Privacy & Disclaimer

Data di entrata in vigore: 01 aprile 2025
Ultimo aggiornamento: 23 luglio 2025

Introduzione e impegno dell'Associazione

L’Associazione Culturale cheFare (di seguito anche “l’Associazione” o “cheFare”), con sede legale in via Alessandro Tadino, 52 - 20124 - Milano e sito web che-fare.com, riconosce la fondamentale importanza della protezione dei dati personali dei propri soci, utenti, collaboratori, fornitori, partner e di tutti gli individui con cui entra in contatto nello svolgimento delle proprie attività istituzionali. La presente Policy Privacy ha lo scopo di descrivere in modo chiaro e trasparente le modalità con cui l’Associazione raccoglie, utilizza, conserva e protegge i dati personali, in conformità con il Regolamento Generale sulla Protezione dei Dati (UE) 2016/679 (di seguito “GDPR”) e con la normativa nazionale applicabile in materia di protezione dei dati personali.

cheFare si impegna a trattare i dati personali secondo i principi di liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, nonché responsabilizzazione (accountability). L’Associazione adotta misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio dei trattamenti effettuati.

La presente Policy si applica a tutti i trattamenti di dati personali effettuati da cheFare, sia in formato digitale che cartaceo, e costituisce un documento di riferimento per tutti i soggetti interni (organi associativi, dipendenti, collaboratori) ed esterni (fornitori, partner) che trattano dati personali per conto dell’Associazione.

Titolare del Trattamento dei Dati 

Il Titolare del Trattamento dei dati personali è:

Associazione Culturale “cheFare”
Indirizzo: Via A. Tadino 52, Milano
Email: posta@che-fare.com
Legale Rappresentante: Il Presidente pro tempore dell’Associazione

Per qualsiasi questione relativa al trattamento dei Suoi dati personali o per l’esercizio dei Suoi diritti, può contattare il Titolare del Trattamento ai recapiti sopra indicati.

Definizioni principali 

Ai fini della presente Policy, si intendono per:

Dato Personale
Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Trattamento
Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Interessato
La persona fisica a cui si riferiscono i dati personali.

Titolare del Trattamento
La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Responsabile del Trattamento
La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del Trattamento.

Autorizzato al Trattamento
La persona fisica che, sotto la diretta autorità del Titolare o del Responsabile, è autorizzata a trattare dati personali.

Consenso dell’Interessato
Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

GDPR
Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016.

Data Breach (Violazione dei dati personali)
La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.



Finalità del Trattamento e Base Giuridica

L’Associazione cheFare tratta i dati personali per il perseguimento delle proprie finalità statutarie e per lo svolgimento delle proprie attività culturali, editoriali, formative, di ricerca, di progettazione e di trasformazione organizzativa.

Le principali finalità per cui i dati personali sono trattati includono, a titolo esemplificativo e non esaustivo:

Gestione del rapporto associativo: ammissione dei soci, gestione delle quote associative, convocazione e partecipazione alle assemblee, comunicazioni istituzionali ai soci. La base giuridica è l’esecuzione di un contratto (lo statuto associativo) di cui l’interessato è parte o l’esecuzione di misure precontrattuali adottate su richiesta dello stesso (art. 6, par. 1, lett. b) GDPR).

Organizzazione e gestione di eventi, corsi, workshop, seminari e altre iniziative culturali e formative: iscrizione, partecipazione, comunicazioni organizzative, rilascio di attestati. La base giuridica è l’esecuzione di un contratto di cui l’interessato è parte (iscrizione all’evento/corso) o l’esecuzione di misure precontrattuali (art. 6, par. 1, lett. b) GDPR).

Svolgimento di attività progettuali (ricerca, innovazione culturale, trasformazione organizzativa, sociale, editoriale): raccolta dati per analisi, interviste (previo consenso specifico), gestione dei rapporti con partner, collaboratori e beneficiari dei progetti. La base giuridica può essere l’esecuzione di un contratto (art. 6, par. 1, lett. b) GDPR), il consenso dell’interessato (art. 6, par. 1, lett. a) GDPR) per specifiche attività come interviste o raccolta di dati particolari, o il legittimo interesse del Titolare (art. 6, par. 1, lett. f) GDPR) per attività strettamente necessarie al perseguimento degli scopi progettuali, bilanciando tale interesse con i diritti e le libertà degli interessati.

Gestione dei rapporti con fornitori e partner: stipula ed esecuzione di contratti, gestione amministrativa e contabile. La base giuridica è l’esecuzione di un contratto di cui l’interessato (persona fisica o rappresentante legale/referente di persona giuridica) è parte o l’esecuzione di misure precontrattuali (art. 6, par. 1, lett. b) GDPR).

Gestione del personale, dei collaboratori e : selezione del personale (ricezione e valutazione CV), stipula di contratti di lavoro o collaborazione, gestione amministrativa, retributiva, previdenziale e assicurativa, gestione delle attività (inclusa la tenuta del registro ). La base giuridica è l’esecuzione di un contratto di cui l’interessato è parte o l’esecuzione di misure precontrattuali (art. 6, par. 1, lett. b) GDPR), l’adempimento di obblighi legali (art. 6, par. 1, lett. c) GDPR) e, per i CV ricevuti spontaneamente, il consenso implicito o il legittimo interesse a valutare candidature (art. 6, par. 1, lett. a) o f) GDPR).

Comunicazione e promozione delle attività dell’Associazione: invio di newsletter, inviti a eventi, aggiornamenti su progetti e pubblicazioni (previo consenso specifico dell’interessato, ove richiesto). La base giuridica è il consenso dell’interessato (art. 6, par. 1, lett. a) GDPR) o, per comunicazioni a soci o a contatti preesistenti su servizi analoghi, il legittimo interesse del Titolare (art. 6, par. 1, lett. f) GDPR e art. 130, comma 4, D.Lgs. 196/2003), sempre garantendo il diritto di opposizione (opt-out).

Gestione del sito web (che-fare.com): garantire la funzionalità del sito, raccogliere dati statistici anonimi sulla navigazione, gestire richieste pervenute tramite moduli di contatto. La base giuridica può essere il legittimo interesse del Titolare a garantire il funzionamento del sito e a interagire con gli utenti (art. 6, par. 1, lett. f) GDPR) o il consenso per l’utilizzo di specifici cookie non tecnici (art. 6, par. 1, lett. a) GDPR).

Adempimento di obblighi legali, contabili e fiscali: tenuta della contabilità, adempimenti fiscali, rendicontazione. La base giuridica è l’adempimento di un obbligo legale al quale è soggetto il Titolare del trattamento (art. 6, par. 1, lett. c) GDPR).

Tutela dei diritti dell’Associazione: in caso di contenziosi o necessità di far valere o difendere un diritto in sede giudiziaria. La base giuridica è il legittimo interesse del Titolare (art. 6, par. 1, lett. f) GDPR).

L’Associazione si impegna a non trattare i dati personali per finalità diverse e incompatibili con quelle per cui sono stati originariamente raccolti, se non previo consenso dell’interessato o se consentito dalla normativa vigente.


Categorie di Dati Personali Trattati

Nell’ambito delle proprie attività, cheFare può trattare diverse categorie di dati personali, tra cui:

Dati identificativi comuni: nome, cognome, data e luogo di nascita, codice fiscale, sesso.

Dati di contatto: indirizzo di residenza/domicilio, numero di telefono (fisso e/o mobile), indirizzo email, indirizzi di profili social.

Dati relativi al rapporto associativo: data di ammissione, ruolo ricoperto, pagamenti quote.

Dati professionali e formativi: curriculum vitae, titoli di studio, esperienze lavorative, competenze (per collaboratori, candidati, partecipanti a specifici progetti formativi).

Dati bancari e di pagamento: IBAN, numero di conto corrente, dati di carte di credito/debito (per pagamenti di quote, donazioni, compensi, acquisti di servizi/pubblicazioni).

Dati di navigazione: indirizzi IP, nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente. Questi dati sono utilizzati al solo fine di ricavare informazioni statistiche anonime sull’uso del sito e per controllarne il corretto funzionamento.

Immagini e registrazioni audio/video: fotografie o video realizzati durante eventi pubblici o iniziative dell’Associazione. In tali casi, verrà fornita apposita informativa e, se necessario, richiesto specifico consenso, soprattutto se le immagini consentono l’identificazione diretta delle persone e non si tratta di riprese generiche di eventi pubblici o di persone che ricoprono un ruolo pubblico nell’ambito dell’evento.

Dati forniti spontaneamente dall’interessato: qualsiasi altra informazione personale fornita spontaneamente dall’interessato, ad esempio tramite comunicazioni email, moduli di contatto sul sito, o durante interviste (previo consenso).

Categorie particolari di dati personali (ex dati sensibili): cheFare tratta dati particolari solo se strettamente necessario per specifiche finalità e previo esplicito consenso dell’interessato (art. 9, par. 2, lett. a) GDPR) o se il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del Titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale (art. 9, par. 2, lett. b) GDPR), o per altre condizioni previste dall’art. 9 del GDPR. Ad esempio: Dati relativi alla salute (es. per garantire l’accessibilità a eventi per persone con disabilità). L’Associazione si impegna a minimizzare il trattamento di tali dati. Dati che rivelino le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale: tali dati non sono generalmente trattati da cheFare, se non in contesti eccezionali e strettamente legati a specifiche attività progettuali o di ricerca, sempre previo consenso esplicito e informato dell’interessato e per finalità legittime e dichiarate.

L’Associazione adotta il principio di minimizzazione, raccogliendo e trattando solo i dati personali strettamente necessari al raggiungimento delle finalità dichiarate.


Modalità del Trattamento 

Il trattamento dei dati personali è effettuato da cheFare attraverso strumenti manuali, informatici e telematici, con logiche strettamente correlate alle finalità stesse e, comunque, in modo da garantire la sicurezza, l’integrità e la riservatezza dei dati stessi, in conformità alle misure tecniche e organizzative adeguate previste dal GDPR.

I dati personali sono trattati da personale interno all’Associazione (membri degli organi associativi, dipendenti, collaboratori) appositamente autorizzato e formato, che opera sotto la diretta autorità del Titolare del Trattamento e nel rispetto delle istruzioni impartite.

In alcuni casi, per esigenze organizzative, tecniche o per l’erogazione di specifici servizi, i dati personali potranno essere trattati da soggetti esterni, nominati, se necessario, Responsabili del Trattamento ai sensi dell’art. 28 del GDPR. L’elenco aggiornato dei Responsabili del Trattamento è disponibile su richiesta al Titolare.

L’Associazione non sottopone i dati personali a processi decisionali interamente automatizzati, inclusa la profilazione, che producano effetti giuridici sull’interessato o che incidano in modo analogo significativamente sulla sua persona, se non previo consenso esplicito o se consentito dalla legge, fornendo in tal caso tutte le informazioni necessarie.

Comunicazione e Diffusione dei Dati

I dati personali trattati da cheFare non sono oggetto di diffusione indiscriminata, salvo i casi in cui la diffusione sia imposta da norme di legge o regolamenti, o sia espressamente autorizzata dall’interessato (es. pubblicazione di nomi di vincitori di bandi o concorsi, previo consenso).

I dati personali possono essere comunicati a:

Soggetti interni all’Associazione: organi associativi, dipendenti, collaboratori, nei limiti delle loro mansioni e delle finalità del trattamento per cui sono stati autorizzati.

Responsabili del Trattamento: soggetti esterni che trattano dati per conto dell’Associazione (es. consulenti fiscali, legali, fornitori di servizi IT, software gestionali, servizi di hosting, piattaforme per newsletter, servizi di organizzazione eventi).

Enti pubblici e Autorità: qualora ciò sia richiesto per l’adempimento di obblighi di legge o per la tutela dei diritti dell’Associazione (es. Agenzia delle Entrate, Enti previdenziali, Autorità giudiziaria).

Istituti di credito e società di gestione dei pagamenti: per la gestione di incassi e pagamenti.

Compagnie di assicurazione: per la gestione di polizze assicurative (es. per , eventi).

Partner progettuali: nell’ambito di progetti specifici, previa informativa e, se necessario, consenso degli interessati, e nel rispetto degli accordi di contitolarità o responsabilità del trattamento.

Enti finanziatori: per la rendicontazione di progetti finanziati.

I soggetti terzi a cui i dati vengono comunicati li tratteranno in qualità di Titolari autonomi (es. enti pubblici) o di Responsabili del Trattamento appositamente nominati da cheFare.

L’Associazione si impegna a fornire a tali soggetti solo i dati strettamente necessari per il raggiungimento delle finalità concordate e a vigilare sul loro operato.



Trasferimento dei Dati dall'Estero

I dati personali trattati da cheFare sono conservati prevalentemente su server ubicati all’interno dell’Unione Europea (UE) o dello Spazio Economico Europeo (SEE).

L’eventuale trasferimento di dati personali verso Paesi terzi (al di fuori dell’UE/SEE) avverrà unicamente in presenza di una decisione di adeguatezza della Commissione Europea, o sulla base di garanzie adeguate previste dal GDPR (es. clausole contrattuali standard adottate dalla Commissione Europea, norme vincolanti d’impresa), o, in assenza di tali condizioni, se sussiste una delle deroghe previste dall’art. 49 del GDPR (es. consenso esplicito dell’interessato, necessità per l’esecuzione di un contratto).

L’Associazione fornirà agli interessati, su richiesta, informazioni specifiche sui Paesi terzi destinatari dei dati e sulle garanzie adottate.


Periodo di Conservazione dei Dati (Data Retention)

I dati personali sono conservati per un periodo di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati, nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e) GDPR).

I criteri utilizzati per determinare il periodo di conservazione sono i seguenti:

Per i dati dei soci: per tutta la durata del rapporto associativo. Dopo la cessazione del rapporto, i dati saranno conservati per l’espletamento degli adempimenti amministrativi, contabili e fiscali relativi all’ultimo periodo di associazione e per un periodo massimo di 10 anni per consentire all’Associazione la difesa dei propri diritti in caso di contenzioso.

Per i dati : per tutta la durata del rapporto di ato e, successivamente, per il tempo necessario ad adempiere agli obblighi di legge (es. conservazione del registro , documentazione assicurativa) e per un massimo di 10 anni per finalità di rendicontazione o tutela legale.

Per i dati di dipendenti e collaboratori: per tutta la durata del rapporto di lavoro/collaborazione e, successivamente, per i periodi imposti dalle normative fiscali, previdenziali e del lavoro (10 anni dalla cessazione del rapporto).

Per i dati dei partecipanti a eventi, corsi, iniziative: per il tempo necessario all’organizzazione, svolgimento e rendicontazione dell’iniziativa. I dati amministrativo-contabili saranno conservati per 10 anni. Per l’invio di comunicazioni su attività future, i dati saranno conservati previo consenso fino a revoca o per un periodo massimo di 24-48 mesi dall’ultima interazione significativa, come specificato nell’informativa fornita al momento della raccolta.

Per i dati dei donatori: per il tempo necessario alla gestione della donazione e agli adempimenti fiscali (10 anni). Per mantenere un rapporto con il donatore e informarlo sulle attività dell’Associazione, i dati saranno conservati previo consenso fino a revoca.

Per i dati dei fornitori e partner: per tutta la durata del rapporto contrattuale e, successivamente, per 10 anni per adempimenti fiscali, contabili e per la tutela dei diritti dell’Associazione.

Per i dati raccolti tramite il sito web (es. richieste di contatto, iscrizione a newsletter): i dati forniti per richieste di contatto saranno conservati per il tempo necessario a fornire riscontro. I dati per l’iscrizione alla newsletter saranno conservati fino a revoca del consenso da parte dell’interessato (opt-out) o per un periodo massimo di 24 mesi dall’ultima interazione.

Per i curricula vitae (CV) ricevuti per candidature spontanee o specifiche selezioni: per il tempo necessario alla valutazione della candidatura e, previo consenso dell’interessato, per un periodo ulteriore (es. 12 mesi) per eventuali future posizioni aperte. In assenza di consenso per la conservazione ulteriore, i CV saranno cancellati al termine del processo di selezione.

Per i dati relativi a progetti finanziati: per i periodi di conservazione specificamente richiesti dagli enti finanziatori.

Al termine del periodo di conservazione, i dati personali saranno cancellati in modo sicuro o resi anonimi in forma irreversibile, salvo che la loro ulteriore conservazione sia necessaria per adempiere ad obblighi di legge o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

L’Associazione adotta procedure interne per la revisione periodica dei dati conservati e per la loro tempestiva cancellazione o anonimizzazione al raggiungimento delle finalità o alla scadenza dei termini di conservazione.



Diritti degli Interessati

In relazione al trattamento dei propri dati personali, gli interessati possono esercitare in qualsiasi momento i diritti previsti dagli articoli 15-22 del GDPR. In particolare, hanno il diritto di:

Diritto di accesso (art. 15 GDPR): ottenere la conferma che sia o meno in corso un trattamento di dati personali che li riguardano e, in tal caso, ottenere l’accesso ai dati personali e a specifiche informazioni (es. finalità, categorie di dati, destinatari, periodo di conservazione, esistenza dei loro diritti, origine dei dati, esistenza di un processo decisionale automatizzato).

Diritto di rettifica (art. 16 GDPR): ottenere la rettifica dei dati personali inesatti che li riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, hanno il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

Diritto alla cancellazione (diritto all’oblio) (art. 17 GDPR): ottenere la cancellazione dei dati personali che li riguardano senza ingiustificato ritardo, se sussiste uno dei motivi previsti dalla norma (es. i dati non sono più necessari rispetto alle finalità, revoca del consenso, trattamento illecito, obbligo legale di cancellazione).

Diritto di limitazione del trattamento (art. 18 GDPR): ottenere la limitazione del trattamento quando ricorre una delle ipotesi previste dalla norma (es. contestazione dell’esattezza dei dati, trattamento illecito con opposizione alla cancellazione, necessità dei dati per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, attesa della verifica sulla prevalenza dei motivi legittimi del Titolare rispetto a quelli dell’interessato in caso di opposizione).

Diritto alla portabilità dei dati (art. 20 GDPR): ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che li riguardano forniti a un Titolare del trattamento e hanno il diritto di trasmettere tali dati a un altro Titolare del trattamento senza impedimenti, qualora il trattamento si basi sul consenso o su un contratto e sia effettuato con mezzi automatizzati.

Diritto di opposizione (art. 21 GDPR): opporsi in qualsiasi momento, per motivi connessi alla loro situazione particolare, al trattamento dei dati personali che li riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) (esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri) o f) (legittimo interesse del Titolare), compresa la profilazione. Hanno inoltre il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che li riguardano effettuato per finalità di marketing diretto, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.

Diritto di non essere sottoposto a decisioni automatizzate (art. 22 GDPR): non essere sottoposti a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che li riguardano o che incida in modo analogo significativamente sulla loro persona, salvo i casi previsti dalla norma (es. consenso, necessità contrattuale, autorizzazione legale).

Diritto di revocare il consenso: qualora il trattamento sia basato sul consenso (art. 6, par. 1, lett. a) o art. 9, par. 2, lett. a) GDPR), l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.
Per esercitare tali diritti, gli interessati possono inviare una comunicazione scritta al Titolare del Trattamento ai recapiti indicati nella Sezione 2 della presente Policy. cheFare si impegna a fornire riscontro alle richieste degli interessati senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta (termine prorogabile di due mesi in casi di particolare complessità, previa comunicazione all’interessato).


Diritto di Proporre Reclamo

Gli interessati che ritengono che il trattamento dei loro dati personali avvenga in violazione di quanto previsto dal GDPR hanno il diritto di proporre reclamo all’Autorità di controllo competente, che per l’Italia è il Garante per la Protezione dei Dati Personali (Piazza Venezia n. 11 - 00187 Roma; Tel. +39 06.696771; Email: garante@gpdp.it; PEC: protocollo@pec.gpdp.it), o di adire le opportune sedi giudiziarie.


Misure di Sicurezza

cheFare adotta misure di sicurezza tecniche e organizzative adeguate a garantire un livello di protezione dei dati personali proporzionato al rischio, in conformità con l’art. 32 del GDPR. Tali misure includono, tra le altre:

Procedure per la gestione sicura degli archivi cartacei e digitali.

Sistemi di autenticazione e autorizzazione per l’accesso ai dati.

Misure di protezione delle infrastrutture IT (es. firewall, antivirus, sistemi di backup).

Procedure per la gestione delle violazioni dei dati personali (data breach).

Formazione continua del personale autorizzato al trattamento dei dati.

Valutazione periodica dei rischi e aggiornamento delle misure di sicurezza.

Utilizzo di crittografia o pseudonimizzazione, ove appropriato e tecnicamente fattibile.

Politiche interne per l’utilizzo sicuro degli strumenti informatici e dei dispositivi aziendali.

L’Associazione si impegna a mantenere aggiornate tali misure in linea con l’evoluzione tecnologica e normativa.


Mappatura delle Aree di Rischio e dei Relativi Trattamenti

L’Associazione cheFare ha identificato le seguenti principali aree di rischio per la protezione dei dati personali e i relativi trattamenti, impegnandosi ad adottare specifiche misure di mitigazione:

Gestione dei dati dei soci: Rischio di accesso non autorizzato, perdita o divulgazione di dati anagrafici, di contatto, relativi a pagamenti o a specifiche condizioni (es. per ). Misure: accesso limitato al personale autorizzato, archiviazione sicura, procedure di gestione chiare.

Gestione dei dati di dipendenti e collaboratori: Rischio legato alla riservatezza di CV, dati contrattuali, retributivi, valutazioni. Misure: policy HR specifiche, sistemi di archiviazione protetti, formazione sulla riservatezza.

Raccolta e gestione dati per progetti (inclusi bandi, ricerche, formazione): Rischio di raccolta eccessiva di dati, trattamento di dati particolari senza adeguato consenso, conservazione prolungata oltre necessità, sicurezza dei dati raccolti (es. durante interviste, survey). Misure: minimizzazione dei dati, informative e consensi specifici e granulari, procedure di anonimizzazione/pseudonimizzazione ove possibile, data retention policy per progetto, accordi di contitolarità/responsabilità con partner.

Gestione del sito web e delle comunicazioni online (newsletter, social media): Rischio di data breach del sito, raccolta illecita di dati tramite cookie, invio di comunicazioni indesiderate. Misure: cookie policy e banner conformi, meccanismi di opt-in/opt-out chiari per newsletter, sicurezza del sito web (HTTPS, aggiornamenti), policy per la gestione dei social media.

Gestione dei rapporti con fornitori e terze parti che trattano dati: Rischio di trattamenti non conformi da parte di Responsabili del Trattamento. Misure: selezione accurata dei fornitori, stipula di accordi di nomina a Responsabile del Trattamento (DPA) conformi all’art. 28 GDPR, audit periodici (ove possibile e proporzionato).

Utilizzo di dispositivi personali (BYOD) e aziendali: Rischio di perdita o furto di dispositivi contenenti dati personali, accesso non autorizzato a dati aziendali da dispositivi personali non sicuri. Misure: policy specifiche per l’uso dei device aziendali e per il BYOD (vedi documenti collegati), misure di sicurezza sui dispositivi (password, crittografia), procedure in caso di smarrimento/furto.

Archiviazione e conservazione dei dati (digitali e cartacei): Rischio di perdita, distruzione accidentale, accesso non autorizzato ad archivi. Misure: policy di accesso agli archivi, sistemi di backup regolari per i dati digitali, locali sicuri per gli archivi cartacei, procedure di cancellazione sicura al termine del periodo di conservazione.

Gestione delle richieste di esercizio dei diritti degli interessati e dei data breach: Rischio di mancata o tardiva risposta alle richieste, gestione inadeguata di un data breach. Misure: procedure interne chiare per la gestione delle richieste e dei data breach, formazione del personale, modulistica di riferimento.

L’Associazione si impegna a riesaminare periodicamente questa mappatura dei rischi e ad aggiornarla in base all’evoluzione delle proprie attività e del contesto normativo e tecnologico.


Modifiche alla Policy Privacy

La presente Policy Privacy è soggetta a revisioni periodiche. cheFare si riserva il diritto di modificare o aggiornare la presente Policy in qualsiasi momento, in particolare in caso di modifiche normative o organizzative.

Qualsiasi modifica sarà tempestivamente comunicata agli interessati attraverso i canali ritenuti più idonei (es. pubblicazione sul sito web dell’Associazione, comunicazioni dirette).

Si invitano gli interessati a consultare regolarmente questa sezione del sito web per verificare la versione più aggiornata della Policy Privacy.


Riferimenti Normativi

Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GDPR).

Decreto Legislativo 30 giugno 2003, n. 196 (“Codice in materia di protezione dei dati personali”), come modificato dal Decreto Legislativo 10 agosto 2018, n. 101.

Provvedimenti e Linee Guida del Garante per la Protezione dei Dati Personali.

Linee Guida e Raccomandazioni dell’European Data Protection Board (EDPB).


Documenti Collegati

La presente Policy Privacy è parte di un set documentale più ampio adottato dall’Associazione cheFare in materia di protezione dei dati personali, che include, tra gli altri:

Informativa Privacy (per le diverse categorie di interessati)

Politica di accesso alle informazioni presenti in archivio digitale

Modello di nomina a Responsabile del Trattamento

Modello di nomina ad Autorizzato al Trattamento

Registro delle Attività di Trattamento

Modulistica per l’esercizio dei diritti e la gestione dei data breach

Policy di gestione e tutela del patrimonio aziendale (inclusi device)

Policy sull’utilizzo dei dispositivi personali (BYOD)

Questi documenti forniscono dettagli operativi e procedurali per l’attuazione dei principi enunciati nella presente Policy.