PRIVACY Policy
INFORMATIVA SULLA PRIVACY Premessa
Il 25/05/2018 entra in vigore il Regolamento UE 679/2016 (GDPR) sul trattamento dei dati personali. Pertanto:
-
comunichiamo che ai sensi del nuovo GDPR la FOIND S.R.L. ha adeguato le proprie policy ed a tal fine alleghiamo il nostro modello di informativa;
-
che la società FOIND S.R.L. si ritiene autorizzata al trattamento dei Suoi dati personali esclusivamente per le finalità di cui alla medesima informativa;
-
Si invita ad osservare la Sua policy interna in materia di privacy aggiornata al nuovo regolamento UE.
La società FOIND S.R.L. si impegna a tutelare la privacy degli interessati al trattamento e si dichiara responsabile della sicurezza dei dati dei clienti. Saremo chiari e trasparenti sulle informazioni che raccogliamo e cosa faremo con tali informazioni.
Questa informativa stabilisce quanto segue:
-
- Titolare del Trattamento
-
- L’elenco dei trattamenti dei dati personali (art. 30 lett. C del Regolamento GDPR)
-
- L’indicazione delle finalità per cui vengono trattati i dati (art. 30 lett. b) GDPR)
-
- Le modalità del trattamento e comunicazioni
-
- Aree e strumenti con cui si effettuano i trattamenti
-
- L’analisi dei rischi che incombono sui dati nonché le misure già adottate e/o eventualmente da
adottare per garantire l’integrità e la disponibilità dei dati
-
- I criteri di vigilanza nei confronti di eventuali responsabili esterni
-
- Diritti dell’interessato
-
- Dichiarazione d’impegno e firma
Titolare del trattamento
Titolare dei Trattamenti è la società FOIND S.R.L. nella persona dell’Amministratore unico o di altro soggetto cui siano stati delegati i necessari poteri di rappresentanza.
La FOIND S.R.L. ha sede in Corso Europa, 74023 Grottaglie TA Italia, P. IVA 02804170732.
I suoi compiti e responsabilità sono definiti dal D. Lgs. 196/2003 (Codice della Privacy) e dal Regolamento UE 679/2016.
In particolare, il Titolare è responsabile di identificare i trattamenti necessari allo svolgimento dei processi aziendali, definirne finalità, modalità nonché la natura dei dati trattati. Il Titolare è inoltre responsabile, di fronte al Codice e al Regolamento UE, della osservanza di tutte le normative di legge in materia di dati personali.
Il Titolare è responsabile di definire le misure di sicurezza da implementare e di vigilare sulla applicazione per garantire ed essere in grado di dimostrare che il trattamento è effettuato in maniera conforme al Codice e al Regolamento. Il Titolare provvede – eventualmente - alla nomina dei Responsabili dei Trattamenti, definendone i compiti.
Il Titolare, inoltre, in conformità al combinato disposto dagli artt. 33 e ss. del GDPR in caso di violazione dei dati personali notifica la violazione all’autorità di controllo competente a norma dell’art. 55 del medesimo Regolamento europeo senza giustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza salvo che la violazione renda improbabile un rischio per i diritti e le libertà delle persone fisiche.
L’elenco aggiornato degli eventuali responsabili e incaricati al trattamento è custodito presso la sede legale del Titolare del trattamento.
Elenco dei trattamenti dei dati personali
FOIND S.R.L. tratta i dati forniti nell’ambito di rapporti e relazioni commerciali. La società tratta inoltre dati forniti legittimamente da agenzie d’informazioni, associazioni di protezione dei creditori, fonti pubblicamente accessibili (es. registri delle imprese, registri delle associazioni, registro catastale, mezzi di comunicazione), nonché – eventualmente - altre ditte con cui si intrattiene un rapporto commerciale permanente.
I dati personali includono:
-
I dati principali/dati di contatto, più precisamente:come cliente privato: nome e cognome, indirizzo, dati di contatto (es. indirizzo di posta elettronica, numero di telefono, fax), codice fiscale, data di nascita,
-
come cliente aziendale o fornitore: nome del legale rappresentante, ditta, numero di partita IVA, codice aziendale, indirizzo, dati di contatto del referente (indirizzo di posta elettronica, numero di telefono, fax), dati bancari.
Gli ulteriori dati trattati sono:
-
Informazioni relative a natura e contenuti dei rapporti commerciali, più precisamente informazioni inerenti a contratti, incarichi, vendite e ricevute, storici dei clienti e dei fornitori, documenti di consultazione,
-
dati pubblicitari e sulle vendite,
-
dati di documentazione (es. protocolli di consultazione), immagini,
-
informazioni derivanti dalle transazioni elettroniche con la LE TESSERE DEL MOSAICO S.R.L.
(es. indirizzo IP, dati di login),
-
altri eventuali dati ricevuti nell’ambito del nostro rapporto commerciale (es. colloqui con i clienti),
-
dati da generati in base ai dati principali / dati di contatto e altri dati, analizzando, ad esempio, il
fabbisogno o il potenziale dei clienti.
-
La documentazione della vostra dichiarazione di consenso per ricevere, ad esempio, delle newsletter.
-
Dati comuni dei clienti, fornitori, dipendenti, consulenti e terzi necessari al rapporto di lavoro e al
perseguimento del legittimo interesse aziendale così come previsto dall’art. 6 GDPR e dal
Considerando n. 47:
-
Dati sensibili e/o giudiziari del personale dipendente conseguenti al rapporto di lavoro e inerenti i
rapporti con enti previdenziali ed assistenziali, per cui è stato espressamente prestato il consenso;
-
Previo espresso consenso, dati sensibili dei clienti, fornitori e terzi
Finalità del trattamento
I dati personali sono trattati:
1) senza espresso consenso (art. 24 lett. a), b), c) Codice Privacy e art. 6 lett. b), e) GDPR), per le seguenti Finalità di Servizio:
- concludere i contratti per i servizi del Titolare;
- adempiere agli obblighi precontrattuali, contrattuali e fiscali derivanti da rapporti con Lei in essere;
- adempiere agli obblighi previsti dalla legge, da un regolamento, dalla normativa comunitaria o da un ordine dell’Autorità (come ad esempio in materia di antiriciclaggio);
- esercitare i diritti del Titolare, ad esempio il diritto di difesa in giudizio;
2) Solo previo specifico e distinto consenso (artt. 23 e 130 Codice Privacy e art. 7 GDPR), per le seguenti Finalità di Marketing:
- invio attraverso e-mail, posta e/o sms e/o contatti telefonici, newsletter, comunicazioni commerciali e/o materiale pubblicitario su prodotti o servizi offerti dal Titolare e rilevazione del grado di soddisfazione sulla qualità dei servizi;
- invio mediante e-mail, posta e/o sms e/o contatti telefonici comunicazioni commerciali e/o promozionali di soggetti terzi (ad esempio, business partner, compagnie assicurative).
Ai già clienti, inoltre, la società si riserva di inviare comunicazioni commerciali relative a servizi e prodotti del Titolare analoghi a quelli di cui ha già usufruito, salvo dissenso (art. 130 c. 4 Codice Privacy).
- Consigli di prodotti via e-mail: Nel rispetto delle disposizioni di legge previste dalla legislazione nazionale e sovranazionale vigente, la FOIND S.R.L. ha il diritto di sfruttare l’indirizzo di posta elettronica fornito al momento dell’ordine di un prodotto o di un servizio come canale pubblicitario diretto per articoli o servizi simili. Nel caso in cui, successivamente, non si desidera più ricevere i nostri consigli via e-mail, potrete revocare il consenso all’utilizzo del vostro indirizzo in qualsiasi momento senza incorrere in costi di
trasmissione diversi da quelli previsti secondo le tariffe di base. Per fare ciò, si prega di rivolgersi al contatto indicato al punto 1. Naturalmente ogni e-mail contiene anche un link per procedere alla disdetta.
- Newsletter: Per l'invio della newsletter la società utilizza la cosiddetta procedura "double opt-in", vale a dire che sarà inviata una newsletter via e-mail solo se in precedenza espressamente confermato la volontà di attivare il servizio di newsletter durante la procedura di registrazione. Sarà quindi premura della società inviare una e-mail di notifica, mediante la quale è possibile confermare di voler ricevere le nostre newsletter cliccando sull’apposito link contenuto nel testo della stessa.
Nel caso in cui, successivamente, non si desidera più ricevere le nostre newsletter via e-mail, potrà essere revocato il consenso all’utilizzo in qualsiasi momento senza incorrere in costi di trasmissione diversi da quelli previsti secondo le tariffe di base. Basterà inviare una notifica in forma scritta alla FOIND S.R.L.
Modalità del trattamento e Comunicazioni
I dati verranno trattati per finalità connesse alle reciproche obbligazioni derivanti dal contratto intercorrente con la FOIND S.R.L. nonché per gli adempimenti previsti dalla legge e dalle normative, anche secondarie. Il trattamento dei dati avverrà mediante strumenti idonei a garantire la sicurezza e la riservatezza e potrà essere effettuato anche attraverso strumenti automatizzati atti a memorizzare, gestire e trasmettere i dati stessi in modo lecito e secondo correttezza, raccolti e registrati per scopi determinati, espliciti e legittimi; esatti e, se necessario, aggiornati; pertinenti, completi e non eccedenti rispetto alle finalità del trattamento.
Informiamo altresì che il predetto trattamento dei dati personali inerenti, connessi e/o strumentali al rapporto di lavoro subordinato con la FOIND S.R.L., potrà essere effettuato e/o comunicato dai/ai seguenti soggetti:
-
da/a Pubbliche Amministrazioni, Enti previdenziali pubblici e privati, associazioni sindacali di categoria enti bilaterali, commissioni paritetiche e fondi pensionistici integrativi sostitutivi con adesione obbligatoria o facoltativa;
-
da/a società enti o consorzi, professionisti che forniscono alla scrivente consulenze e/o servizi elaborativi o che svolgono attività strumentali a quella della società ed in particolare da legali e consulenti in genere;
-
da/a compagnie assicurative, brokers, periti e compagnie aeree e ferroviarie, agenzie di viaggio, società di leasing o autonoleggio, società emittenti carte di credito e buoni pasto, banche clienti e fornitori ed in genere a terzi per i quali il trattamento si renda necessario nello svolgimento della sua normale attività lavorativa;
-
da/a soggetti ai quali la facoltà di accedere ai Suoi dati personali sia riconosciuta da disposizioni di legge o di normativa secondaria comunitaria, nonché di contrattazione collettiva ed aziendale;
-
da/a soggetti ai quali la comunicazione dei Suoi dati personali sia necessaria o sia comunque funzionale alla gestione del rapporto di lavoro subordinato.
-
Comunicazione obbligatoria della delega alla Direzione Prov.le del Lavoro (artt. 39 e 40 D.L. n. 112/2008, convertito dalla Legge n. 133/2008)
I soggetti appartenenti alle categorie alle quali i dati possono essere comunicati, li tratteranno in qualità di “titolari” ai sensi della legge, in piena autonomia, essendo estranei all’originario trattamento effettuato presso la società. Sempre per le finalità relative allo svolgimento dell’attività economica della società ed al rapporto di lavoro, si potrebbe anche dover trattare dati personali rientranti nel novero dei dati sensibili cioè dei dati idonei a rilevare l’ origine razziale o etnica, le convinzioni religiose e filosofiche o di altro genere, l’adesione a partiti, sindacati, associazioni ed organismi a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale o quelli relativi all’iscrizione al casellario giudiziale.
Informiamo altresì che, in relazione ai predetti trattamenti, l’interessato del trattamento potrà esercitare i diritti di cui all’art. 7 del D.Lgs. N° 196/2003 e all’art. 15 G.D.P.R..
Ai sensi dell’art. 13 del D.lgs. 196/2003 si fa presente inoltre che “l’eventuale rifiuto a rispondere”, al momento della raccolta delle informazioni, o l’eventuale diniego di trattamento dei dati potrebbe comportare l’ oggettiva impossibilità di osservare parte degli obblighi di legge e/o di contratto connessi al rapporto di lavoro subordinato; rapporto che, pertanto, non potrà essere instaurato o proseguito.
Il Titolare tratterà i dati personali per il tempo necessario per adempiere alle finalità di cui sopra e comunque per non oltre 10 anni dalla cessazione del rapporto per le Finalità di Servizio e per non oltre 2 anni dalla raccolta dei dati per le Finalità di Marketing.
I dati personali sono conservati su server ubicati all’interno dell’Unione Europea. Resta in ogni caso inteso che il Titolare, ove si rendesse necessario, avrà facoltà di spostare i server anche extra-UE. In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge applicabili, previa stipula delle clausole contrattuali standard previste dalla Commissione Europea.
Aree e strumenti con cui si effettuano i trattamenti
L’infrastruttura informatica de FOIND S.R.L. è caratterizzata da un unico server centrale. FOIND S.R.L. si è dotata dei seguenti sistemi gestionali:
-
- Microsoft Outlook Client Posta elettronica
-
- Documento ad hoc per la rilevazione delle presenze del personale
-
- Web Server
-
- Pc client
-
- Intranet
Per le connessioni interne è utilizzata una rete LAN; la connettività verso l’esterno “internet” è dedicata, sfrutta la tecnologia Fibra Ottica/ADSL, gestita da fornitori esterni e protetta da un doppio firewall interno presente in sede, che copre eventuali trasferimenti di dati verso l’esterno. Gli accessi da parte dei fornitori e manutentori, avvengono sempre e comunque con preventiva autorizzazione del Titolare.
L’unica documentazione cartacea è rappresentata degli stampati di fatturazione alla conclusione dei contratti sottoscritti con la società.
I documenti cartacei vengono di norma conservati in armadi (o equivalente) dotati di serratura in dotazione al personale incaricato dei Trattamenti stessi. Ove compatibile con le finalità e la struttura dei documenti, si procede alla conservazione separata degli specifici documenti contenenti dati sensibili. Nelle ipotesi in cui vengano prodotti centralmente sono applicate le specifiche procedure di sicurezza definite contenute nel presente modello.Analisi dei rischi che incombono sui dati
Al fine di realizzare una policy relativa alla sicurezza e alla privacy in conformità al Regolamento Ue 679/2016 e nonostante l’assenza di un espresso obbligo in tal senso FOIND S.R.L. ha compiuto un’analisi dei rischi che può così essere sintetizzata.
-
Per i dati personali (c.d. comuni) del personale dipendente, dei clienti, dei fornitori, dei consulenti ed eventualmente di terzi: il rischio legato alla loro gestione può definirsi basso;
-
Per i dati sensibili del personale dipendente, dei clienti, dei fornitori, dei consulenti ed eventualmente di terzi per cui è stato espressamente prestato il consenso: il rischio legato alla loro gestione può definirsi medio/basso.
-
Il rischio di accesso alla sede della società può definirsi basso in quanto allocato in uno stabile privato.
E’ presente un adeguato impianto di antifurto con annesso servizio di videosorveglianza.
Il rischio di manomissione e/o di guasti delle apparecchiature di gestione del trattamento dati può definirsi basso: Le Strutture sono infatti dotate di un sistema di antifurto. Il personale risulta sensibilizzato sulle modalità di utilizzo e gestione delle apparecchiature. Gli Hardware utilizzati sono di primarie case produttrici e recenti. Il parco macchine è gestito internamente e coperto da contratti di garanzia. -
Il rischio di installazione di software non autorizzati e di accesso non autorizzato ai programmi applicativi può definirsi basso: Tutti gli utenti accedono alle risorse aziendali con profilo standard, al quale sono inibite funzioni di amministrazione delle workstation. L’installazione di programmi non controllati è, pertanto, inibita.
L’accesso alle risorse applicative avviene tramite specifica di nome utente e password personali ed incedibili, a queste sono collegati dei profili di autorizzazione che vietano la possibilità di accesso ad aree per le quali non si è autorizzati.
La gestione del blocco sessione avviene in automatico, in caso di non utilizzo prolungato della postazione di lavoro. -
Il rischio relativo al trattamento dati (accesso non autorizzato agli archivi; modifica o cancellazione errata di dati; Perdita (accidentale o dolosa) di dati; Intercettazione delle trasmissioni; Incapacità di ripristinare i dati dopo un evento che li abbia danneggiati) può definirsi basso: L’accesso alle risorse aziendali avviene tramite un profilo di autorizzazione.
-
La documentazione cartacea è custodita in locali chiusi a chiave
-
La rete LAN è protetta da accessi esterni da un sistema Firewall
Misure di sicurezza per l’integrità e la disponibilità dei dati
Per proteggere i dati personali dai rischi di cui al paragrafo precedente, sono adottate le seguenti misure di sicurezza.
1) Misure per la sicurezza fisica
Per assicurare la sicurezza fisica dei locali ove vengono trattati dati personali, oltre alle misure previste da norme di legge (es. D.lgs. 81/2008) o da regole interne aziendali (protezione della sede), sono applicati i seguenti controlli:
-
Le apparecchiature informatiche critiche per la sicurezza delle informazioni (server di rete , file server,
Database server, router, switch e firewall) sono installate in locali chiusi se non presenti persone per
attività di manutenzione e di supporto
-
L’accesso a tali aree è concesso ai soli addetti alla manutenzione o personale preventivamente
-
autorizzato.
-
Personale esterno all’ azienda può accedere ai locali e rimanervi per il tempo necessario a concludere
l’attività richiesta (es. pulizia o manutenzione), solo dopo esplicita approvazione degli addetti e con la
costante presenza degli stessi.
-
I backup dei dati – eventualmente anche quelli sensibili- sono effettuati su un hard disk fisicocustodito a
cura del soggetto designato, il cui accesso è consentito ai soggetti autorizzati alla loro custodia,
manutenzione e a chi è autorizzato a trattare quei dati.
-
I locali adibiti eventualmente ad archivi, sono gestiti direttamente dal titolare, per i dati sensibili questi
sono chiusi in appositi armadi, mentre tutti gli altri dati custoditi in forma cartacea, la protezione è rappresentata dall’ufficio e dagli addetti che vi operano.
2) Misure per la Sicurezza Logica
Per assicurare la sicurezza logica delle informazioni, sono previsti i seguenti controlli:
-
Per utilizzare le stazioni di lavoro (terminali e PC) ed accedere alle applicazioni per il trattamento dei
dati, gli incaricati devono usare una utenza (user-id) ed una password di autenticazione.
-
Le utenze sono strettamente individuali e vengono create dall’Amministratore di sistema, su richiesta del Titolare. Quando l’utenza è stata creata, viene richiesto all’interessato di specificare una propria
password secondo le regole indicate successivamente.
-
L’ utenza non deve essere assegnata, per nessun motivo, ad altro incaricato. Quando un incaricato lascia
l’azienda, la sua utenza non può più essere utilizzata.
-
Con cadenza periodica, la società controlla se vi sono utenze non più usate da sei mesi e provvede a
disattivarle. Prima di cancellare una utenza, verifica con il Titolare se permane la necessità che ha determinato la sua creazione e prende, con il suo accordo, le azioni opportune (cancellazione o mantenimento).
-
Quando le motivazioni per cui una utenza è stata creata vengono meno (dimissioni, cambio attività, modifiche tecnologiche) l’Amministratore di sistema provvede immediatamente a disattivare l’utenza. L’utenza può essere mantenuta in essere (ma disattivata) fino a che non si siano concluse le attività di passaggio di consegne tra il precedente ed il nuovo incaricato; il tutto deve essere documentato. A questo punto viene cancellata, insieme con tutte la abilitazioni di corredo.
-
L’autenticazione dell’utenza avviene a mezzo di password. Questa è segreta e non deve essere comunicata ad altri né lasciata incustodita, per esempio scrivendola su agende o su foglietti di appunti. Un trattamento illecito fatto carpendo la password ad un incaricato è comunque imputabile all’incaricato che non l’ha custodita correttamente.
-
Quando una password viene dimenticata, l’Amministratore di sistema si accerta che il richiedente sia l’incaricato che ne è legittimo proprietario e procede ad impostarne insieme al richiedente una nuova secondo le regole definite sopra.
-
Per superare situazioni di emergenza o per rispondere a legittime richieste di accesso ai dati, l’Amministratore di sistema può re-impostare la password di un utente per un accesso temporaneo. L’attività svolta deve essere documentata ed il legittimo proprietario della password deve essere informato appena possibile. Sarà sua cura a questo punto modificare la password usata per la situazione di emergenza ed impostarne una nuova, nota solo a lui.
-
Ogni incaricato ha l’obbligo di non lasciare incustodita la stazione di lavoro mentre è attivata una sessione di lavoro. Nel caso si debba assentare deve chiudere la sessione e, nel caso di PC, impedire l’accesso ad altri, utilizzando ove possibile la funzione di blocco pc o in alternativa prevedere un programma di screen-saver con password, qualora nessuna delle due risulti applicabile l’utente dovrà arrestare la sessione attiva.
-
Utenza e password controllano il diritto di un incaricato di utilizzare una stazione di lavoro e di accedere ad una applicazione. Il trattamento dei dati avviene secondo un profilo di abilitazione rilasciato secondo le effettive necessità operative dell’incaricato ed in linea con le relative autorizzazioni.
-
Il profilo di abilitazione viene impostato dall’Amministratore di sistema secondo le autorizzazioni comunicategli dal Titolare. Copia della richiesta di attivazione e autorizzazione viene scansionata e in seguito registrata all’interno del sistema informatico della società.
-
Una volta all’ anno la lista delle utenze attivate ed i relativi profili di autorizzazione viene sottoposta al Titolare. Questi verifica la correttezza delle autorizzazioni ed il permanere della necessità delle stesse. Quindi le conferma o richiede eventuali aggiornamenti, la documentazione oggetto di verifica dovrà essere archiviata per eventuali successive verifiche.
3) Misure per la Sicurezza delle Comunicazioni
-
Per assicurare la sicurezza delle comunicazioni, sono previste le seguenti misure di controllo:
-
Su tutte le workstation connesse alla rete internet è installato un programma antivirus, gestito tramite la componente server, gli aggiornamenti sono automatici e avvengono con cadenza almeno annuale per la parte software e giornaliera per le definizione dei virus.
-
L’accesso per l’esterno “Internet” è controllato da un firewall, la gestione è rimessa al personale interno che periodicamente provvede a verificare che le policy di accesso e controllo siano sempre attuali e conformi.
-
Eventuali trasmissioni di dati verso l’esterno devono essere autorizzate dal titolare e devono avvenire tramite il sistema ufficiale individuato, tale sistema deve prevedere sistemi di cifratura delle comunicazioni.
-
Il servizio di posta elettronica è gestito su servizio “hosting” Microsoft Outlook; l’uso è comunque preventivamente autorizzato. Lo scambio di dati personali tramite questo canale deve avvenire solo quando strettamente necessario, esplicitamente richiesto ed autorizzato, in ogni caso le informazioni scambiate non devono contenere dati sensibili l’eventuale invio di tali dati può essere attuato sono a seguito dell’applicazione di opportuni strumenti atti a rendere le comunicazioni intelligibili.
- 4) Comunicazione e Cessione dei Dati
Qualora i Dati di cui la Società è Titolare siano oggetto di Comunicazione o Cessione a Terzi, viene effettuata opportuna verifica di conformità di tale Comunicazione con l’Informativa fornita agli Interessati; nel caso tale verifica dia esito negativo, la Comunicazione non può avere luogo.
In caso di riscontro positivo, la Comunicazione e/o la Cessione dei Dati a soggetti Terzi può avvenire con il vincolo del rispetto delle finalità oggetto dell’Informativa stessa, specificato per iscritto al destinatario della Comunicazione o Cessione.
Qualora i destinatari della Comunicazione siano identificati in Informativa mediante indicazioni di tipo generico, il Responsabile Organizzativo dei Trattamenti detiene un registro in cui sono puntualmente indicati gli specifici soggetti destinatari.
La Comunicazione dei Dati relativi a Trattamenti di cui la Società è Responsabile Esterno è ammessa solo se il destinatario della comunicazione è stato puntualmente identificato ed autorizzato dal Titolare; in tutti gli altri casi la Comunicazione non può aver luogo. - 5) Gestione e conservazione dei documenti cartacei:
- Tutti gli Incaricati autorizzati a Trattamenti che prevedono l’utilizzo di documenti cartacei sono dotati di armadi o contenitori con serratura per la opportuna protezione e conservazione dei documenti contenenti dati personali.
- Nel caso sia compatibile con la loro struttura fisica, i documenti contenenti dati particolari vengono custoditi separatamente dai documenti contenenti solo dati comuni e l’accesso è ulteriormente limitato ai soli Incaricati che svolgono mansioni che ne esigono l’utilizzo.
- I documenti che non hanno più valenza operativa, sono oggetto di conservazione solo nel caso ciò sia dovuto per obbligo di legge o per motivi legali, storici e comunque puntualmente specificati, identificati dal Titolare e documentati presso il Responsabile Organizzativo. La conservazione avviene di norma presso appositi locali di archiviazione, il cui accesso è controllato.
- 6)Uso e custodia degli strumenti elettronici
Gli strumenti informatici sono protetti contro i rischi di intrusione e dalla azione di programmi di cui all’art. 615 quinquies del codice penale mediante la attivazione di opportuni strumenti elettronici. L’aggiornamento di tali strumenti, così come più in generale, gli aggiornamenti periodici dei programmi diretti a prevenire la vulnerabilità degli strumenti elettronici ed a correggerne difetti sono effettuati con periodicità almeno semestrale.
Le stazioni di lavoro messe a disposizione dei dipendenti sono dotate degli opportuni strumenti di protezione e sono attivate le funzioni di sicurezza in conformità con le specifiche tecniche dei singoli apparati. Gli Incaricati sono impossibilitati (o, se non tecnicamente possibile, istruiti) a modificare tali impostazioni preconfigurate.
7) Rapporti con i fornitori
Nei rapporti con i suoi fornitori, l’Azienda adotta opportune clausole contrattuali miranti alla salvaguardia dei propri diritti e delle proprie responsabilità in merito al Trattamento di dati personali.
A tale scopo, in accordo con le diverse tipologie di contratti standard utilizzati dalla società sono state sviluppate clausole specifiche di salvaguardia e di definizione puntuale del ruolo e dei compiti del Fornitore.
8) Limitazioni di accesso alle banche dati
L’utilizzo di strumenti generici di estrazione e reporting dalle banche dati contenenti dati personali sensibili o comunque riservati deve pertanto essere limitato a pochi soggetti specificatamente autorizzati, realizzando in tutti gli altri casi strumenti applicativi predefiniti.
Criteri di vigilanza nei confronti di eventuali responsabili esterni
La società FOIND S.R.L. nelle ipotesi in cui affidi a soggetti esterni il Trattamento di dati personali, di cui l’Azienda è Titolare (nominati Responsabili esterni dei Trattamenti) disciplina i seguenti criteri di vigilanza. All’atto della nomina di un soggetto esterno a Responsabile, e coerentemente con il servizio richiesto, vengono fornite dettagliate istruzioni sulle prescrizioni di sicurezza cui attenersi, La vigilanza effettuata dalla Società si esplica sul piano organizzativo, logico e fisico.
1) Vigilanza organizzativa
Al Responsabile Esterno viene richiesta specifica dichiarazione in merito alla attuazione delle Misure Minime di Sicurezza previste dal Disciplinare Tecnico.
La Società si riserva il diritto di verificare sia la nomina puntuale del personale che viene utilizzato dal fornitore per lo svolgimento dei servizi affidati sia l’avvenuta formazione. Viene inoltre richiesta copia delle procedure di incident reporting nei casi di:
-
presenza di virus
-
recupero di dati da copie di backup
-
perdita o distruzione accidentale di dati
2) Vigilanza logica
Al responsabile viene richiesto di produrre con periodicità semestrale informazioni aggiornate, limitatamente ai Trattamenti di cui la Società è Titolare, in merito a:
-
lista completa delle user-id definite
-
user id non utilizzate nel periodo
-
descrizione dei casi di re-inizializzazione delle password
-
rilevazione delle frequenze effettive di cambiamento delle password
Inoltre tutti gli eventi che hanno dato luogo ad incident reporting riferibili ai Trattamenti della Società devono essere opportunamente comunicati e documentati entro 15 giorni dal loro verificarsi.
Con periodicità non inferiore all’anno, viene richiesto al fornitore di procedere ad una simulazione delle procedure di ripristino in presenza di personale della Società.
3) Vigilanza fisica
Viene richiesta la identificazione e descrizione dei luoghi ove vengono custoditi i supporti di backup dei Dati e/o dei programmi informatici affidati. Una copia integrale degli archivi deve essere fornita trimestralmente alla Società per custodia autonoma in locali propri.
Diritti dell’interessato
L’interessato ai sensi e per gli effetti dell’art. 7 Codice Privacy e art. 15 GDPR ha diritto di ottenere la conferma dell’esistenza o meno dei dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. e precisamente i diritti di:
1) ottenere la conferma dell'esistenza o meno di dati personali che La riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile;
2) ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'art. 5, comma 2 Codice Privacy e art. 3, comma 1, GDPR;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati;
3) ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;
4) opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che La riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che La riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante l’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore mediante e-mail e/o mediante modalità di marketing tradizionali mediante telefono e/o posta cartacea.
Si fa presente che il diritto di opposizione dell’interessato, esposto in precedenza, per finalità di marketing diretto mediante modalità automatizzate si estende a quelle tradizionali e che comunque resta salva la possibilità per l’interessato di esercitare il diritto di opposizione anche solo in parte. Pertanto, l’interessato può decidere di ricevere solo comunicazioni mediante modalità tradizionali ovvero solo comunicazioni automatizzate oppure nessuna delle due tipologie di comunicazione. Ove applicabili, ha altresì i diritti di cui agli artt. 16-21 GDPR (Diritto di rettifica, diritto all’oblio, diritto di limitazione di trattamento, diritto alla portabilità dei dati, diritto di opposizione), nonché il diritto di reclamo all’Autorità Garante.
Considerazioni conclusive, dichiarazione d’impegno e firma
Il presente documento scaturisce dall’analisi delle problematiche relative all’entrata in vigore del Regolamento Ue 679/2016 citato in premessa.
Ai destinatari delle comunicazioni precedenti è allegata la copia del presente documento perché funga da istruzione circa i compiti e le norme da osservare nell’ambito dell’attività svolta dalla società FOIND S.R.L. Il presente documento viene firmato in calce da Cordella Agostino in qualità di AMMINISTRATORE della FOIND S.R.L. P.IVA 02804170732
L’originale del documento viene custodito presso FOIND S.R.L. - Corso Europa - 74023 Grottaglie (TA) Una copia verrà consegnata:
- a chiunque ne faccia richiesta in relazione all’instaurarsi di un rapporto che implichi un trattamento di dati personali
Grottaglie, li 25/05/2018
Procedura per l’esercizio del diritto di accesso da parte dell’interessato del trattamento
In conformità agli artt. 7 e ss. del D.lgs. 196/2003 e all’art. 15 del Regolamento Ue 679/2016, l’interessato al trattamento dei dati ha diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento dei dati che lo riguardano e in tal caso di ottenere l’accesso ai dati personali e alle informazioni contenute nell’apposita modulistica “Modello per l’esercizio dei diritti in materia di protezione dei dati personali”.
La richiesta di diritto di accesso deve essere presentata dal soggetto interessato al Titolare del trattamento e inviata a mezzo scegliete voi tra: mail ordinaria o pec (il Regolamento fa riferimento per il soggetto istante che effettuerà la richiesta a “informazioni fornitge in un formato elettronico di uso comune”) /fax/raccomandata al seguente/seguenti indirizzi GUARRACINO TRADE COMPANY s.r.l. zona Industriale ASI Aversa Nord snc presso centro commerciale SINE - 81032 Carinaro (CE) Italy.
L’interessato al trattamento dovrà effettuare il download del “Modello per l’esercizio dei diritti in materia di protezione dei dati personali” al link qui riportato SCARICA IL MODULO e compilarlo prestando particolare attenzione all’indicazione dei dati personali, dei recapiti per la risposta, delle categorie di dati e della tipologia di trattamento cui si fa riferimento (potremmo rimandarlo in altra pagina oppure cambiare la formulazione e caricare in una sola pagina la breve procedura e sotto il modello da “scaricare”).
In conformità alla legislazione vigente il Titolare del trattamento entro 15 giorni dal ricevimento dell’istanza darà idoneo riscontro all’istante.
Il Titolare del trattamento entro un congruo termine fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento potrà addebitare un ragionevole contributo spese basato sui costi amministrativi.
Informativa estesa sui Cookie
I Cookie sono costituiti da porzioni di codice installate all'interno del browser che assistono il Titolare nell’erogazione del servizio in base alle finalità descritte. Alcune delle finalità di installazione dei Cookie potrebbero, inoltre, necessitare del consenso dell'Utente.
Cookie tecnici e di statistica aggregata
Attività strettamente necessarie al funzionamento Questa Applicazione utilizza Cookie per salvare la sessione dell'Utente e per svolgere altre attività strettamente necessarie al funzionamento dello stesso, ad esempio in relazione alla distribuzione del traffico.
Attività di salvataggio delle preferenze, ottimizzazione e statistica
Questa Applicazione utilizza Cookie per salvare le preferenze di navigazione ed ottimizzare l'esperienza di navigazione dell'Utente. Fra questi Cookie rientrano, ad esempio, quelli per impostare la lingua e la valuta o per la gestione di statistiche da parte del Titolare del sito.
Altre tipologie di Cookie o strumenti terzi che potrebbero farne utilizzo
Alcuni dei servizi elencati di seguito raccolgono statistiche in forma aggregata e potrebbero non richiedere il consenso dell'Utente o potrebbero essere gestiti direttamente dal Titolare – a seconda di quanto descritto – senza l'ausilio di terzi.
Qualora fra gli strumenti indicati in seguito fossero presenti servizi gestiti da terzi, questi potrebbero – in aggiunta a quanto specificato ed anche all’insaputa del Titolare – compiere attività di tracciamento dell’Utente. Per informazioni dettagliate in merito, si consiglia di consultare le privacy policy dei servizi elencati.
Come posso controllare l'installazione di Cookie?
In aggiunta a quanto indicato in questo documento, l'Utente può gestire le preferenze relative ai Cookie direttamente all'interno del proprio browser ed impedire – ad esempio – che terze parti possano installarne. Tramite le preferenze del browser è inoltre possibile eliminare i Cookie installati in passato, incluso il Cookie in cui venga eventualmente salvato il consenso all'installazione di Cookie da parte di questo sito. È importante notare che disabilitando tutti i Cookie, il funzionamento di questo sito potrebbe essere compromesso. L'Utente può trovare informazioni su come gestire i Cookie nel suo browser ai seguenti indirizzi: Google Chrome, Mozilla Firefox, Apple Safari e Microsoft Windows Explorer.
In caso di servizi erogati da terze parti, l'Utente può inoltre esercitare il proprio diritto ad opporsi al tracciamento informandosi tramite la privacy policy della terza parte, tramite il link di opt out se esplicitamente fornito o contattando direttamente la stessa.
Fermo restando quanto precede, il Titolare informa che l’Utente può avvalersi di Your Online Choices. Attraverso tale servizio è possibile gestire le preferenze di tracciamento della maggior parte degli strumenti pubblicitari. Il Titolare, pertanto, consiglia agli Utenti di utilizzare tale risorsa in aggiunta alle informazioni fornite dal presente documento.
Titolare del Trattamento dei Dati
Foind srl, società con sede legale in Corso Europa, 10 Z.I. - 74023 Grottaglie (TA)
foind@foind.it
Dal momento che l'installazione di Cookie e di altri sistemi di tracciamento operata da terze parti tramite i servizi utilizzati all'interno di questa Applicazione non può essere tecnicamente controllata dal Titolare, ogni riferimento specifico a Cookie e sistemi di tracciamento installati da terze parti è da considerarsi indicativo. Per ottenere informazioni complete, consulta la privacy policy degli eventuali servizi terzi elencati in questo documento.
Vista l'oggettiva complessità legata all'identificazione delle tecnologie basate sui Cookie ed alla loro integrazione molto stretta con il funzionamento del web, l'Utente è invitato a contattare il Titolare qualora volesse ricevere qualunque approfondimento relativo all'utilizzo dei Cookie stessi e ad eventuali utilizzi degli stessi – ad esempio ad opera di terzi – effettuati tramite questo sito.
Definizioni e riferimenti legali
Dati Personali (o Dati)
Costituisce dato personale qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Dati di Utilizzo
Sono le informazioni raccolti in maniera automatica di questa Applicazione (o dalle applicazioni di parti terze che questa Applicazione utilizza), tra le quali: gli indirizzi IP o i nomi a dominio dei computer utilizzati dall’Utente che si connette con questa Applicazione, gli indirizzi in notazione URI (Uniform Resource Identifier), l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta dal server (buon fine, errore, ecc.) il Paese di provenienza, le caratteristiche del browser e del sistema operativo utilizzati dal visitatore, le varie connotazioni temporali della visita (ad esempio il tempo di permanenza su ciascuna pagina) e i dettagli relativi all’itinerario seguito all’interno dell’Applicazione, con particolare riferimento alla sequenza delle pagine consultate, ai parametri relativi al sistema operativo e all’ambiente informatico dell’Utente.
Utente
L'individuo che utilizza questa Applicazione, che deve coincidere con l'Interessato o essere da questo autorizzato ed i cui Dati Personali sono oggetto del trattamento.
Interessato
La persona fisica o giuridica cui si riferiscono i Dati Personali.
Responsabile del Trattamento (o Responsabile)
La persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal Titolare al trattamento dei Dati Personali, secondo quanto predisposto dalla presente privacy policy.
Titolare del Trattamento (o Titolare)
La persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza, in relazione al funzionamento e alla fruizione di questa Applicazione. Il Titolare del Trattamento, salvo quanto diversamente specificato, è il proprietario di questa Applicazione.
Questa Applicazione
Lo strumento hardware o software mediante il quale sono raccolti i Dati Personali degli Utenti.
Cookie
Piccola porzione di dati conservata all'interno del dispositivo dell'Utente.
Riferimenti legali
Avviso agli Utenti europei: la presente informativa privacy è redatta in adempimento degli obblighi previsti dall’Art. 10 della Direttiva n. 95/46/CE, nonché a quanto previsto dalla Direttiva 2002/58/CE, come aggiornata dalla Direttiva 2009/136/CE, in materia di Cookie.
Questa informativa privacy riguarda esclusivamente questa Applicazione.