Questo documento ha lo scopo di illustrare le privacy policy adottate da Aeroporti di Puglia S.p.A. (di
seguito altresì più brevemente denominata ADP) per progettare, definire, impostare e condurre un
sistema di gestione conforme dei trattamenti di dati personali effettuati dalla società sia nella sua veste
di titolare del trattamento, che quale responsabile del trattamento.
Tali policy rispondono alle finalità di:
– dimostrare che il trattamento di dati personali è effettuato conformemente al Regolamento Generale
sulla protezione dei dati (di seguito GDPR);
– costituire una base per trasmettere, comunicare, condividere, controllare, aggiornare, rivedere e
migliorare tutto ciò che il titolare mette in atto per garantire che il trattamento di dati personali è
effettuato conformemente al GDPR, ivi inclusa la sicurezza. (Articoli 24 e 32 GDPR)
Titolare del trattamento è Aeroporti di Puglia S.p.A., con sede in Palese Bari – 70128, viale Enzo Ferrari, Partita IVA 03094610726, R.T. BARI 15742, C.C.I.A.A. BARI 243199. Il legale rappresentante è il presidente del Consiglio di Amministrazione pro tempore
Aeroporti di Puglia S.p.A. è una società per azioni, italiana, amministrata da un consiglio di amministrazione composto da tre membri. Attualmente al capitale sociale, pari ad Euro 12.950.000,00 è sottoscritto dalla Regione Puglia al 99,41%, partecipano con quote minoritarie anche altri Enti territoriali ed economici. La società è sottoposta al controllo del Collegio Sindacale e dell’Organismo di Vigilanza ex D.Lgs. 231/2001. Non ci sono deleghe.
Aeroporti di Puglia S.p.A. ha per scopo primario la gestione in concessione degli aeroporti pugliesi. Tale attività si esplica nella progettazione, sviluppo e gestione delle infrastrutture per l’esercizio delle attività aeroportuali e di attività commerciali. Rientra, pertanto, tra le attività ricomprese nell’oggetto sociale, anche la gestione dei servizi aviation e non aviation. In particolare le attività aviation comprendono, tra gli altri, i seguenti servizi:
Le attività non aviation comprendono:
Non si segnalano le seguenti situazioni di contitolarità ai sensi dell’Art. 26 GDPR:
Aeroporti di Puglia S.p.A., per la natura e per i trattamenti di dati personali svolti sia quale titolare che
quale responsabile del trattamento, non rientra tra i soggetti obbligati di cui alle lettere a) b) e c) del
primo paragrafo dell’art. 37 GDPR.
Tuttavia, come raccomandato dalle “Linee Guida sui responsabili della protezione dei dati personali”
adottate dal “Gruppo di lavoro articolo 29 per la protezione dei dati” – WP243.1, considerato che ADP
è interamente partecipata da enti pubblici e che svolge servizi di pubblico interesse, si è ritenuto
necessario nominare il Responsabile della Protezione dei Dati personali.
Il Responsabile della Protezione dei Dati personali (DPO) è raggiungibile presso i seguenti contatti:
Società P4I, Viale Enzo Ferrari 70124 Bari; indirizzo @
dpo@aeroportidipuglia.it
ADP riconosce, accetta e si obbliga a garantire il rispetto dei principi di cui appresso sia nei trattamenti di dati personali dallo stesso svolti quale titolare o contitolare, sia in quelli svolti da responsabile del trattamento.
ADP svolge i soli trattamenti di dati personali che si fondano su una delle basi giuridiche di cui all.’art. 6
GDPR (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi,
obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse
legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).
ADP tratta categorie particolari di dati personali, (ovvero dati idonei a rivelare l’origine razziale o etnica,
le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati genetici, dati
biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita
sessuale o all’orientamento sessuale della persona), solo se sussiste uno dei casi previsti dall’art. 9.2
GDPR.
ADP tratta i dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza, solo
su una delle basi giuridiche di cui all’articolo 10 GDPR e soltanto sotto il controllo dell’autorità
pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda
garanzie appropriate per i diritti e le libertà degli interessati.
ADP tratta i dati personali esclusivamente per scopi determinati, espliciti e legittimi, senza scorrettezze o raggiri nei confronti degli interessati attenendosi rigidamente nei limiti delle basi giuridiche che ne legittimano il trattamento.
ADP adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. In particolare ADP, per ogni trattamento che svolge, rende noto all’interessato le modalità con cui i dati personali sono raccolti, utilizzati, consultati o altrimenti trattati nonchè la misura in cui i dati personali sono o saranno trattati. Le informazioni e le comunicazioni relative al trattamento di tali dati personali devono essere facilmente accessibili e comprensibili
ADP tratta i dati personali per finalità determinate, esplicite e legittime, ed assicurandosi che i trattamenti non siano incompatibili con tali finalità.
ADP tratta dati personali adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
ADP tratta dati personali esatti e, se necessario, aggiornati; adottando tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
ADP conserva i dati personali in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
ADP tratta i dati personali in maniera da garantirne un’adeguata sicurezza, proteggendoli, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti o dalla loro perdita, distruzione o da danni accidentali. (Articolo 5 del GDPR)
ADP adotta l’approccio metodologico a qualsiasi progetto, in base al quale deve essere valutata la protezione dei dati personali sin dalla progettazione. Per qualunque attività di trattamento, quindi, sia strutturale sia ancora concettuale, si deve considerare la protezione dei dati personali dal momento della sua progettazione e si devono prevedere soluzioni per la protezione dei dati personali. ADP mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento; in particolare le misure tecniche e organizzative messe in atto hanno lo scopo di garantire che – per impostazione predefinita – i dati personali vengano trattati solo per le specifiche finalità del trattamento e solo da un numero di persone fisiche limitato al perseguimento di dette finalità.
Tenuto conto dell’ambito di trattamento, del contesto geografico e del contesto sociale in cui la Società opera i trattamenti di dati personali sono conformati ai requisiti di compliance definiti ed individuati nell’elenco di seguito. Tale elenco è conservato, mantenuto ed aggiornato a cura del Privacy Manager.
Nel rispetto del principio di “responsabilizzazione” (accountability nell’accezione inglese) richiesto dal
Regolamento Europeo, le attività di conformità devono essere assunte nello spirito di consapevolezza.
Le scelte assunte devono essere tracciabili e condivisibili.
Queste esigenze, unite anche all’esigenza di garantire la dinamicità ed adeguatezza delle misure
organizzative e tecniche che ADP mette in atto per garantire il rispetto del GDPR, hanno indirizzato la
metodologia secondo gli standard UNI CEN ISO, le Linee Guida e le Best Practices, comunemente
riconosciute.
L’approccio al rischio è di tipo olistico, sommando sia la prospettiva del lato attivo del trattamento, che
quella dei dati, che, infine, degli interessati.
I rischi sono gestiti proattivamente in via preventiva.
Questo paragrafo, coerentemente alla mappa organizzativa, descrive i compiti e le responsabilità delle
posizioni, ovvero di articolazioni organizzative (che possono essere sia strutture, aggregazioni stabili di
persone tra loro organizzate per erogare determinati output; sia figure, posizioni individuali stabili e
dotate di autonomia) sia riguardo alla normale operatività ed obiettivi della Società, sia riguardo le
attività legate al rispetto del GDPR.
I compiti e le responsabilità relativi alla conformità dei trattamenti di dati personali sono comunicati a
cura del “Privacy Manager” a tutti coloro che devono assumersene la responsabilità, assicurandosi che i
compiti siano compresi ed accettati. Il “Privacy Manager” mantiene aggiornato l’elenco delle posizioni,
acquisendo le informazioni dalle altre funzioni della Società.
Tutti coloro i quali trattano dati personali, a qualsiasi titolo ed in qualsiasi posizione, per conto di ADP,
devono essere stati da questa preventivamente autorizzati, formati ed istruiti.
Il trattamento dei dati personali è subordinato ad un sistema di autorizzazione basato su “profili di
autorizzazione” redatti per unità operativa omogenee e/o per specifiche persone.
Il Privacy Manager si assicura che chiunque sia stato autorizzato al trattamento dei dati personali, svolga
le operazioni di trattamento, nell’ambito di trattamento assegnato, secondo profili di autorizzazione
coerenti al principio del “need to know”.
L’art. 32 GDPR prescrive al titolare e al responsabile del trattamento di mettere in atto misure tecniche
e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenuto conto dello
stato dell’arte e dei costi di attuazione, nonchè della natura, dell’oggetto, del contesto e delle finalità del
trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone
fisiche.
ADP, tenuto conto della natura dei dati trattati attraverso le attività di trattamento, della vulnerabilità
stimata degli strumenti di trattamento, delle minacce e delle soluzioni offerte dallo stato dell’arte,
nonchè delle risorse a disposizione, ha individuato dei livelli di sicurezza da applicare alle attività di
trattamento svolte in proprio e a quelle che sono svolte dai suoi responsabili del trattamento
corredandole anche di una valutazione della priorità di adeguamento e di alcune ulteriori misure
personalizzate aggiuntive.
Questi livelli di sicurezza sono altresì proposti da ADP ai titolari per conto dei quali svolge attività di
trattamento quale responsabile del trattamento.
Fonti:
Per quanto attiene l’interazione con il sito web si precisa che tali policy valgono per il sito
http://www.aeroportidipuglia.it e non per altri siti web consultabili tramite link.
Il sito web degli Aeroporti di Puglia utilizza cookie tecnici per migliorare l’esperienza di navigazione e
non registra alcun cookie di profilazione. Per maggiori informazioni, fare riferimento alla predetta
Privacy Policy.
A seguito della consultazione di questo sito possono essere trattati dati relativi a persone identificate o
identificabili.
Dati di navigazione
I sistemi informatici e le procedure software preposte al funzionamento di questo sito acquisiscono, nel
corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell’uso dei
protocolli di comunicazione di internet.
Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per
la loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi,
permettere di identificare gli utenti. In questa categoria di dati rientrano gli indirizzi IP o i nomi di
dominio del computer utilizzati dagli utenti che si collegano al sito, gli indirizzi in notazione URI
(Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel
sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante
lo stato della risposta data dal server (buon fine, errore ecc…) ed altri parametri relativi al sistema
operativo e all’ambiente informatico dell’utente.
Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull’uso del sito e
per controllare il corretto funzionamento e vengono mantenuti per il periodo minimo richiesto dalla
normativa vigente.
I dati potrebbero essere utilizzati per l’accertamento di responsabilità in caso di ipotetici reati
informatici ai danni del sito.