Privacy Policy

Web Privacy Policy

1. SCOPO DEL DOCUMENTO
La Privacy Policy ha lo scopo di illustrare le linee guida adottate da SACAL Spa (di seguito altresì più brevemente denominata SACAL) per progettare, definire, impostare e condurre
un sistema di gestione dei trattamenti di dati personali effettuati dalla società in maniera conforme alle disposizioni contenute nel Regolamento Generale sulla Protezione dei Dati
(EU) 2016/679 (di seguito Regolamento Europeo). E’, altresì, scopo del presente documento costituire una base solida per trasmettere, comunicare, condividere,
controllare, aggiornare, rivedere e migliorare ogni misura organizzativa e procedurale attivata al fine di garantire il conforme trattamento dei dati, ivi inclusa la sicurezza, di cui agli
artt. 24 e 32 del citato Regolamento Europeo.


2. TITOLARE DEL TRATTAMENTO
Titolare del trattamento è SACAL S.p.A., con sede presso l’Aeroporto Internazionale di Lamezia Terme, 88046, Lamezia Terme- C.F. e Partita IVA 01764970792. Il legale
rappresentante è l’Amministratore Unico pro tempore.


i. Governance
La Società Aeroportuale Calabrese, Ente Gestore degli Aeroporti di Crotone, Lamezia Terme e Reggio Calabria, è una Società a capitale misto. Nel mese di marzo 2022, a
seguito di atto di cessione, il socio privato di maggioranza ha trasferito l’intera partecipazione a Fincalabra spa, società in house della Regione Calabria. All’esito di tale
acquisizione l’87,75% delle azioni è detenuto da Enti Pubblici e il rimanente 12,25% da investitori privati.
La società è sottoposta al controllo del Collegio Sindacale e dell’Organismo di Vigilanza ex D. Lgs. 231/2001. SACAL detiene il controllo al 100% Sacal Ground Handling Spa (di seguito SGH).


ii. Business
SACAL ha per scopo primario la gestione in concessione degli aeroporti calabresi di Lamezia Terme, Reggio Calabria e Crotone. Tale attività si esplica nella progettazione,
sviluppo e gestione delle infrastrutture per l’esercizio delle attività aeroportuali e di attività Commerciali, nonché la gestione dei servizi aviation e non aviation.
Attraverso la Società Controllata SGH assicura i servizi di handling presso lo scalo di Lamezia Terme.


3. RESPONSABILE DELLA PROTEZIONE DEI DATI
Attesa la compagine societaria di SACAL SpA nonché l’attività svolta inclusa nei servizi di pubblico interesse, SACAL ha ritenuto necessario nominare il Responsabile della
Protezione dei Dati Personali (DPO) è raggiungibile presso i seguenti contatti: dpo@sacal.it.

 

4. MAPPATURA DEI LEGAMI
In considerazione della struttura societaria ed all’esito della verifica dei legami interni ed esterni di SACAL e della sua controllata SACAL GROUND HANDLING, si appalesa una
mappatura complessa di legami in materia di privacy, di primo e secondo livello.
SACAL SPA si configura quale Titolare del Trattamento per le attività svolte in linea con la propria mission istituzionale, al contempo, si determina, altresì, quale Responsabile Esterno
del Trattamento, ex art. 28 GDPR, per tutte attività di trattamento svolte per conto della sua controllata, SACAL GROUND HANDLING SPA (Titolare del Trattamento), di cui vigenti
specifici contratti di servizio infragruppo.
SACAL GROUND HANDLING SPA si qualifica come Responsabile Esterno del Trattamento, ex art. 28, rispetto ai dati dei passeggeri di cui la Titolarità dei Dati ricade sui vettori aerei.


5. CONTITOLARITÀ
Non si riscontra, alla data attuale, la sussistenza di situazioni di contitolarità ai sensi dell’art. 26 Regolamento Europeo.


6. TIPOLOGIA DEI DATI RACCOLTI
Dettagli completi sulla tipologia dei dati trattati da Sacal Spa, in qualità di Titolare del Trattamento o in qualità di responsabile del Trattamento, ex art 28 GDPR, sono forniti nei
testi informativi pubblicati nella sezione Privacy del sito aziendale https://sacal.it/it/privacy-governance. Per quanto attiene l’interazione con il sito web si precisa che tali policy valgono
per il sito aziendale e non per altri siti web consultabili tramite link https://sacal.it/?s=Cookie%20policy.


7. PRINCIPI
a. LICEITÀ
Premesso il ruolo di Società Concessionaria della Gestione degli Scali Aeroportuali Calabresi, relativamente a SACAL, il trattamento di dati personali nell’esercizio dei suoi
compiti istituzionali e trova il fondamento di liceità nella condizione nelle previsioni del Reg. UE di cui all’art. 6, p. 1, lett. b) Esecuzione di misure contrattuali o pre-contrattuali, c)
Obbligo Legale, e) Interesse pubblico, f) Legittimo Interesse, e solo in misura limitata alla lett.a). Consenso. SACAL GH, nella qualità di società di handling aeroportuale, rinviene il fondamento di liceità dei trattamenti in essere nelle previsioni del Reg. UE di cui all’art. 6, p. 1, lett. b) Esecuzione di misure contrattuali o pre-contrattuali, c) Obbligo Legale. SACAL tratta categorie particolari di dati personali, solo nei casi in cui si ravvisa la sussistenza di uno dei casi previsti dall’art. 9.2 Regolamento Europeo. SACAL tratta i dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza, di cui all’articolo 10 Regolamento Europe, solo nei casi in cui si ravvisa la sussistenza la necessità del trattamento per come disciplinato dal citato Regolamento Europeo, con esplicita previsione delle garanzie appropriate per i diritti e le libertà degli interessati.

b. CORRETTEZZA
SACAL tratta i dati personali esclusivamente per scopi determinati, espliciti e legittimi, senza scorrettezze o raggiri nei confronti degli interessati attenendosi rigidamente nei limiti delle basi giuridiche che ne legittimano il trattamento.

c. TRASPARENZA
SACAL adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Le informative relative al trattamento dei dati personali sono pubblicate sul sito aziendale
all’apposita sezione dedicata alla privacy al seguente link https://sacal.it/it/privacy-governance/ oltre che, laddove ricadono nell’interesse dei dipendenti della Società, agli indirizzi di e-mail aziendali oltre che sul sito aziendale intranet dedicato alla gestione del sistema di qualità http://www.sacalspa.com/quality/, il cui accesso avviene tramite credenziali che vengono fornite dagli uffici interni aziendali secondo il ruolo aziendale goduto.

d. LIMITAZIONE DELLA FINALITÀ
SACAL tratta i dati personali per finalità determinate, esplicite e legittime, ed assicurandosi che i trattamenti non siano incompatibili con tali finalità.

e. MINIMIZZAZIONE DEI DATI
SACAL tratta dati personali adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
f. ESATTEZZA
SACAL tratta dati personali esatti e, se necessario, aggiornati; adottando tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.
g. LIMITAZIONE DELLA CONSERVAZIONE
SACAL conserva i dati personali in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati,
potrebbero essere conservati per un periodo di tempo maggiore per adempiere ad un obbligo di legge o per ordine di un Autorità.
h. INTEGRITÀ E RISERVATEZZA
SACAL tratta i dati personali in maniera da garantirne un’adeguata sicurezza, proteggendoli, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti o dalla loro perdita, distruzione o da danni accidentali, per come disposto dall’art. 5 Regolamento Europeo.

 

8. PRIVACY BY DESIGN E BY DEFAULT
L’approccio metodologico adottato da SACAL prevede la valutazione della protezione dei dati sin dalla progettazione. Pertanto SACAL mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento e solo da un numero di persone fisiche limitato al perseguimento di dette finalità.


9. CONTESTO
I trattamenti di dati personali sono conformati ai requisiti di compliance definiti ed individuati nell’elenco di seguito:
a. REQUISITI MANDATORI
• Regolamento (UE) 2016/679
• D. Lgs. 196/2003 Codice della privacy
• Provvedimento Garante Privacy “Misure e accorgimenti prescritti ai titolari dei
trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008” ss.mm.ii.
• Documento di Indirizzo – Programmi e servizi Informatici di gestione della posta
elettronica nel contesto lavorativi e trattamento dei metadati – Reg. Provv.364 del 06.06.2024
• Linee-guida per il trattamento di dati dei dipendenti privati – 23 novembre 2006 –Provv.n.1364099 ss.mm.ii.
• L. 190/2012 e s.m.i. in materia di anticorruzione
• D. Lgs. 33/2013 in materia di Trasparenza
• D. Lgs. 96/2005 Codice della navigazione
• Reg. (EU) n. 139/2014
• Reg. (EU) n. 3001/2008 e relativi Regolamenti e Decisioni riservate di Dettaglio
• Programma Nazionale di Sicurezza per l’Aviazione Civile
• Circolari e normativa secondaria emessa da Enac
b. REQUISITI VOLONTARI
• UNI ISO 9001
• UNI ISO 45000


10. METODOLOGIA
Nel rispetto del principio di “responsabilizzazione” (accountability nell’accezione inglese) richiesto dal Regolamento Europeo, le attività di conformità sono assunte nello spirito di
consapevolezza, nonché tracciabili e condivisibili. Queste esigenze, unite anche all’esigenza di garantire la dinamicità ed adeguatezza delle misure organizzative e tecniche che SACAL mette in atto per garantire il rispetto del Regolamento Europeo, hanno indirizzato la metodologia secondo le Linee Guida e le Best Practices, comunemente riconosciute.

L’approccio al rischio è di tipo olistico, sommando sia la prospettiva del lato attivo del trattamento, che quella dei dati, che, infine, degli interessati. I rischi sono gestiti proattivamente in via preventiva. Sacal ha predisposto apposita procedura atta a valutare all’avvio di ogni trattamento la compliance alle disposizioni del Regolamento (UE) 2016/679 attraverso l’elaborazione di specifico parere a cura del Data Protection Officer DPO.


11. COMPITI E RESPONSABILITÀ
Tutti coloro i quali trattano dati personali, a qualsiasi titolo ed in qualsiasi posizione, per conto di SACAL, devono essere stati da questa preventivamente autorizzati, formati ed istruiti. Il trattamento dei dati personali è subordinato ad un sistema di autorizzazione basato su “profili di autorizzazione” redatti per unità operativa omogenee e/o per specifiche competenze, ruoli e funzioni aziendali.
Le figure apicali sono intese quali Designati al trattamento dei dati gestite dalle specifiche unità organizzativa aziendali di competenza.
L’Ufficio Privacy assicura la predisposizione dell’atto di autorizzazione al trattamento dei dati personali, per coloro che svolgano operazioni di trattamento, nell’ambito dell’attività assegnate secondo profili di autorizzazione coerenti al principio del “need to know”.


12. MISURE DI SICUREZZA
L’art. 32 Regolamento (UE) 2016/679 prescrive la messa in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
SACAL, tenuto conto della natura dei dati trattati attraverso le attività di trattamento, della vulnerabilità stimata degli strumenti di trattamento, delle minacce e delle soluzioni offerte dallo stato dell’arte, nonché delle risorse a disposizione, ha individuato dei livelli di sicurezza da applicare alle attività di trattamento svolte in proprio e a quelle che sono svolte dai suoi designati al trattamento corredando, laddove necessario, anche di una valutazione della priorità di adeguamento e di alcune ulteriori misure personalizzate aggiuntive.


13. DIRITTI DELL’UTENTE
L’interessato ha il diritto in qualunque momento di richiedere i diritti di cui agli artt. 15 e ss. del GDPR, oltre che il diritto di proporre reclamo ad una Autorità di controllo posta nello stato membro dove egli risiede abitualmente o nello Stato UE in cui lavora o in cui è avvenuta la violazione o di adire le opportune sedi giudiziarie (art. 79 Reg.). Per esercitare i diritti di cui sopra, segnalare problemi o chiedere chiarimenti può inviare una richiesta scritta direttamente al DPO all’indirizzo email: dpo@sacal.it. Ogni ulteriore informazione in ordine ai citati diritti sono reperibili sul sito dell’Autorità Garante Italiana www.garanteprivacy.it.


Lamezia Terme 30/10/2024

Information

This site does not use profiling cookies, for more information see the Privacy Policy