Protezione dei Dati

Scopo e campo di applicazione
Ferrovia Vigezzina-Centovalli, e da ora in poi definita come “Organizzazione”, si impegna a essere conforme alle leggi e ai regolamenti applicabili relativi alla protezione dei dati personali nei paesi dove questa opera, in questo caso alla nLPD Svizzera.

La presente policy definisce i principi fondamentali secondo i quali l’organizzazione tratta i dati personali di clienti, fornitori, business partner, dipendenti ed altri individui, ed indica le responsabilità dei propri servizi e dei propri dipendenti nel trattamento dei dati personali.

La presente policy si applica all’organizzazione e alle sue controllate (direttamente o indirettamente) che svolgono la propria attività all’interno della svizzera, dell’Area Economica Europea o trattano dati personali di interessati in tale area.

I destinatari della presente procedura sono tutti i dipendenti, temporanei o permanenti.

I principi della nLPD
I principi sulla protezione dei dati delineano le responsabilità base (accountability) per le organizzazioni che si occupano del trattamento dei dati personali. “il titolare del trattamento è competente per il rispetto di tali principi e deve essere in grado di dimostrare la conformità dei propri trattamenti a tali principi”.

Liceità, correttezza e trasparenza
I dati personali devono essere trattati in modo lecito, equo e trasparente in relazione all'interessato.

Limitazione della finalità
I dati personali devono essere raccolti per scopi specifici, espliciti e legittimi e non ulteriormente trattati in modo incompatibile con tali scopi.

Minimizzazione dei dati
I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario in relazione agli scopi per i quali sono trattati. Se possibile per ridurre i rischi per gli interessati l’organizzazione deve applicare l'anonimizzazione o la pseudonimizzazione ai dati personali.

Esattezza
I dati personali devono essere accurati e, ove necessario, aggiornati; misure ragionevoli devono essere prese per garantire che i dati personali inaccurati, in relazione alle finalità per cui sono trattati, siano cancellati o rettificati in modo tempestivo.

Limitazione del periodo di conservazione
I dati personali devono essere conservati per un periodo non superiore a quello necessario agli scopi per i quali i dati personali sono trattati.

Integrità e riservatezza
Tenendo conto dello stato della tecnologia e di altre misure di sicurezza disponibili, dei costi di implementazione e della probabilità e della gravità dei rischi dei dati personali, l’organizzazione deve utilizzare misure tecniche o organizzative adeguate per trattare i dati personali in modo tale da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

Responsabilità
Il titolare del trattamento è competente per il rispetto di tali principi e deve essere in grado di dimostrare la conformità dei propri trattamenti a tali principi.

Raccolta
L’organizzazione deve cercare di raccogliere il minor numero possibile di dati personali. Se i dati personali sono raccolti da una terza parte, il Titolare deve assicurarsi che i dati personali siano raccolti secondo le previsioni di legge. 

Utilizzo, conservazione e smaltimento
L’organizzazione deve mantenere l'accuratezza, l'integrità, la riservatezza e la rilevanza dei dati personali in base allo scopo del trattamento. È necessario utilizzare adeguati meccanismi di sicurezza volti a proteggere i dati personali per impedire che vengano rubati o utilizzati in modo improprio e prevenire le violazioni dei dati personali. il Titolare è responsabile della conformità ai requisiti elencati in questa sezione.

Divulgazione a terzi
Ogni volta che l’organizzazione utilizza un fornitore di terza parte o un partner commerciale per trattare i dati personali per suo conto, il Titolare deve garantire che questo soggetto fornisca misure di sicurezza adeguate a salvaguardare i dati personali in relazione ai rischi associati. A tal fine, è necessario utilizzare apposito questionario di conformità.

Il fornitore o il partner commerciale deve elaborare i dati personali solo per adempiere ai propri obblighi contrattuali nei confronti dell’organizzazione o dietro istruzioni di quest’ultima e non per altri scopi. Quando l'organizzazione tratta i dati personali congiuntamente con una terza parte indipendente, l’organizzazione deve specificare esplicitamente le rispettive responsabilità nel rispettivo contratto o in qualsiasi altro documento legalmente vincolante, come il Contratto di trattamento dei dati del fornitore.

Trasferimento transfrontaliero dei dati personali
Prima di trasferire i dati personali dalla Confederazione Svizzera e dallo Spazio Economico Europeo (SEE) devono essere utilizzate misure di salvaguardia adeguate, compresa la firma di un accordo sul trasferimento dei dati, come richiesto dall'Unione europea e, se necessario, deve essere ottenuta l'autorizzazione da parte dell’autorità di protezione dei dati. L'entità che riceve i dati personali deve rispettare i principi del trattamento dei dati personali stabiliti nella Procedura di trasferimento dei dati transfrontalieri.

Diritti di accesso degli interessati
Quando agisce come titolare del trattamento dei dati, l’organizzazione è tenuta a fornire agli interessati un ragionevole meccanismo di accesso che consenta loro di accedere ai propri dati personali e deve consentire loro di aggiornare, correggere, cancellare o trasmettere i propri dati personali, se del caso o richiesto dalla legge. Il meccanismo di accesso sarà ulteriormente dettagliato nella Procedura di richiesta di accesso ai dati dell’interessato.

Portabilità dei dati
Gli interessati hanno il diritto di ricevere, su richiesta, una copia dei dati che hanno fornito, in un formato strutturato e di trasmettere gratuitamente tali dati a un altro titolare. il Titolare è responsabile di garantire che tali richieste vengano elaborate entro un mese, non siano eccessive e non pregiudichino i diritti sui dati personali di altre persone.

Diritto all’oblio
Su richiesta l’interessato ha il diritto di ottenere dall’organizzazione, la cancellazione dei suoi dati personali. Quando l’organizzazione agisce in qualità di titolare del trattamento, il Titolare deve intraprendere le azioni necessarie (comprese le misure tecniche) per informare le terze parti che usano o trattano quei dati di adeguarsi alla richiesta.

Organizzazione e responsabilità
La responsabilità di garantire un adeguato trattamento dei dati personali spetta a chiunque lavori all’interno dell’organizzazione o per suo conto e abbia accesso ai dati personali da essa trattati.

Il Consiglio di Amministrazione prende decisioni e approva le strategie generali dell’organizzazione in materia di protezione dei dati personali.

Il Consulente per la protezione dei dati DPO (nominato internamento o esternamente) o qualsiasi altro dipendente identificato come referente per il Sistema di gestione della Privacy PIMS, è responsabile della gestione del programma di protezione dei dati personali e dello sviluppo e della promozione delle procedure end-to-end di protezione dei dati personali.

Il responsabile del presente documento è il Titolare del trattamento, che ha il compito di controllarlo e, se necessario, aggiornarlo, almeno annualmente.