Privacy e Cookie Policy

Politica attuata per il trattamento dei dati

Applicazione degli adempimenti privacy previsti dal Regolamento Europeo 679/16 e dal Codice Privacy D.Lgs. 196/03, come modificato ed integrato dal D.Lgs. 101/18.

1. POLITICA PROTEZIONE DEI DATI PERSONALI

La società raccoglie e utilizza dati personali per il perseguimento dell’oggetto sociale, ivi compresi quelli necessari per l’esecuzione delle attività contrattualizzate con i clienti e per la gestione degli adempimenti economico/fiscali. Questa politica descrive come tali dati personali devono essere raccolti, gestiti e archiviati, per soddisfare gli standard di protezione dei dati delineati dal panorama normativo attualmente vigente.

Il documento illustra la Politica di protezione dei dati personali adottata dall’azienda e manifesta la volontà di rispettare e proteggere i dati personali di ogni individuo, conformemente a quanto previsto dalle norme europee, in particolare dal Regolamento Generale sulla Protezione dei Dati UE n. 2016/679 (in inglese General Data Protection Regulation o GDPR), e da quelle nazionali come il D. Lgs. 196/2003 e il D.Lgs. 101/2018 (Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento).

In aggiunta all’Informativa e al fine di assicurare la massima trasparenza, la Politica di protezione dei dati personali ha l’obiettivo di far conoscere a tutte le persone coinvolte (autorizzati e interessati) le tipologie di dati trattati, le modalità di raccolta, utilizzo, conservazione, condivisione, protezione e soprattutto i diritti previsti dal Regolamento e le modalità di esercizio.

Da notare che la Politica di protezione dei dati personali è, e sarà, un documento in continuo miglioramento, legato da un lato alla conformità normativa e dall’altro all’evoluzione delle modalità di trattamento connesse con i servizi erogati. È possibile verificare eventuali modifiche dal numero di Revisione e dalla data di aggiornamento posta in fondo ad ogni pagina. Al fine di allineare i comportamenti di tutti gli attori impegnati nel trattamento dei dati personali, la presente Politica di protezione dei dati personali è presente presso la sede del Titolare nella versione aggiornata.

2. LE DEFINIZIONI

Ai fini della Politica di protezione dei dati personali s’intende per:

«Interessato»: persona fisica identificata o identificabile a cui si riferiscono i dati personali trattati dal Titolare, quindi clienti, fornitori di servizi, partner, subappaltatori, candidati e, più in generale, chiunque sia in contatto con noi (di seguito: "tu" o "tuo");

«Dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

«Trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati ed applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

«Titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il Titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

«Responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento, individuato dallo stesso, a cui viene esternalizzata un’attività e che, pertanto, effettua per conto del Titolare dei trattamenti su dati personali. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione europea o degli Stati membri;

«Autorizzato al trattamento»: Il Titolare o il Responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità. Il Titolare o il Responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

3. IL CAMPO DI APPLICAZIONE

Il Campo di applicazione della Politica di protezione dati personali definisce il perimetro entro il quale questo documento ha l’obiettivo di operare. Nella pratica è lo stesso del Regolamento, che all’art. 2 “Ambito di applicazione materiale” recita: “… si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.” Per meglio comprendere il Campo di applicazione è necessario fare riferimento alla definizione di archivio: “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”. Quindi il Campo di applicazione previsto nella presente Politica di protezione dati personali riguarda tutti i trattamenti automatizzati o cartacei effettuati dall’organizzazione o per conto di essa.

4. LO SCOPO DEL DOCUMENTO

La massima trasparenza nelle modalità di trattamento e gestione della sicurezza dei Suoi dati personali è la condizione essenziale ai fini della conformità a quanto previsto dall’Articolo 24 del Regolamento.

La Politica di protezione dati personali è il documento in cui l’organizzazione si impegna a rispettare le “indicazioni” previste dal Regolamento e dalle successive integrazioni e modificazioni normative.

5. I DESTINATARI

I destinatari di questo documento sono tutte le persone coinvolte nelle attività svolte dal Titolare o da soggetti che svolgono la propria attività per conto dello stesso, sia interni sia esterni alla sua struttura.

6. LE NORMATIVE DI RIFERIMENTO

• D.Lgs. 196/03 - Codice in materia di protezione dei dati personali.
• Regolamento UE 679/16 del Parlamento Europeo e del Consiglio Europeo del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
• D.Lgs. 101/18 - Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento UE 679/16 Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

7. I PRINCIPI APPLICATI

La società RESIC Srl è il Titolare del trattamento dei dati personali che l’interessato comunica o consegna con la modulistica cartacea o tramite gli strumenti del web per tutta la durata dei servizi erogati, delle prestazioni effettuate, degli incarichi conferiti, del rapporto di lavoro o delle forniture.

Il Titolare determina, singolarmente o insieme ad altri, le finalità e i mezzi per il trattamento dei dati personali; per questo motivo è anche responsabile delle informazioni che Lei condivide con noi.

In relazione alle attività svolte, RESIC Srl può anche configurarsi nei Suoi confronti come Responsabile esterno del trattamento. In tale eventualità, pur rispettando le istruzioni ed indicazioni che saranno fornite, vengono garantiti standard di sicurezza (privacy-by-default) idonei a garantire la protezione delle informazioni e dei dati forniti.

Le modalità di trattamento dei dati personali sono conformi a quanto previsto dal Regolamento UE 679/16, dalla disciplina nazionale vigente in materia e dalle successive modificazione e integrazioni, che nell’insieme definiscono le regole di protezione dei dati personali.

Nel particolare, l’impegno è rivolto a:

a) trattare i Suoi dati personali in modo lecito, corretto e trasparente («liceità, correttezza e trasparenza»);

b) raccogliere i Suoi dati personali per finalità determinate, esplicite e legittime, e successivamente trattarli in modo che compatibile con tali finalità;

c) minimizzare i Suoi dati rendendoli adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono raccolti e trattati;

d) adottare tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

e) conservare in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati («limitazione della conservazione»);

f) proteggere i dati personali con adeguate misure di sicurezza tecniche e organizzative rispetto a trattamenti non autorizzati o illeciti, dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

8. I DATI PERSONALI RACCOLTI, MODALITÀ DI UTILIZZO E FINALITÀ

Sempre nell’ottica della massima trasparenza, il registro delle attività di trattamento presente in azienda illustra nel modo più chiaro possibile, quali dati personali trattiamo, come, perché e in base a quali norme.

La raccolta dei dati può avvenire in diversi modi, oltre al conferimento da parte di un Titolare del Trattamento terzo, tramite moduli cartacei o digitali, via posta elettronica o attraverso gli strumenti del web. I campi obbligatori sono contrassegnati con un asterisco e nel caso non si fornisca il dato richiesto, potrebbe risultare impossibile proseguire nel procedimento e erogare il servizio prescelto.

L’accesso ai nostri servizi come anche al nostro sito web, prevede la comunicazione dei Suoi dati personali in diverse modalità sia dirette (moduli, applicazioni, servizi o altro ancora) che indirette o completamente trasparenti, come ad esempio con i cookie impiegati al fine di comprendere come utilizza i nostri servizi e poterli migliorare. Altre volte i dati che La riguardano o che permettono di identificarla, possono provenire da altri Enti Pubblici o organizzazioni, essere comunicati o condivisi con altre aziende che svolgono queste attività per nostro conto, comunque nominate Responsabili Esterne e istruite a trattare i dati in massima sicurezza.

9. CONSENSO

Il Regolamento prevede che un trattamento sia considerato lecito se ricorre almeno una delle basi giuridiche individuate, ovvero se:

• il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
• il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
• il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
• il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
• il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. Quando non sussistono nessuna delle precedenti condizioni di liceità, il trattamento è considerato legittimo soltanto se l’interessato esprime il consenso al trattamento dei propri dati personali per una o più specifiche finalità. In riferimento alle attività di trattamento di dati personali effettuate dal Titolare, si evidenzia che è prevista l’acquisizione del consenso al trattamento solo in alcuni casi determinati, quali, ad esempio: registrazioni video di eventi o materiale formativo oppure per l’iscrizione alla newsletter aziendale.

10. COMUNICAZIONE

Alcuni Suoi dati personali potranno o dovranno essere condivisi con altri soggetti esterni alla struttura o con i fornitori di servizi che svolgono queste attività per nostro conto, e che comunque sono nominati Responsabili Esterni e istruiti a trattare i dati in massima sicurezza. Nelle clausole contrattuali è ben definito il perimetro del trattamento, per cui è assicurato che i Suoi dati personali non siano utilizzati per nessun'altra finalità ed è previsto che siano adottate tutte le misure tecnico organizzative adeguate alla protezione del patrimonio informativo.

Inoltre, sono forniti solo i sottoinsiemi di informazioni effettivamente necessari a svolgere i servizi appaltati a soggetti terzi.

I Suoi dati possono essere comunicati a enti pubblici, rispettando gli obblighi previsti dalle leggi e dai regolamenti. Oltre le ipotesi sopra descritte, i Suoi dati non saranno comunicati senza il Suo consenso.

I Suoi dati non saranno mai diffusi. I Suoi dati non saranno trasferiti in Paesi terzi non appartenenti all’Unione Europea e con normative di protezione dei dati personali non allineate al Regolamento.

11. CONSERVAZIONE

Tutti i dati personali sono conservati nel rispetto delle normative vigenti in materia di protezione dei dati.

L’elaborazione dei dati avviene utilizzando applicazioni software su personal computer collegati in rete. Soltanto il personale autorizzato dal titolare può accedere per effettuare le operazioni di trattamento o di manutenzione dei sistemi.

Il personale tecnico che abbia accesso a livello rete, sistema, database e applicativo è nominato amministratore di sistema ai sensi delle prescrizioni del Garante della protezione dei dati personali “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008) (modificato in base al provvedimento del 25 giugno 2009)”.

I Responsabili (esterni) provvedono alla nomina e alla comunicazione degli elenchi del personale specificatamente nominato Amministratore di Sistema per i sistemi aziendali gestiti in outsourcing.

12. TEMPISTICHE DI CONSERVAZIONE (RETENTION)

Il periodo di conservazione dipende fortemente dalle finalità, ma l’intento è conservare solo i dati personali necessari e per il solo tempo utile al conseguimento delle finalità per cui sono stati raccolti. In alcuni casi si applicano le norme nazionali in tema di conservazione, che tendono ad allungare i tempi.

Nei casi particolari e nel momento di raccolta dei dati, il personale fornirà indicazioni sulle ragioni di prolungamento del periodo di conservazione e sulla durata prevista.

13. PROTEZIONE

La sicurezza delle informazioni riguarda gli aspetti di:

• Riservatezza: Solo gli autorizzati possono accedere alle informazioni necessarie.
• Integrità: I dati sono protetti contro alterazioni o danneggiamenti, tutelando l'accuratezza e la completezza dei dati.
• Disponibilità: Le informazioni sono rese disponibili quando occorrono e nell'ambito di un contesto pertinente.

La protezione degli asset digitali è basata sul paradigma previsto dal framework della National Institute of Standards and Technology (NIST), ripreso dalla Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015 - Misure minime di sicurezza ICT per le Pubbliche Amministrazioni, che prevede le seguenti attività a supporto della sicurezza:

• IDENTIFICARE: Conoscere la propria infrastruttura per ridurre al minimo i rischi per sistemi, risorse e dati.
• PROTEGGERE: Progettare misure di sicurezza per limitare l'impatto di potenziali eventi su servizi e infrastrutture critici.
• INDIVIDUARE: Implementare attività per identificare il verificarsi di un evento di sicurezza informatica.
• REAGIRE: Adottare le misure appropriate dopo aver appreso di un evento di sicurezza.
• RECUPERARE: Pianificare la resilienza e il tempestivo recupero della capacità e dei livelli di servizio compromessi.

L’impegno rappresentato nella presente Politica di protezione dei dati personali è quello di conservare in massima sicurezza i Suoi dati adottando le misure tecnico organizzative a seguito della valutazione dei rischi. Tale valutazione necessita di periodiche revisioni ogni qualvolta variano le circostanze, i contesti, le tecnologie e le normative.

L’obiettivo è garantire che non avvengano accessi non autorizzati, divulgazioni, perdite o distruzione dei Suoi dati personali, in ottemperanza alle leggi, ma nel rispetto della dignità, della libertà e della eguaglianza delle persone. I fornitori di servizi che gestiscono i Suoi dati personali per nostro conto sono contrattualmente obbligati a fare altrettanto.

14. DIRITTI

Il legislatore europeo ha confermato i diritti previsti dal Codice privacy (la precedente normativa nazionale in tema di protezione dei dati personali) e ne ha aggiunti dei nuovi.

I diritti di seguito riportati sono esercitabili su iniziativa dell’interessato, sempre che non siano presenti delle limitazioni previste dalla normativa vigente. Ogni eventuale delucidazione potrà essere fornita su motivata richiesta. I Suoi diritti sono:

Accesso e di informazione: ha il diritto di essere informato in modo conciso, trasparente, intelligibile e facilmente accessibile sulle modalità con cui vengono trattati i Suoi dati personali. Ha anche il diritto di ottenere la conferma che sia o meno in corso un trattamento di dati personali che La riguardano e, in tal caso, di accedere a tali dati personali e di ottenerne una copia.

Rettifica: ha il diritto di ottenere la rettifica dei Suoi dati personali non esatti. Ha anche il diritto di ottenere l'integrazione dei dati personali incompleti.

Cancellazione (diritto all'oblio): in alcuni casi, ha il diritto di ottenere la cancellazione dei tuoi dati personali quando non sono presenti basi giuridiche o legittimi motivi per conservare tali dati personali.

Limitazione del trattamento: ha il diritto di ottenere la limitazione del trattamento dei Suoi dati personali, sempre che non siano presenti basi giuridiche o legittimi motivi che impediscano l’esercizio di questo diritto.

Portabilità dei dati: ha il diritto di ricevere i Suoi dati personali, in un formato strutturato, di uso comune e leggibile da dispositivo automatico; ha il diritto di richiedere la trasmissione di tali dati a un altro titolare del trattamento. Questo diritto è applicabile solo per i trattamenti effettuati con strumenti informatici.

Opposizione: ha il diritto di opporsi in qualsiasi momento al trattamento dei Suoi dati personali, sempre che non siano presenti basi giuridiche o legittimi motivi che impediscano l’esercizio di questo diritto.

Revoca del consenso: ha il diritto di revocare in qualsiasi momento il Suo consenso a un trattamento (basato sul consenso). La revoca del consenso non ha validità retroattiva.

Proporre reclamo all'autorità di controllo: ha il diritto di presentare reclamo al Garante per la protezione dei dati personali in merito alle modalità di trattamento adottate nella protezione dei dati personali.

15. PUNTO DI CONTATTO

Nel caso di dubbi, questioni sul trattamento dei Suoi dati personali o se desidera esercitare i diritti riportati nella tabella precedente, La preghiamo di utilizzare i contatti presenti sul nostro sito WEB o comunque l’indirizzo mail info@resic.it.