Privacy Policy

1. SCOPO DEL DOCUMENTO

Questo documento ha lo scopo di illustrare le privacy policy adottate dalla Ges.A.P. S.p.A. per progettare, definire, impostare e condurre un sistema di gestione conforme dei trattamenti di dati personali effettuati dalla società sia nella sua veste di titolare del trattamento, che quale responsabile del trattamento. Tali policy rispondono alla finalità di: – dimostrare che il trattamento dei dati personali è effettuato conformemente al Regolamento Generale sulla protezione dei dati (di seguito GDPR); – costituire una base per trasmettere, comunicare, condividere, controllare, aggiornare, rivedere e migliorare tutto ciò che il titolare mette in atto per garantire che il trattamento di dati personali sia effettuato conformemente al GDPR, ivi inclusa la sicurezza. (Articoli 24 e 32 GDPR)

2. TITOLARITA’

a. TITOLARE DEL TRATTAMENTO Titolare del trattamento è Ges.A.P. S.p.A. (di seguito Gesap), con sede in Cinisi (PA) – 90045, Partita IVA 03244190827, C.C.I.A.A. PALERMO 128783. Il legale rappresentante è il Presidente del Consiglio di Amministrazione pro tempore.

i. Governance Gesap è una società per azioni, italiana, amministrata da un Consiglio di Amministrazione composto da cinque membri. Attualmente il capitale sociale, pari ad Euro 66.850.026,85, è sottoscritto prevalentemente da Soci pubblici al 98,59%; partecipano con quote minoritarie anche altri Enti territoriali, economici e soggetti privati.

ii. Business Gesap ha per scopo primario la gestione in concessione dell’Aeroporto Internazionale “Falcone Borsellino” di Palermo. Tale attività si esplica nella progettazione, sviluppo e gestione delle infrastrutture per l’esercizio delle attività aeroportuali e di attività commerciali.

b. RESPONSABILE DELLA PROTEZIONE DEI DATI Gesap per la natura e per i trattamenti dei dati personali svolti sia quale titolare che quale responsabile del trattamento, non rientra tra i soggetti obbligati di cui alle lettere a) b) e c) del primo paragrafo dell’art. 37 del GDPR. Tuttavia, come raccomandato dalle “Linee Guida sui responsabili della protezione dei dati personali”, considerato che Gesap è quasi interamente partecipata da enti pubblici e che svolge servizi di pubblico interesse, ha ritenuto necessario nominare il Responsabile della Protezione dei Dati personali. Il Responsabile della Protezione dei Dati personali (DPO)è stato individuato dalla Gesap tra una delle 2 figure interne della Società, nel responsabile del Servizio Legale e Contenzioso, raggiungibile presso il seguente contatto: Avv. Anna Tripiciano – tel. +39 335 1841446; indirizzo [email protected]. 3. PRINCIPI Gesap riconosce, accetta e si obbliga a garantire il rispetto dei principi di seguito dettagliati sia nei trattamenti di dati personali dallo stesso svolti quale titolare o contitolare, sia in quelli svolti in qualità di a responsabile del trattamento. a. LICEITÀ Gesap svolge i soli trattamenti di dati personali che si fondano su una delle basi giuridiche di cui all’art. 6 GDPR (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati). Gesap tratta categorie particolari di dati personali (dati idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, …), solo se sussiste uno dei casi previsti dall’art. 9.2 GDPR. Gesap tratta i dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza, solo su una delle basi giuridiche di cui all’articolo 10 GDPR e soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. b. CORRETTEZZA Gesap tratta i dati personali esclusivamente per scopi determinati, espliciti e legittimi, senza scorrettezze o raggiri nei confronti degli interessati attenendosi rigidamente nei limiti delle basi giuridiche che ne legittimano il trattamento. c. TRASPARENZA Gesap adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. In particolare Gesap, per ogni trattamento che svolge, rende noto all’interessato le modalità con cui i dati personali sono raccolti, utilizzati, consultati o altrimenti trattati nonché la misura in cui i dati personali sono o saranno trattati. Le informazioni e le comunicazioni relative al trattamento di tali dati personali devono essere facilmente accessibili e comprensibili. d. LIMITAZIONE DELLA FINALITÀ Gesap tratta i dati personali per finalità determinate, esplicite e legittime, assicurandosi che i trattamenti non siano incompatibili con tali finalità. 3 e. MINIMIZZAZIONE DEI DATI Gesap tratta dati personali adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. f. ESATTEZZA Gesap tratta dati personali esatti e, se necessario, aggiornati; adottando tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati; g. LIMITAZIONE DELLA CONSERVAZIONE Gesap conserva i dati personali in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; h. INTEGRITÀ E RISERVATEZZA Gesap tratta i dati personali in maniera da garantirne un’adeguata sicurezza, proteggendoli, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti o dalla loro perdita, distruzione o da danni accidentali. (Articolo 5 del GDPR) i. DATA PROTECTION BY DESIGN E BY DEFAULT Gesap adotta l’approccio metodologico a qualsiasi progetto, in base al quale deve essere valutata la protezione dei dati personali sin dalla progettazione. Per qualunque attività di trattamento, quindi, sia strutturale sia ancora concettuale, si deve considerare la protezione dei dati personali dal momento della sua progettazione e si devono prevedere soluzioni per la protezione dei dati personali. Gesap mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento; in particolare le misure tecniche e organizzative messe in atto hanno lo scopo di garantire che – per impostazione predefinita – i dati personali vengano trattati solo per le specifiche finalità del trattamento e solo da un numero di persone fisiche limitato al perseguimento di dette finalità. 4. CONTESTO Tenuto conto dell’ambito di trattamento, del contesto geografico e del contesto sociale in cui la Società opera i trattamenti di dati personali sono conformati ai requisiti di compliance definiti. 5. METODOLOGIA Nel rispetto del principio di “responsabilizzazione” (accountability nell’accezione inglese) richiesto dal Regolamento Europeo, le attività di conformità devono essere assunte nello spirito di consapevolezza. Le scelte assunte devono essere tracciabili e condivisibili. Queste esigenze, unite anche all’esigenza di garantire la dinamicità ed adeguatezza delle misure organizzative e tecniche che Gesap mette in atto per garantire il rispetto del GDPR, hanno indirizzato la metodologia secondo gli standard UNI CEN ISO, le Linee Guida e le Best Practices, comunemente riconosciute. 6. COMPITI E RESPONSABILITÀ Questo paragrafo, coerentemente alla mappa organizzativa, descrive i compiti e le responsabilità delle posizioni, ovvero di articolazioni organizzative (che possono essere sia strutture, aggregazioni stabili di persone tra loro organizzate per erogare determinati output; sia figure, posizioni individuali stabili e dotate di autonomia) sia riguardo alla normale operatività ed obiettivi della Società, sia riguardo le attività legate al rispetto del GDPR. I compiti e le responsabilità relativi alla conformità dei trattamenti di dati personali sono comunicati a cura del “Privacy Manager” a tutti coloro che devono assumersene la responsabilità, assicurandosi che i compiti siano compresi ed accettati. Il “Privacy Manager” mantiene aggiornato l’elenco delle posizioni, acquisendo le informazioni dalle altre funzioni della Società. Tutti coloro i quali trattano dati personali, a qualsiasi titolo ed in qualsiasi posizione, per conto di Gesap, devono essere stati da questa preventivamente autorizzati, formati ed istruiti. Il trattamento dei dati personali è subordinato ad un sistema di autorizzazione basato su “profili di autorizzazione” redatti per unità operativa omogenee e/o per specifiche persone. Il Privacy Manager si assicura che chiunque sia stato autorizzato al trattamento dei dati personali, svolga le operazioni di trattamento, nell’ambito di trattamento assegnato, secondo profili di autorizzazione coerenti al principio del “need to know”. 7. MISURE DI SICUREZZA L’art. 32 GDPR prescrive al titolare e al responsabile del trattamento di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Gesap, tenuto conto della natura dei dati trattati attraverso le attività di trattamento, della vulnerabilità stimata degli strumenti di trattamento, delle minacce e delle soluzioni offerte dallo stato dell’arte, nonché delle risorse a disposizione, ha individuato dei livelli di sicurezza da applicare alle attività di trattamento svolte in proprio ed a quelle che sono svolte dai suoi responsabili del trattamento corredandole anche di una valutazione della priorità di adeguamento e di alcune ulteriori misure personalizzate aggiuntive. Questi livelli di sicurezza sono altresì proposti da Gesap ai titolari per conto dei quali svolge attività di trattamento quale responsabile del trattamento. Fonti: – Art. 32 GDPR – Allegato B al D.Lgs. 196/2003 – Disciplinare tecnico in materia di misure minime di sicurezza – Circolare 18/4/2017 n. 2/2017 – Misure minime di sicurezza ICT per le pubbliche amministrazioni – CIS Controls – marzo 2018 – ENISA – Recommendations for a methodology of the assessment of severity of personal data breaches 8. SITO WEB Per quanto attiene l’interazione con il sito web si precisa che tali policy valgono per il sito https://www.aeroportodipalermo.it e non per altri siti web consultabili tramite link. Il sito web della Gesap utilizza cookie tecnici per migliorare l’esperienza di navigazione e non registra alcun cookie di profilazione. Per maggiori informazioni, fare riferimento alla predetta Privacy Policy. A seguito della consultazione di questo sito possono essere trattati dati relativi a persone identificate o identificabili. Dati di navigazione I sistemi informatici e le procedure software preposte al funzionamento di questo sito acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di internet. Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per la loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti. In questa categoria di dati rientrano gli indirizzi IP o i nomi di dominio del computer utilizzati dagli utenti che si collegano al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore ecc…) ed altri parametri relativi al sistema operativo ed all’ambiente informatico dell’utente. Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull’uso del sito e per controllare il corretto funzionamento e vengono mantenuti per il periodo minimo richiesto dalla normativa vigente. I dati potrebbero essere utilizzati per l’accertamento di responsabilità in caso di ipotetici reati informatici ai danni del sito.