Fondoposte con sede in Via Barberini, 68 - Roma è il Fondo Nazionale di Pensione Complementare per il Personale di Poste Italiane S.p.A. e delle Società controllate che ne applicano il contratto nazionale, costituito il 31 Luglio 2002, nella forma di associazione senza scopo di lucro.

Nello svolgimento della propria attività, il Fondo promuove e supporta l'adozione di adeguate misure di sicurezza tecniche ed organizzative per garantire la protezione dei dati personali trattati, al fine di assicurare il rispetto dei diritti dei soggetti interessati ed il puntuale rispetto delle Norme (Regolamento (UE) 2016/679, D. Lgs. 196/2003 – Codice Privacy, Provvedimenti emessi dall'Autorità Garante).

Tale impegno si traduce in azioni concrete per definire ed attuare un adeguato processo di "Gestione Privacy" che rappresenta lo strumento operativo per lo svolgimento, il coordinamento, il controllo e la comunicazione di tutti gli aspetti che riguardano il trattamento dei dati personali.

Fondoposte ha nominato un Responsabile della Protezione dei Dati.

Di seguito si descrivono i principi ed i requisiti che il Fondo si impegna a rispettare nelle operazioni di trattamento.

1. Responsabilizzazione (Accountability)

Il Fondo si impegna ad identificare tutte le misure tecniche ed organizzative necessarie a garantire il corretto trattamento dei dati personali (art. 32 del Regolamento), per saper rispondere delle conseguenze di tali scelte, ed infine per dimostrare l'attuazione delle misure identificate (art. 24 del Regolamento).

Il Fondo si impegna pertanto ad effettuare, tramite il Responsabile della Protezione dei dati, puntuali e continue verifiche sulle attività svolte dall'organizzazione e dai suoi fornitori, al fine dare evidenza dei principi contenuti in questa politica e regolamentati dalle procedure operative ed organizzative appositamente predisposte.

2. Principi applicabili al trattamento dei dati personali

Sono di seguito illustrati i Principi applicabili al trattamento dei dati personali che il Fondo si impegna a rispettare nella conduzione delle proprie attività.

Protezione dei dati fin dalla progettazione (Privacy by design)

Il Fondo si impegna a definire, prima dell'inizio del trattamento, le strategie necessarie a condurre il trattamento in modo corretto; la corretta progettazione dei servizi e dei trattamenti di dati personali è principio cardine del regolamento, per prevenire il verificarsi dei rischi realizzando una tutela effettiva da un punto sostanziale, non solo formale.

Protezione dei dati per impostazione predefinita (Privacy by default)

Il Fondo si impegna a definire, prima dell'inizio del trattamento, le modalità operative per condurre il trattamento in modo corretto, garantendo la protezione dei diritti e delle libertà dei soggetti interessati di cui sono trattati i dati, e quindi rispettare i requisiti di trasparenza, autolimitazione, minimizzazione, esattezza, oblio, riservatezza, integrità.

Liceità, trasparenza e correttezza

Il Fondo si impegna ad identificare per ciascun trattamento gli ambiti di liceità come previsto dall'Art. 6 e 9 del Regolamento.

Limitazione della finalità

Il Fondo si impegna a raccogliere i dati per finalità determinate, esplicite e legittime, e successivamente a trattarli in modo che non vi sia incompatibilità con tali finalità. Un trattamento dei dati personali per nuove e diverse finalità deve essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. Al fine di rispettare tale principio il Fondo si impegna a:

• aggiornare i moduli di informativa a seguito di introduzione di nuovi trattamenti, puntualmente rendicontati nel Registro dei Trattamenti;
• fornire all'interessato il modulo dell'informativa aggiornato nel caso in cui utilizzi i dati personali per finalità diverse da quelle per cui essi sono stati raccolti;
• valutare, con l'ausilio del Responsabile della protezione dei dati, la compatibilità o meno delle finalità ulteriori con quelle iniziali.

Minimizzazione dei dati

Il Fondo si impegna a garantire che i dati trattati debbano essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Quando non è possibile utilizzare dati anonimi o aggregati in modo non riconducibile a singole persone o soggetti identificati od identificabili, l'impiego di dati personali deve essere il più limitato possibile.

In particolare, qualora i dati personali non siano raccolti presso l'interessato è fondamentale esplicitare puntualmente le categorie di dati oggetto di trattamento, oltre che le fonti utilizzate. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità.

Al fine di rispettare tale principio il Fondo definisce ed implementa misure tecniche e organizzative adeguate al fine di garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.

Esattezza

Il Fondo si impegna a garantire che i dati trattati siano esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.

In tal senso il Fondo si impegna a garantire tempestivamente il riscontro alle richieste degli interessati in relazione all'accesso, modifica o rettifica dei dati personali trattati. Tali diritti vengono esplicitamente indicati nelle informative fornite agli interessati.

Limitazione della conservazione

Il Fondo si impegna a garantire che i dati trattati siano conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

3. Misure di sicurezza

Il Fondo si impegna ad attuare, nel rispetto dell'art. 32 del Regolamento, tutte le misure di sicurezza tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

• la pseudonimizzazione e la cifratura dei dati personali;
• la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
• la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
• una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Pertanto, il Fondo si assicura che:

• i dati trattati non siano messi a disposizione/conoscenza di Funzioni/soggetti che non abbiano la necessità lavorativa di venirne a conoscenza (principio del need to know);
• ogni Funzione o incaricato può trattare solo i dati personali di competenza, necessari per il conseguimento dei compiti previsti.

4. Registro delle attività di trattamento

Il Fondo si impegna a redigere e mantenere aggiornato il registro delle attività di trattamento