(De conformidad con la Regulación UE 2016/769 - GDPR y del D.Lgs 196/2003 modificado del D.Lgs. del 10 de agosto del 2018, n.101)

1. FINALIDAD

Esta Política de privacidad describe al modelo de organización utilizado por esta estructura cuando se ocupa de las diferentes informaciones en calidad de Titular y Responsable del procesamiento que tiene como finalidad una correcta gestión de la adquisición del consentimiento, de la prevención y de la protección de todas las informaciones personales. Por eso, se describen todas las tipologías de interesados, la tipología de las informaciones tratadas, las acciones emprendidas en calidad de Titular y Responsable del procesamiento, la gestión de las personas autorizadas, la gestión de los responsables del procesamiento y la manera en que se aplican todos los instrumentos de prevención y protección (vea ast.32 de la Reg. UE 2016/679 GDPR). Todos los tratamientos (definidos en el art.4 del GDPR) se aplicarán siguiendo los principios dictados por el art.5 (licitud, lealtad y transparencia) y están enumerados en la ficha del registro del tratamiento (vea plica general). Además, las mismas informaciones tienen que ser adecuadas y pertinentes y su tratamiento tiene que ser limitado en el tiempo que debería ser estrictamente necesario, así como indicado en las cláusulas específicas (ej. Cláusula clientes o dependientes, vea las respectivas plicas operativas). Este documento explica también la importancia de censar e identificar todos los archivos, tanto en papel (ej. Armarios, cajoneras), como electrónicos (ej. Sitios web, pc, servidores locales, cloud, bases de datos gestionadas en los servidores de software, cuenta de correo electrónico). Por ambos dos archivos, la documentación está dividida en 8 plicas de las que 1 general y 7 operativas.

2. POLÍTICA DE PREVENCIÓN Y PROTECCIÓN DE LOS ARCHIVOS EN CALIDAD DE TITULAR Y DE RESPONSABLE DEL PROCESAMIENTO

2.1. Prevención

Nuestra política de prevención y protección prevé la localización de los datos personales tratados y almacenados y que se controle al menos una vez al año, con el fin de protegerlos en función del entorno que los rodea. Las 3 mesuras de prevención adoptadas por esta estructura son:
2.1.1. Formación – el primer paso de la prevención es el de formar periódicamente todas las figuras implicadas en el tratamiento de los datos.
2.1.2. Minimización - todo el equipo del titular del tratamiento (ej. Las personas autorizadas se forman para archivar solamente los datos estrictamente necesarios para la finalidad para la que se tratan.
2.1.3. 2.1.3 Seudonimización (donde técnicamente y legalmente posible) - todo el equipo del titular del tratamiento (ej. Las personas autorizadas se forman para codificar los datos personales, tanto en papel como electrónicos, de manera que no sean más atribuidos a una persona interesada específica sin el uso de informaciones adicionales. De hecho, se crean 2 archivos: uno en el que se ponen los datos identificativos (ej. Nombre y apellido) con el relativo código y otro en el que se ponen los datos particulares (ej. Datos sobre la salud) donde se transcribe sólo el código creado en archivo. Estos dos archivos (él con el código y los datos identificativos y él en el que están los datos particulares relacionados solamente al código), están conservados en lugares distintos en los que pueden acceder solamente algunas personas.

2.2. Protección

Las 7 mesuras de protección que la estructura utiliza en relación al nivel de riesgo son:
2.2.1. acceso controlado y limitado – se reduce el número de las personas autorizadas que pueden acceder a los datos;
2.2.2. puertas con clave – se aísla el lugar al interior de la estructura en el que se tienen los datos más delicados;
2.2.3. rejas en las ventanas (en los pisos más bajos) - se reduce el riesgo de robo por parte de las personas malintencionadas;
2.2.4. sistema de alarma – se reduce la intrusión por parte de malintencionados fuera de las horas de trabajo;
2.2.5. videovigilancia – es posible controlar quién tiene el acceso a los archivos, tanto en papel como electrónicos;
2.2.6. dispositivos antiincendios – se reduce la probabilidad de daños a los archivos en el caso de incendio;
2.2.7. armarios y cajoneras con llaves – de esta manera se protegen los datos más sensibles.
Para las mesuras específicas de protección relacionadas a los lugares de trabajo se vea la plica general.

2.3. Archivos en papel

Para los archivos en papel en relación al nivel de riesgo, el titular del tratamiento aplica bajo su propia responsabilidad una parte o todas las mesuras de prevención y protección sobre enumeradas. Siempre se aplican las 3 mesuras de prevención ya descritas y las siguientes mesuras de protección: 1) cierre de los armarios o de las cajoneras; 2) cierre de las puertas en el caso de los datos más sensibles; 3) dispositivos antiincendios; 4) acceso controlado y limitado. En los casos con un riesgo mayor se implementan las mesuras de seguridad descritas.

2.4. Archivos electrónicos

La misma política de protección y prevención utilizada por los archivos en papel se utiliza en el caso de los archivos electrónicos que se encuentran en los dispositivos hardware (ej. Móvil, pc, servidores locales). En seguida, para cada tipología de archivos, se ilustra la modalidad de prevención y protección que se actúan adicionalmente a las descritas encima.

2.4.1. Sitios web. Para los archivos de los sitios internet la prevención se actúa gracias a la minimización de los datos, tomando solamente nombre, teléfono, correo electrónico y provincia, cuando se añaden informaciones, también apellido, código fiscal y dirección cuando se habla del envío de los productos (previo consentimiento). La protección se actúa a través del uso del protocolo HTTPS, el análisis anual del sitio, la carta de nombramiento a la persona autorizada o el encargado del tratamiento respecto a quién gestiona el sitio y el servidor donde reside el sitio con la correspondiente declaración de conformidad con el GDPR. Para cada sección individual del sitio se cargan todas las declaraciones donde se pueden encontrar todas las especificaciones técnicas con los correspondientes flags específicos para cada finalidad dejando siempre la posibilidad al interesado de prestar o denegar el consentimiento (p. ej., información de cookies, información de contactos). De manera particular, por lo que concierne a la gestión de las cookies, en el sitio se ha cargado y puesto a disposición de los visitantes la información sobre cookies, y se ha implementado el banner de cookies para que el visitante pueda, antes de comenzar la navegación, elegir a qué cookie dar su consentimiento. El consentimiento de todos los avisos se almacena y se pone a disposición de la autoridad de control (incluso en papel siempre que sea posible). Cada vez que el interesado inserte sus propios datos en el sitio web para querer las informaciones, hacer el proceso de registro o hacer compras, él tendrá que validar para acceder al servicio requerido. Solo después de la validación, el controlador de datos proporcionará el servicio solicitado y al mismo tiempo almacenará los datos personales del interesado. De este modo, el responsable del tratamiento podrá tratar y, por lo tanto, almacenar los datos personales teniendo una mayor garantía de que haya sido precisamente el interesado quien haya solicitado el servicio en su sitio. La política a implementar, cuando sea posible, es delegar a un solo proveedor tanto en la gestión del sitio web (base de datos) como en la del servidor en el que se basa el sitio, por lo que el proveedor será nombrado tanto administrador del sistema como Encargado del tratamiento.

2.4.2. PC. Las medidas preventivas se centran principalmente en la formación de las personas autorizadas que utilizan estos dispositivos. Entre las medidas de seguridad que podrían adoptarse se encuentran: 1) análisis de PC realizado al menos una vez al año; 2) cuenta diferente para cada usuario y bien diferenciada de la cuenta de administrador; 3) uso de Firewall; 4) utilización de antivirus; 5) contraseña de acceso, sustituida cada 3 meses, de al menos 8 caracteres alfanuméricos y con caracteres especiales; 6) acceso mediante huella dactilar, reconocimiento de iris y tarjeta inteligente; 7) cifrado del disco duro a través del sistema operativo; 8) salvapantallas (protector de pantalla) solicitando la contraseña al activar el PC; 9) desactivando los puertos USB para evitar virus y robos de datos; 10) actualización del sistema operativo; 11) designación del administrador del sistema debidamente formado para la gestión y la protección de los ordenadores individuales; 12) copia de seguridad (véase documento de política de copia de seguridad empresarial). 2.4.3. Smartphone/Tablet. Las medidas preventivas se centran principalmente en la formación de las personas autorizadas que utilizan estos dispositivos. Entre las medidas de protección que podrían adoptarse se encuentran: 1) contraseña de acceso, sustituida cada 3 meses, de al menos 8 caracteres alfanuméricos y con caracteres especiales; 2) actualización del sistema operativo; 3) uso de antivirus; 4) cifrado de los dispositivos; 5) copias de seguridad.

2.4.4. Softwares de gestión individuales (con database). A nivel de prevención se actúa tanto la minimización cuanto la seudonimización cuando sea técnicamente y legalmente posible. Entre las medidas de protección que podrían adoptarse se encuentran: 1) utilizo de una contraseña de acceso diferente de la del pc; 2) log que rastrean el acceso al programa; 3) utilizo del doble factor en el caso en que se rastrean los datos más particulares. Cuando se utiliza la gestión como controlador, la política es obtener al menos una vez al año una declaración de responsabilidad sobre el mantenimiento del cumplimiento del GDPR por parte de la empresa de software. Además, es nombrada responsable del tratamiento porque almacena los datos en nombre del responsable del tratamiento. Si los datos se almacenan en el servidor local, las medidas de protección implementadas son las descritas para los ordenadores y servidores locales individuales, si el servidor local es operado por un proveedor externo, este último será nombrado responsable del tratamiento. Si la gestión se gestiona en virtud de un servicio ofrecido al responsable del tratamiento, esta estructura, en calidad de responsable del tratamiento (software house), aplicará todas las medidas preventivas de protección descritas en el párrafo 2 y todas las indicaciones que pueda proporcionar el Responsable del tratamiento.

2.4.5. Servidores locales. Las medidas de protección, además de las aplicadas a los ordenadores, son: 1) utilización de cortafuegos físicos; 2) registros de acceso; 3) contraseña de acceso, sustituida cada 3 meses, de al menos 10 caracteres alfanuméricos y caracteres especiales; 4) la utilización de una única cuenta de administrador, aunque se prevea una doble solución en caso de ausencia inesperada de la misma; 5) actualización automatizada Copyright Giuseppe Langellotti Rev1.5 Pág. 3 de 6 del sistema operativo; 6) nombramiento del administrador del sistema debidamente formado para la gestión y protección de los servidores locales; 7) cifrado del disco duro; 8) copias de seguridad periódicas.

2.4.6. Servidor remoto. En este caso, la política es obtener al menos una vez al año una declaración de responsabilidad sobre el mantenimiento del cumplimiento del RGPD por parte de la empresa que gestiona el servidor, que también es nombrada responsable del tratamiento porque almacena los datos en nombre del responsable del tratamiento.


2.4.7. Cuentas de correo electrónico individuales. En el ámbito de la prevención, la estructura recurre a la formación de las personas autorizadas, a la minimización y, preferentemente, a la séudonimización de archivos que contengan datos personales. En cuanto a la protección, los archivos que contienen datos personales recibidos y enviados a través del correo electrónico pueden protegerse mediante contraseña o cifrado y se guardan en una carpeta ubicada en el servidor (local o en la nube), evitando que se guarden en el dispositivo individual.

3. PRINCIPALES TAREAS COMO RESPONSABLE DEL TRATAMIENTO

Por lo que concierne al sitio web, nuestra estructura actúa como Responsable del tratamiento. Las Tareas principales del Responsable del tratamiento son: 1) comprender con precisión cuáles son los fines de sus tratamientos que deben comunicarse al interesado; 2) informar al interesado y obtener el consentimiento para las finalidades específicas a través de las informaciones que deben contener, además de las finalidades, la tipología de los datos tratados, los destinatarios, los derechos de los interesados, los datos de contacto del responsable del tratamiento y del DPO (si ha sido designado); 3) formar anualmente a todas las personas que traten los datos por su cuenta (p. ej., personas autorizadas, resp. del tratamiento) 4) Redactar todos los documentos necesarios (ej. Avisos, DPIA, Registros del tratamiento); 5) Verificar periódicamente la protección de los datos personales (asistido por el DPO si ha sido designado).

3.1. PRINCIPALES TIPOLOGÍAS DE INTERESADOS

A continuación, se indican los tipos de interesados que el Responsable del tratamiento gestiona: 1) cliente potencial SI ☒ NO ☐; 2) cliente SI ☒ NO ☐; 3) empleado potencial (CV) SI ☐ NO ☒; 4) empleado SÍ☒ NO☐; 5) proveedor (si se trata de empresas individuales) SI ☐ NO ☒.

TIPOLOGÍA DE DATOS IDENTIFICATIVOS TRATADOS (los tiempos de retención de los datos son los indicados en la nota informativa)

(los tiempos de retención de los datos son los indicados en la declaración). Son los datos más solicitados y también los que pueden causar menos daño desde el punto de vista de la privacidad. Para este tipo de datos el responsable del tratamiento utiliza un nivel medio alto de protección que se basa en las medidas de prevención (p. ej., seudonimización si se considera necesario) y protección (p. ej., cierre de cajones, cifrado de disco duro) mejor especificadas en el punto 2 de la presente política y descritas en las correspondientes DPIA (si están redactadas) y en el registro del tratamiento. Los datos de identificación que se procesan como controlador de datos con consentimiento previo son: 1) nombre SI ☒ NO ☐; 2) apellido SI ☒ NO ☐; 3) fecha de nacimiento NO ☒ ☐; 4) lugar de nacimiento NO ☒ NO ☐; 5) código fiscal NO ☒ 6) dirección ☐ 7) IBAN SI ☒ NO ☐; 8) credenciales SI ☒ NO ☐; 9) número de teléfono SI ☒ NO ☐; 10) dirección de correo electrónico SI ☒ NO ☐; 11) datos económicos SI ☐ NO ☒; 12) datos financieros SI ☐ NO ☒; 13) imágenes SI ☒ NO ☐; 14) dirección IP SI ☒ NO ☐;

3.3. TIPOLOGÍA DE DATOS PARTICULARES TRATADOS (los tiempos de retención de los datos son los indicados en la nota informativa)

Su protección es de suma importancia porque su violación podría tener fuertes impactos en la persona. Por esta razón, el nivel de protección de estos datos es alto y se basa en medidas más restrictivas de prevención y protección cuando la seudonimización es la medida más implementada y necesaria (véase el punto 2 del presente documento, sus DPIA y el registro del tratamiento).

Los datos particulares que se tratan en calidad de responsable del tratamiento previo consentimiento son:

1) origen racial o étnico SI☐ NO☒; 2) opiniones políticas SI ☐ NO ☒; 3) convicciones religiosas SI ☐ NO ☒; 4) afiliación sindical SI ☐ NO ☒; 5) datos genéticos (ej. ADN) SI ☐ NO ☒; 6) datos biométricos (p. ej., impresiones dentales) SI ☐ NO ☒; 7) datos de salud SI ☐ NO ☒; 8) orientación sexual SÍ ☐ NO ☒.

3.4. TIPOLOGÍA DE DATOS JUDICIALES TRATADOS (los tiempos de retención de los datos son los indicados en la nota informativa)

Se trata de datos que pueden revelar la existencia de determinadas medidas judiciales sujetas a inscripción en el registro de antecedentes penales (por ejemplo, condenas firmes, libertad condicional, prohibición u obligación de residencia, medidas alternativas a la detención) o la condición de acusado o sospechoso. Esta estructura no tratará en modo alguno los datos judiciales, a menos que éstos sirvan para comprobar el requisito de idoneidad moral de quienes deseen participar en licitaciones, en cumplimiento de lo dispuesto en la normativa de contratación; en este caso, los fundamentos jurídicos de las operaciones de tratamiento se remontan a los arts. 10 Reg. UE no 2016/679, y 2-octies, co. 1 y 3, inciso i. D.Lgs. 196/03, en su versión modificada en el D.Lgs 101/2018. En estos casos, los datos solo se procesan en papel y, dado que la protección de estos datos es de suma importancia, ya que su violación podría tener un gran impacto en la persona, se aplican medidas más restrictivas de prevención y protección, como cajones y armarios cerrados y acceso limitado al personal debidamente formado (véase el punto 2 del presente documento, sus DPIA y el registro del tratamiento). En los casos descritos anteriormente, los datos judiciales tratados como responsable del tratamiento previo son: 1) condenas penales SI ☐ NO ☒; 2) delitos SI ☐ NO ☒; 3) antecedentes penales SI ☐ NO ☒; 4) cargas pendientes SI ☐ NO ☒.

3.5. TIPOLOGÍA DE ELABORACIÓN DE PERFILES (los tiempos de retención de los datos son los indicados en la nota informativa)

La elaboración de perfiles es cualquier forma de tratamiento automatizado de datos personales que utiliza dichos datos para evaluar, analizar o predecir ciertos aspectos relacionados con una persona física. Los aspectos evaluados previo consentimiento ( elaboración de perfiles) por el responsable del tratamiento se enumeran a continuación y se marcan con el "SI": 1) Rendimiento profesional SI ☐ NO ☒; 2) Situación económica SI ☐ NO ☒; 3) Salud SI ☐ NO ☒; 4) Intereses SI ☐ NO ☒; 5) Preferencias personales SI ☐ NO ☒; 6) Fiabilidad financiera SI ☐ NO ☒ 7) Comportamiento SI ☐ NO ☒; 8) Situación/Desplazamientos ☐ NO ☒ Su protección es de suma importancia porque su violación podría tener fuertes impactos en la persona física. En cuanto a la prevención, la seudonimización es la medida más aplicada y necesaria (siempre que sea legal y técnicamente posible). El nivel de protección en este caso es muy alto con medidas aún más restrictivas (véase el punto 2 de este documento, las DPIA correspondientes y el registro del tratamiento).

4. PRINCIPALES FUNCIONES COMO RESPONSABLE DEL TRATAMIENTO

Para todos aquellos tratamientos en los que la estructura procesa y almacena los datos en nombre del Responsable del tratamiento, se configura como Responsable del tratamiento cuyas obligaciones se rigen a través del documento de nombramiento descrito en el punto 5.2. Dado que se aplica la misma política de prevención y protección tanto en calidad de Titular como en calidad de Responsable del tratamiento, el tratamiento se realiza con las mismas medidas de prevención y protección (véase el punto 2) y los contenidos de los documentos redactados (DPIA, Registro de tratamiento, Nombramiento y gestión de la data breach) son los mismos, cambian solamente la natura de los interesados (clientes y empleados en el caso del Titular, usuarios en el caso del Responsable del tratamiento). El Responsable del tratamiento puede nombrar el Responsable del tratamiento de nivel 2 previa autorización del Titular del tratamiento.

4.1. TIPOLOGÍA DE INTERESADOS (usuarios)

En seguida se indican los principales tipos de interesados gestionados en calidad de responsable del tratamiento: 1) pot. Cliente del cliente SI ☐ NO ☒; 2) cliente del cliente SI ☐ NO ☒; 3) pot. dip. del cliente SI ☐ NO ☒; 4) empleado del cliente SI ☒ NO ☐; 5) empleado del proveedor SI ☐ NO ☒; 6) proveedor del cliente SI ☐ NO ☒.

TIPOLOGÍA DE LOS DATOS IDENTIFICATIVOS TRATADOS (los tiempos de retención de los datos son los indicados en la nota informativa)

Los datos tratados como Responsable son: 1) nombre SI ☒ NO ☐; 2) apellido SI ☒ NO ☐; 3) fecha de nacimiento SI ☐ NO ☒; 4) lugar de nacimiento SI ☐ NO ☒; 5) código fiscal SI ☐ NO ☒ 6) dirección SI☐ NO☒ 7) IBAN SI☐ NO☒; 8) credenciales SI☒ NO☐; 9) teléfono SI☒ NO☐; 10) correo electrónico SI ☒ NO ☐; 11) datos económicos SI ☐ NO ☒; 12) datos financieros SI ☐ NO ☒; 13) imágenes SI ☒ NO ☐; 14) dirección IP SI ☒ NO ☐;

4.3. TIPOLOGÍA DE LOS DATOS PARTICULARES TRATADOS (los tiempos de retención de los datos son los indicados en la nota informativa)

Los datos tratados como Responsable son: 1) origen racial o étnico SI☐ NO☒; 2) opiniones políticas SI ☐ NO ☒; 3) convicciones religiosas SI ☐ NO ☒; 4) afiliación sindical SI ☐ NO ☒; 5) datos genéticos (ej. ADN) SI ☐ NO ☒; 6) datos biométricos (p. ej., impresiones dentales) SI ☐ NO ☒; 7) datos de salud SI ☐ NO ☒; 8) orientación sexual SI ☐ NO ☒.

4.4. TIPOLOGÍA DE LOS DATOS JUDICIALES TRATADOS (los tiempos de retención de los datos son los indicados en la nota informativa):

Los datos tratados como Responsable son: 1) condenas penales SI ☐ NO ☒; 2) delitos SI ☐ NO ☒; 3) antecedentes penales SI ☐ NO ☒; 4) cargas pendientes SI ☐ NO ☒.

4.5. TIPOLOGÍA DE ELABORACIÓN DE PERFILES (los tiempos de retención de los datos son los indicados en la nota informativa)

Los aspectos evaluados (perfil - previo consentimiento) en calidad de Responsable del tratamiento se enumeran a continuación y se marcan con el "SI": Copyright Giuseppe Langellotti Rev1.5 Pag. 5 de 6 1) rendimiento profesional SI ☐ NO ☒; 2) situación económica SI ☐ NO ☒; 3) salud SI ☐ NO ☒; 4) intereses SI ☐ NO ☒; 5) preferencias personales SI ☐ NO ☒; 6) fiabilidad financiera SI ☐ NO ☒; 7) comportamiento SI ☐ NO ☒; 8) localización/desplazamientos SI ☒ NO ☐.

5. OBLIGACIONES

5.1. NOMBRAMIENTO DE LAS PERSONAS AUTORIZADAS

Las personas autorizadas son las personas dentro de la estructura, adecuadamente instruidas para tratar los datos personales, sobre la base de un encargo específico dado por el responsable del tratamiento (ej. empleados o colaboradores a P.IVA). Cada persona se formará y sensibilizará sobre la protección de datos y recibirá y firmará el documento de nombramiento en el que se describirán detalladamente las instrucciones que el responsable del tratamiento dé para proteger los datos que trate en nombre del titular.

5.2. NOMBRAMIENTO DE LOS RESPONSABLES DEL TRATAMIENTO

Esta estructura, cuando trata los datos en calidad de Responsable del tratamiento, designa a todos los responsables del tratamiento, que tratan y almacenan los datos personales en su nombre (ej. contable) y les instruye sobre las modalidades de tratamiento de los datos personales. En caso de que un responsable del tratamiento tenga que designar a otros subresponsables (nivel 2), esta estructura evaluará la viabilidad caso por caso. En caso de que esta estructura procese los datos en nombre de un responsable del tratamiento, ella misma será nombrada Responsable del tratamiento. Como responsable del tratamiento, si el responsable lo autoriza, podrá designar encargados del tratamiento de 2° nivel (subresponsables), que a su vez podrán designar responsables de 3° nivel (si se autoriza posteriormente). Esta estructura, como responsable de nivel 1, conserva en todo caso ante el responsable del tratamiento toda la responsabilidad del cumplimiento de las obligaciones de los subprocesadores. El documento de nombramiento del responsable del tratamiento (tanto si se presenta como titular como si se recibe en calidad de responsable) es siempre por escrito y describe las categorías de datos personales tratados, la naturaleza, los fines y la duración del tratamiento, así como las instrucciones al responsable del tratamiento por parte del responsable del tratamiento.

5.3. NOMBRAMIENTO DEL DELEGADO DE PROTECCIÓN DE DATOS (DPO/RPD)

El DPO es una figura que debe ser designada por el titular o el responsable del tratamiento para realizar funciones de apoyo y control, así como consultivas, formativas e informativas, en relación con la aplicación del GDPR. La estructura, en virtud de los tratamientos efectuados y de acuerdo con el principio de accountability, ha considerado oportuno nombrar por escrito a su responsable de la protección de datos cuyos datos de contacto se indican en la casilla correspondiente al final del presente documento.

5.4. DPIA (Data Protection Impact Assessment - Evaluación de impacto de la protección de datos)

La DPIA es un documento redactado por el Titular del tratamiento o del Responsable del tratamiento que tiene la finalidad de evaluar los riesgos (daño), indicar las medidas de prevención y protección, describir el flujo de los datos con los relativos destinatarios. La política, tanto en calidad de titular como en calidad de responsable del tratamiento, es la de elaborar todas las DPIA previstas en el anexo 1 de la medida n. 467 de 11 de octubre de 2018 del Garante (en lo sucesivo anexo 1) y de redactar también las que no figuren expresamente en el anexo 1 pero que se consideren necesarias para una mayor protección del interesado (véase el paquete general). Por consiguiente, las DPIA son las siguientes: 1) gestión de nóminas SI☒ NO☐; 2) gestión de nóminas SI☒ NO☐; 3) gestión de videovigilancia SI☐ NO☒; 4) gestión de geolocalización SI ☒ NO ☐; 5) gestión de historiales médicos SI ☐ NO ☒; 6) gestión de cuestionarios de aptitudes profesionales SI ☐ NO ☒ 7) gestión de datos judiciales.

5.5. REGISTRO DE ACTIVIDADES DE TRATAMIENTO

El art. 30 del RGPD prevé, entre las obligaciones principales del titular y del responsable del tratamiento, el mantenimiento del registro de las actividades de tratamiento (ej. empresas con más de 250 empleados, tratamiento de datos particulares). El registro ha sido elaborado tanto en calidad de Titular como en calidad de Responsable del tratamiento y a través de la redacción y revisión periódica de dicho documento se proporciona un cuadro actualizado de los tratamientos en curso dentro de esta organización. Para cada tipo de tratamiento se ha elaborado una ficha en la que se describen los datos de contacto del DPO y del Responsable, de los responsables del tratamiento (en calidad de responsable) de los subresponsables (en calidad de responsable) los destinatarios y, en su caso, los cotitulares. Además, s e indican los plazos de conservación de los datos, las medidas de seguridad y la descripción de los archivos electrónicos y en papel. Las actividades realizadas y enumeradas en el registro son: 1) gestión de la recogida de contactos SI ☒ NO ☐; 2) gestión de la centralita SI ☒ NO ☐; 3) gestión de selecc. personal SI ☒ NO ☐; 4) gestión de cuestionarios evaluación. la aptitud profesional SI ☐ NO ☒; 5) gestión de nóminas SI ☒ NO ☐; 6) gestión de visitas médicas dip. SI ☒ NO ☐; Copyright Giuseppe Langellotti Rev1.5 Pág. 6 de 6 7) gestión de la formación dip. SI ☒ NO ☐; 8) gestión de presupuestos/contratos SI☒ NO☐; 9) gestión de facturación SI☒ NO☐; 10) gestión de historiales médicos SI☐ NO☒; 11) gestión de cobros SI ☒ NO ☐; 12) gestión de sistemas empresariales y cuentas SI ☒ NO ☐; 13) gestión de videovigilancia SI ☐ NO ☒; 14) gestión de la localización SI ☒ NO ☐ 15) gestión de dispositivos de medición SI ☐ NO ☒.

5.6. GESTIÓN DE LOS DERECHOS DEL INTERESADO

Esta estructura, cuando es el controlador, adoptará procedimientos precisos para facilitar al interesado todas las comunicaciones contempladas en los artículos 15 a 22 relativas a los derechos del interesado expresamente indicados en las notas informativas elaboradas y entregadas al interesado. En particular, en lo que respecta al derecho al olvido (artículo 17 del RGPD) en caso de recepción de la solicitud por parte de un interesado, el procedimiento prevé los siguientes pasos: 1) control de la presencia efectiva en los archivos propios o de sus responsables de los datos de la persona que haya presentado la solicitud; 2) envío de un modelo de cancelación al interesado con verificación de su identidad (como se indica en el considerando 64 del RGPD); 3) supresión de los datos del interesado de sus archivos con codificación de la solicitud de supresión (anonimización) y solicitud de supresión a todos los responsables que tengan los datos almacenados; 4) verificación de la supresión efectiva de los datos de sus responsables del tratamiento y comunicación de la cancelación al interesado con entrega del código de solicitud de cancelación. 5) En este momento no habrá más datos personales del interesado que un código de cancelación anónimo.

5.7. DATA BREACH

Con el término “data breach” se hace referencia a una violación de la seguridad que conlleva, accidentalmente o de manera ilegal, la destrucción, la perdida, la modifica, la divulgación no autorizada o el acceso a los datos personales transmitidos, conservados o tratados tanto en calidad de titular como de responsable del tratamiento. Para evitar eventos de data breach, se actúan todas las estrategias de prevención y protección descritas en los párrafos precedentes de este documento, tanto para los tratamientos hechos en calidad de titular como de responsable del tratamiento. Cuando la estructura se ocupa de los datos en calidad de responsable del tratamiento en el caso de Data breach, para los datos más sensibles, se tienen 72 horas para comunicar todo al Garante y al interesado. Para la gestión de eventuales data breach, los documentos redactados son: 1) procedimiento de alerta; 2) registro interno de las violaciones; 3) modelo de comunicación de data breach al interesado; 4) modelo de comunicación de data breach al Garante de la privacidad. Cuando la estructura se ocupa de los datos, en calidad de Responsable del tratamiento, en el caso de data breach, informa sin dilación indebida el titular del tratamiento por el que trata los datos y colabora con él, en el marco de sus competencias.

6. NOTAS EXPLICATIVAS

En calidad de Titular del tratamiento los datos tratados son solamente los datos identificativos (ej. nombre, apellido, número de teléfono, correo electrónico, etc..) y su tratamiento tendrá lugar con el único fin de la gestión de la relación contractual entre las dos partes. Como Responsable del tratamiento, la relación es entre el proveedor (aGesic srl) y el cliente (empleador) y los datos tratados serán datos identificativos (ej. nombre, apellidos, número de teléfono, dirección de correo electrónico, etc.) datos particulares relativos a la salud (solo en el momento en que se activa la alarma) y datos relacionados con la geolocalización (el tiempo de retención de los registros en la posición tendrá una duración de 24 horas). Estos datos se proporcionarán a través de la aplicación aGesic, disponible para dispositivos móviles, y el Dashboard (es decir, la plataforma disponible a través de la dirección www.agesic.com/es). De manera específica, los datos que aGesic srl utiliza como responsable del tratamiento, además de los que se encuentran en la sección 4 de este documento, son: nombre del usuario, contraseña, acceso a los datos del teléfono (GPS, file, SMS, sensores, micrófono, cámara, bluetooth). En el caso en que la aplicación, en su función, active la alarma, el radio de acción de las personas que tienen que intervenir será configurable por el empleador en funcionamiento en el perímetro y del tipo de lugar de trabajo.

Datos del Titular del Tratamiento

aGesic s.r.l.s.
Lionello Matteucci 82 - 02100 Rieti (RI)
C.F./P.IVA 01135860573 -
Tel: 0746-257060
PEC: agesic@arubapec.it

Dati del DPO

DPO Srls
Via Cantalupo 1/A 02100 Rieti
Tel. 0746/484287 -
PEC: dpo@arubapec.it
Referente: Sig. Giuseppe Langellotti

Scarica il documento in PDF

Copyright Giuseppe Langellotti Rev1.5