto, in caso di dati particolari) proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
• il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
• il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
• il trasferimento sia necessario per importanti motivi di interesse pubblico;
• il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
• il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso.


    4. Sanzioni amministrative

Il mancato rispetto delle prescrizioni del Regolamento e della normativa italiana in materia (D. Lgs. 30 giugno 2003, n. 196) comporta l’applicazione di sanzioni amministrative per il Titolare, che possono raggiungere anche i 20 milioni di euro.
L’art. 83 del GDPR prevede due tipologie di sanzioni amministrative pecuniarie a valere per tutte le violazioni al Regolamento - violazioni di minore gravità e violazioni di maggiore gravità.
A titolo esemplificativo e non esaustivo, secondo quanto indicato dall’art. 83 lett.a) par. 4, il mancato rispetto degli obblighi da parte del Titolare del trattamento o del responsabile del trattamento, comporta la sanzione amministrativa pari a 10 milioni di euro o per le imprese fino al 2% del fatturato totale mondiale annuo dell’esercizio precedente, se superiore.
La lettera b) del paragrafo 5, dell’art. 83 del GDPR prevede che la violazione dei diritti degli interessati, a norma degli articoli da 15 a 22, rientri tra le violazioni di maggiore gravità, per le quali sono previste sanzioni fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.


    5. Vigilanza & Revisioni

Con la presente privacy policy il Gruppo Fedrigoni s’impegna a vigilare sull’osservanza della policy stessa e della relativa documentazione aziendale anche in merito all’applicazione di misure tecniche organizzate per assicurare un livello adeguato di trattamento; da tale policy le disposizioni ivi contenute devono essere rispettate da tutti i destinatari. Al presente policy viene data la più ampia diffusione possibile attraverso la pubblicazione presso gli albi e le bacheche riservate al personale; ne verrà inoltre consegnata una copia ai neo-assunti e ai collaboratori. Ogni variazione e/o integrazione di esso dovrà essere approvata dal Group Compliance Officer che coordina le attività di mantenimento del rispetto delle norme, collabora con il board e comunica tempestivamente ai servizi aziendali gli eventuali cambiamenti.

L’AMMINISTRATORE DELEGATO
MARCO NESPOLO

GROUP COMPLIANCE OFFICER
VINCENZO D’IMPERIO