Diritti Privacy (DSAR)

1. Inquadramento giuridico dei diritti dell'interessato

L'interessato puo esercitare i diritti riconosciuti dagli articoli 12-23 del GDPR, inclusi diritto di accesso, rettifica, cancellazione, limitazione del trattamento, portabilita, opposizione e diritto a non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati nei limiti previsti dall'articolo 22. L'esercizio dei diritti e gratuito, salvo i casi previsti dalla normativa in cui la richiesta risulti manifestamente infondata o eccessiva; in tali ipotesi, il Titolare puo richiedere un contributo spese ragionevole o rifiutare la richiesta con motivazione formale.

Il Titolare adotta un modello operativo DSAR orientato alla tracciabilita end-to-end, all'identificazione certa del richiedente, alla minimizzazione delle informazioni trattate nel corso dell'istruttoria e alla documentazione delle decisioni, in conformita ai principi di accountability e trasparenza.

2. Canali ufficiali per la presentazione delle richieste

Le richieste possono essere trasmesse mediante il form dedicato disponibile alla pagina Invia richiesta DSAR, che rappresenta il canale preferenziale in quanto consente l'apertura immediata di una pratica tracciata con codice univoco e cronologia degli eventi. Restano in ogni caso validi i canali email privacy@justbit.it e PEC justbit@pec.it, fermo restando che le richieste ricevute con canali alternativi vengono comunque registrate nel medesimo workflow interno.

Per consentire una gestione rapida e completa, la richiesta deve indicare almeno i dati identificativi dell'interessato, il diritto esercitato, l'ambito del trattamento interessato e un recapito valido per il riscontro. In presenza di richieste formulate da delegati, il Titolare puo richiedere procura o delega idonea e idonea evidenza dei poteri rappresentativi.

3. Verifica di identita e principio di proporzionalita

Prima di procedere all'evasione della richiesta, il Titolare effettua una verifica di identita proporzionata al rischio, al tipo di diritto esercitato e alla natura dei dati coinvolti, allo scopo di prevenire divulgazioni indebite a soggetti non legittimati. Nei casi a basso rischio puo essere sufficiente la verifica del controllo della casella email di origine; per richieste ad alto impatto, come portabilita estesa o cancellazione massiva, possono essere richieste evidenze aggiuntive strettamente necessarie, con oscuramento dei dati eccedenti.

Tutte le operazioni di verifica vengono annotate nel fascicolo DSAR con indicazione di metodo utilizzato, data di validazione, operatore incaricato e riferimento all'evidenza conservata, in modo da garantire dimostrabilita della correttezza procedurale in eventuale sede ispettiva o contenziosa.

4. Tempistiche, sospensioni e proroghe

Il Titolare fornisce riscontro all'interessato senza ingiustificato ritardo e, in ogni caso, entro un mese dal ricevimento della richiesta, ai sensi dell'articolo 12, paragrafo 3, GDPR. In presenza di richieste complesse o numerose, il termine puo essere prorogato fino a due mesi ulteriori, con comunicazione motivata inviata entro il primo mese. Qualora siano necessarie integrazioni documentali per la verifica dell'identita, i tempi possono essere sospesi per il periodo strettamente necessario a ricevere gli elementi richiesti.

La risposta e resa in forma chiara e comprensibile, con linguaggio idoneo al tipo di interlocutore, e include l'indicazione delle attivita svolte, dell'esito della valutazione e dei rimedi ulteriori disponibili in caso di mancato accoglimento totale o parziale della richiesta.

5. Limiti legali all'accoglimento della richiesta

L'esercizio dei diritti puo incontrare limiti nei casi previsti dalla normativa, tra cui esigenze di tutela dei diritti e delle liberta altrui, obblighi legali di conservazione, salvaguardia dell'integrita probatoria, esigenze di difesa in sede giudiziaria o amministrativa, nonche ulteriori eccezioni previste dal diritto dell'Unione o nazionale applicabile. In tali circostanze il Titolare fornisce motivazione circostanziata, indicando le ragioni del rigetto o dell'accoglimento parziale e, ove possibile, i dati o le porzioni di dati comunque rilasciabili.

6. DSAR su processi recruiting e analisi assistita da AI

Quando la richiesta riguarda candidature o dati curriculum, i diritti si estendono anche ai dati derivati da processi di analisi assistita da AI, incluse classificazioni, estrazioni strutturate e indicatori di supporto alla valutazione. Il Titolare garantisce in tali casi revisione umana, possibilita di rettifica e valutazione contestuale del dato rispetto al processo selettivo effettivamente svolto, evitando automatismi decisionali non conformi al GDPR.

L'interessato puo chiedere informazioni sulle principali logiche del trattamento, nei limiti in cui cio non comprometta segreti aziendali, sicurezza dei sistemi o diritti di terzi, fermo restando l'obbligo del Titolare di mantenere un livello adeguato di trasparenza e comprensibilita.

7. Tracciamento interno della pratica DSAR

Ogni richiesta e registrata con codice univoco, timestamp di ricezione, stato procedurale, owner incaricato, scadenza normativa, azioni compiute, comunicazioni inviate, eventuali esportazioni prodotte e prova di consegna. Il registro DSAR costituisce presidio essenziale di accountability e viene sottoposto a controlli periodici di completezza, coerenza e rispetto degli SLA interni.

Le azioni di rettifica, cancellazione, limitazione o portabilita sono annotate con livello di dettaglio idoneo a dimostrare il perimetro del trattamento effettuato, senza introdurre ulteriore esposizione non necessaria di dati personali nel registro stesso.

8. Diritto di reclamo e tutela dell'interessato

Qualora l'interessato ritenga che il trattamento violi la normativa applicabile, puo proporre reclamo all'Autorita Garante per la protezione dei dati personali ai sensi dell'articolo 77 GDPR, ferma restando la possibilita di adire le competenti sedi giudiziarie ai sensi degli articoli 78 e 79 GDPR. Il Titolare invita comunque l'interessato a un confronto preliminare tramite i canali ufficiali, al fine di favorire risoluzione tempestiva e documentata della questione.

9. Aggiornamenti del documento

La presente pagina e soggetta a revisione periodica in funzione di evoluzioni normative, organizzative o tecnologiche. Ogni nuova versione riporta data di efficacia e riferimento temporale di aggiornamento, in coerenza con il modello di governance legale adottato dal Titolare.

10. Struttura minima della risposta DSAR

La risposta del Titolare e redatta in forma intellegibile e deve indicare, in relazione al diritto esercitato, l'esito dell'istruttoria, i criteri utilizzati per la valutazione, le operazioni effettivamente eseguite, l'eventuale perimetro residuale non modificabile e i riferimenti normativi applicati in caso di limitazione. Qualora sia stato necessario differire o parzializzare il riscontro, la comunicazione specifica in modo trasparente le ragioni giuridiche e tecniche che lo giustificano.

Nelle richieste di accesso e portabilita, il rilascio dei dati avviene in formato strutturato e con misure idonee a prevenire divulgazioni indebite durante la trasmissione, fermo restando il principio di minimizzazione rispetto a dati di terzi o informazioni soggette a segreto legale o industriale.

11. Portabilita dei dati: limiti tecnici e giuridici

Il diritto alla portabilita si applica ai dati personali forniti dall'interessato trattati con mezzi automatizzati sulla base del consenso o di un contratto, nei limiti previsti dall'articolo 20 GDPR. Il Titolare valuta caso per caso il perimetro trasferibile, distinguendo tra dati originari dell'interessato, elaborazioni interne non direttamente portabili e dati che coinvolgono diritti di terzi.

Nei casi in cui il trasferimento diretto a un altro titolare non sia tecnicamente fattibile o possa compromettere sicurezza e integrita del sistema, i dati sono comunque messi a disposizione dell'interessato in formato idoneo, con motivazione esplicita sulle limitazioni applicate.

Per i dati trattati nel Password Manager (Passbolt), la pratica DSAR distingue tra contenuto dei segreti e metadati di piattaforma. Il Titolare fornisce in modo trasparente i metadati personali trattati (es. informazioni account, appartenenze, log e stato utente) e, ove tecnicamente applicabile, indirizza l'interessato alle funzioni di esportazione compatibili con il livello di autorizzazione e con la tutela dei diritti di terzi.

Qualora l'utente abbia caricato credenziali personali in Passbolt, e raccomandato richiedere esportazione o cancellazione prima della disattivazione dell'account, cosi da ridurre permanenza non necessaria dei dati. Se i dati risultano gia inclusi in backup tecnici cifrati, il Titolare applica cancellazione e limitazione nel sistema attivo e nei processi ordinari; le copie di backup restano gestite secondo retention tecnica, accesso strettamente autorizzato e uso esclusivo per continuita operativa, sicurezza e obblighi di legge.

12. Richieste ripetitive, abusive o manifestamente infondate

Quando le richieste risultano manifestamente infondate, strumentali o eccessivamente ripetitive rispetto alla medesima materia e in assenza di nuovi elementi rilevanti, il Titolare puo applicare le misure previste dall'articolo 12, paragrafo 5, GDPR, inclusa la richiesta di contributo spese ragionevole o il rifiuto motivato. Tale valutazione e sempre documentata e soggetta a controllo interno per evitare compressioni improprie dei diritti dell'interessato.

Anche nei casi di rifiuto, il Titolare fornisce comunicazione formale con indicazione dei rimedi disponibili, inclusa la facolta di reclamo all'Autorita competente o ricorso ai rimedi giurisdizionali previsti.

13. Richieste presentate da delegati o rappresentanti

Le istanze formulate da soggetti diversi dall'interessato sono ammissibili solo previa verifica di idoneo titolo rappresentativo, delega specifica o altro presupposto legale applicabile. Il Titolare puo richiedere documentazione integrativa strettamente necessaria a validare il mandato, riducendo al minimo i dati eccedenti e oscurando le informazioni non pertinenti.

In assenza di idonea prova dei poteri, la richiesta non puo essere evasa e viene sospesa o archiviata con comunicazione motivata, al fine di prevenire accessi impropri a informazioni personali.

14. Coordinamento DSAR con obblighi di conservazione e legal hold

L'esercizio dei diritti si coordina con eventuali obblighi legali di conservazione, esigenze probatorie, procedimenti in corso o legal hold formalmente attivati. In tali circostanze il Titolare valuta il bilanciamento tra diritto dell'interessato e dovere di conservazione, applicando, ove possibile, misure intermedie quali limitazione del trattamento, segregazione dei dati o riduzione dell'accessibilita operativa.

Le decisioni assunte in questo ambito sono tracciate con motivazione giuridica puntuale e durata prevista della misura, in modo da evitare permanenza indefinita di restrizioni non piu necessarie.

15. Presidi di qualita, audit interno e miglioramento procedurale

Il processo DSAR e soggetto a controlli periodici su tempi di risposta, completezza delle evidenze, accuratezza delle verifiche di identita, coerenza dei riscontri e allineamento con policy aggiornate. Eventuali non conformita generano azioni correttive con owner, scadenza e verifica di efficacia, secondo il modello di governance privacy del Titolare.

Tale presidio continuo mira a garantire non solo il rispetto formale della norma, ma anche un livello professionale elevato di tutela concreta dell'interessato e difendibilita dell'operato aziendale.

16. Gestione delle richieste multi-sistema e interoperabilita

Quando i dati dell'interessato sono distribuiti su piu sistemi integrati, il Titolare coordina la pratica DSAR con logica di interoperabilita controllata, garantendo coerenza tra estrazioni, rettifiche e cancellazioni effettuate sui diversi repository. Le operazioni vengono pianificate in sequenza verificabile per evitare disallineamenti, duplicazioni o omissioni nella risposta finale.

In caso di dipendenze tecniche con fornitori terzi, il Titolare attiva i canali contrattuali pertinenti e mantiene tracciamento dei tempi di riscontro, fermo restando il proprio obbligo primario verso l'interessato.

Quando la richiesta riguarda giustificativi importati da TeamSystem, la pratica DSAR include il dataset sincronizzato nel portale e le evidenze tecniche dei run di importazione, nei limiti di minimizzazione e sicurezza applicabili. Le eventuali rettifiche sono propagate in modo controllato ai sistemi coinvolti secondo fattibilita tecnica, obblighi legali e catena di responsabilita documentata.

17. Qualita probatoria delle evidenze di risposta

Le prove di evasione della pratica DSAR includono, in forma strutturata, riferimento al diritto esercitato, perimetro dati trattato, data di esecuzione tecnica, canale di risposta e conferma di consegna ove disponibile. Il livello di dettaglio e calibrato per consentire audit e difesa in giudizio senza eccedere nella diffusione interna di dati personali ulteriori rispetto al necessario.

Le evidenze sono conservate in repository controllato con accesso profilato, retention coerente con policy di governance e possibilita di legal hold in caso di contestazione o procedimento formale.

18. Richieste concorrenti e conflitto di diritti

Nel caso in cui la richiesta DSAR incida su diritti di terzi, segreti aziendali o obblighi legali concorrenti, il Titolare applica un criterio di bilanciamento motivato, privilegiando la tutela sostanziale dell'interessato senza compromettere interessi legittimi prevalenti protetti dalla legge. Le porzioni non rilasciabili sono indicate con motivazione specifica e non generica.

Tale approccio e finalizzato a garantire risposta completa nei limiti legali, evitando sia dinieghi eccessivi sia divulgazioni improprie.

19. Escalation interna e presidio dei casi ad alta criticita

Le pratiche DSAR con impatto elevato, complessita tecnica significativa o potenziale rilevanza contenziosa sono soggette a escalation verso funzione legale/privacy e responsabili tecnici competenti, con verbale decisionale e approvazione formale del piano di gestione. L'escalation non sospende il dovere di rispettare le scadenze normative, ma ne supporta il corretto adempimento.

Il Titolare documenta tempi, decisioni e motivazioni dell'escalation per garantire piena auditability.

20. Clausola conclusiva e coordinamento documentale

La presente disciplina DSAR si coordina con Informativa Privacy, Cookie Policy, Condizioni d'uso e policy di Governance Privacy del portale. In caso di aggiornamento normativo o giurisprudenziale rilevante, il Titolare adegua tempestivamente procedure e documentazione, assicurando continuita di tutela per gli interessati e coerenza operativa nei processi interni.

Per richieste interpretative o approfondimenti procedurali e sempre disponibile il canale ufficiale privacy@justbit.it.

21. Criteri di completezza della richiesta e presa in carico

La presa in carico operativa della pratica presuppone disponibilita delle informazioni minime necessarie all'identificazione del richiedente e del perimetro del diritto esercitato. Qualora tali elementi risultino incompleti, il Titolare richiede integrazione mirata senza introdurre oneri sproporzionati, sospendendo i tempi nei limiti consentiti dalla legge fino al ricevimento degli elementi indispensabili.

Il processo e orientato a favorire esercizio effettivo del diritto, ma anche a prevenire errori istruttori che potrebbero determinare comunicazioni non corrette o lesive di diritti di terzi.

22. Tracciabilita delle comunicazioni e valore della prova di invio

Le comunicazioni DSAR sono gestite tramite canali idonei a garantire prova del contenuto e, ove possibile, della consegna. Il Titolare conserva metadati sufficienti a documentare cronologia del dialogo con l'interessato, richieste di integrazione, riscontri intermedi e risposta finale.

Tale presidio tutela sia l'interessato, che puo ricostruire lo stato della pratica, sia l'azienda, che puo dimostrare in modo oggettivo la correttezza procedurale del proprio operato.

23. Principio di buona fede procedurale

Il Titolare gestisce le richieste DSAR secondo criteri di lealta, trasparenza e collaborazione, richiedendo analoga buona fede nell'utilizzo degli strumenti da parte dei richiedenti e dei loro rappresentanti. Eventuali condotte abusive, simulatorie o finalizzate a uso improprio dei canali DSAR sono trattate nel rispetto della normativa, con adozione delle misure consentite a tutela dell'integrita del processo.

Resta in ogni caso garantito il nucleo essenziale dei diritti dell'interessato nei limiti di legge.

24. Prevenzione di accessi indebiti tramite richieste simulate

Per tutelare gli interessati da divulgazioni improprie, il Titolare adotta controlli anti-abuso e verifiche di coerenza della richiesta finalizzate a intercettare pratiche simulate, impersonificazioni o tentativi di accesso non autorizzato ai dati personali di terzi. Le verifiche sono calibrate in modo proporzionato e non devono trasformarsi in ostacolo ingiustificato all'esercizio dei diritti, ma in presidio necessario di sicurezza giuridica e tecnica del processo DSAR.

In presenza di indicatori di rischio elevato, il Titolare puo richiedere ulteriori elementi identificativi limitati al minimo indispensabile, documentando motivazioni e esito della verifica.

25. Esiti parziali, integrazioni progressive e chiarezza della risposta

Nei casi complessi il Titolare puo fornire riscontri progressivi o parziali, indicando con precisione quali segmenti di richiesta risultano gia evasi, quali richiedono approfondimenti ulteriori e quali dipendono da verifiche tecniche o giuridiche in corso. Tale approccio aumenta trasparenza e tracciabilita, riducendo il rischio di incomprensioni e garantendo una gestione ordinata delle tempistiche.

Ogni riscontro intermedio deve restare coerente con il quadro istruttorio disponibile e non pregiudicare l'accuratezza della risposta finale.

26. Salvaguardia della posizione del Titolare e prova di corretto adempimento

L'intero ciclo DSAR e organizzato per consentire dimostrazione oggettiva del corretto adempimento da parte del Titolare, inclusa prova di ricezione, verifica identita, istruttoria, decisioni motivate, esecuzione tecnica e comunicazione dell'esito. Tale impianto risponde sia a finalita di tutela dell'interessato sia alla legittima esigenza aziendale di difesa in sede ispettiva o contenziosa.

Le evidenze sono mantenute con criteri di minimizzazione e retention proporzionata, evitando conservazioni eccedenti ma preservando quanto necessario alla sicurezza giuridica del processo.

27. Gestione delle richieste seriali, repetitive o manifestamente infondate

Il Titolare valuta la natura e frequenza delle richieste per prevenire uso distorto dei canali DSAR e garantire equilibrio tra effettivita del diritto e sostenibilita operativa del processo. Nei casi consentiti dalla legge, richieste manifestamente infondate, eccessive o meramente reiterative possono essere rigettate o soggette a gestione differenziata con motivazione puntuale, conservando traccia della valutazione effettuata.

Tale presidio non limita l'esercizio legittimo dei diritti, ma ne tutela serieta, tracciabilita e correttezza procedurale nei confronti di tutti gli interessati.

28. Presidio su rappresentanza e delega

Quando la richiesta e presentata da un delegato o rappresentante, il Titolare richiede verifica adeguata del titolo rappresentativo, limitando l'accesso alle sole informazioni coerenti con l'ambito della delega conferita. In assenza di elementi sufficienti sulla legittimazione, la pratica puo essere sospesa fino a integrazione documentale, con comunicazione motivata al richiedente.

La verifica della delega costituisce presidio essenziale per prevenire divulgazioni indebite e tutelare i diritti dell'interessato effettivo.

29. Chiusura formale della pratica e opponibilita della risposta

Al termine dell'istruttoria il Titolare emette riscontro finale con indicazione dello stato della pratica, dell'esito e dei riferimenti essenziali alla base della decisione. La chiusura formalizzata, accompagnata da evidenze di processo, costituisce elemento opponibile per dimostrare correttezza dell'adempimento e tempestivita della gestione, salvo eventuali ulteriori diritti dell'interessato previsti dalla legge.

Le contestazioni successive sono trattate in continuita con il fascicolo originario, garantendo coerenza documentale e completa ricostruibilita del percorso decisionale.