08/11/2024 - RAI - Radio Televisione Italiana S.p.A.: Politica in materia di gestione della Privacy

Politica in materia di gestione della Privacy

Politica in materia di gestione della Privacy

NOVEMBRE 2024

La politica di Rai Way in merito alle tematiche inerenti alla tutela dei dati personali ("Privacy") dei propri dipendenti ed esponenti aziendali nonché dei fornitori e clienti terzi si conforma alle applicabili disposizioni di legge - in particolare al Regolamento (UE) 2016/679, Regolamento Generale sulla Protezione dei Dati ("GDPR") ed al D.lgs. n. 193/2006 e sue successive modifiche ed integrazioni ("Codice Privacy") - sia in termini organizzativi che di rispetto delle misure di sicurezza. Il trattamento dei dati personali a livello aziendale è quindi improntato, in particolare, ai principi di cui all'articolo 5 del GDPR, assicurando che i dati personali stessi siano:

• raccolti, trattati, condivisi e conservati in modo lecito, corretto e trasparente a tutela dell'interessato, anche nei casi di trasferimento di dati a terze parti; si specifica che Rai Way nei casi di condivisione dei dati con terze parti, nominate Responsabili del trattamento, richiede alle stesse il rispetto di obblighi coerenti con le disposizioni procedurali interne in materia di protezione dei dati personali adottate da Rai Way stessa; Rai Way adotta una specifica procedura volta a disciplinare le modalità di svolgimento dei controlli sui Responsabili del trattamento nominati ai sensi dell'art. 28 del Regolamento (UE) 2016/679; Rai Way, ai sensi della suddetta procedura, prevede l'esecuzione di verifiche richiedendo informazioni e documenti al responsabile del trattamento, da effettuarsi nei tempi e con le modalità indicate nella suddetta procedura; fermo quanto sopra, Rai Way non cede, fornisce e/o concede in licenza dati personali a terze parti per scopi diversi dall'esecuzione dei contratti in essere con i propri fornitori;
• raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
• ottenuti dall'interessato in modo lecito e trasparente, richiedendo, ove necessario, l'espresso consenso così come previsto dall'art. 7 del GDPR;
• adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
• esatti e, qualora necessario, aggiornati; Rai Way garantisce agli interessati il diritto di accesso, modifica e cancellazione dei dati personali in ogni momento e adotta le misure ritenute necessarie per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati; al fine di esercitare i suddetti diritti gli interessati possono rivolgersi a Rai Way inviando un messaggio di posta elettronica all'indirizzo e-mail tutelaprivacy@raiway.it;
• conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati ovvero per l'adempimento di un obbligo normativo; Rai Way adotta specifiche linee guida in materia di conservazione dei dati personali al fine di individuare il periodo massimo di conservazione ovvero, qualora ciò non sia possibile, i criteri utilizzati per determinare tale periodo;
• trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno; a tal riguardo Rai Way ha implementato meccanismi di controllo degli accessi al fine di garantire un processo sicuro di identificazione, autenticazione e autorizzazione durante l'intero ciclo di vita dell'account; inoltre, Rai Way sui propri sistemi adotta di default la crittografia.

Rai Way segue al riguardo un modello di gestione per il trattamento dei dati personali - applicabile anche da parte di eventuali società controllate soggette a direzione e coordinamento di Rai Way - individuando anche i connessi strumenti organizzativi, gestionali e di controllo, con l'intento di garantire il corretto trattamento e la conservazione dei dati rispetto a possibili minacce di perdita di disponibilità, integrità e riservatezza. A tal fine, Rai Way si è dotata, in particolare, di una specifica procedura interna volta a disciplinare le modalità di intervento in tutti i casi in cui si verifichi una violazione dei dati personali, oltre che di diverse ulteriori disposizioni procedurali interne che prevedono, tra l'altro, l'implementazione di una serie di controlli volti a garantire la protezione dei dati stessi.

Inoltre, Rai Way assicura la gestione degli adempimenti imposti dalla normativa in materia di protezione dei dati personali nell'ambito dei contratti e della gestione dei fornitori prevedendo nei contratti e nei relativi disciplinari tecnici apposite clausole volte ad attuare in modo efficace i principi di protezione dei dati personali.

In particolare, si evidenzia che nell'ambito di tali procedure è prevista un'informativa tempestiva all'interessato, ove necessario, nei casi di violazione dei dati personali nonché qualora intervenga una modifica delle disposizioni procedurali aziendali rilevanti.

Il suddetto modello di gestione si basa, altresì, su un approccio che include i seguenti principali elementi:

• costante monitoraggio della conformità ai requisiti legislativi e contrattuali;
• prevenzione e rilevazione di software non autorizzati;
• gestione della continuità operativa;
• definizione delle misure proattive e reattive volte a eliminare/mitigare le conseguenze delle eventuali violazioni della sicurezza dei dati personali;
• definizione di responsabilità gestionali specifiche per la gestione della sicurezza dei dati personali con costituzione di un team interno dedicato all'esame e valutazione di tutti i relativi profili. Inoltre, rientra nelle competenze del Comitato Controllo e Rischi e per la Sostenibilità, costituito nell'ambito del Consiglio di Amministrazione, l'analisi relativa alla valutazione, anche dal punto di vista dei relativi aspetti di controllo interno e rischi, del modello di gestione aziendale della Privacy; l'Amministratore Delegato di Rai Way è delegato ai fini dell'adempimento di tutti gli obblighi imposti al Titolare derivanti dalla normativa in materia di protezione dei dati personali;
• implementazione e mantenimento di un modello organizzativo per la protezione dei dati personali, con differenti livelli di responsabilità e compiti; dal Delegato Privacy, in forza di delibera del Consiglio di Amministrazione, alla attribuzione di compiti e responsabilità ai responsabili di struttura mediante l'atto di designazione, il modello organizzativo si completa con autorizzazioni al trattamento particolareggiate al personale incaricato al trattamento ed atti di nomina agli amministratori di sistema. Con funzioni di consulenza e vigilanza sul modello organizzativo, collabora con la Società un avvocato specializzato nella materia, nominato dal Consiglio di Amministrazione quale Responsabile per la Protezione dei Dati personali (RPD o, dall'inglese Data Protection Officer, il più diffuso acronimo di DPO);
• verbalizzazione di incidenti inerenti alla sicurezza dei dati personali;
• predisposizione della documentazione organizzativa, gestionale e operativa a supporto della politica della sicurezza dei dati personali;

• divulgazione in forma adeguata, accessibile e comprensibile agli operatori e agli utenti, delle direttive e procedure di sicurezza;
• progettazione e realizzazione per tutto il personale stabile e non della Società di percorsi formativi sul trattamento dei dati personali con un ulteriore focus a tutti i soggetti autorizzati al trattamento;
• sistematica e periodica valutazione dei rischi come attività preventiva;
• pianificazione del controllo, misurazione, analisi e miglioramento dei processi necessari per garantire la conformità e migliorare l'efficacia del modello di gestione dei dati personali; a tal riguardo Rai Way effettua ad intervalli almeno biennali verifiche di assessment e audit a cura di esperti esterni indipendenti e audit interni per valutare diversi profili del modello stesso; le attività di risk assessment di natura informatica svolte - con cadenza almeno biennale, o dopo un importante cambiamento/incidente - da Rai Way per il tramite di fornitori esterni specializzati consentono di verificare, tramite l'utilizzo di strumenti automatici, l'efficacia di misure di protezione e di sicurezza dei dati. Gli esiti dell'analisi danno luogo, se del caso, ad azioni di miglioramento delle condizioni di sicurezza dei dati e dei sistemi informativi analizzati, la cui implementazione è supervisionata dalle competenti strutture aziendali;
• audit periodici del DPO, esterno ed autonomo, con riporto diretto all'Amministratore Delegato quale Delegato del Titolare del trattamento.