POLICY PRIVACY

(To the sense of Regulation UE 2016/679 - GDPR and D.Lgs. 196/2003 as modified with D.Lgs. 10 of August 2018, n.101)

1. PURPOSE

This policy privacy describes the organisational model adopted by this company when processing data as Data Controller or as DPO, to have the right management of consent acquisition, of prevention and protection of personal data. Therefore, the types of data subjects, the type of data processed, the actions taken as a Data Controller and Processor, the management of authorised people, the management of appointed data processors, and how all prevention and protection tools are applied (see Art. 32 of EU Regulation 2016/679-GDPR) are described. All processing activities carried out (defined in Art. 4 of the GDPR) are executed according to the principles dictated by Art. 5 (lawfulness, fairness, and transparency) and are listed in the respective sheet of the processing register (see general folder). Furthermore, the same data must be adequate and relevant, and their processing must be limited to the time strictly necessary, as indicated in the specific information (e.g., customer or employee information, see respective operational folders). This document also explains the importance of census and identification of all archives, both paper (e.g., cabinets, drawers) and electronic (e.g., websites, individual PCs, local servers, cloud, databases managed on the software house servers, email accounts). For both archives, all documentation has been divided into 8 folders, including 1 general and 7 operational ones.

2. POLICY ON PREVENTING AND PROTECTING ARCHIVES AS DATA CONTROLLER

2.1. Prevention

Our prevention and protection politics provides that treated and archived personal data are supervised once a year, to protect them in relation to the. The 3 prevention measures adopted by this company are:
2.1.1 Training - the first passage is to train, periodically, all the individuals involved in data processing.
2.1.2 Minimization - all the controller’s staff (e.g., authorised people) is trained to storage only data strictly necessary for the purpose for which they are processed.
2.1.3 Pseudonymization (where technically and legally possible) - all the controller’s staff (e.g., authorised people) are trained to codify personal data, paper or electronic, so that they cannot be related to a specific individual without other information. In fact, 2 archives are created: one with identification data (e.g., name and surname) with its assigned code and the other with more sensitive data, such as particular data (e.g., health data) where the only code created in the first archive is transcribed. These 2 archives (the one containing the code and the identification data and the one in which there are the particular data related with the code only), were stored in separate rooms in which a limited number of people can enter.

2.2 Protection

The 7 protection measures chosen by the company in relation with the risk level are:
2.2.1 controlled and limited access - the number of authorised people accessing the data is reduced.
2.2.2 Door the keys – rooms are isolated in the structure, where we have more sensitive data.
2.2.3 Grates at the windows (in the lower floors) - theft risk by malevolent people is reduced.
2.2.4 Alert system – break-in by malevolent people out of working hours is reduced.
2.2.5 Video security – to control people who have access to paper or electronic archives is possible.
2.2.6 Fire protection devices – damage probability to archives in the event of a fire is reduced.;
2.2.7. armadi e cassettiere con chiave – in questo modo vengono protetti ulteriormente i dati più delicati;
2.2.7 Cabinets and chests of drawers with key – in this way, more sensitive data are further protected

2.3. Paper-based archives

For paper-based archives, depending on the level of risk, the data controller chooses to apply, under their own responsibility, some or all the prevention and protection measures listed above. However, the following protection measures are always applied: 1) locking cabinets and drawers; 2) closing doors for more sensitive data; 3) fire prevention devices; 4) controlled and limited access. In cases considered to have a higher risk, the remaining security measures listed above are implemented.

2.4. Electronic archives

The same policy of prevention and protection applied for paper archives applies to electronic archives located in hardware devices (e.g., smartphones, PCs, local servers). Below, for each type of archive, is illustrated how to prevent and protect implemented in addition to those described above.

2.4.1. Web site. For the archives of the Internet sites, prevention takes place through the minimization of data by storing only name, phone, mail and province, when giving information, archiving even surname, tax number and address when selling and shipping products to the customer (with prior consent). The protection takes place using the HTTPS protocol, the annual analysis of the site, the letter of appointment to an authorised person or person responsible for processing the person who manages the site and the server where the site resides with the relative declaration of compliance with the GDPR. For each single section of the site are loaded all the information where you can find all the technical specifications with the relevant specific flags for each purpose always leaving the possibility to give or deny consent (e.g. cookie policy, contact collection information). In particular, regarding the management of cookies, the site has been uploaded and made available to visitors the cookie policy, and the cookie banner has been implemented so that the visitor can, before starting browsing, choose which cookie to consent to. The consents of all information are stored and made available to the supervisory authority (also in paper format where possible). Whenever the data subject enters his data on the website to ask for information, register or make purchases, he must consent to the purposes of the specific information, in addition, the system will automatically send a verification email that the interested party must validate to access the requested service. Only after validation the data controller will provide the requested service and simultaneously store the personal data of the data subject. In this way, the data controller can process, and therefore store personal data having a greater guarantee that it was the data subject who requested the service on his website. The policy to be implemented, where possible, is to delegate a single provider both to the management of the website (database) and to that of the server on which the site relies, for which the provider will be appointed both system administrator and data processor.

2.4.2. PC. Prevention measures are mainly based on training of authorised persons using these devices. Among the security measures that could be taken are: 1) PC analysis carried out at least once a year; 2) different account for each user and well distinguished from the administrator account; 3) use of Firewall; 4) use of antivirus; 5) password access, replaced every 3 months, of at least 8 alphanumeric characters and with special characters; 6) access by fingerprint, iris recognition and Smart card; 7) encryption of the hard disk through the operating system; 8) screen saver (screensaver) with password request on PC reactivation; 9) disabling USB ports to prevent viruses and data theft; 10) updating of the operating system; 11) appointing a properly trained system administrator to manage and protect individual PCs; 12) backup (see company backup policy document).

2.4.3. Smartphone/tablet. Prevention measures are mainly based on training of authorised persons using such devices. Among the security measures that could be taken are: 1) password access, replaced every 3 months and consists of at least 8 alphanumeric characters and special characters; 2) update of the operating system; 3) use of antivirus; 4) encryption of devices; 5) backup.

2.4.4. Individual management software (with database). At the level of prevention, both minimisation and pseudonymisation are implemented where technically and legally possible. Among the protection measures that could be taken we find: 1) use of a password of access robust and different from that of the PC; 2) logs that track the accesses to the program; 3) use of the double factor in the case in which sensitive data are processed. When management systems are used as data controller, the policy is to obtain at least once a year a declaration of responsibility on the maintenance of compliance with the GDPR by the software house. In addition, it is appointed data controller as it stores data on behalf of the data controller. If the data are stored on the local server, the protection measures implemented are those described for individual PCs and local servers, if the local server is managed by an external provider, the latter is appointed as data controller. If the management are managed by virtue of a service offered to the data controller this structure, as a data processor (software house), implements all the preventive measures described in paragraph 2 and all the information that may be provided by the Data Controller.

2.4.5. Local servers. The security measures, in addition to those implemented for PCs, are: 1) use of hardware firewalls; 2) log tracking accesses; 3) password access, replaced every 3 months, at least 10 alphanumeric characters and with special characters; 4) use of only one administrator account, however, providing a double solution in the event of an unexpected absence of the same; 5) automated update Copyright Giuseppe Langellotti Rev1.5 Pag. 3 of 6 of the operating system; 6) appointment of the properly trained system administrator for the management and protection of local servers; 7) Encryption of the hard disk; 8) periodic backups.

2.4.6. Remote server. In this case, the policy is to obtain at least once a year a statement of responsibility on the maintenance of compliance with the GDPR by the company that manages the server, which is also appointed as data controller as it stores data on behalf of the data controller.


2.4.7. Individual email accounts. In terms of prevention, the structure uses the training of authorised persons, minimization and preferably pseudonymisation for files containing personal data. In terms of protection, files containing personal data received and sent via e-mail can be password protected or encrypted and saved to a folder located on the server (local or in the cloud), avoiding saves on the individual device.

3. MAIN TASKS AS CONTROLLER

Regarding the website, our company works as data controller. The main tasks are: 1) understand, precisely, which are the purposes of their processing to be communicated to the data subject; 2) inform the subject and obtain the consent for the specific purposes through the information they must contain, as treated data, the destination, subject rights, data controller and DPO contacts (if appointed); 3) train, every year, all people who handle data (e.g., authorised people, data controller), to make data protected in the right way; 4) draw up all the necessary documents (e.g., information, DPIA, treatment registers); 5) verify, periodically, personal data protection (assisted by the DPO where appointed).

3.1. MAIN TYPES OF USERS

The following are the types of data subjects that the Data Controller manages: 1) potential customer YES ☒ NO ☐; 2) customer YES ☒ NO ☐; 3) potential employee (curriculum) YES ☐ NO ☒; 4) employee YES ☒ NO ☐; 5) supplier (only if individual firms) YES ☐ NO ☒.

TYPE OF IDENTIFICATION DATA PROCESSED (data retention times are those reported on the information)

It is the most requested data and the ones that can cause the least damage from the point of view of privacy. For these data, the data controller uses a medium level of high protection, based on prevention (e.g., pseudonymisation if necessary) and protection measures (e.g., closing drawers, hard disk encryption) better specified in point 2 of this policy and described in the relevant DPIA (if drawn up) and in the processing register. The identification data that are processed as data controller with your consent are: 1) name YES ☒ NO ☐; 2) surname YES ☒ NO ☐; 3) date of birth YES ☒ NO; ☐; 4) place of birth YES ☒ NO ☐; 5) tax code YES ☒ NO ☐; 6) address YES ☒ NO ☐ 7) IBAN YES ☒ NO ☐; 8) YES ☒ credentials ☒ NO ☐; 9) YES ☒ NO ☐; 10) YES ☒ NO ☐; 11) YES ☐ NO ☒; 12) YES ☐ NO ☒ ☐;

3.3. TYPE OF PARTICULAR DATA PROCESSED (data retention times are those reported on the information)

La loro tutela è di massima importanza perché la loro violazione potrebbe avere forti impatti verso la persona. Per questo motivo il livello di protezione di questi dati è alto e si basa su misure più restrittive di prevenzione e protezione ove la pseudonimizzazione è la misura più attuata e necessaria (vedere punto 2 del presente documento, le relative DPIA e il registro del trattamento).

I dati particolari che vengono trattati in qualità di titolare del trattamento previo consenso sono:

1) origine razziale o etnica SI☐ NO☒; 2) opinioni politiche SI ☐ NO ☒; 3) convinzioni religiose SI ☐ NO ☒; 4) appartenenza sindacale SI ☐ NO ☒; 5) dati genetici (es. DNA) SI ☐ NO ☒; 6) dati biometrici (es. impronte dentali) SI ☐ NO ☒; 7) dati relativi alla salute SI ☐ NO ☒; 8) orientamento sessuale SI ☐ NO ☒.

3.4. TIPOLOGIA DI DATI GIUDIZIARI TRATTATI (i tempi di ritenzione dei dati sono quelli riportati sull’informativa)

Si tratta di dati che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Questa struttura non tratta in alcun modo i dati giudiziari a meno che essi non siano funzionali all’accertamento del requisito di idoneità morale di coloro che intendono partecipare a gare d’appalto, in adempimento di quanto previsto dalla normativa sugli appalti; in questo caso le basi giuridiche delle operazioni di trattamento sono riconducibili agli artt. 10 Reg. UE n. 2016/679, e 2-octies, co. 1 e 3, lett. i), D.Lgs. 196/03, come modificato dal D.Lgs. 101/2018. In questi casi, i dati vengono trattati solo a livello cartaceo e, poiché la tutela di tali dati è di massima importanza in quanto la loro violazione potrebbe avere forti impatti verso la persona, vengono attuate misure più restrittive di prevenzione e protezione come cassetti e armadi chiusi a chiave e accesso limitato al personale debitamente formato (vedere punto 2 del presente documento, le relative DPIA e il registro del trattamento). Nei casi sopra descritti i dati giudiziari trattati in qualità di titolare del trattamento previo consenso sono: 1) condanne penali SI ☐ NO ☒; 2) reati SI ☐ NO ☒; 3) casellario giudiziale SI ☐ NO ☒; 4) carichi pendenti SI ☐ NO ☒.

3.5. TIPOLOGIA DI PROFILAZIONE EFFETTUATA (i tempi di ritenzione dei dati sono quelli riportati sull’informativa)

La profilazione è una qualsiasi forma di trattamento automatizzato di dati personali che utilizza tali dati per valutare, analizzare o prevedere determinati aspetti relativi a una persona fisica. Gli aspetti valutati previo consenso (profilazione) dal titolare del trattamento sono di seguito elencati e contrassegnati con il “SI”: 1) Rendimento professionale SI ☐ NO ☒; 2) Situazione economica SI ☐ NO ☒; 3) Salute SI ☐ NO ☒; 4) Interessi SI ☐ NO ☒; 5) Preferenze personali SI ☐ NO ☒; 6) Affidabilità finanziaria SI ☐ NO ☒; 7) Comportamento SI ☐ NO ☒; 8) Ubicazione/Spostamenti SI ☐ NO ☒; La loro tutela è di massima importanza perché la loro violazione potrebbe avere forti impatti verso la persona fisica. A livello di prevenzione la pseudonimizzazione è la misura più attuata e necessaria (ove legalmente e tecnicamente possibile). Il livello di protezione in questo caso è molto alto con misure ancor più restrittive (vedere punto 2 del presente documento, le relative DPIA e il registro del trattamento).

4. PRINCIPALI COMPITI IN QUALITÀ DI RESPONSABILE DEL TRATTAMENTO

Per tutti quei trattamenti in cui la struttura tratta e archivia i dati per conto del Titolare del trattamento essa si configura come Responsabile del trattamento i cui obblighi sono disciplinati attraverso il documento di nomina descritto al punto 5.2. Poiché viene attuata la stessa politica di prevenzione e protezione sia in qualità di Titolare che in qualità di Responsabile del trattamento, il trattamento è realizzato con le stesse misure di prevenzione e protezione (vedere punto 2) e i contenuti dei documenti redatti (DPIA, Registro del trattamento, Nomine e gestione del data breach) sono gli stessi, cambiando solamente la natura degli interessati (clienti e i dipendenti nel caso di Titolare, utenti nel caso di Responsabile del trattamento). Il Responsabile del trattamento può nominare il Responsabile del trattamento di 2° livello previa autorizzazione del Titolare del trattamento.

4.1. TIPOLOGIA DI INTERESSATI (utenti)

Di seguito vengono contrassegnate le principali tipologie di interessati gestiti in qualità di responsabile del trattamento: 1) pot. cliente del cliente SI ☐ NO ☒; 2) cliente del cliente SI ☐ NO ☒; 3) pot. dip. del cliente SI ☐ NO ☒; 4) dipendente del cliente SI ☒ NO ☐; 5) dipendente del fornitore SI ☐ NO ☒; 6) fornitore del cliente SI ☐ NO ☒

TIPOLOGIA DI DATI IDENTIFICATIVI TRATTATI: (i tempi di ritenzione dei dati sono quelli riportati sulla lettera di incarico)

I dati trattati in qualità di Responsabile sono: 1) nome SI ☒ NO ☐; 2) cognome SI ☒ NO ☐; 3) data di nascita SI ☐ NO ☒; 4) luogo di nascita SI ☐ NO ☒; 5) codice fiscale SI ☐ NO ☒; 6) indirizzo SI☐ NO☒; 7) IBAN SI☐ NO☒; 8) credenziali SI☒ NO☐; 9) recapito telefonico SI☒ NO☐; 10) indirizzo mail SI ☒ NO ☐; 11) dati economici SI ☐ NO ☒; 12) dati finanziari SI ☐ NO ☒; 13) immagini SI ☒ NO ☐; 14) indirizzo IP SI ☒ NO ☐;

4.3. TIPOLOGIA DI DATI PARTICOLARI TRATTATI:(i tempi di ritenzione dei dati sono quelli riportati sulla lettera di incarico)

I dati trattati in qualità di Responsabile sono: 1) origine razziale o etnica SI☐ NO☒; 2) opinioni politiche SI☐ NO ☒; 3) convinzioni religiose SI☐ NO☒; 4) appartenenza sindacale SI☐ NO☒; 5) dati genetici (es. DNA) SI☐ NO☒ ; 6) dati biometrici (es. impronte dentali) SI☐ NO☒; 7) dati relativi alla salute SI ☒ NO ☐; 8) orientamento sessuale SI ☐ NO ☒.

4.4. TIPOLOGIA DI DATI GIUDIZIARI TRATTATI:

l dati trattati in qualità di Responsabile sono: 1) condanne penali SI ☐ NO ☒; 2) reati SI ☐ NO ☒; 3) casellario giudiziale SI ☐ NO ☒; 4) carichi pendenti SI ☐ NO ☒.

4.5. TIPOLOGIA DI PROFILAZIONE EFFETTUATA (i tempi di ritenzione dei dati sono quelli riportati sulla lettera di incarico)

Gli aspetti di valutati (profilazione - previo consenso) in qualità di Responsabile del trattamento sono di seguito elencati e contrassegnati con il “SI”: Copyright Giuseppe Langellotti Rev1.5 Pag. 5 di 6 1) rendimento professionale SI ☐ NO ☒; 2) situazione economica SI ☐ NO ☒; 3) salute SI ☐ NO ☒; 4) interessi SI ☐ NO ☒; 5) preferenze personali SI ☐ NO ☒; 6) affidabilità finanziaria SI ☐ NO ☒; 7) comportamento SI ☐ NO ☒; 8) ubicazione/spostamenti SI ☒ NO ☐;

5. ADEMPIMENTI

5.1. NOMINA DELLE PERSONE AUTORIZZATE

Le persone autorizzate sono le persone interne alla struttura, adeguatamente istruite a trattare i dati personali, sulla base di un incarico specifico dato dal titolare del trattamento (es. dipendenti o collaboratori a P.IVA). Ciascuna persona viene formata e sensibilizzata alla tutela del dato e riceve e sottoscrive il documento di nomina in cui vengono descritte in modo dettagliato le istruzioni che il titolare del trattamento impartisce al fine di proteggere i dati che essa tratta per conto del titolare.

5.2. NOMINE DEI RESPONSABILI DEL TRATTAMENTO

Questa struttura, quando tratta i dati in qualità di Titolare del trattamento, nomina tutti i responsabili del trattamento, che trattano ed archiviano i dati personali per suo conto (es. commercialista) e li istruisce sulle modalità di trattamento dei dati personali. Qualora un responsabile del trattamento avesse necessità di nominare ulteriori sub responsabili (2° livello) questa struttura ne valuterà la fattibilità caso per caso. Qualora questa struttura dovesse trattare i dati per conto di un titolare del trattamento essa stessa verrà nominata Responsabile del trattamento. In qualità di responsabile del trattamento, se autorizzata dal titolare, potrà nominare responsabili del trattamento di 2° livello (sub-responsabili), che a loro volta potranno nominare responsabili di 3° livello (se ulteriormente autorizzati). Questa struttura, poiché responsabile di 1° livello, conserva comunque nei confronti del titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dei sub responsabili. Il documento di nomina del responsabile del trattamento (sia quando sottoposto in qualità di titolare sia quando ricevuto in qualità di responsabile) è sempre in forma scritta e vi sono descritte le categorie di dati personali trattati, la natura, le finalità e la durata del trattamento nonché le istruzioni al responsabile del trattamento da parte del titolare del trattamento.

5.3. NOMINA DEL RESPONSABILE DELLA PROTEZIONE DEI DATI (DPO/RPD)

Il DPO è una figura che deve essere designata dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, nonché consultive, formative e informative, relativamente all’applicazione del GDPR. La struttura, in virtù dei trattamenti effettuati e in ossequio al principio di accountability ha ritenuto opportuno nominare con apposito contratto scritto il proprio responsabile per la protezione dei dati i cui dati di contatto sono indicati nella relativa casella in calce al presente documento.

5.4. DPIA (Data Protection Impact Assessment - Valutazione di impatto sulla protezione dei dati)

La DPIA è un documento redatto dal Titolare del trattamento o dal Responsabile del trattamento che ha lo scopo di valutare il rischio (danno), indicare le misure di prevenzione e protezione, descrivere il flusso dei dati con i relativi destinatari. La politica, sia in qualità di Titolare che di Responsabile del trattamento, è quella di redigere tutte le DPIA previste dall’allegato 1 del provvedimento n. 467 del 11 ottobre 2018 del Garante (di seguito allegato 1) e di redigere anche quelle non indicate espressamente nell’allegato 1 ma ritenute necessarie ai fini di una maggior tutela dell’interessato (vedere plico generale). Le DPIA redatte sono perciò le seguenti: 1) gestione delle buste paga SI☐ NO☒; 2) gestione selezione del personale SI☐ NO☒; 3) gestione videosorveglianza SI☐ NO☒; 4) gestione geolocalizzazione SI ☒ NO ☐; 5) gestione delle cartelle cliniche SI ☐ NO ☒; 6) gestione dei questionari delle attitudini professionali SI ☐ NO ☒; 7) gestione dati giudiziari SI ☐ NO ☒;

5.5. REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO

L’art. 30 del GDPR prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento (es. aziende con più di 250 dipendenti, trattamento di dati particolari). Il registro è stato redatto sia in qualità di Titolare che in qualità di Responsabile del trattamento e attraverso la redazione e la revisione periodica di tale documento viene fornito un quadro aggiornato dei trattamenti in essere all’interno di questa organizzazione. Per ciascun tipo di trattamento è stata redatta una scheda nella quale sono descritti i dati di contatto del DPO e del Titolare del trattamento, dei responsabili del trattamento (in qualità di titolare) dei subresponsabili (in qualità di responsabile), dei destinatari e degli eventuali contitolari. Inoltre, vengono riportati i tempi di conservazione dei dati, le misure di sicurezza e la descrizione degli archivi elettronici e cartacei. Le attività svolte ed elencate nel registro sono: 1) gestione raccolta contatti SI ☒ NO ☐; 2) gestione centralino SI ☐ NO ☒; 3) gestione selez. personale SI ☐ NO ☒; 4) gestione questionari valut. dell’attitudine professionale SI ☐ NO ☒; 5) gestione buste paga SI ☐ NO ☒; 6) gestione visite mediche dip. SI ☐ NO ☒; Copyright Giuseppe Langellotti Rev1.5 Pag. 6 di 6 7) gestione formazione dip. SI ☒ NO ☐; 8) gestione preventivi/contratti SI☒ NO☐; 9) gestione fatturazione SI☒ NO☐; 10) gestione cartelle cliniche SI☐ NO☒; 11) gestione recupero crediti SI ☐ NO ☒; 12) gestione sistemi aziendali e account aziendali SI ☒ NO ☐; 13) gestione videosorveglianza SI ☐ NO ☒; 14) gestione geolocalizzazione SI ☒ NO ☐; 15) gestione dispositivi di misura SI ☐ NO ☒;

5.6. GESTIONE DEI DIRITTI DELL’INTERESSATO

Questa struttura, quando si configura titolare del trattamento, adotta precise procedure per fornire all'interessato tutte le comunicazioni di cui agli articoli da 12 a 21 relative ai diritti dell’interessato espressamente indicate nelle informative redatte e consegnate all’interessato. In particolare per quanto riguarda il diritto all’oblio (art.17 GDPR) in caso di ricezione della richiesta da parte di un interessato la procedura prevede le seguenti fasi: 1) controllo dell’effettiva presenza presso gli archivi propri o dei propri responsabili dei dati della persona che ha fatto richiesta; 2) invio modello di cancellazione all’interessato con verifica identità dello stesso (come indicato dal considerando 64 del GDPR); 3) cancellazione dei dati dell’interessato dai propri archivi con codifica della richiesta di cancellazione (anonimizzazione) e richiesta di cancellazione a tutti i responsabili che hanno in archivio i dati; 4) verifica dell’effettiva cancellazione dei dati dei propri responsabili del trattamento e comunicazione dell’avvenuta cancellazione all’interessato con consegna del codice di richiesta cancellazione. 5) a questo punto non esisteranno più dati personali dell’interessato se non un codice di cancellazione anonimo.

5.7. DATA BREACH

Con il termine “data breach” si intende una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati sia in qualità di titolare che di responsabile del trattamento. Al fine di evitare eventi di data breach vengono attuate tutte le strategie di prevenzione e protezione descritte nei paragrafi precedenti del presente documento sia per i trattamenti eseguiti in qualità di titolare che di responsabile del trattamento. Quando la struttura tratta i dati in qualità di responsabile del trattamento in caso di Data breach per dati particolarmente delicati si hanno 72 ore per fare la comunicazione al Garante e all’interessato. Per la gestione di un eventuale data breach i documenti redatti sono: 1) procedura di allerta; 2) registro interno delle violazioni 3) modello di comunicazione di data breach all’interessato; 4) modello di comunicazione di data breach al Garante per la Privacy. Quando la struttura tratta i dati in qualità di responsabile del trattamento, in caso di data breach, essa informa senza ingiustificato ritardo il titolare del trattamento per cui tratta i dati e collabora con esso per quanto di sua competenza.

6. NOTE ESPLICATIVE

In qualità di Titolare del trattamento i dati trattati sono solo i dati identificativi (es. nome, cognome, numero di telefono, e-mail, ecc.) ed il loro trattamento avverrà al solo scopo della gestione del rapporto contrattuale tra le parti. In qualità di Responsabile del trattamento il rapporto è tra il fornitore (aGesic srls) e il committente (datore di lavoro) e i dati trattati saranno dati identificativi (es. nome, cognome, numero di telefono, indirizzo e-mail, ecc.) dati particolari inerenti la salute (solo nel momento in cui si attiva l’allarme) e dati legati alla geolocalizzazione (il tempo di ritenzione dei log sulla posizione avrà una durata di 24 ore). Tali dati verranno forniti tramite l’app aGesic, disponibile per i dispositivi mobili, e la Dashboard (ovvero la piattaforma disponibile attraverso l’indirizzo www.agesic.com). Nello specifico i dati che aGesic srls tratta come Responsabile del trattamento, oltre quelli riportati nella sezione 4 del presente documento, sono: username, password, accesso ai dati del telefono (GPS, file, sms, sensori, microfono, fotocamera, bluetooth). Nel caso in cui l’applicazione, nel suo funzionamento, faccia scattare l’allarme il raggio d’azione delle persone che dovranno intervenire sarà impostabile dal datore di lavoro in funzione della perimetrazione e del tipo di cantiere/luogo di lavoro.



Dati del Titolare del Trattamento

aGesic s.r.l.s.
Lionello Matteucci 82 - 02100 Rieti (RI)
C.F./P.IVA 01135860573 -
Tel: 0746-257060
PEC: agesic@arubapec.it



Dati del DPO

DPO Srls
Via Cantalupo 1/A 02100 Rieti
Tel. 0746/484287 -
PEC: dpo@arubapec.it
Referente: Sig. Giuseppe Langellotti




Scarica il documento in PDF



Copyright Giuseppe Langellotti Rev1.5