Scopo e campo di applicazione
AITI SERVIZI si impegna a essere conforme alle leggi e ai regolamenti applicabili relativi alla protezione dei dati personali nei paesi dove opera, in questo caso alla nLPD Svizzera.
La presente policy definisce i principi fondamentali secondo i quali l’organizzazione tratta i dati personali di clienti, fornitori, business partner, dipendenti e di altri individui ed indica le responsabilità dei propri servizi e dei propri dipendenti nel trattamento dei dati personali.
La presente policy si applica all’organizzazione e alle sue controllate (piattaforma www.e-lavoro.ch) che svolgono la propria attività all’interno della Svizzera, dell’Area Economica Europea o trattano dati personali di interessati in tale area.
I destinatari della presente procedura sono tutti i dipendenti, temporanei o permanenti, clienti, fornitori e collaboratori esterni e candidati all’occupazione.
I principi della nLPD
I principi sulla protezione dei dati delineano le responsabilità base (accountability) per le organizzazioni che si occupano del trattamento dei dati personali. “Il titolare del trattamento è competente per il rispetto di tali principi e deve essere in grado di dimostrare la conformità dei propri trattamenti a tali principi”.
Liceità, correttezza e trasparenza
I dati personali devono essere trattati in modo lecito, equo e trasparente in relazione all'interessato.
Limitazione della finalità
I dati personali devono essere raccolti per scopi specifici, espliciti e legittimi e non ulteriormente trattati in modo incompatibile con tali scopi.
Minimizzazione dei dati
I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario in relazione agli scopi per i quali sono trattati. Se possibile, per ridurre i rischi per gli interessati l’organizzazione deve applicare l'anonimizzazione o la pseudonimizzazione ai dati personali.
Esattezza
I dati personali devono essere accurati e, ove necessario, aggiornati; misure ragionevoli devono essere prese per garantire che i dati personali inaccurati, in relazione alle finalità per cui sono trattati, siano cancellati o rettificati in modo tempestivo.
Limitazione del periodo di conservazione
I dati personali devono essere conservati per un periodo non superiore a quello necessario agli scopi per i quali sono trattati.
Integrità e riservatezza
Tenendo conto dello stato della tecnologia, dei costi e della gravità dei rischi, l’organizzazione deve adottare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali, inclusa la protezione da trattamenti illeciti o non autorizzati e da distruzione o danni accidentali.
Responsabilità
Il titolare del trattamento è competente per il rispetto di tali principi e deve essere in grado di dimostrare la conformità dei propri trattamenti a tali principi.
Raccolta
L’organizzazione deve cercare di raccogliere il minor numero possibile di dati personali. Se raccolti da terzi, il Titolare deve assicurarsi che ciò avvenga nel rispetto della legge.
Utilizzo, conservazione e smaltimento
L’organizzazione deve mantenere l'accuratezza, l'integrità, la riservatezza e la rilevanza dei dati personali in base allo scopo del trattamento. È necessario utilizzare adeguati meccanismi di sicurezza volti a proteggere i dati personali per impedire che vengano rubati o utilizzati in modo improprio e prevenirne le violazioni. Il Titolare è responsabile della conformità ai requisiti elencati in questa sezione.
Divulgazione a terzi
Ogni volta che l’organizzazione utilizza un fornitore di terza parte o un partner commerciale per trattare i dati personali per suo conto, il Titolare deve garantire che questo soggetto fornisca misure di sicurezza adeguate a salvaguardare i dati personali in relazione ai rischi associati. A tal fine, è necessario utilizzare l’apposito questionario di conformità.
Il fornitore o il partner commerciale deve elaborare i dati personali solo per adempiere ai propri obblighi contrattuali nei confronti dell’organizzazione o dietro istruzioni di quest’ultima e non per altri scopi. Quando l'organizzazione tratta i dati personali congiuntamente con una terza parte indipendente, l’organizzazione deve specificare esplicitamente le rispettive responsabilità nel rispettivo contratto o in qualsiasi altro documento legalmente vincolante, come il Contratto di trattamento dei dati del fornitore.
Trasferimento transfrontaliero dei dati personali
Prima di trasferire i dati personali dalla Confederazione Svizzera e dallo Spazio Economico Europeo (SEE) devono essere utilizzate misure di salvaguardia adeguate, compresa la firma di un accordo sul trasferimento dei dati, come richiesto dall'Unione Europea e, se necessario, deve essere ottenuta l'autorizzazione da parte dell’autorità di protezione dei dati. L'entità che riceve i dati personali deve rispettarne i principi del trattamento stabiliti nella Procedura di trasferimento dei dati transfrontalieri.
Diritti di accesso degli interessati
Quando agisce come titolare del trattamento dei dati, l’organizzazione è tenuta a fornire agli interessati un ragionevole meccanismo di accesso che consenta loro di accedere ai propri dati personali e deve consentire loro di aggiornare, correggere, cancellare o trasmettere i propri dati personali, se del caso o se richiesto dalla legge. Il meccanismo di accesso sarà ulteriormente dettagliato nella Procedura di richiesta di accesso ai dati dell’interessato.
Portabilità dei dati
Gli interessati hanno il diritto di ricevere, su richiesta, una copia dei dati che hanno fornito, in un formato strutturato e di trasmettere gratuitamente tali dati a un altro titolare. il Titolare è responsabile di garantire che tali richieste vengano elaborate entro un mese, non siano eccessive e non pregiudichino i diritti sui dati personali di altre persone.
Diritto all’oblio
Su richiesta l’interessato ha il diritto di ottenere, dall’organizzazione, la cancellazione dei suoi dati personali. Quando l’organizzazione agisce in qualità di titolare del trattamento, il Titolare deve intraprendere le azioni necessarie (comprese le misure tecniche) per informare le terze parti che usano o trattano quei dati di adeguarsi alla richiesta.
Organizzazione e responsabilità
La responsabilità di trattare correttamente i dati personali riguarda chiunque lavori per l’organizzazione o per suo conto.
Il Consiglio di Amministrazione approva le strategie generali dell’organizzazione in materia di protezione dei dati.
Il responsabile del documento è il Titolare del trattamento, incaricato anche di verificarne e aggiornarne il contenuto almeno una volta all’anno.
Lugano, 14.03.2025
