MISURE DI SICUREZZA E LINEE GUIDA
AZIENDALI PER IL TRATTAMENTO DEI DATI
PERSONALI CONFORME REG. UE 679/2016
Miki S.R.L. S.U. In persona del legale rappresentante pro tempore
P.I. 02697870927
Cap. Soc. €10.000,00 I.v.
EX SS 131 km 8.00 09028 Sestu (CA)
Responsabile della protezione dei dati
Dott. Sergio Puddu
Via Macomer Civico 15, Cagliari (CA) 090127
P.IVA: 03765380922
Pec: s.studiolegalepuddu@egiuridiche.it
Nel presente documento sono indicate le linee guida delle misure e procedure di gestione raccolta trasmissione conservazione e cancellazione dei dati personali raccolti.
L’adozione in seno alla MIKI SRL S.U. in persona del legale rappresentante pro tempore con sede in Sestu, della presente disciplina ha come obiettivo quello di assicurare una corretta gestione delle procedure di trattamento dei dati personali ed il rispetto dei principi e precetti contenuti nel Reg. Ue 679/2016.
Il Responsabile del Trattamento dei Dati Personali è stato individuato ed incaricato a far data dal 23.05.2018, il quale di concerto con L’amministratore Legale pro tempore ed il Procuratore ad acta della predetta società e collaboratori incaricati, procede allo svolgimento dei compiti nei limiti delle rispettive prerogative contrattuali.
Questo documento, è stato adottato in virtù dell’autorizzazione rilasciata dal Legale rappresentante pro tempore della società MIKI SRL S.U, su proposta del Responsabile del Trattamento dei Dati Personali, in conformità alle disposizioni di cui al Regolamento UE 679/2016.
Sono di seguito specificate le linee guida relative alle diverse procedure di trattamento dei dati personali, al rispetto e alle quali, gli Incaricati e tutti i dipendenti collaboratori nell’espletamento delle rispettive mansioni affidate ove risultino soggetti attivi o passivi rispetto alle generali procedure di trattamento dei dati e previo l’ausilio ed il consenso del nominato Responsabile del Trattamento dei dati Personali (DPO), dovranno procedere ad attuare con le sotto indicate modalità nelle diverse aree operative, con particolare attenzione, rispetto all’adempimento di tutti i rapporti contrattuali in essere con altre e diverse società che verranno identificate.
A tal proposito, allo scopo di rappresentare agli utenti il quadro normativo di riferimento si specifica che la principale fonte normativa è data dal Reg. Ue 679/2016 e successive integrazioni o modificazioni operate dal legislatore Italiano ed Europeo.
Copia del presente Regolamento viene pubblicata sul sito internet aziendale nella sezione “Privacy Policy” e consegnata a ciascun dipendente all’atto dell’assunzione ed a ciascun collaboratore ad inizio attività.
Definizione di Dato personale:
Art. 4, comma 1, lett. B Reg. Ue 679/2016, “Dato personale sensibile” è rappresentato da qualunque informazione relativa a persona fisica e giuridica, ente od associazione, siano esse, informazioni nominative (come le generalità di una persona), o una qualunque altra informazione che possa rendere identificabile l’interessato, anche indirettamente (ad esempio codice fiscale, numero di matricola del dipendente);
Art. 4, comma 1, lett. “dato sensibile” si fa riferimento ai dati idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale nonché i dati personali idonei a rivelare lo stato di salute dell’interessato;
Art. 4, comma 1, lett. e “dato giudiziario sono i dati idonei a rivelare i provvedimenti in materia inseriti nel casellario giudiziale, di quelli dell’anagrafe delle sanzioni amministrative dipendenti da reati e dei relativi carichi pendenti, la qualità di imputato o di indagato ai sensi degli artt. 60 e 61 del Codice di procedura penale.
I dati giudiziari non sono in alcun modo oggetto di trattamento in seno alla Miki Srl s.u. in persona del legale rappresentante pro tempore.
Dati di Utilizzo
Sono le informazioni raccolte automaticamente attraverso questo i siti Web ove inserito il presente documento (anche da applicazioni di parti terze integrate in questo Sito Web), tra cui: gli indirizzi IP o i nomi a dominio dei computer utilizzati dall’Utente che si connette con questo Sito Web, gli indirizzi in notazione URI (Uniform Resource Identifier), l’orario della richiesta, il metodo utilizzato nell’inoltrare la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta dal server (buon fine, errore, ecc.) il paese di provenienza, le caratteristiche del browser e del sistema operativo utilizzati dal visitatore, le varie connotazioni temporali della visita (ad esempio il tempo di permanenza su ciascuna pagina) e i dettagli relativi all’itinerario seguito all’interno dell’Applicazione, con particolare riferimento alla sequenza delle pagine consultate, ai parametri del sistema operativo e all’ambiente informatico dell’Utente.
Servizio
Il Servizio fornito dai siti web in dotazione della predetta società così come definito nei relativi termini su questo sito/applicazione.
Unione Europea (o UE)
Salvo ove diversamente specificato, ogni riferimento all’Unione Europea contenuto in questo documento si intende esteso a tutti gli attuali stati membri dell’Unione Europea e dello Spazio Economico Europeo.
Cookie
Piccola porzione di dati conservata all’interno del dispositivo dell’Utente.
PREAVVERTENZE
L’inosservanza delle norme sulla privacy e del Reg. Ue 679/2016 può comportare a seguito dell’accertamento di tali violazioni, l’irrogazione di sanzioni di natura civile e penale per l’incaricato e per l’azienda, da parte dell’autorità competente
Preme preliminarmente evidenziare che qualora venissero rilevate e certificate delle prassi differenti rispetto a quelle ivi indicate l’Amministratore legale pro tempore ed il Responsabile del trattamento dei dati personali anche in assenza di un provvedimento sanzionatorio e previa analisi degli elementi in loro possesso, si riservano la facoltà di promuovere idonee azioni a tutela della società e delle rispettive sfere giuridico soggettive.
In conformità ai principi e alle normative vigenti in materia; i soggetti parte del procedimento di trattamento dei dati personali, potranno essere oggetto di procedimento disciplinare nel caso d’inadempimento delle prerogative ivi indicate ed affidate, salvo che nel contraddittorio tra le parti, questi dimostrino che l’evento dannoso “non gli è in alcun modo imputabile” (ex art. 82, paragrafo 1 e 3 Reg. 679/2016);
Sì raccomanda dunque di prestare la massima attenzione nella lettura delle disposizioni e nell’adozione delle linee guida e disposizioni sotto specificate.
Le presenti Istruzioni sono adottate nello svolgimento delle mansioni di soggetti sotto elencati ed in particolare nelle attività o comportamenti comunque connessi all’utilizzo della rete Internet e della posta elettronica, mediante strumentazione aziendale o di terze parti autorizzate all’uso dell’infrastruttura aziendale e dei processi operativi propri della società stessa e nei processi sotto descritti di Trattamento dei dati Personali in seno a tutte le sede operative e amministrative della Società presenti nel territorio Italiano.
I soggetti parte del procedimento sono:
III) RIFERIMENTI NORMATIVE E DEFINIZIONI
Il procedimento prevede l’indispensabile sottoscrizione e manifestazione del consenso previa sottoscrizione in duplice copia dell’apposito modulo di autorizzazione.
Reg.UE 679/2016 ex art 7-21-22-29 “Linee guida individuate sui principi di liceità del trattamento dei dati.
In particolare, le operazioni di trattamento dei dati personali vengano supervisionate nella sede amministrativa e presso le sedi operative dal Dpo incaricato e dai Sub responsabili la cui nomina è stata ratificata dal Legale rappresentante Pro tempore della MIKI SRL ex art 28 pgf.4 Reg Ue 679/2016.
L’analisi delle diverse attitudini professionali, attraverso una progressiva attività di formazione al fine di poter compiutamente comprendere, interpretare ed infine adottare, le linee guida dei processi de quo, elementi indispensabili per il conferito dei specifici incarichi all’interno del procedimento.
L’Audit delle attività di trattamento, viene svolto sotto la supervisione e direttive del DPO e attraverso l’ausilio di altri Consulenti e Collaboratori individuati dal predetto Responsabile del trattamento dei con cadenza mensile.
In conformità dei principi e le normative vigenti in materia; i soggetti sopra indicati potranno essere oggetto di procedimento disciplinare nel caso d’inadempimento alle prerogative ivi indicate ed affidate, salvo che nel contraddittorio tra le parti questi dimostrino che l’evento dannoso “non gli è in alcun modo imputabile” (ex art. 82, paragrafo 1 e paragrafo 3 Reg. 679/2016);
Il presente regolamento definisce le prerogative soggettive assunte responsabilità del titolare e responsabile del trattamento dei dati personali e degli incaricati negli stessi termini di cui alla direttiva 95/46/CE ed del già nominato Reg. UE 679/2016.
Pur non prevedendo espressamente la figura dell’incaricato” del trattamento (ex art. 30 Codice), infatti regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (ex art. 4, n. 10, Reg. ue 679/2016), che operano sotto la diretta autorità del Titolare o del Responsabile, attenendosi alle istruzioni impartite.
La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito.
Ai fini del presente regolamento:
I dati dell’utente sono raccolti per consentire al Titolare di fornire i propri Servizi di fornitura e vendita del prodotto, così come per le seguenti finalità: Statistica, Visualizzazione di contenuti da piattaforme esterne, Protezione dallo SPAM, Contattare l’Utente, Gestione contatti.
IV Sistema e procedura per il Trattamento dei dati personali:
Il sistema di trattamento adottato comprende i seguenti capitoli del procedimento:
Nei sopra citati ed individuati capitoli (1-6) vengono ricomprese operazioni di utilizzo interno (organizzazione, conservazione, raffronto, ecc.) ed esterno (comunicazione, diffusione, interconnessione ad altre banche dati), e prescindendo sia dall’eventuale uso di strumenti informatici, sia dalla circostanza che il dato venga divulgato o elaborato nel senso stretto del termine.
Di conseguenza, si parla di trattamento sia nel caso in cui vengano utilizzati mezzi elettronici o comunque automatizzati, sia altri mezzi che richiedono l’esclusivo apporto umano;
Nelle Linee guida si focalizza l’attenzione sull’analisi dei rischi incombenti sui dati, e sull’analisi dei rischi per i diritti e le libertà delle persone fisiche.
La ratio dell’articolo 35 del Regolamento Generale n. 2016/679/UE (GDPR) è chiarissima tale articolo guarda agli impatti giuridico-umanistici sulle persone fisiche e non prevede certamente solo una valutazione dei rischi di “violazione dei dati” che un trattamento può eventualmente presentare.
Il significato della “protezione dei dati personali”, non equivale a “sicurezza dei dati personali”: “proteggere i dati personali” indica la necessaria protezione di qual si voglia elemento essenziale dell’essere umano, cioè va inteso – e così è palesemente inteso dal legislatore europeo sin dai Trattati – come diritto fondamentale strumentale alla tutela di altri diritti e libertà fondamentali. (Carta di Nizza)
È indispensabile che una Valutazione d’Impatto ex art. 35 GDPR, dopo avere smarcato la due diligence di conformità normativa dello specifico trattamento, comprenda due fasi di analisi:
Solo a valle di questa duplice valutazione operata nella seconda fase, e comprendente non solo la casistica patologica di data breach ma anche e soprattutto, per la ratio dell’art. 35, la carica intrinseca di potenziale impatto negativo sui diritti e le libertà delle persone di quel trattamento in sé, sarà possibile andare a individuare misure di mitigazione più o meno mirate ed efficaci.
Nella prima fase è stata quindi verificata la probabilità e severità di possibili problemi patologici (analisi dei rischi di violazione dei dati).
Nella seconda fase di analisi, trattamento che in sé può comportare rischi elevati per i diritti e le libertà delle persone fisiche.
(Art.7-11-35) Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.
MISURE DI PREVENZIONE
TRATTAMENTI DEI DATI PREVIO UTILIZZO DI STRUMENTI ELETTRONICI
Il processo di trattamento di dati personali viene effettuato con strumenti elettronici ed in presenza delle misure preventive sotto indicate:
consentiti e a determinati programmi informatici coadiuvato dal sistema di monitoraggio da remoto nella disponibilità del Dpo e dei Sub responsabili.
I trattamenti dei dati personali effettuati per finalità amministrativo-contabili risultano, in seno alla predetta struttura organizzativa de quo, connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, ed operativa a prescindere dalla classificazione operata dei dati sensibili e dunque oggetto di analisi preventiva delle possibili criticità presenti in seno al procedimento.
Questi dunque sono trattati nelle modalità sopra esposte ed effettuati per quanto di competenza nella sede organizzativa centrale e nelle diverse aree di coordinamento e/o operative presenti nei punti vendita e nei magazzini.
Oggetto di analisi e verifica risultano infine gli assetti organizzativi posti a presidio e alla salva guardia dei procedimento di trattamento dei dati personali e/o sensibili , e le diverse attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.
TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI
Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.
ATTUAZIONE DELLE MISURE MINIME DI SICUREZZA
In conformità con il Disciplinare, si riportano di seguito le prescrizioni al fine di dare attuazione nell’ambito aziendale alle “misure minime di sicurezza” nel trattamento dei dati personali di cui al predetto Regolamento UE 679/2016.
SISTEMA DI AUTENTICAZIONE INFORMATICA
E
MISURE CAUTELARI PRELIMINARI
Ciascun incaricato del trattamento dei dati personali:
SISTEMI DI AUTORIZZAZIONE
Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso, è utilizzato un sistema di autorizzazione per l’accesso ai dati da trattare.
All’inizio del trattamento il Responsabile per il trattamento dei dati definisce il profilo di autorizzazione per ciascun incaricato, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.
La definizione dei profili viene effettuata per iscritto nell’atto di conferimento di incarico al trattamento dati e revisionata con cadenza mensile entro il 24 del mese successivo.
Qualsiasi modifica andrà comunicata per iscritto da parte del Responsabile.
Con cadenza annuale, il Responsabile per il trattamento dei dati verifica la sussistenza delle condizioni per la conservazione dei profili di autorizzazione nei confronti di ciascun incaricato, dando evidenza delle modifiche in apposito verbale.
ALTRE MISURE DI SICUREZZA
I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici (Antivirus) che verranno aggiornati con cadenza almeno semestrale. Vedasi comunque più avanti al paragrafo 5.3.
Ciascuna postazione di lavoro è sottoposta ad aggiornamento almeno annuale allo scopo di verificarne la piena funzionalità ed allo scopo di prevenirne la vulnerabilità da attacchi esterni e consentire la correzione di difetti.
L’Amministratore di Sistema procederà, in ogni caso, a disporre il salvataggio dei dati con frequenza
giornaliera (v. più avanti, paragrafo 5.4).
Ulteriori Misure In Caso Di Trattamento dei Dati Sensibili
I dati sensibili e/o giudiziari sottoposti a trattamento sono protetti contro l’accesso abusivo, di cui all’art.615-ter del codice penale, mediante l’utilizzo di idonei strumenti elettronici che verranno aggiornati con cadenza almeno semestrale. Vedasi comunque più avanti al paragrafo 5.3.
Ciascuna postazione di lavoro di incaricati al trattamento dei dati sensibili e/o giudiziari verrà sottoposta ad aggiornamento almeno semestrale allo scopo di verificarne la piena funzionalità ed allo scopo di prevenirne la vulnerabilità da attacchi esterni e consentire la correzione di difetti.
Il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, verrà effettuato dall’Amministratore di Sistema entro il termine sette giorni.
Misure di tutela e garanzia
Laddove la società Miki Srl dovesse ricorrere a soggetti terzi per la messa in opera od esecuzione delle misure minime di sicurezza di cui sopra, il Responsabile per il trattamento dei dati dovrà esigere dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del Disciplinare.
Procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi
La procedura di backup utilizzata da Miki srl è effettuata ogni settimana su un sistema esterno e presso i Server interni con un ripristino potenziale in tempo reale rispetto alla data di conoscenza della perdita dei dati.
TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI
Il Responsabile per il trattamento dei dati personale, all’atto del conferimento, impartisce istruzioni scritte agli incaricati finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Quando gli atti e i documenti contenenti dati personali sensibili, riportanti documentazione medica o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. Vedasi anche più avanti, ai paragrafi 5.7e 5.8.
L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato attraverso il procedimento di monitoraggio in adozione sin dal 24.04.2018.
Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate.
Le persone che accedono ai suddetti archivi vanno preventivamente autorizzate dal Responsabile del trattamento dei dati personali.
Di seguito vengono descritte le norme a cui gli Incaricati devono attenersi nell’esecuzione dei compiti che implicano un trattamento di dati personali riferiti sia a persone fisiche che giuridiche.
Preliminarmente va evidenziato che, al fine di evitare che soggetti estranei possano venire a conoscenza dei dati personali oggetto del trattamento, l’Incaricato deve osservare le seguenti regole di ordinaria diligenza, nonché tutte le altre ulteriori misure ritenute necessarie per garantire il rispetto di quanto disposto dalla normativa in ambito privacy Reg Ue 679/2016:
Quanto sopra descritto impone, in altri termini, di operare con la massima attenzione in tutte le fasi di trattamento, dalla esatta acquisizione dei dati, al loro aggiornamento, alla conservazione ed eventuale distruzione.
Nei successivi paragrafi si riportano le procedure di attuazione che gli Incaricati devono adottare sia che trattino dati in formato elettronico che cartaceo.
ACCESSO AI DATI DALLA POSTAZIONE DI LAVORO
La postazione di lavoro deve essere:
Occorre, inoltre, evidenziare come sia dovere dell’Incaricato:
durante le pause di lavoro, o durante riunioni lontane dalla propria postazione);
assolutamente certi dell’identità dell’interlocutore o del destinatario e se esso non è legittimato a
riceverle.
GESTIONE DELLE PASSWORD
Per una corretta gestione delle password, ciascun Incaricato deve aver cura di:
ANTIVIRUS
I Personal Computer (PC) in dotazione agli utenti, pur protetti contro gli attacchi dei virus informatici
mediante appositi programmi, rimangono potenzialmente esposti ad aggressioni di virus non conosciuti.
Per ridurre le probabilità del verificarsi di tali attacchi è necessario che vengano osservate le seguenti
regole:
autorizzate;
anomale inviate dal PC;
Alla verifica di un malfunzionamento del PC, che può far sospettare la presenza di un virus, è bene che l’Incaricato:
SALVATAGGIO DEI DATI
Tutti i dati al termine della giornata lavorativa vanno salvati sul server aziendale. A tale riguardo, qualora vi sia la necessità, l’Incaricato può richiedere la creazione sul server di una cartella a lui intestata o, in alternativa, di una cartella condivisa dal gruppo di lavoro cui fa riferimento l’Incaricato stesso.
PROTEZIONE DEI PC PORTATILI
Un computer portatile presenta maggiori vulnerabilità rispetto ad una postazione di lavoro fissa.
Fatte salve tutte le disposizioni dei paragrafi precedenti, di seguito vengono illustrate le ulteriori
precauzioni da adottare nell’uso dei dispositivi portatili:
portatile;
soggetto a furto e smarrimento rispetto alla postazione fissa;
USO DI INTERNET E POSTA ELETTRONICA
Gli strumenti di comunicazione telematica (Internet e Posta elettronica) devono essere utilizzati solo ed esclusivamente per finalità lavorative. Sono vietati comportamenti che possano arrecare danno all’Azienda.
In particolare, l’utente dovrà osservare le seguenti regole:
L’utente (incaricato, collaboratore o dipendente) in caso di assenza programmata (ad esempio per ferie o attività di lavoro fuori sede) – di almeno 5 giornate lavorative – deve attivare l’apposita funzionalità di sistema (cd. “Fuori Sede”) che consente di inviare automaticamente ai mittenti un messaggio di risposta contenente le “coordinate” (anche elettroniche o telefoniche) di un altro utente o altre modalità utili di contatto della struttura.
L’azienda, in caso di assenza improvvisa o prolungata dell’utente o comunque non programmata e per improrogabili necessità di sicurezza o di operatività del sistema, si riserva, per mezzo dell’Amministratore di Sistema e Responsabile sistemi, di accedere alla casella di posta elettronica dell’utente assente: per i dettagli si rimanda al paragrafo 5 “Accesso ai dati dell’utente”.
PARTICOLARI CAUTELE NELLA PREDISPOSIZIONE DEI MESSAGGI DI POSTA ELETTRONICA
Nell’utilizzo della posta elettronica ciascun utente deve tenere in debito conto che i soggetti esterni possono attribuire carattere istituzionale alla corrispondenza ricevuta da dipendenti aziendali. Pertanto si deve prestare particolare attenzione agli eventuali impegni contrattuali e precontrattuali contenuti nei messaggi.
La formulazione dei messaggi deve pertanto far uso di un linguaggio appropriato, corretto e rispettoso che tuteli la dignità delle persone, l’immagine e la reputazione dell’Azienda.
L’Azienda formula inoltre le seguenti regole di comportamento a cui gli utenti devono attenersi:
– visualizzare preventivamente il contenuto tramite utilizzo della funzione “Riquadro di lettura” (o
preview) e, nel caso si riscontri un contenuto sospetto, non aprire il messaggio,
– una volta aperto il messaggio, evitare di aprire gli allegati o cliccare sui “link” eventualmente presenti,
– cancellare il messaggio e svuotare il “cestino” della posta,
– segnalare l’accaduto all’Amministratore di Sistema;
– adoperare estrema cautela ed essere selettivi nella scelta della società che fornisce il servizio; in particolare l’adesione dovrà avvenire in funzione dell’attinenza del servizio con la propria attività lavorativa,
– utilizzare il servizio solo per acquisire informazioni inerenti finalità aziendali, facendo attenzione alle informazioni fornite a terzi in modo da prevenire attacchi di social engineering,
– in caso di appesantimento dovuto ad un eccessivo traffico di messaggi scambiati attraverso la lista di distribuzione, revocare l’adesione alla stessa. Si raccomanda, in proposito, di approfondire al momento dell’iscrizione le modalità per richiederne la revoca.
TRASMISSIONE E RIPRODUZIONE DEI DOCUMENTI
Al fine di prevenire eventuali accessi ai dati aziendali da parte di soggetti terzi non autorizzati, occorre adottare delle cautele nella trasmissione e riproduzione dei documenti contenenti dati personali.
Quando le informazioni devono essere trasmesse telefonicamente occorre essere assolutamente certi dell’identità dell’interlocutore e verificare che esso sia legittimato ad ottenere quanto domandato. In
particolare, nel caso di richieste da parte di terzi può essere necessario, a seconda della natura dei dati
richiesti, procedere nel seguente modo:
Quando il dato deve essere inviato a mezzo fax, posta elettronica, SMS, ecc. e, in particolar modo, nel caso in cui vengano inviati documenti contenenti dati sensibili occorre:
Tutti coloro che provvedono alla duplicazione di documenti con stampanti, macchine fotocopiatrici o altre apparecchiature, in caso di copia erronea o non leggibile correttamente, da cui potrebbero essere desunti dati personali, sono tenuti a distruggere il documento mediante apposita macchina “distruggi documenti” o con qualunque altro mezzo che ne renda impossibile la ricostruzione in modo da escludere qualunque possibilità da parte di estranei di venire a conoscenza dei dati medesimi.
ARCHIVI CARTACEI
Tutto il materiale cartaceo contenente dati personali non deve essere lasciato incustodito sulle scrivanie e, a fine lavoro, deve essere riposto in un luogo sicuro. Inoltre, occorre usare la medesima perizia nello svolgimento delle normali quotidiane operazioni di lavoro, per evitare che il materiale risulti facilmente visibile a persone terze o, comunque, ai non autorizzati al trattamento.
In caso di trattamento di dati particolarmente sensibili (condizione di salute, dati giudiziari, ecc.), tutta la documentazione cartacea deve essere conservata in armadi/cassetti chiusi a chiave o stanze chiuse a chiave in caso di allontanamento, anche temporaneo, dalla postazione di lavoro.
L’accesso a tutti i locali aziendali deve essere consentito solo a personale preventivamente autorizzato dalla Titolarità.
ACCESSO AI DATI DELL’UTENTE
L’Amministratore di Sistema può accedere ai dati trattati dall’utente tramite posta elettronica o navigazione in rete esclusivamente per motivi di sicurezza e protezione del sistema informatico (ad es., contrasto virus, malware, intrusioni telematiche, fenomeni quali spamming, phishing, spyware, etc.), ovvero per motivi tecnici e/o manutentivi e/o di regolare svolgimento dell’attività lavorativa (ad esempio, aggiornamento/sostituzione/implementazione di programmi, manutenzione hardware). Fatta eccezione per gli interventi urgenti che si rendano necessari per affrontare situazioni di emergenza e massima sicurezza, il personale incaricato accederà ai dati su richiesta dell’utente e/o previo avviso al medesimo.
Ove sia necessario per garantire la sicurezza, l’assistenza tecnica e la normale attività operativa, il personale incaricato avrà anche la facoltà di collegarsi e visualizzare in remoto il desktop delle singole postazioni.
Lo stesso Amministratore di Sistema può, nei casi suindicati, procedere a tutte le operazioni di configurazione e gestione necessarie a garantire la corretta funzionalità del sistema informatico aziendale (ad es. rimozione di file o applicazioni pericolosi).
L’Amministratore di Sistema, in caso di assenza improvvisa o prolungata dell’utente o comunque non programmata e per improrogabili necessità di sicurezza o di operatività del sistema è abilitato ad accedere alla posta elettronica dell’utente per le strette necessità operative. Di tale avvenuto accesso dovrà comunque essere data tempestiva comunicazione all’utente.
L’Amministratore di Sistema può procedere a controlli sulla navigazione finalizzati a garantire l’operatività e la sicurezza del sistema, nonché il necessario svolgimento delle attività lavorative, es. mediante un sistema di controllo dei contenuti (Proxy server) o mediante “file di log” della navigazione svolta.
L’eventuale controllo sui file di log da parte dell’Amministratore di Sistema non è comunque continuativo ed è limitato ad alcune informazioni (es. Posta elettronica: l’indirizzo del mittente e del destinatario, la data e l’ora dell’invio e della ricezione e l’oggetto–Navigazione Internet: il nome dell’utente, l’identificativo della postazione di lavoro, indirizzo IP, la data e ora di navigazione, il sito visitato e il totale degli accessi effettuati) ed i file stessi vengono conservati per il periodo strettamente necessario per il perseguimento delle finalità organizzative, produttive e di sicurezza dell’azienda, e comunque non oltre 12 mesi, fatti salvi in ogni caso specifici obblighi di legge.
Il sistema di registrazione dei log è configurato per cancellare periodicamente ed automaticamente
(attraverso procedure di sovra registrazione) i dati personali degli utenti relativi agli accessi internet e al traffico telematico.
L’Amministratore di Sistema è altresì abilitato ad accedere ai dati contenuti negli strumenti informatici restituiti dall’utente all’azienda per cessazione del rapporto, sostituzione delle apparecchiature, etc.
Sarà cura dell’utente la cancellazione preventiva di tutti gli eventuali dati personali eventualmente ivi
contenuti.
In ogni caso, la MIKI SRL s.u. garantisce la non effettuazione di alcun trattamento mediante sistemi hardware e software specificatamente preordinati al controllo a distanza, quali, a titolo esemplificativo:
CONTROLLI DA PARTE DELLA TITOLARITA’
Con il presente capitolo portiamo all’attenzione degli incaricati la possibilità di questa Azienda di effettuare controlli sulle proprie apparecchiature tecnologiche al fine di preservare la sicurezza informatica dei dati personali in esse contenuti.
A tale proposito si sottolinea che la strumentazione tecnologica/informatica e quanto con essa creato è di proprietà dell’Azienda in quanto mezzo di lavoro. E’ pertanto fatto divieto di utilizzo del mezzo tecnologico/informatico e delle trasmissioni interne ed esterne con esso effettuate per fini ed interessi non strettamente coincidenti con quelli dell’Azienda stessa.
Nel rispetto dei principi di pertinenza e non eccedenza, le verifiche sugli strumenti informatici saranno realizzati dall’Azienda nel pieno rispetto dei diritti e delle libertà fondamentali degli utenti e del presente Regolamento.
In caso di anomalie, l’Azienda, per quanto possibile, privilegerà preliminari controlli anonimi e quindi riferiti a dati aggregati nell’ambito di intere strutture lavorative o di sue aree nelle quali si è verificata l’anomalia.
In tali casi, il controllo si concluderà con un avviso al Responsabile della struttura dell’Area aziendale interessata in cui è stato rilevato l’utilizzo anomalo degli strumenti aziendali affinché lo stesso inviti le Strutture da lui dipendenti ad attenersi scrupolosamente ai compiti assegnati e alle istruzioni impartite.
In caso di successive, perduranti anomalie, ovvero ravvisandone comunque la necessità, l’Azienda si riserva di effettuare verifiche anche su base individuale, comunque finalizzate esclusivamente alla individuazione di eventuali condotte illecite.
In nessun caso verranno realizzate verifiche prolungate, costanti o indiscriminate, fatte salve le verifiche atte a tutelare gli interessi aziendali.
RESPONSABILITÀ E SANZIONI
L’utente, al fine di non esporre sé stesso e l’Azienda a rischi sanzionatori, è tenuto ad adottare comportamenti puntualmente conformi alla normativa vigente ed alla regolamentazione aziendale.
Gli utenti sono responsabili del corretto utilizzo dei servizi di Internet e Posta Elettronica. Pertanto sono responsabili per i danni cagionati al patrimonio, alla reputazione e alla Committenza.
Tutti gli utenti sono pertanto tenuti ad osservare e a far osservare le disposizioni contenute nel presente Regolamento Disciplinare il cui mancato rispetto o la cui violazione, costituendo inadempimento contrattuale potrà comportare:
– per il personale dipendente oltre che l’adozione di provvedimenti di natura disciplinare previsti dal
Contratto Collettivo Nazionale di Lavoro tempo per tempo vigente, le azioni civili e penali stabilite dalle leggi tempo per tempo vigenti;
– per i collaboratori esterni oltre che la risoluzione del contratto le azioni civili e penali stabilite dalle leggi tempo per tempo vigenti.
Diritto legittimo- Esercizio del diritto all’obblio – opposizione al trattamento dei dati personali –
I criteri e la verifica della presenza di un diritto legittimo al trattamento dei dati personali vengono adottati puntualmente da ogni incaricato con lo standard proprio del buon professionista.
L’incaricato procede alla stampa e alla consegna del documento d’informativa sul trattamento dei dati personali e all’atto della autorizzazione liberamente prestata previa sottoscrizione dello stesso procede all’archiviazione e classificazione e conservazione dello stesso con l’ausilio degli appositi software di gestione.
Nei processi automatizzati, il “Cliente “previo esame del documento contenente l’informativa citata procede alla concessione dell’autorizzazione al trattamento dei dati propri dati personali.
Nella modulistica allegata al presente “ disciplinare “ vengono espressamente indicate le discipline normative in vigore ed una sintetica esposizione delle modalità d’esercizio dell’interessato a non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato dei dati che produca effetti giuridici che lo riguardano o che comunque incida significativamente sulla sua persona (tra le operazioni contemplate dalla norma campeggia la profilazione come definita dall’art. 4.1, n. 4).
Le modalità d’esercizio al “diritto all’oblio” e alla cancellazione dei dati personali forniti ed infine le modalità d’esercizio di opposizione nanti le autorità competenti sono espressamente indicate nello stesso documento teste citato.
Visualizzazione di contenuti da piattaforme esterne.
Questo tipo di servizi permette di visualizzare contenuti ospitati su piattaforme esterne direttamente dalle pagine di questo Sito Web e di interagire con essi.
Nel caso in cui sia installato un servizio di questo tipo, è possibile che, anche nel caso gli Utenti non utilizzino il servizio, lo stesso raccolga dati di traffico relativi alle pagine in cui è installato.
Google Fonts (Google Inc.)
Google Fonts è un servizio di visualizzazione di stili di carattere gestito da Google Inc. che permette a questo Sito Web di integrare tali contenuti all’interno delle proprie pagine.
Dati Personali raccolti: Dati di utilizzo e varie tipologie di Dati secondo quanto specificato dalla privacy policy del servizio.
Luogo del trattamento: Stati Uniti – Privacy Policy. Soggetto aderente al Privacy Shield.
Diritti dell’Utente
Gli Utenti possono esercitare determinati diritti con riferimento ai Dati trattati dal Titolare.
L’Utente ha diritto ad ottenere informazioni sui Dati trattati dal Titolare, su determinati aspetti del trattamento ed a ricevere una copia dei Dati trattati.
Dettagli sul diritto di opposizione
Quando i Dati Personali sono trattati nell’interesse pubblico, nell’esercizio di pubblici poteri di cui è investito il Titolare oppure per perseguire un interesse legittimo del Titolare, gli Utenti hanno diritto ad opporsi al trattamento per motivi connessi alla loro situazione particolare.
Si fa presente agli Utenti che, ove i loro Dati fossero trattati con finalità di marketing diretto, possono opporsi al trattamento senza fornire alcuna motivazione. Per scoprire se il Titolare tratti dati con finalità di marketing diretto gli Utenti possono fare riferimento alle rispettive sezioni di questo documento.
Modalità esercizio diritti
Per esercitare i diritti dell’Utente, gli Utenti possono indirizzare una richiesta agli estremi di contatto del Titolare indicati in questo documento.
Le richieste sono depositate a titolo gratuito e evase dal Titolare nel più breve tempo possibile, in ogni caso entro 60 giorni.
Cookie Policy
Questo Sito Web fa utilizzo di Cookie. Per saperne di più e per prendere visione dell’informativa dettagliata, l’Utente può consultare la Cookie Policy.
Ulteriori informazioni sul trattamento
Difesa in giudizio
I Dati Personali dell’utente possono essere utilizzati da parte del Titolare in giudizio o nelle fasi preparatorie alla sua eventuale instaurazione per la difesa da abusi nell’utilizzo di questo Sito Web o dei Servizi connessi da parte dell’utente.
L’Utente dichiara di essere consapevole che il Titolare potrebbe essere obbligato a rivelare i Dati per ordine delle autorità pubbliche.
Informative specifiche
Su richiesta dell’Cliente utente, in aggiunta alle informazioni contenute in questa privacy policy, questo Sito Web potrebbe fornire all’Utente delle informative aggiuntive e contestuali riguardanti Servizi specifici, o la raccolta ed il trattamento di Dati Personali.
Log di sistema e manutenzione
Per necessità legate al funzionamento ed alla manutenzione, questo Sito Web e gli eventuali servizi terzi da essa utilizzati potrebbero raccogliere Log di sistema, ossia file che registrano le interazioni e che possono contenere anche Dati Personali, quali l’indirizzo IP Utente.
Informazioni non contenute in questa policy
Ulteriori informazioni in relazione al trattamento dei Dati Personali potranno essere richieste in qualsiasi momento al Titolare del Trattamento utilizzando gli estremi di contatto.
Risposta alle richieste „Do Not Track”
Questo Sito Web non supporta le richieste “Do Not Track”.
Per verificare se gli eventuali servizi di terze parti utilizzati le supportino, l’Utente è invitato a consultare le rispettive privacy policy.
Modifiche privacy policy
Il Titolare del Trattamento si riserva il diritto di apportare modifiche alla presente privacy policy in qualunque momento dandone informazione agli utenti su questa pagina e, se possibile, su questo Sito Web.
Si prega dunque di consultare regolarmente questa pagina, facendo riferimento alla data di ultima modifica indicata in fondo.
Qualora le modifiche interessassero i trattamenti la cui base giuridica è il consenso, il Titolare provvederà a raccogliere nuovamente il consenso dell’Utente, se necessario.
La presente informativa privacy è redatta sulla base di molteplici ordinamenti legislativi e del Regolamento (UE) 2016/679.
Il presente privacy policy è disponibile in ogni sede operativa e di controllo della predetta società e nelle piattaforme Informatiche utilizzata dalla stessa.
Sestu – Milano – Cagliari – Olbia – Quartu Sant’Elena – San Sperate
24 maggio 2018
Tutti I Diritti Sono Riservati.
MISURE DI SICUREZZA E LINEE GUIDA
AZIENDALI PER IL TRATTAMENTO DEI DATI
PERSONALI CONFORME REG. UE 679/2016
Miki S.R.L. S.U. In persona del legale rappresentante pro tempore
P.I. 02697870927
Cap. Soc. €10.000,00 I.v.
EX SS 131 km 8.00 09028 Sestu (CA)
Responsabile della protezione dei dati
Dott. Sergio Puddu
Via Macomer Civico 15, Cagliari (CA) 090127
P.IVA: 03765380922
Pec: s.studiolegalepuddu@egiuridiche.it
Nel presente documento sono indicate le linee guida delle misure e procedure di gestione raccolta trasmissione conservazione e cancellazione dei dati personali raccolti.
L’adozione in seno alla MIKI SRL S.U. in persona del legale rappresentante pro tempore con sede in Sestu, della presente disciplina ha come obiettivo quello di assicurare una corretta gestione delle procedure di trattamento dei dati personali ed il rispetto dei principi e precetti contenuti nel Reg. Ue 679/2016.
Il Responsabile del Trattamento dei Dati Personali è stato individuato ed incaricato a far data dal 23.05.2018, il quale di concerto con L’amministratore Legale pro tempore ed il Procuratore ad acta della predetta società e collaboratori incaricati, procede allo svolgimento dei compiti nei limiti delle rispettive prerogative contrattuali.
Questo documento, è stato adottato in virtù dell’autorizzazione rilasciata dal Legale rappresentante pro tempore della società MIKI SRL S.U, su proposta del Responsabile del Trattamento dei Dati Personali, in conformità alle disposizioni di cui al Regolamento UE 679/2016.
Sono di seguito specificate le linee guida relative alle diverse procedure di trattamento dei dati personali, al rispetto e alle quali, gli Incaricati e tutti i dipendenti collaboratori nell’espletamento delle rispettive mansioni affidate ove risultino soggetti attivi o passivi rispetto alle generali procedure di trattamento dei dati e previo l’ausilio ed il consenso del nominato Responsabile del Trattamento dei dati Personali (DPO), dovranno procedere ad attuare con le sotto indicate modalità nelle diverse aree operative, con particolare attenzione, rispetto all’adempimento di tutti i rapporti contrattuali in essere con altre e diverse società che verranno identificate.
A tal proposito, allo scopo di rappresentare agli utenti il quadro normativo di riferimento si specifica che la principale fonte normativa è data dal Reg. Ue 679/2016 e successive integrazioni o modificazioni operate dal legislatore Italiano ed Europeo.
Copia del presente Regolamento viene pubblicata sul sito internet aziendale nella sezione “Privacy Policy” e consegnata a ciascun dipendente all’atto dell’assunzione ed a ciascun collaboratore ad inizio attività.
Definizione di Dato personale:
Art. 4, comma 1, lett. B Reg. Ue 679/2016, “Dato personale sensibile” è rappresentato da qualunque informazione relativa a persona fisica e giuridica, ente od associazione, siano esse, informazioni nominative (come le generalità di una persona), o una qualunque altra informazione che possa rendere identificabile l’interessato, anche indirettamente (ad esempio codice fiscale, numero di matricola del dipendente);
Art. 4, comma 1, lett. “dato sensibile” si fa riferimento ai dati idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale nonché i dati personali idonei a rivelare lo stato di salute dell’interessato;
Art. 4, comma 1, lett. e “dato giudiziario sono i dati idonei a rivelare i provvedimenti in materia inseriti nel casellario giudiziale, di quelli dell’anagrafe delle sanzioni amministrative dipendenti da reati e dei relativi carichi pendenti, la qualità di imputato o di indagato ai sensi degli artt. 60 e 61 del Codice di procedura penale.
I dati giudiziari non sono in alcun modo oggetto di trattamento in seno alla Miki Srl s.u. in persona del legale rappresentante pro tempore.
Dati di Utilizzo
Sono le informazioni raccolte automaticamente attraverso questo i siti Web ove inserito il presente documento (anche da applicazioni di parti terze integrate in questo Sito Web), tra cui: gli indirizzi IP o i nomi a dominio dei computer utilizzati dall’Utente che si connette con questo Sito Web, gli indirizzi in notazione URI (Uniform Resource Identifier), l’orario della richiesta, il metodo utilizzato nell’inoltrare la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta dal server (buon fine, errore, ecc.) il paese di provenienza, le caratteristiche del browser e del sistema operativo utilizzati dal visitatore, le varie connotazioni temporali della visita (ad esempio il tempo di permanenza su ciascuna pagina) e i dettagli relativi all’itinerario seguito all’interno dell’Applicazione, con particolare riferimento alla sequenza delle pagine consultate, ai parametri del sistema operativo e all’ambiente informatico dell’Utente.
Servizio
Il Servizio fornito dai siti web in dotazione della predetta società così come definito nei relativi termini su questo sito/applicazione.
Unione Europea (o UE)
Salvo ove diversamente specificato, ogni riferimento all’Unione Europea contenuto in questo documento si intende esteso a tutti gli attuali stati membri dell’Unione Europea e dello Spazio Economico Europeo.
Cookie
Piccola porzione di dati conservata all’interno del dispositivo dell’Utente.
PREAVVERTENZE
L’inosservanza delle norme sulla privacy e del Reg. Ue 679/2016 può comportare a seguito dell’accertamento di tali violazioni, l’irrogazione di sanzioni di natura civile e penale per l’incaricato e per l’azienda, da parte dell’autorità competente
Preme preliminarmente evidenziare che qualora venissero rilevate e certificate delle prassi differenti rispetto a quelle ivi indicate l’Amministratore legale pro tempore ed il Responsabile del trattamento dei dati personali anche in assenza di un provvedimento sanzionatorio e previa analisi degli elementi in loro possesso, si riservano la facoltà di promuovere idonee azioni a tutela della società e delle rispettive sfere giuridico soggettive.
In conformità ai principi e alle normative vigenti in materia; i soggetti parte del procedimento di trattamento dei dati personali, potranno essere oggetto di procedimento disciplinare nel caso d’inadempimento delle prerogative ivi indicate ed affidate, salvo che nel contraddittorio tra le parti, questi dimostrino che l’evento dannoso “non gli è in alcun modo imputabile” (ex art. 82, paragrafo 1 e 3 Reg. 679/2016);
Sì raccomanda dunque di prestare la massima attenzione nella lettura delle disposizioni e nell’adozione delle linee guida e disposizioni sotto specificate.
Le presenti Istruzioni sono adottate nello svolgimento delle mansioni di soggetti sotto elencati ed in particolare nelle attività o comportamenti comunque connessi all’utilizzo della rete Internet e della posta elettronica, mediante strumentazione aziendale o di terze parti autorizzate all’uso dell’infrastruttura aziendale e dei processi operativi propri della società stessa e nei processi sotto descritti di Trattamento dei dati Personali in seno a tutte le sede operative e amministrative della Società presenti nel territorio Italiano.
I soggetti parte del procedimento sono:
III) RIFERIMENTI NORMATIVE E DEFINIZIONI
Il procedimento prevede l’indispensabile sottoscrizione e manifestazione del consenso previa sottoscrizione in duplice copia dell’apposito modulo di autorizzazione.
Reg.UE 679/2016 ex art 7-21-22-29 “Linee guida individuate sui principi di liceità del trattamento dei dati.
In particolare, le operazioni di trattamento dei dati personali vengano supervisionate nella sede amministrativa e presso le sedi operative dal Dpo incaricato e dai Sub responsabili la cui nomina è stata ratificata dal Legale rappresentante Pro tempore della MIKI SRL ex art 28 pgf.4 Reg Ue 679/2016.
L’analisi delle diverse attitudini professionali, attraverso una progressiva attività di formazione al fine di poter compiutamente comprendere, interpretare ed infine adottare, le linee guida dei processi de quo, elementi indispensabili per il conferito dei specifici incarichi all’interno del procedimento.
L’Audit delle attività di trattamento, viene svolto sotto la supervisione e direttive del DPO e attraverso l’ausilio di altri Consulenti e Collaboratori individuati dal predetto Responsabile del trattamento dei con cadenza mensile.
In conformità dei principi e le normative vigenti in materia; i soggetti sopra indicati potranno essere oggetto di procedimento disciplinare nel caso d’inadempimento alle prerogative ivi indicate ed affidate, salvo che nel contraddittorio tra le parti questi dimostrino che l’evento dannoso “non gli è in alcun modo imputabile” (ex art. 82, paragrafo 1 e paragrafo 3 Reg. 679/2016);
Il presente regolamento definisce le prerogative soggettive assunte responsabilità del titolare e responsabile del trattamento dei dati personali e degli incaricati negli stessi termini di cui alla direttiva 95/46/CE ed del già nominato Reg. UE 679/2016.
Pur non prevedendo espressamente la figura dell’incaricato” del trattamento (ex art. 30 Codice), infatti regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (ex art. 4, n. 10, Reg. ue 679/2016), che operano sotto la diretta autorità del Titolare o del Responsabile, attenendosi alle istruzioni impartite.
La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito.
Ai fini del presente regolamento:
I dati dell’utente sono raccolti per consentire al Titolare di fornire i propri Servizi di fornitura e vendita del prodotto, così come per le seguenti finalità: Statistica, Visualizzazione di contenuti da piattaforme esterne, Protezione dallo SPAM, Contattare l’Utente, Gestione contatti.
IV Sistema e procedura per il Trattamento dei dati personali:
Il sistema di trattamento adottato comprende i seguenti capitoli del procedimento:
Nei sopra citati ed individuati capitoli (1-6) vengono ricomprese operazioni di utilizzo interno (organizzazione, conservazione, raffronto, ecc.) ed esterno (comunicazione, diffusione, interconnessione ad altre banche dati), e prescindendo sia dall’eventuale uso di strumenti informatici, sia dalla circostanza che il dato venga divulgato o elaborato nel senso stretto del termine.
Di conseguenza, si parla di trattamento sia nel caso in cui vengano utilizzati mezzi elettronici o comunque automatizzati, sia altri mezzi che richiedono l’esclusivo apporto umano;
Nelle Linee guida si focalizza l’attenzione sull’analisi dei rischi incombenti sui dati, e sull’analisi dei rischi per i diritti e le libertà delle persone fisiche.
La ratio dell’articolo 35 del Regolamento Generale n. 2016/679/UE (GDPR) è chiarissima tale articolo guarda agli impatti giuridico-umanistici sulle persone fisiche e non prevede certamente solo una valutazione dei rischi di “violazione dei dati” che un trattamento può eventualmente presentare.
Il significato della “protezione dei dati personali”, non equivale a “sicurezza dei dati personali”: “proteggere i dati personali” indica la necessaria protezione di qual si voglia elemento essenziale dell’essere umano, cioè va inteso – e così è palesemente inteso dal legislatore europeo sin dai Trattati – come diritto fondamentale strumentale alla tutela di altri diritti e libertà fondamentali. (Carta di Nizza)
È indispensabile che una Valutazione d’Impatto ex art. 35 GDPR, dopo avere smarcato la due diligence di conformità normativa dello specifico trattamento, comprenda due fasi di analisi:
Solo a valle di questa duplice valutazione operata nella seconda fase, e comprendente non solo la casistica patologica di data breach ma anche e soprattutto, per la ratio dell’art. 35, la carica intrinseca di potenziale impatto negativo sui diritti e le libertà delle persone di quel trattamento in sé, sarà possibile andare a individuare misure di mitigazione più o meno mirate ed efficaci.
Nella prima fase è stata quindi verificata la probabilità e severità di possibili problemi patologici (analisi dei rischi di violazione dei dati).
Nella seconda fase di analisi, trattamento che in sé può comportare rischi elevati per i diritti e le libertà delle persone fisiche.
(Art.7-11-35) Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.
MISURE DI PREVENZIONE
TRATTAMENTI DEI DATI PREVIO UTILIZZO DI STRUMENTI ELETTRONICI
Il processo di trattamento di dati personali viene effettuato con strumenti elettronici ed in presenza delle misure preventive sotto indicate:
consentiti e a determinati programmi informatici coadiuvato dal sistema di monitoraggio da remoto nella disponibilità del Dpo e dei Sub responsabili.
I trattamenti dei dati personali effettuati per finalità amministrativo-contabili risultano, in seno alla predetta struttura organizzativa de quo, connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, ed operativa a prescindere dalla classificazione operata dei dati sensibili e dunque oggetto di analisi preventiva delle possibili criticità presenti in seno al procedimento.
Questi dunque sono trattati nelle modalità sopra esposte ed effettuati per quanto di competenza nella sede organizzativa centrale e nelle diverse aree di coordinamento e/o operative presenti nei punti vendita e nei magazzini.
Oggetto di analisi e verifica risultano infine gli assetti organizzativi posti a presidio e alla salva guardia dei procedimento di trattamento dei dati personali e/o sensibili , e le diverse attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.
TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI
Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.
ATTUAZIONE DELLE MISURE MINIME DI SICUREZZA
In conformità con il Disciplinare, si riportano di seguito le prescrizioni al fine di dare attuazione nell’ambito aziendale alle “misure minime di sicurezza” nel trattamento dei dati personali di cui al predetto Regolamento UE 679/2016.
SISTEMA DI AUTENTICAZIONE INFORMATICA
E
MISURE CAUTELARI PRELIMINARI
Ciascun incaricato del trattamento dei dati personali:
SISTEMI DI AUTORIZZAZIONE
Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso, è utilizzato un sistema di autorizzazione per l’accesso ai dati da trattare.
All’inizio del trattamento il Responsabile per il trattamento dei dati definisce il profilo di autorizzazione per ciascun incaricato, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.
La definizione dei profili viene effettuata per iscritto nell’atto di conferimento di incarico al trattamento dati e revisionata con cadenza mensile entro il 24 del mese successivo.
Qualsiasi modifica andrà comunicata per iscritto da parte del Responsabile.
Con cadenza annuale, il Responsabile per il trattamento dei dati verifica la sussistenza delle condizioni per la conservazione dei profili di autorizzazione nei confronti di ciascun incaricato, dando evidenza delle modifiche in apposito verbale.
ALTRE MISURE DI SICUREZZA
I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici (Antivirus) che verranno aggiornati con cadenza almeno semestrale. Vedasi comunque più avanti al paragrafo 5.3.
Ciascuna postazione di lavoro è sottoposta ad aggiornamento almeno annuale allo scopo di verificarne la piena funzionalità ed allo scopo di prevenirne la vulnerabilità da attacchi esterni e consentire la correzione di difetti.
L’Amministratore di Sistema procederà, in ogni caso, a disporre il salvataggio dei dati con frequenza
giornaliera (v. più avanti, paragrafo 5.4).
Ulteriori Misure In Caso Di Trattamento dei Dati Sensibili
I dati sensibili e/o giudiziari sottoposti a trattamento sono protetti contro l’accesso abusivo, di cui all’art.615-ter del codice penale, mediante l’utilizzo di idonei strumenti elettronici che verranno aggiornati con cadenza almeno semestrale. Vedasi comunque più avanti al paragrafo 5.3.
Ciascuna postazione di lavoro di incaricati al trattamento dei dati sensibili e/o giudiziari verrà sottoposta ad aggiornamento almeno semestrale allo scopo di verificarne la piena funzionalità ed allo scopo di prevenirne la vulnerabilità da attacchi esterni e consentire la correzione di difetti.
Il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, verrà effettuato dall’Amministratore di Sistema entro il termine sette giorni.
Misure di tutela e garanzia
Laddove la società Miki Srl dovesse ricorrere a soggetti terzi per la messa in opera od esecuzione delle misure minime di sicurezza di cui sopra, il Responsabile per il trattamento dei dati dovrà esigere dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del Disciplinare.
Procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi
La procedura di backup utilizzata da Miki srl è effettuata ogni settimana su un sistema esterno e presso i Server interni con un ripristino potenziale in tempo reale rispetto alla data di conoscenza della perdita dei dati.
TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI
Il Responsabile per il trattamento dei dati personale, all’atto del conferimento, impartisce istruzioni scritte agli incaricati finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Quando gli atti e i documenti contenenti dati personali sensibili, riportanti documentazione medica o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. Vedasi anche più avanti, ai paragrafi 5.7e 5.8.
L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato attraverso il procedimento di monitoraggio in adozione sin dal 24.04.2018.
Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate.
Le persone che accedono ai suddetti archivi vanno preventivamente autorizzate dal Responsabile del trattamento dei dati personali.
Di seguito vengono descritte le norme a cui gli Incaricati devono attenersi nell’esecuzione dei compiti che implicano un trattamento di dati personali riferiti sia a persone fisiche che giuridiche.
Preliminarmente va evidenziato che, al fine di evitare che soggetti estranei possano venire a conoscenza dei dati personali oggetto del trattamento, l’Incaricato deve osservare le seguenti regole di ordinaria diligenza, nonché tutte le altre ulteriori misure ritenute necessarie per garantire il rispetto di quanto disposto dalla normativa in ambito privacy Reg Ue 679/2016:
Quanto sopra descritto impone, in altri termini, di operare con la massima attenzione in tutte le fasi di trattamento, dalla esatta acquisizione dei dati, al loro aggiornamento, alla conservazione ed eventuale distruzione.
Nei successivi paragrafi si riportano le procedure di attuazione che gli Incaricati devono adottare sia che trattino dati in formato elettronico che cartaceo.
ACCESSO AI DATI DALLA POSTAZIONE DI LAVORO
La postazione di lavoro deve essere:
Occorre, inoltre, evidenziare come sia dovere dell’Incaricato:
durante le pause di lavoro, o durante riunioni lontane dalla propria postazione);
assolutamente certi dell’identità dell’interlocutore o del destinatario e se esso non è legittimato a
riceverle.
GESTIONE DELLE PASSWORD
Per una corretta gestione delle password, ciascun Incaricato deve aver cura di:
ANTIVIRUS
I Personal Computer (PC) in dotazione agli utenti, pur protetti contro gli attacchi dei virus informatici
mediante appositi programmi, rimangono potenzialmente esposti ad aggressioni di virus non conosciuti.
Per ridurre le probabilità del verificarsi di tali attacchi è necessario che vengano osservate le seguenti
regole:
autorizzate;
anomale inviate dal PC;
Alla verifica di un malfunzionamento del PC, che può far sospettare la presenza di un virus, è bene che l’Incaricato:
SALVATAGGIO DEI DATI
Tutti i dati al termine della giornata lavorativa vanno salvati sul server aziendale. A tale riguardo, qualora vi sia la necessità, l’Incaricato può richiedere la creazione sul server di una cartella a lui intestata o, in alternativa, di una cartella condivisa dal gruppo di lavoro cui fa riferimento l’Incaricato stesso.
PROTEZIONE DEI PC PORTATILI
Un computer portatile presenta maggiori vulnerabilità rispetto ad una postazione di lavoro fissa.
Fatte salve tutte le disposizioni dei paragrafi precedenti, di seguito vengono illustrate le ulteriori
precauzioni da adottare nell’uso dei dispositivi portatili:
portatile;
soggetto a furto e smarrimento rispetto alla postazione fissa;
USO DI INTERNET E POSTA ELETTRONICA
Gli strumenti di comunicazione telematica (Internet e Posta elettronica) devono essere utilizzati solo ed esclusivamente per finalità lavorative. Sono vietati comportamenti che possano arrecare danno all’Azienda.
In particolare, l’utente dovrà osservare le seguenti regole:
L’utente (incaricato, collaboratore o dipendente) in caso di assenza programmata (ad esempio per ferie o attività di lavoro fuori sede) – di almeno 5 giornate lavorative – deve attivare l’apposita funzionalità di sistema (cd. “Fuori Sede”) che consente di inviare automaticamente ai mittenti un messaggio di risposta contenente le “coordinate” (anche elettroniche o telefoniche) di un altro utente o altre modalità utili di contatto della struttura.
L’azienda, in caso di assenza improvvisa o prolungata dell’utente o comunque non programmata e per improrogabili necessità di sicurezza o di operatività del sistema, si riserva, per mezzo dell’Amministratore di Sistema e Responsabile sistemi, di accedere alla casella di posta elettronica dell’utente assente: per i dettagli si rimanda al paragrafo 5 “Accesso ai dati dell’utente”.
PARTICOLARI CAUTELE NELLA PREDISPOSIZIONE DEI MESSAGGI DI POSTA ELETTRONICA
Nell’utilizzo della posta elettronica ciascun utente deve tenere in debito conto che i soggetti esterni possono attribuire carattere istituzionale alla corrispondenza ricevuta da dipendenti aziendali. Pertanto si deve prestare particolare attenzione agli eventuali impegni contrattuali e precontrattuali contenuti nei messaggi.
La formulazione dei messaggi deve pertanto far uso di un linguaggio appropriato, corretto e rispettoso che tuteli la dignità delle persone, l’immagine e la reputazione dell’Azienda.
L’Azienda formula inoltre le seguenti regole di comportamento a cui gli utenti devono attenersi:
– visualizzare preventivamente il contenuto tramite utilizzo della funzione “Riquadro di lettura” (o
preview) e, nel caso si riscontri un contenuto sospetto, non aprire il messaggio,
– una volta aperto il messaggio, evitare di aprire gli allegati o cliccare sui “link” eventualmente presenti,
– cancellare il messaggio e svuotare il “cestino” della posta,
– segnalare l’accaduto all’Amministratore di Sistema;
– adoperare estrema cautela ed essere selettivi nella scelta della società che fornisce il servizio; in particolare l’adesione dovrà avvenire in funzione dell’attinenza del servizio con la propria attività lavorativa,
– utilizzare il servizio solo per acquisire informazioni inerenti finalità aziendali, facendo attenzione alle informazioni fornite a terzi in modo da prevenire attacchi di social engineering,
– in caso di appesantimento dovuto ad un eccessivo traffico di messaggi scambiati attraverso la lista di distribuzione, revocare l’adesione alla stessa. Si raccomanda, in proposito, di approfondire al momento dell’iscrizione le modalità per richiederne la revoca.
TRASMISSIONE E RIPRODUZIONE DEI DOCUMENTI
Al fine di prevenire eventuali accessi ai dati aziendali da parte di soggetti terzi non autorizzati, occorre adottare delle cautele nella trasmissione e riproduzione dei documenti contenenti dati personali.
Quando le informazioni devono essere trasmesse telefonicamente occorre essere assolutamente certi dell’identità dell’interlocutore e verificare che esso sia legittimato ad ottenere quanto domandato. In
particolare, nel caso di richieste da parte di terzi può essere necessario, a seconda della natura dei dati
richiesti, procedere nel seguente modo:
Quando il dato deve essere inviato a mezzo fax, posta elettronica, SMS, ecc. e, in particolar modo, nel caso in cui vengano inviati documenti contenenti dati sensibili occorre:
Tutti coloro che provvedono alla duplicazione di documenti con stampanti, macchine fotocopiatrici o altre apparecchiature, in caso di copia erronea o non leggibile correttamente, da cui potrebbero essere desunti dati personali, sono tenuti a distruggere il documento mediante apposita macchina “distruggi documenti” o con qualunque altro mezzo che ne renda impossibile la ricostruzione in modo da escludere qualunque possibilità da parte di estranei di venire a conoscenza dei dati medesimi.
ARCHIVI CARTACEI
Tutto il materiale cartaceo contenente dati personali non deve essere lasciato incustodito sulle scrivanie e, a fine lavoro, deve essere riposto in un luogo sicuro. Inoltre, occorre usare la medesima perizia nello svolgimento delle normali quotidiane operazioni di lavoro, per evitare che il materiale risulti facilmente visibile a persone terze o, comunque, ai non autorizzati al trattamento.
In caso di trattamento di dati particolarmente sensibili (condizione di salute, dati giudiziari, ecc.), tutta la documentazione cartacea deve essere conservata in armadi/cassetti chiusi a chiave o stanze chiuse a chiave in caso di allontanamento, anche temporaneo, dalla postazione di lavoro.
L’accesso a tutti i locali aziendali deve essere consentito solo a personale preventivamente autorizzato dalla Titolarità.
ACCESSO AI DATI DELL’UTENTE
L’Amministratore di Sistema può accedere ai dati trattati dall’utente tramite posta elettronica o navigazione in rete esclusivamente per motivi di sicurezza e protezione del sistema informatico (ad es., contrasto virus, malware, intrusioni telematiche, fenomeni quali spamming, phishing, spyware, etc.), ovvero per motivi tecnici e/o manutentivi e/o di regolare svolgimento dell’attività lavorativa (ad esempio, aggiornamento/sostituzione/implementazione di programmi, manutenzione hardware). Fatta eccezione per gli interventi urgenti che si rendano necessari per affrontare situazioni di emergenza e massima sicurezza, il personale incaricato accederà ai dati su richiesta dell’utente e/o previo avviso al medesimo.
Ove sia necessario per garantire la sicurezza, l’assistenza tecnica e la normale attività operativa, il personale incaricato avrà anche la facoltà di collegarsi e visualizzare in remoto il desktop delle singole postazioni.
Lo stesso Amministratore di Sistema può, nei casi suindicati, procedere a tutte le operazioni di configurazione e gestione necessarie a garantire la corretta funzionalità del sistema informatico aziendale (ad es. rimozione di file o applicazioni pericolosi).
L’Amministratore di Sistema, in caso di assenza improvvisa o prolungata dell’utente o comunque non programmata e per improrogabili necessità di sicurezza o di operatività del sistema è abilitato ad accedere alla posta elettronica dell’utente per le strette necessità operative. Di tale avvenuto accesso dovrà comunque essere data tempestiva comunicazione all’utente.
L’Amministratore di Sistema può procedere a controlli sulla navigazione finalizzati a garantire l’operatività e la sicurezza del sistema, nonché il necessario svolgimento delle attività lavorative, es. mediante un sistema di controllo dei contenuti (Proxy server) o mediante “file di log” della navigazione svolta.
L’eventuale controllo sui file di log da parte dell’Amministratore di Sistema non è comunque continuativo ed è limitato ad alcune informazioni (es. Posta elettronica: l’indirizzo del mittente e del destinatario, la data e l’ora dell’invio e della ricezione e l’oggetto–Navigazione Internet: il nome dell’utente, l’identificativo della postazione di lavoro, indirizzo IP, la data e ora di navigazione, il sito visitato e il totale degli accessi effettuati) ed i file stessi vengono conservati per il periodo strettamente necessario per il perseguimento delle finalità organizzative, produttive e di sicurezza dell’azienda, e comunque non oltre 12 mesi, fatti salvi in ogni caso specifici obblighi di legge.
Il sistema di registrazione dei log è configurato per cancellare periodicamente ed automaticamente
(attraverso procedure di sovra registrazione) i dati personali degli utenti relativi agli accessi internet e al traffico telematico.
L’Amministratore di Sistema è altresì abilitato ad accedere ai dati contenuti negli strumenti informatici restituiti dall’utente all’azienda per cessazione del rapporto, sostituzione delle apparecchiature, etc.
Sarà cura dell’utente la cancellazione preventiva di tutti gli eventuali dati personali eventualmente ivi
contenuti.
In ogni caso, la MIKI SRL s.u. garantisce la non effettuazione di alcun trattamento mediante sistemi hardware e software specificatamente preordinati al controllo a distanza, quali, a titolo esemplificativo:
CONTROLLI DA PARTE DELLA TITOLARITA’
Con il presente capitolo portiamo all’attenzione degli incaricati la possibilità di questa Azienda di effettuare controlli sulle proprie apparecchiature tecnologiche al fine di preservare la sicurezza informatica dei dati personali in esse contenuti.
A tale proposito si sottolinea che la strumentazione tecnologica/informatica e quanto con essa creato è di proprietà dell’Azienda in quanto mezzo di lavoro. E’ pertanto fatto divieto di utilizzo del mezzo tecnologico/informatico e delle trasmissioni interne ed esterne con esso effettuate per fini ed interessi non strettamente coincidenti con quelli dell’Azienda stessa.
Nel rispetto dei principi di pertinenza e non eccedenza, le verifiche sugli strumenti informatici saranno realizzati dall’Azienda nel pieno rispetto dei diritti e delle libertà fondamentali degli utenti e del presente Regolamento.
In caso di anomalie, l’Azienda, per quanto possibile, privilegerà preliminari controlli anonimi e quindi riferiti a dati aggregati nell’ambito di intere strutture lavorative o di sue aree nelle quali si è verificata l’anomalia.
In tali casi, il controllo si concluderà con un avviso al Responsabile della struttura dell’Area aziendale interessata in cui è stato rilevato l’utilizzo anomalo degli strumenti aziendali affinché lo stesso inviti le Strutture da lui dipendenti ad attenersi scrupolosamente ai compiti assegnati e alle istruzioni impartite.
In caso di successive, perduranti anomalie, ovvero ravvisandone comunque la necessità, l’Azienda si riserva di effettuare verifiche anche su base individuale, comunque finalizzate esclusivamente alla individuazione di eventuali condotte illecite.
In nessun caso verranno realizzate verifiche prolungate, costanti o indiscriminate, fatte salve le verifiche atte a tutelare gli interessi aziendali.
RESPONSABILITÀ E SANZIONI
L’utente, al fine di non esporre sé stesso e l’Azienda a rischi sanzionatori, è tenuto ad adottare comportamenti puntualmente conformi alla normativa vigente ed alla regolamentazione aziendale.
Gli utenti sono responsabili del corretto utilizzo dei servizi di Internet e Posta Elettronica. Pertanto sono responsabili per i danni cagionati al patrimonio, alla reputazione e alla Committenza.
Tutti gli utenti sono pertanto tenuti ad osservare e a far osservare le disposizioni contenute nel presente Regolamento Disciplinare il cui mancato rispetto o la cui violazione, costituendo inadempimento contrattuale potrà comportare:
– per il personale dipendente oltre che l’adozione di provvedimenti di natura disciplinare previsti dal
Contratto Collettivo Nazionale di Lavoro tempo per tempo vigente, le azioni civili e penali stabilite dalle leggi tempo per tempo vigenti;
– per i collaboratori esterni oltre che la risoluzione del contratto le azioni civili e penali stabilite dalle leggi tempo per tempo vigenti.
Diritto legittimo- Esercizio del diritto all’obblio – opposizione al trattamento dei dati personali –
I criteri e la verifica della presenza di un diritto legittimo al trattamento dei dati personali vengono adottati puntualmente da ogni incaricato con lo standard proprio del buon professionista.
L’incaricato procede alla stampa e alla consegna del documento d’informativa sul trattamento dei dati personali e all’atto della autorizzazione liberamente prestata previa sottoscrizione dello stesso procede all’archiviazione e classificazione e conservazione dello stesso con l’ausilio degli appositi software di gestione.
Nei processi automatizzati, il “Cliente “previo esame del documento contenente l’informativa citata procede alla concessione dell’autorizzazione al trattamento dei dati propri dati personali.
Nella modulistica allegata al presente “ disciplinare “ vengono espressamente indicate le discipline normative in vigore ed una sintetica esposizione delle modalità d’esercizio dell’interessato a non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato dei dati che produca effetti giuridici che lo riguardano o che comunque incida significativamente sulla sua persona (tra le operazioni contemplate dalla norma campeggia la profilazione come definita dall’art. 4.1, n. 4).
Le modalità d’esercizio al “diritto all’oblio” e alla cancellazione dei dati personali forniti ed infine le modalità d’esercizio di opposizione nanti le autorità competenti sono espressamente indicate nello stesso documento teste citato.
Visualizzazione di contenuti da piattaforme esterne.
Questo tipo di servizi permette di visualizzare contenuti ospitati su piattaforme esterne direttamente dalle pagine di questo Sito Web e di interagire con essi.
Nel caso in cui sia installato un servizio di questo tipo, è possibile che, anche nel caso gli Utenti non utilizzino il servizio, lo stesso raccolga dati di traffico relativi alle pagine in cui è installato.
Google Fonts (Google Inc.)
Google Fonts è un servizio di visualizzazione di stili di carattere gestito da Google Inc. che permette a questo Sito Web di integrare tali contenuti all’interno delle proprie pagine.
Dati Personali raccolti: Dati di utilizzo e varie tipologie di Dati secondo quanto specificato dalla privacy policy del servizio.
Luogo del trattamento: Stati Uniti – Privacy Policy. Soggetto aderente al Privacy Shield.
Diritti dell’Utente
Gli Utenti possono esercitare determinati diritti con riferimento ai Dati trattati dal Titolare.
L’Utente ha diritto ad ottenere informazioni sui Dati trattati dal Titolare, su determinati aspetti del trattamento ed a ricevere una copia dei Dati trattati.
Dettagli sul diritto di opposizione
Quando i Dati Personali sono trattati nell’interesse pubblico, nell’esercizio di pubblici poteri di cui è investito il Titolare oppure per perseguire un interesse legittimo del Titolare, gli Utenti hanno diritto ad opporsi al trattamento per motivi connessi alla loro situazione particolare.
Si fa presente agli Utenti che, ove i loro Dati fossero trattati con finalità di marketing diretto, possono opporsi al trattamento senza fornire alcuna motivazione. Per scoprire se il Titolare tratti dati con finalità di marketing diretto gli Utenti possono fare riferimento alle rispettive sezioni di questo documento.
Modalità esercizio diritti
Per esercitare i diritti dell’Utente, gli Utenti possono indirizzare una richiesta agli estremi di contatto del Titolare indicati in questo documento.
Le richieste sono depositate a titolo gratuito e evase dal Titolare nel più breve tempo possibile, in ogni caso entro 60 giorni.
Cookie Policy
Questo Sito Web fa utilizzo di Cookie. Per saperne di più e per prendere visione dell’informativa dettagliata, l’Utente può consultare la Cookie Policy.
Ulteriori informazioni sul trattamento
Difesa in giudizio
I Dati Personali dell’utente possono essere utilizzati da parte del Titolare in giudizio o nelle fasi preparatorie alla sua eventuale instaurazione per la difesa da abusi nell’utilizzo di questo Sito Web o dei Servizi connessi da parte dell’utente.
L’Utente dichiara di essere consapevole che il Titolare potrebbe essere obbligato a rivelare i Dati per ordine delle autorità pubbliche.
Informative specifiche
Su richiesta dell’Cliente utente, in aggiunta alle informazioni contenute in questa privacy policy, questo Sito Web potrebbe fornire all’Utente delle informative aggiuntive e contestuali riguardanti Servizi specifici, o la raccolta ed il trattamento di Dati Personali.
Log di sistema e manutenzione
Per necessità legate al funzionamento ed alla manutenzione, questo Sito Web e gli eventuali servizi terzi da essa utilizzati potrebbero raccogliere Log di sistema, ossia file che registrano le interazioni e che possono contenere anche Dati Personali, quali l’indirizzo IP Utente.
Informazioni non contenute in questa policy
Ulteriori informazioni in relazione al trattamento dei Dati Personali potranno essere richieste in qualsiasi momento al Titolare del Trattamento utilizzando gli estremi di contatto.
Risposta alle richieste „Do Not Track”
Questo Sito Web non supporta le richieste “Do Not Track”.
Per verificare se gli eventuali servizi di terze parti utilizzati le supportino, l’Utente è invitato a consultare le rispettive privacy policy.
Modifiche privacy policy
Il Titolare del Trattamento si riserva il diritto di apportare modifiche alla presente privacy policy in qualunque momento dandone informazione agli utenti su questa pagina e, se possibile, su questo Sito Web.
Si prega dunque di consultare regolarmente questa pagina, facendo riferimento alla data di ultima modifica indicata in fondo.
Qualora le modifiche interessassero i trattamenti la cui base giuridica è il consenso, il Titolare provvederà a raccogliere nuovamente il consenso dell’Utente, se necessario.
La presente informativa privacy è redatta sulla base di molteplici ordinamenti legislativi e del Regolamento (UE) 2016/679.
Il presente privacy policy è disponibile in ogni sede operativa e di controllo della predetta società e nelle piattaforme Informatiche utilizzata dalla stessa.
Sestu – Milano – Cagliari – Olbia – Quartu Sant’Elena – San Sperate
24 maggio 2018
Tutti I Diritti Sono Riservati.