PRIVACY POLICY

1. SCOPO DEL DOCUMENTO

Questo documento ha lo scopo di illustrare le privacy policy adottate da Aeroporti di Puglia S.p.A. (di seguito altresì più brevemente denominata ADP) per progettare, definire, impostare e condurre un sistema di gestione conforme dei trattamenti di dati personali effettuati dalla società sia nella sua veste di titolare del trattamento, che quale responsabile del trattamento.

Tali policy rispondono alle finalità di: – dimostrare che il trattamento di dati personali è effettuato conformemente al Regolamento Generale sulla protezione dei dati (di seguito GDPR); – costituire una base per trasmettere, comunicare, condividere, controllare, aggiornare, rivedere e migliorare tutto ciò che il titolare mette in atto per garantire che il trattamento di dati personali è effettuato conformemente al GDPR, ivi inclusa la sicurezza. (Articoli 24 e 32 GDPR)

2. TITOLARITA’

a. TITOLARE DEL TRATTAMENTO

Titolare del trattamento è Aeroporti di Puglia S.p.A., con sede in Palese Bari – 70128, viale Enzo Ferrari, Partita IVA 03094610726, R.T. BARI 15742, C.C.I.A.A. BARI 243199. Il legale rappresentante è il presidente del Consiglio di Amministrazione pro tempore

i. Governance

Aeroporti di Puglia S.p.A. è una società per azioni, italiana, amministrata da un consiglio di amministrazione composto da tre membri. Attualmente al capitale sociale, pari ad Euro 12.950.000,00 è sottoscritto dalla Regione Puglia al 99,41%, partecipano con quote minoritarie anche altri Enti territoriali ed economici. La società è sottoposta al controllo del Collegio Sindacale e dell’Organismo di Vigilanza ex D.Lgs. 231/2001. Non ci sono deleghe.

ii. Business

Aeroporti di Puglia S.p.A. ha per scopo primario la gestione in concessione degli aeroporti pugliesi. Tale attività si esplica nella progettazione, sviluppo e gestione delle infrastrutture per l’esercizio delle attività aeroportuali e di attività commerciali. Rientra, pertanto, tra le attività ricomprese nell’oggetto sociale, anche la gestione dei servizi aviation e non aviation. In particolare le attività aviation comprendono, tra gli altri, i seguenti servizi:

• gestione delle infrastrutture centralizzate;
• assistenza passeggeri, di rampa e merci;
• servizi assistenza a terra (handling): attualmente ADP gestisce le attività di servizio a terra per la maggior parte dei vettori che operano sugli scali pugliesi;
• servizi di sicurezza: la Società ha acquistato tutte le attrezzature necessarie ad effettuare il controllo dei bagagli della stiva, obbligatorio dal gennaio 2003. Dal marzo 2002, negli aeroporti pugliesi, sono stati attivati i servizi di controllo passeggeri in partenza e transito e bagagli a mano;

Le attività non aviation comprendono:

• subconcessioni di spazi a terzi: le subconcessioni si riferiscono, principalmente, ad attività di autonoleggio, ristorazione e rifornimento di combustibile agli aeromobili;
• gestione degli spazi pubblicitari: ADP è concessionaria del servizio di affissione ed affida a terzi, in subconcessione, la gestione degli spazi pubblicitari;
• gestione del servizio di parcheggio a pagamento per i passeggeri in partenza.

b. CONTITOLARITÀ

Non si segnalano le seguenti situazioni di contitolarità ai sensi dell’Art. 26 GDPR:

c. RESPONSABILE DELLA PROTEZIONE DEI DATI

Aeroporti di Puglia S.p.A., per la natura e per i trattamenti di dati personali svolti sia quale titolare che quale responsabile del trattamento, non rientra tra i soggetti obbligati di cui alle lettere a) b) e c) del primo paragrafo dell’art. 37 GDPR.
Tuttavia, come raccomandato dalle «Linee Guida sui responsabili della protezione dei dati personali» adottate dal «Gruppo di lavoro articolo 29 per la protezione dei dati» – WP243.1, considerato che ADP è interamente partecipata da enti pubblici e che svolge servizi di pubblico interesse, si è ritenuto necessario nominare il Responsabile della Protezione dei Dati personali.
Il Responsabile della Protezione dei Dati personali (DPO) è raggiungibile presso i seguenti contatti: Società P4I, Viale Enzo Ferrari 70124 Bari; indirizzo @ dpo@aeroportidipuglia.it

3. PRINCIPI

ADP riconosce, accetta e si obbliga a garantire il rispetto dei principi di cui appresso sia nei trattamenti di dati personali dallo stesso svolti quale titolare o contitolare, sia in quelli svolti da responsabile del trattamento.

a. LICEITÀ

ADP svolge i soli trattamenti di dati personali che si fondano su una delle basi giuridiche di cui all.’art. 6 GDPR (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).
ADP tratta categorie particolari di dati personali, (ovvero dati idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona), solo se sussiste uno dei casi previsti dall’art. 9.2 GDPR.
ADP tratta i dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza, solo su una delle basi giuridiche di cui all’articolo 10 GDPR e soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.

b. CORRETTEZZA

ADP tratta i dati personali esclusivamente per scopi determinati, espliciti e legittimi, senza scorrettezze o raggiri nei confronti degli interessati attenendosi rigidamente nei limiti delle basi giuridiche che ne legittimano il trattamento.

c. TRASPARENZA

ADP adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. In particolare ADP, per ogni trattamento che svolge, rende noto all’interessato le modalità con cui i dati personali sono raccolti, utilizzati, consultati o altrimenti trattati nonchè la misura in cui i dati personali sono o saranno trattati. Le informazioni e le comunicazioni relative al trattamento di tali dati personali devono essere facilmente accessibili e comprensibili

d. LIMITAZIONE DELLA FINALITÀ

ADP tratta i dati personali per finalità determinate, esplicite e legittime, ed assicurandosi che i trattamenti non siano incompatibili con tali finalità.

e. MINIMIZZAZIONE DEI DATI

ADP tratta dati personali adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

f. ESATTEZZA

ADP tratta dati personali esatti e, se necessario, aggiornati; adottando tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;

g. LIMITAZIONE DELLA CONSERVAZIONE

ADP conserva i dati personali in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;

h. INTEGRITÀ E RISERVATEZZA

ADP tratta i dati personali in maniera da garantirne un’adeguata sicurezza, proteggendoli, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti o dalla loro perdita, distruzione o da danni accidentali. (Articolo 5 del GDPR)

i. DATA PROTECTION BY DESIGN E BY DEFAULT

ADP adotta l’approccio metodologico a qualsiasi progetto, in base al quale deve essere valutata la protezione dei dati personali sin dalla progettazione. Per qualunque attività di trattamento, quindi, sia strutturale sia ancora concettuale, si deve considerare la protezione dei dati personali dal momento della sua progettazione e si devono prevedere soluzioni per la protezione dei dati personali. ADP mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento; in particolare le misure tecniche e organizzative messe in atto hanno lo scopo di garantire che – per impostazione predefinita – i dati personali vengano trattati solo per le specifiche finalità del trattamento e solo da un numero di persone fisiche limitato al perseguimento di dette finalità.

4. CONTESTO

Tenuto conto dell’ambito di trattamento, del contesto geografico e del contesto sociale in cui la Società opera i trattamenti di dati personali sono conformati ai requisiti di compliance definiti ed individuati nell’elenco di seguito. Tale elenco è conservato, mantenuto ed aggiornato a cura del Privacy Manager.

a. REQUISITI MANDATORI

• Regolamento Europeo 679/2016 (GDPR)
• D.Lgs. 196/2003 Codice della privacy
• Provvedimento Amministratore di Sistema
• Provvedimento Internet e Posta Elettronica
• Provvedimento trattamento dati lavoratori privati
• L. 190/2012 e s.m.i. in materia di anticorruzione
• D.Lgs. 33/2013 in materia di trasparenza
• D.Lgs. 96/2005 Codice della navigazione
• Reg. (EU) n. 139/2014
• Reg. (EU) n. 3001/2008 e relativi Regolamenti e Decisioni riservate di Dettaglio
• Programma Nazionale di Sicurezza per l’Aviazione Civile
• Circolari e normativa secondaria emessa da Enac

b. REQUISITI VOLONTARI

• ISO/IEC 27001:2013 – Sistemi di gestione della sicurezza delle informazioni
• ISO/IEC 29100:2011 – Privacy Framework
• ISO/IEC 29134:2017 – Guidelines for privacy impact assessment.
• ISO/IEC 29151:2017 – Code of practice for personally identifiable information protection.
• ISO 31000:2018 – Guidelines, provides principles, framework and a process for managing risk.
• ISO 31010:2009 – Risk assessment techniques.
• UNI ISO 19600:2016 – Sistemi di gestione della conformità (compliance) Linee guida

5. METODOLOGIA

Nel rispetto del principio di «responsabilizzazione» (accountability nell’accezione inglese) richiesto dal Regolamento Europeo, le attività di conformità devono essere assunte nello spirito di consapevolezza. Le scelte assunte devono essere tracciabili e condivisibili.
Queste esigenze, unite anche all’esigenza di garantire la dinamicità ed adeguatezza delle misure organizzative e tecniche che ADP mette in atto per garantire il rispetto del GDPR, hanno indirizzato la metodologia secondo gli standard UNI CEN ISO, le Linee Guida e le Best Practices, comunemente riconosciute.
L’approccio al rischio è di tipo olistico, sommando sia la prospettiva del lato attivo del trattamento, che quella dei dati, che, infine, degli interessati.
I rischi sono gestiti proattivamente in via preventiva.

6. COMPITI E RESPONSABILITÀ

Questo paragrafo, coerentemente alla mappa organizzativa, descrive i compiti e le responsabilità delle posizioni, ovvero di articolazioni organizzative (che possono essere sia strutture, aggregazioni stabili di persone tra loro organizzate per erogare determinati output; sia figure, posizioni individuali stabili e dotate di autonomia) sia riguardo alla normale operatività ed obiettivi della Società, sia riguardo le attività legate al rispetto del GDPR.

I compiti e le responsabilità relativi alla conformità dei trattamenti di dati personali sono comunicati a cura del «Privacy Manager» a tutti coloro che devono assumersene la responsabilità, assicurandosi che i compiti siano compresi ed accettati. Il «Privacy Manager» mantiene aggiornato l’elenco delle posizioni, acquisendo le informazioni dalle altre funzioni della Società.

Tutti coloro i quali trattano dati personali, a qualsiasi titolo ed in qualsiasi posizione, per conto di ADP, devono essere stati da questa preventivamente autorizzati, formati ed istruiti.
Il trattamento dei dati personali è subordinato ad un sistema di autorizzazione basato su «profili di autorizzazione» redatti per unità operativa omogenee e/o per specifiche persone.
Il Privacy Manager si assicura che chiunque sia stato autorizzato al trattamento dei dati personali, svolga le operazioni di trattamento, nell’ambito di trattamento assegnato, secondo profili di autorizzazione coerenti al principio del «need to know».

7. MISURE DI SICUREZZA

L’art. 32 GDPR prescrive al titolare e al responsabile del trattamento di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenuto conto dello stato dell’arte e dei costi di attuazione, nonchè della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

ADP, tenuto conto della natura dei dati trattati attraverso le attività di trattamento, della vulnerabilità stimata degli strumenti di trattamento, delle minacce e delle soluzioni offerte dallo stato dell’arte, nonchè delle risorse a disposizione, ha individuato dei livelli di sicurezza da applicare alle attività di trattamento svolte in proprio e a quelle che sono svolte dai suoi responsabili del trattamento corredandole anche di una valutazione della priorità di adeguamento e di alcune ulteriori misure personalizzate aggiuntive.

Questi livelli di sicurezza sono altresì proposti da ADP ai titolari per conto dei quali svolge attività di trattamento quale responsabile del trattamento.

Fonti:

• Art. 32 GDPR
• Allegato B al D.Lgs. 196/2003 – Disciplinare tecnico in materia di misure minime di sicurezza
• Circolare 18/4/2017 n. 2/2017 – Misure minime di sicurezza ICT per le pubbliche amministrazioni
• CIS Controls – marzo 2018
• ENISA – Recommendations for a methodology of the assessment of severity of personal data breaches

8. SITO WEB

Per quanto attiene l’interazione con il sito web si precisa che tali policy valgono per il sito http://www.aeroportidipuglia.it e non per altri siti web consultabili tramite link. Il sito web degli Aeroporti di Puglia utilizza cookie tecnici per migliorare l’esperienza di navigazione e non registra alcun cookie di profilazione. Per maggiori informazioni, fare riferimento alla predetta Privacy Policy.
A seguito della consultazione di questo sito possono essere trattati dati relativi a persone identificate o identificabili.

Dati di navigazione
I sistemi informatici e le procedure software preposte al funzionamento di questo sito acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di internet.
Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per la loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti. In questa categoria di dati rientrano gli indirizzi IP o i nomi di dominio del computer utilizzati dagli utenti che si collegano al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore ecc…) ed altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente.
Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull’uso del sito e per controllare il corretto funzionamento e vengono mantenuti per il periodo minimo richiesto dalla normativa vigente.
I dati potrebbero essere utilizzati per l’accertamento di responsabilità in caso di ipotetici reati informatici ai danni del sito.