Informativa sulla privacy

Everynet BV

Politica di protezione dei dati (revisione agosto 2019)

1. Introduzione

La presente Informativa definisce gli obblighi di Everynet BV, società registrata nei Paesi Bassi con il numero commerciale 63446529, la cui sede legale si trova a Whitepark, Poortweg 4-6, 2612 PA, Delft (“l’Azienda”) in merito alla protezione dei dati e ai diritti dei propri clienti, potenziali clienti, partner tecnologici e fornitori, in relazione ai loro dati personali ai sensi del Regolamento UE 2016/679 Regolamento generale sulla protezione dei dati (“GDPR”).

Il GDPR definisce “dati personali” qualsiasi informazione relativa a una persona fisica identificata o identificabile (un “interessato”); una persona fisica identificabile è quella che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online, o a uno o più elementi specifici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di tale persona fisica.

La presente Informativa definisce gli obblighi della Società in materia di raccolta, elaborazione, trasferimento, conservazione e smaltimento dei dati personali. Le procedure e i principi qui esposti devono essere seguiti in ogni momento dalla Società, dai suoi dipendenti, agenti, appaltatori o altre parti che lavorano per conto della Società.

La Società si impegna non solo a rispettare la lettera della legge, ma anche lo spirito della legge e attribuisce grande importanza al trattamento corretto, lecito ed equo di tutti i dati personali, nel rispetto dei diritti legali, della privacy e della fiducia di tutte le persone con cui si relaziona.

2. I principi di protezione dei dati

La presente informativa mira a garantire la conformità al GDPR. Il GDPR stabilisce i seguenti principi che ogni soggetto che tratta dati personali deve rispettare. Tutti i dati personali devono essere:

  • Trattati in modo lecito, equo e trasparente nei confronti dell’interessato.
  • Raccolti per finalità specifiche, esplicite e legittime e non ulteriormente trattati in modo incompatibile con tali finalità. Un ulteriore trattamento per finalità di archiviazione nel pubblico interesse, per finalità di ricerca scientifica o storica o per finalità statistiche non sarà considerato incompatibile con le finalità iniziali.
  • Adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per cui vengono trattati.
  • Accurate e, se necessario, aggiornate. Devono essere adottate tutte le misure ragionevoli per garantire che i dati personali inesatti, tenuto conto delle finalità per cui sono trattati, siano cancellati o rettificati senza indugio.
  • Conservati in una forma che consenta l’identificazione degli interessati per un periodo di tempo non superiore a quello necessario per il conseguimento delle finalità per le quali i dati personali sono trattati. I dati personali possono essere conservati per periodi più lunghi nella misura in cui saranno trattati esclusivamente per scopi di archiviazione nel pubblico interesse, per scopi di ricerca scientifica o storica o per scopi statistici, a condizione che vengano attuate le misure tecniche e organizzative appropriate richieste dal GDPR per salvaguardare i diritti e le libertà dell’interessato.
  • Trattati in modo da garantire un’adeguata sicurezza dei dati personali, compresa la protezione da un trattamento non autorizzato o illegale e dalla perdita, dalla distruzione o dal danneggiamento accidentali, utilizzando misure tecniche o organizzative adeguate.

3. I diritti degli interessati

Il GDPR stabilisce i seguenti diritti applicabili agli interessati (per ulteriori dettagli si rimanda alle parti della presente informativa indicate):

  • Il diritto di essere informati (Parte 12).
  • Il diritto di accesso (Parte 13);
  • Il diritto di rettifica (Parte 14);
  • Il diritto alla cancellazione (noto anche come “diritto all’oblio”) (Parte 15);
  • Il diritto di limitare il trattamento (Parte 16);
  • Il diritto alla portabilità dei dati (Parte 17);
  • Il diritto di opposizione (Parte 18); e
  • Diritti relativi al processo decisionale automatizzato e alla profilazione (parti 19 e 20).

4. Trattamento dei dati lecito, equo e trasparente

4.1. Il GDPR mira a garantire che i dati personali siano trattati in modo lecito, equo e trasparente, senza pregiudicare i diritti dell’interessato. Il GDPR stabilisce che il trattamento dei dati personali è lecito se si applica almeno una delle seguenti condizioni:

  • L’interessato ha dato il consenso al trattamento dei propri dati personali per una o più finalità specifiche;
  • Il trattamento è necessario per l’esecuzione di un contratto di cui l’interessato è parte, o per prendere provvedimenti su richiesta dell’interessato prima di stipulare un contratto con lui;
  • Il trattamento è necessario per adempiere a un obbligo legale a cui è soggetto il titolare del trattamento;
  • Il trattamento è necessario per tutelare gli interessi vitali dell’interessato o di un’altra persona fisica;
  • Il trattamento è necessario per l’esecuzione di un compito svolto nel pubblico interesse o nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento; oppure
  • Il trattamento è necessario ai fini dei legittimi interessi perseguiti dal titolare del trattamento o da un terzo, salvo che su tali interessi prevalgano i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

4.2. [Se i dati personali in questione sono “dati di categoria speciale” (noti anche come “dati personali sensibili”) (ad esempio, dati riguardanti la razza, l’etnia, la politica, la religione, l’appartenenza sindacale, la genetica, la biometria (se utilizzata per scopi identificativi), la salute, la vita sessuale o l’orientamento sessuale dell’interessato), deve essere soddisfatta almeno una delle seguenti condizioni:

  • L’interessato ha dato il proprio consenso esplicito al trattamento di tali dati per una o più finalità specifiche (a meno che la legge dell’UE o di uno Stato membro dell’UE non lo vieti);
  • Il trattamento è necessario ai fini dell’adempimento degli obblighi e dell’esercizio di diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro, della sicurezza sociale e della protezione sociale (nella misura in cui è autorizzato dal diritto dell’UE o di uno Stato membro dell’UE o da un contratto collettivo ai sensi del diritto di uno Stato membro dell’UE che prevede adeguate garanzie per i diritti e gli interessi fondamentali dell’interessato);
  • Il trattamento è necessario per tutelare gli interessi vitali dell’interessato o di un’altra persona fisica qualora l’interessato sia fisicamente o legalmente incapace di dare il proprio consenso;
  • Il titolare del trattamento è una fondazione, un’associazione o un altro organismo senza scopo di lucro con finalità politiche, filosofiche, religiose o sindacali, e il trattamento è effettuato nell’ambito delle sue legittime attività, a condizione che il trattamento riguardi esclusivamente i membri o gli ex membri di tale organismo o le persone che hanno contatti regolari con esso in relazione alle sue finalità e che i dati personali non siano divulgati all’esterno dell’organismo senza il consenso degli interessati;
  • Il trattamento riguarda dati personali chiaramente resi pubblici dall’interessato;
  • Il trattamento è necessario per lo svolgimento di azioni legali o quando i tribunali agiscono in qualità di giudici;
  • Il trattamento è necessario per motivi di interesse pubblico rilevante, sulla base del diritto dell’UE o di uno Stato membro dell’UE, che deve essere proporzionato alla finalità perseguita, deve rispettare l’essenza del diritto alla protezione dei dati e deve prevedere misure adeguate e specifiche per salvaguardare i diritti e gli interessi fondamentali dell’interessato;
  • Il trattamento è necessario per finalità di medicina preventiva o del lavoro, per la valutazione della capacità lavorativa di un dipendente, per la diagnosi medica, per la fornitura di assistenza o trattamento sanitario o sociale, o per la gestione di sistemi o servizi sanitari o sociali sulla base del diritto dell’UE o di uno Stato membro dell’UE o in virtù di un contratto con un professionista della salute, fatte salve le condizioni e le garanzie di cui all’articolo 9, paragrafo 3, del GDPR;
  • Il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, ad esempio per la protezione da gravi minacce transfrontaliere per la salute o per garantire elevati standard di qualità e sicurezza dell’assistenza sanitaria e dei medicinali o dispositivi medici, sulla base del diritto dell’UE o di uno Stato membro dell’UE che prevede misure adeguate e specifiche per salvaguardare i diritti e le libertà dell’interessato (in particolare, il segreto professionale); oppure
  • Il trattamento è necessario per finalità di archiviazione nel pubblico interesse, per finalità di ricerca scientifica o storica, o per finalità statistiche ai sensi dell’articolo 89, paragrafo 1, del GDPR, sulla base del diritto dell’UE o di uno Stato membro dell’UE, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure adeguate e specifiche per salvaguardare i diritti fondamentali e gli interessi dell’interessato].

5. Finalità specifiche, esplicite e legittime

5.1. La Società raccoglie e tratta i dati personali indicati nella Parte 21 della presente Informativa. Questo include:

  • Dati personali raccolti direttamente dagli interessati
  • Dati personali ottenuti da terzi.

5.2. La Società raccoglie, elabora e conserva i dati personali solo per le finalità specifiche indicate nella Parte 21 della presente Informativa (o per altre finalità espressamente consentite dal GDPR).

5.3. Gli interessati sono sempre informati dello scopo o degli scopi per cui la Società utilizza i loro dati personali. Per ulteriori informazioni sull’informazione degli interessati, si rimanda alla Parte 12.

6. Trattamento adeguato, pertinente e limitato dei dati

L’Azienda raccoglierà e tratterà i dati personali solo per e nella misura necessaria allo scopo o agli scopi specifici di cui gli interessati sono stati (o saranno) informati ai sensi della precedente Parte 5 e come indicato nella successiva Parte 21.

7. Accuratezza dei dati e loro aggiornamento

  • La Società deve garantire che tutti i dati personali raccolti, elaborati e conservati siano accurati e aggiornati. Ciò include, ma non si limita a, la rettifica dei dati personali su richiesta di un interessato, come indicato nella Parte 14, di seguito.
  • L’accuratezza dei dati personali deve essere verificata al momento della raccolta e successivamente a intervalli regolari. Nel caso in cui si riscontrino dati personali inesatti o non aggiornati, verranno adottate senza indugio tutte le misure ragionevoli per modificare o cancellare tali dati, a seconda dei casi.

8. Conservazione dei dati

  • La Società non conserverà i dati personali per un periodo superiore a quello necessario alla luce dello scopo o degli scopi per cui tali dati personali sono stati originariamente raccolti, conservati ed elaborati.
  • Quando i dati personali non sono più necessari, saranno adottate tutte le misure ragionevoli per cancellarli o eliminarli senza indugio.
  • Per tutti i dettagli sull’approccio della Società alla conservazione dei dati, compresi i periodi di conservazione per specifici tipi di dati personali in possesso della Società, si prega di fare riferimento alla nostra Politica di conservazione dei dati.

9. Elaborazione sicura

La Società deve garantire che tutti i dati personali raccolti, conservati ed elaborati siano mantenuti sicuri e protetti da trattamenti non autorizzati o illegali e da perdite, distruzioni o danni accidentali. Ulteriori dettagli sulle misure tecniche e organizzative da adottare sono forniti nelle parti da 22 a 27 della presente Politica.

10. Responsabilità e tenuta dei registri

10.1. Il responsabile della protezione dei dati della Società è Jonathan Pearce (vedere la sezione 0 per i dettagli di contatto).

10.2. Il Responsabile della protezione dei dati è responsabile della supervisione dell’attuazione della presente Politica e del monitoraggio della conformità alla presente Politica, alle altre politiche della Società in materia di protezione dei dati e al GDPR e alle altre normative applicabili in materia di protezione dei dati.

10.3. L’Azienda terrà una registrazione interna scritta di tutti i dati personali raccolti, conservati ed elaborati, che includerà le seguenti informazioni:

  • Il nome e i dati della Società, del suo responsabile della protezione dei dati e di eventuali terzi responsabili del trattamento dei dati;
  • Le finalità per cui la Società raccoglie, detiene ed elabora i dati personali;
  • Dettagli sulle categorie di dati personali raccolti, detenuti ed elaborati dalla Società e sulle categorie di soggetti cui tali dati personali si riferiscono;
  • Dettagli su qualsiasi trasferimento di dati personali verso paesi non appartenenti al SEE, compresi tutti i meccanismi e le garanzie di sicurezza;
  • Dettagli sulla durata di conservazione dei dati personali da parte della Società (fare riferimento alla Politica di conservazione dei dati della Società); e
  • Descrizioni dettagliate di tutte le misure tecniche e organizzative adottate dalla Società per garantire la sicurezza dei dati personali.

11. Valutazioni d’impatto sulla protezione dei dati

11.1. La Società effettuerà valutazioni d’impatto sulla protezione dei dati per tutti i nuovi progetti e/o i nuovi utilizzi dei dati personali che comportano l’uso di nuove tecnologie e il cui trattamento può comportare un rischio elevato per i diritti e le libertà degli interessati ai sensi del GDPR.

11.2. Le valutazioni d’impatto sulla protezione dei dati saranno supervisionate dal responsabile della protezione dei dati e riguarderanno quanto segue:

  • Il tipo o i tipi di dati personali che saranno raccolti, conservati ed elaborati;
  • Lo scopo o gli scopi per cui i dati personali devono essere utilizzati;
  • Gli obiettivi della Società;
  • Modalità di utilizzo dei dati personali;
  • Le parti (interne e/o esterne) che devono essere consultate;
  • La necessità e la proporzionalità del trattamento dei dati rispetto alle finalità per cui vengono trattati;
  • Rischi per gli interessati;
  • Rischi posti sia all’interno che all’esterno della Società; e
  • Misure proposte per ridurre al minimo e gestire i rischi identificati.

12. Mantenere informati gli interessati

12.1. La Società fornirà le informazioni di cui alla Parte 12.2 a ogni soggetto interessato:

  • Nel caso in cui i dati personali siano raccolti direttamente dagli interessati, questi ultimi saranno informati delle loro finalità al momento della raccolta; e
  • Nel caso in cui i dati personali siano ottenuti da terzi, gli interessati saranno informati della loro finalità:
    se i dati personali sono utilizzati per comunicare con l’interessato, quando viene effettuata la prima comunicazione; oppure
    se i dati personali devono essere trasferiti a un’altra parte, prima che tale trasferimento venga effettuato; oppure
    non appena ragionevolmente possibile e in ogni caso non oltre un mese dall’ottenimento dei dati personali.

12.2. Devono essere fornite le seguenti informazioni:

  • Informazioni sull’azienda, compresa, ma non solo, l’identità del suo responsabile della protezione dei dati;
  • Lo scopo (o gli scopi) per cui i dati personali vengono raccolti e saranno trattati (come dettagliato nella Parte 21 della presente Informativa) e la base legale che giustifica tale raccolta e trattamento;
  • Ove applicabile, gli interessi legittimi in base ai quali la Società giustifica la raccolta e il trattamento dei dati personali;
  • Qualora i dati personali non siano ottenuti direttamente dall’interessato, le categorie di dati personali raccolti e trattati;
  • Nel caso in cui i dati personali debbano essere trasferiti a una o più parti terze, i dettagli di tali parti;
  • Nel caso in cui i dati personali debbano essere trasferiti a una terza parte che si trova al di fuori dello Spazio Economico Europeo (il “SEE”), i dettagli di tale trasferimento, comprese, ma non solo, le misure di salvaguardia in atto (per ulteriori dettagli si veda la Parte 28 della presente Informativa);
  • Dettagli sulla conservazione dei dati;
  • Informazioni sui diritti dell’interessato ai sensi del GDPR;
  • Informazioni sul diritto dell’interessato di revocare il proprio consenso al trattamento dei dati personali da parte della Società in qualsiasi momento;
  • Informazioni sul diritto dell’interessato di presentare un reclamo all’Information Commissioner’s Office (l'”autorità di controllo” ai sensi del GDPR);
  • Ove applicabile, i dettagli di qualsiasi requisito o obbligo legale o contrattuale che renda necessaria la raccolta e il trattamento dei dati personali e i dettagli delle eventuali conseguenze della mancata fornitura;
  • Dettagli su qualsiasi processo decisionale o di profilazione automatizzato che verrà effettuato utilizzando i dati personali, comprese le informazioni su come verranno prese le decisioni, l’importanza di tali decisioni e le eventuali conseguenze.

13. Accesso ai dati

  • Gli interessati possono presentare in qualsiasi momento richieste di accesso ai dati (“SAR”) per saperne di più sui dati personali in possesso dell’Azienda, su cosa ne fa e perché.
  • I dipendenti che desiderano effettuare una segnalazione devono utilizzare un modulo di richiesta di accesso ai dati, inviandolo al Responsabile della protezione dei dati della Società (vedere la sezione 0).
  • Le risposte alle segnalazioni devono essere fornite di norma entro un mese dal ricevimento, ma tale termine può essere prorogato fino a due mesi se la segnalazione è complessa e/o se vengono presentate numerose richieste. Se tale tempo supplementare è necessario, l’interessato ne sarà informato.
  • Tutte le segnalazioni ricevute saranno gestite dal Responsabile della protezione dei dati della Società (vedi sezione 0).
  • La Società non addebita alcuna commissione per la gestione delle normali SAR. La Società si riserva il diritto di addebitare spese ragionevoli per copie aggiuntive di informazioni già fornite all’interessato e per richieste manifestamente infondate o eccessive, in particolare quando tali richieste sono ripetitive.

14. Rettifica dei dati personali

  • Gli interessati hanno il diritto di richiedere alla Società la rettifica di qualsiasi dato personale inesatto o incompleto.
  • La Società dovrà rettificare i dati personali in questione e informare l’interessato di tale rettifica entro un mese da quando l’interessato ha informato la Società del problema. Il periodo può essere esteso fino a due mesi nel caso di richieste complesse. Se tale tempo supplementare è necessario, l’interessato ne sarà informato.
  • Nel caso in cui i dati personali interessati siano stati divulgati a terzi, questi ultimi saranno informati di eventuali rettifiche da apportare a tali dati personali.

15. Cancellazione dei dati personali

15.1. Gli interessati hanno il diritto di richiedere che la Società cancelli i dati personali in suo possesso nelle seguenti circostanze:

  • Non è più necessario che la Società detenga tali dati personali in relazione alle finalità per le quali sono stati originariamente raccolti o elaborati;
  • L’interessato desidera revocare il proprio consenso alla detenzione e al trattamento dei propri dati personali da parte della Società;
  • L’interessato si oppone alla detenzione e al trattamento dei suoi dati personali da parte della Società (e non esiste un interesse legittimo prevalente che consenta alla Società di continuare a farlo) (vedere la Parte 18 della presente Informativa per ulteriori dettagli sul diritto di opposizione);
  • I dati personali sono stati trattati illegalmente;
  • I dati personali devono essere cancellati per consentire all’azienda di adempiere a un particolare obbligo legale.

15.2. A meno che la Società non abbia ragionevoli motivi per rifiutare la cancellazione dei dati personali, tutte le richieste di cancellazione saranno soddisfatte e l’interessato sarà informato della cancellazione entro un mese dal ricevimento della richiesta dell’interessato. Il periodo può essere esteso fino a due mesi nel caso di richieste complesse. Se tale tempo supplementare è necessario, l’interessato ne sarà informato.

15.3. Nel caso in cui i dati personali da cancellare in risposta a una richiesta dell’interessato siano stati comunicati a terzi, questi ultimi dovranno essere informati della cancellazione (a meno che non sia impossibile o richieda uno sforzo sproporzionato).

16. Limitazione del trattamento dei dati personali

  • Gli interessati possono chiedere che la Società cessi il trattamento dei dati personali in suo possesso. Se un soggetto interessato presenta tale richiesta, la Società conserverà solo la quantità di dati personali relativi a tale soggetto (se del caso) necessaria a garantire che i dati personali in questione non vengano ulteriormente elaborati.
  • Nel caso in cui i dati personali interessati siano stati comunicati a terzi, questi ultimi saranno informati delle restrizioni applicabili al trattamento (a meno che non sia impossibile o richieda uno sforzo sproporzionato per farlo).

17. Portabilità dei dati

17.1 La Società tratta i dati personali con mezzi automatizzati, quali sistemi software, e-mail e altri metodi elettronici.

17.2. Laddove gli interessati abbiano dato il loro consenso alla Società per il trattamento dei loro dati personali in tal modo, o il trattamento sia altrimenti necessario per l’esecuzione di un contratto tra la Società e l’interessato, gli interessati hanno il diritto, ai sensi del GDPR, di ricevere una copia dei loro dati personali e di utilizzarli per altri scopi (in particolare per trasmetterli ad altri responsabili del trattamento).

17.3. Per facilitare il diritto alla portabilità dei dati, la Società metterà a disposizione degli interessati tutti i dati personali applicabili nei seguenti formati:

  • Per iscritto
  • via e-mail

17.4. Ove tecnicamente possibile, su richiesta dell’interessato, i dati personali saranno inviati direttamente al responsabile del trattamento richiesto.

17.5. Tutte le richieste di copia dei dati personali devono essere soddisfatte entro un mese dalla richiesta dell’interessato. Il periodo può essere esteso fino a due mesi in caso di richieste complesse o numerose. Se tale tempo supplementare è necessario, l’interessato ne sarà informato.

18. Obiezioni al trattamento dei dati personali

  • Gli interessati hanno il diritto di opporsi al trattamento dei loro dati personali da parte della Società sulla base di interessi legittimi, marketing diretto (compresa la profilazione).
  • Se una persona interessata si oppone al trattamento dei suoi dati personali da parte della Società sulla base dei suoi legittimi interessi, la Società cesserà immediatamente tale trattamento, a meno che non si possa dimostrare che i motivi legittimi della Società per tale trattamento prevalgono sugli interessi, i diritti e le libertà della persona interessata, o che il trattamento è necessario per lo svolgimento di rivendicazioni legali.
  • Se una persona interessata si oppone al trattamento dei suoi dati personali da parte della Società per scopi di marketing diretto, la Società cesserà immediatamente tale trattamento.

19. Processo decisionale automatizzato

19.1. L’Azienda utilizza i dati personali in processi decisionali automatizzati per fare riferimento a

19.2. Nel caso in cui tali decisioni abbiano un effetto legale (o un effetto altrettanto significativo) sugli interessati, questi ultimi hanno il diritto di contestare tali decisioni ai sensi del GDPR, richiedendo l’intervento umano, esprimendo il proprio punto di vista e ottenendo una spiegazione della decisione da parte della Società.

19.3. Il diritto descritto nella Parte 19.2 non si applica nelle seguenti circostanze:

  • La decisione è necessaria per la stipula o l’esecuzione di un contratto tra la Società e l’interessato;
  • La decisione è autorizzata dalla legge; oppure
  • L’interessato ha dato il proprio consenso esplicito.

20. Profilazione

20.1. La Società utilizza i dati personali per finalità di profilazione. Ad esempio, per abbinare i prodotti e i servizi ai requisiti predefiniti dei clienti.

20.2. Quando i dati personali sono utilizzati per finalità di profilazione, si applica quanto segue:

  • Agli interessati devono essere fornite informazioni chiare che spieghino la profilazione, compresi il significato e le probabili conseguenze della stessa;
  • Si utilizzeranno procedure matematiche o statistiche appropriate;
  • Devono essere attuate misure tecniche e organizzative per ridurre al minimo il rischio di errori. Se si verificano errori, tali misure devono consentire di correggerli facilmente; e
  • Tutti i dati personali trattati per finalità di profilazione saranno protetti al fine di evitare effetti discriminatori derivanti dalla profilazione (si vedano le parti da 22 a 26 della presente Informativa per maggiori dettagli sulla sicurezza dei dati).

21. Dati personali raccolti, conservati ed elaborati

La Società raccoglie, detiene ed elabora i seguenti dati personali (per i dettagli sulla conservazione dei dati, consultare la Politica di conservazione dei dati della Società):

Necessità di verificare il modulo di contatto del sito web e altre fonti di dati

Dati Rif.

Tipo di dati

Scopo dei dati

Cliente 1

Nome Azienda Dettagli di contatto

È necessario identificare e classificare i clienti, al fine di ricevere notizie e aggiornamenti corretti.

Pagina web visitata

Interesse per il prodotto/servizio

Informazioni sulla fatturazione

22. Sicurezza dei dati – Trasferimento di dati personali e comunicazioni

La Società si impegna a garantire l’adozione delle seguenti misure per tutte le comunicazioni e gli altri trasferimenti di dati personali:

  • Tutte le e-mail contenenti dati personali devono essere criptate Tutte le e-mail contenenti dati personali devono essere contrassegnate come “riservate”;
  • I dati personali possono essere trasmessi solo su reti sicure; la trasmissione su reti non sicure non è consentita in nessun caso;
  • I dati personali non possono essere trasmessi su una rete wireless se esiste un’alternativa cablata ragionevolmente praticabile;
  • I dati personali contenuti nel corpo di un’e-mail, sia inviata che ricevuta, devono essere copiati dal corpo dell’e-mail e conservati in modo sicuro. L’e-mail stessa deve essere cancellata. È necessario eliminare anche tutti i file temporanei ad essi associati.
  • Nel caso in cui i dati personali debbano essere inviati per fax, il destinatario deve essere informato in anticipo della trasmissione e deve essere in attesa di ricevere i dati dal fax;
  • Se i dati personali devono essere trasferiti in forma cartacea, devono essere trasmessi direttamente al destinatario per posta o consegnati di persona.
  • Tutti i dati personali da trasferire fisicamente, sia in forma cartacea che su supporti elettronici rimovibili, devono essere trasferiti in un apposito contenitore con la dicitura “riservato”.

23. Sicurezza dei dati – Conservazione

La Società garantisce l’adozione delle seguenti misure per quanto riguarda la conservazione dei dati personali:

  • Tutte le copie elettroniche dei dati personali devono essere archiviate in modo sicuro utilizzando password e crittografia dei dati;
  • Tutte le copie cartacee dei dati personali, insieme alle copie elettroniche memorizzate su supporti fisici e rimovibili, devono essere conservate in modo sicuro in una scatola, un cassetto, un armadio o simili chiusi a chiave;
  • Tutti i dati personali archiviati elettronicamente devono essere sottoposti a un backup giornaliero con copie di sicurezza conservate in sede e fuori sede. Tutti i backup devono essere criptati
  • Nessun dato personale deve essere memorizzato su alcun dispositivo mobile (compresi, ma non solo, laptop, tablet e smartphone), sia esso di proprietà dell’Azienda o di altro tipo, senza l’approvazione formale scritta del Responsabile della protezione dei dati dell’Azienda (vedere la sezione 0) e, in caso di tale approvazione, in stretta conformità con tutte le istruzioni e le limitazioni descritte al momento dell’approvazione e per un periodo non superiore a quello strettamente necessario; e
  • Nessun dato personale deve essere trasferito su un dispositivo appartenente personalmente a un dipendente e i dati personali possono essere trasferiti su dispositivi appartenenti ad agenti, appaltatori o altre parti che lavorano per conto dell’Azienda solo se la parte in questione ha accettato di rispettare pienamente la lettera e lo spirito di questa Politica e del GDPR (il che può includere la dimostrazione all’Azienda che sono state adottate tutte le misure tecniche e organizzative adeguate).

24. Sicurezza dei dati – Smaltimento

Quando i dati personali devono essere cancellati o altrimenti eliminati per qualsiasi motivo (anche nel caso in cui siano state fatte delle copie che non sono più necessarie), devono essere cancellati e smaltiti in modo sicuro. Per ulteriori informazioni sulla cancellazione e lo smaltimento dei dati personali, si prega di consultare la Politica di conservazione dei dati della Società.

25. Sicurezza dei dati – Utilizzo dei dati personali

25.1 La Società si impegna a garantire l’adozione delle seguenti misure in relazione all’utilizzo dei dati personali:

  • Nessun dato personale può essere condiviso in modo informale e se un dipendente, un agente, un subappaltatore o un’altra parte che lavora per conto dell’Azienda richiede l’accesso a dati personali a cui non ha già accesso, tale accesso deve essere richiesto formalmente al Responsabile della protezione dei dati dell’Azienda (vedere la sezione 0). Nessun dato personale può essere trasferito a dipendenti, agenti, appaltatori o altri soggetti, che operino o meno per conto della Società, senza l’autorizzazione del Responsabile della protezione dei dati della Società (vedere la sezione 0). I dati personali devono essere trattati con cura in ogni momento e non devono essere lasciati incustoditi o in vista a dipendenti, agenti, subappaltatori o

25.2 altre parti in qualsiasi momento;

  • Se i dati personali sono visualizzati sullo schermo di un computer e il computer in questione deve essere lasciato incustodito per un certo periodo di tempo, l’utente deve bloccare il computer e lo schermo prima di lasciarlo; e
  • Nel caso in cui i dati personali in possesso della Società vengano utilizzati per scopi di marketing, sarà responsabilità del responsabile della protezione dei dati della Società (vedere la sezione 0) assicurarsi che sia stato ottenuto il consenso appropriato e che nessun soggetto interessato abbia optato per il rifiuto, sia direttamente che tramite un servizio di terze parti.

26. Sicurezza dei dati – Sicurezza informatica

La Società deve garantire l’adozione delle seguenti misure in materia di sicurezza informatica e delle informazioni:

  • Tutte le password utilizzate per proteggere i dati personali devono essere cambiate regolarmente e non devono utilizzare parole o frasi che possano essere facilmente indovinate o altrimenti compromesse. Tutte le password devono contenere una combinazione di lettere maiuscole e minuscole, numeri e simboli. Tutti i software utilizzati dalla Società sono progettati per richiedere tali password;
  • In nessun caso le password devono essere scritte o condivise tra dipendenti, agenti, appaltatori o altri soggetti che lavorano per conto della Società, indipendentemente dall’anzianità o dal reparto. Se la password viene dimenticata, deve essere reimpostata utilizzando il metodo applicabile. Il personale informatico non ha accesso alle password;
  • Tutti i software (compresi, ma non solo, le applicazioni e i sistemi operativi) devono essere aggiornati. Il personale informatico dell’azienda è responsabile dell’installazione di tutti gli aggiornamenti relativi alla sicurezza non più di 6 mesi dopo che gli aggiornamenti sono stati resi disponibili dall’editore o dal produttore O non appena ragionevolmente e praticamente possibile.

27. Misure organizzative

La Società garantisce l’adozione delle seguenti misure in relazione alla raccolta, alla conservazione e all’elaborazione dei dati personali:

  • Tutti i dipendenti, agenti, appaltatori o altre parti che lavorano per conto dell’Azienda devono essere pienamente consapevoli sia delle loro responsabilità individuali sia delle responsabilità dell’Azienda ai sensi del GDPR e della presente Informativa e devono ricevere una copia della presente Informativa;
  • Solo i dipendenti, gli agenti, i subappaltatori o altre parti che lavorano per conto della Società e che hanno bisogno di accedere ai dati personali e di utilizzarli per svolgere correttamente i compiti loro assegnati avranno accesso ai dati personali in possesso della Società;
  • Tutti i dipendenti, agenti, appaltatori o altre parti che lavorano per conto dell’Azienda e che trattano dati personali saranno adeguatamente addestrati a farlo;
  • Tutti i dipendenti, agenti, appaltatori o altre parti che lavorano per conto dell’Azienda e che trattano dati personali saranno adeguatamente controllati;
  • Tutti i dipendenti, agenti, appaltatori o altre parti che lavorano per conto dell’Azienda e che trattano dati personali devono essere tenuti e incoraggiati a prestare attenzione, cautela e discrezione quando discutono di questioni legate al lavoro che riguardano i dati personali, sia sul posto di lavoro che in altro modo;
  • I metodi di raccolta, conservazione ed elaborazione dei dati personali devono essere valutati e rivisti regolarmente;
  • Tutti i dati personali in possesso della Società saranno rivisti periodicamente, come indicato nella Politica di conservazione dei dati della Società;
  • Le prestazioni dei dipendenti, agenti, appaltatori o altre parti che lavorano per conto della Società e che trattano dati personali saranno valutate e riviste regolarmente;
  • Tutti i dipendenti, agenti, appaltatori o altre parti che lavorano per conto della Società e che trattano dati personali saranno tenuti a farlo in conformità con i principi del GDPR e della presente Politica per contratto;
  • Tutti gli agenti, appaltatori o altre parti che lavorano per conto dell’Azienda e che trattano dati personali devono garantire che tutti i loro dipendenti coinvolti nel trattamento dei dati personali siano tenuti a rispettare le stesse condizioni dei dipendenti dell’Azienda derivanti dalla presente Politica e dal GDPR; e
  • Qualora un agente, un appaltatore o un’altra parte che lavora per conto della Società e che tratta dati personali non adempia agli obblighi previsti dalla presente Politica, tale parte dovrà indennizzare e tenere indenne la Società da qualsiasi costo, responsabilità, danno, perdita, reclamo o procedimento che possa derivare da tale inadempienza.

28. Trasferimento di dati personali in un paese al di fuori del SEE

28.1. La Società può di volta in volta trasferire (“trasferire” include la messa a disposizione a distanza) i dati personali in paesi al di fuori del SEE.

28.2. Il trasferimento dei dati personali a un paese al di fuori del SEE avverrà solo se si applica una o più delle seguenti condizioni:

  • Il trasferimento avviene verso un Paese, un territorio o uno o più settori specifici di quel Paese (o un’organizzazione internazionale), che la Commissione europea ha stabilito garantire un livello adeguato di protezione dei dati personali;
  • Il trasferimento è verso un paese (o un’organizzazione internazionale) che fornisce garanzie adeguate sotto forma di un accordo giuridicamente vincolante tra autorità o enti pubblici; norme aziendali vincolanti; clausole standard di protezione dei dati adottate dalla Commissione europea; conformità a un codice di condotta approvato da un’autorità di controllo (ad esempio, l’Information Commissioner’s Office); certificazione nell’ambito di un meccanismo di certificazione approvato (come previsto dal GDPR); clausole contrattuali concordate e autorizzate dall’autorità di controllo competente; o disposizioni inserite in accordi amministrativi tra autorità o enti pubblici autorizzati dall’autorità di controllo competente;
  • Il trasferimento avviene con il consenso informato della/e persona/e interessata/e;
  • Il trasferimento è necessario per l’esecuzione di un contratto tra l’interessato e la Società (o per le misure precontrattuali adottate su richiesta dell’interessato);
  • Il trasferimento è necessario per importanti motivi di interesse pubblico;
  • Il trasferimento è necessario per lo svolgimento di azioni legali;
  • Il trasferimento è necessario per proteggere gli interessi vitali dell’interessato o di altre persone, qualora l’interessato non sia fisicamente o legalmente in grado di dare il proprio consenso; oppure
  • Il trasferimento viene effettuato da un registro che, ai sensi del diritto olandese o dell’UE, è destinato a fornire informazioni al pubblico e che è aperto all’accesso del pubblico in generale o comunque a coloro che sono in grado di dimostrare un interesse legittimo ad accedere al registro.

29. Notifica di violazione dei dati

29.1 Tutte le violazioni dei dati personali devono essere segnalate immediatamente al Responsabile della protezione dei dati della Società.

29.2 Se si verifica una violazione dei dati personali e tale violazione può comportare un rischio per i diritti e le libertà degli interessati (ad esempio, perdita finanziaria, violazione della riservatezza, discriminazione, danno alla reputazione o altri danni sociali o economici significativi), il responsabile della protezione dei dati deve garantire che l’Information Commissioner’s Office sia informato della violazione senza indugio e, in ogni caso, entro 72 ore da quando ne è venuto a conoscenza.

29.3 Nel caso in cui una violazione dei dati personali possa comportare un rischio elevato (ovvero un rischio superiore a quello descritto nella Parte 29.2) per i diritti e le libertà degli interessati, il responsabile della protezione dei dati deve garantire che tutti gli interessati siano informati della violazione direttamente e senza indebito ritardo.

29.4 Le notifiche di violazione dei dati devono includere le seguenti informazioni:

  • Le categorie e il numero approssimativo di soggetti interessati;
  • Le categorie e il numero approssimativo di record di dati personali interessati;
  • Il nome e i dati di contatto del responsabile della protezione dei dati dell’azienda (o altro punto di contatto per ottenere maggiori informazioni);
  • Le probabili conseguenze della violazione;
  • Dettagli sulle misure adottate, o che si propone di adottare, dalla Società per affrontare la violazione, comprese, se del caso, le misure per mitigarne i possibili effetti negativi.

30. Attuazione della politica

La presente Politica sarà considerata efficace a partire dal 25 maggio 2018.

Nessuna parte della presente polizza avrà effetto retroattivo e si applicherà pertanto solo alle questioni che si verificano a partire da questa data.

Questa politica è stata approvata e autorizzata da:

Nome: Fabrizio Iacono

Posizione: Direttore finanziario

Data: 15 febbraio 2023

Scadenza della revisione: 15 febbraio 2024

Firma:

Email:
fabrizio.iacono@everynet.com

Telefono: +44 7920 723590

Indirizzo: 50 Sloane Avenue, Londra SW3 3DD Regno Unito