PRIVACY POLICY

INFORMATIONS

PREMESSA
Ai fini della presente Privacy Policy si intende per:
«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il
nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o
sociale;
«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
«Titolare del Trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; in questa fattispecie, Casa Tonini S.r.l. (nel prosieguo, per brevità, anche
l’Azienda”), società che esercita l’attività di realizzazione e commercializzazione di elementi d’arredo, legalmente rappresentata dagli amministratori Rosanna Tonini ed Elisabetta Di Pauli;
«soggetto autorizzato»: qualsiasi lavoratore (dipendente, tirocinante, prestatore d’opera occasionale, ) che, ai fini dello svolgimento delle proprie mansioni all’interno dell’Azienda, è da questi autorizzato al trattamento di dati personali, nell’ambito e nei limiti della Lettera di Autorizzazione al Trattamento di Dati Personali;
«comunicazione»: la condivisione di informazioni in qualunque forma (scritta, orale, figurativa, diretta o indiretta, esplicita o implicita).
Benché al momento della redazione di questo documento l’Azienda non si avvalga di collaboratori, la presente Privacy Policy è già predisposta con le relative previsioni e disposizioni in materia.
Inoltre, al momento della redazione di questo documento l’Azienda non tratta dati personali appartenenti a categorie particolari, né dati relativi a condanne penali o reati.


OBBLIGO DI RISERVATEZZA
Senza espressa autorizzazione del Titolare del Trattamento è assolutamente vietata la comunicazione a qualunque soggetto esterno all’Azienda diverso dal relativo interessato qualsiasi dato personale, ed in generale di qualsiasi informazione afferente l’Azienda ed i soggetti con cui interagisce, che non sia espressamente e strettamente ricompresa nelle mansioni lavorative e nella propria rispettiva Lettera di Autorizzazione al Trattamento di Dati Personali.

Lo stesso Titolare del Trattamento osserva la più assoluta riservatezza sulle informazioni trattate nell’ambito della propria attività, salvo che la loro comunicazione discenda da obbligo di legge e/o non sia parte integrante del trattamento di dati personali come prevista e portata a conoscenza dei rispettivi interessati e, ove necessario, da questi autorizzate.


PERSONALE AUTORIZZATO
Il personale dell’Azienda viene autorizzato al trattamento di dati personali dal Titolare del Trattamento tramite Lettera di Autorizzazione al Trattamento di Dati Personali individuale ove sono specificamente individuati, per ciascun trattamento oggetto di autorizzazione:
una descrizione dell’attività;
le finalità del trattamento;
le categorie di interessati;
le categorie di dati trattati;
le categorie di destinatari;
Le attività di trattamento oggetto di autorizzazione sono strettamente organiche alle mansioni svolte dal singolo lavoratore. E’ tassativamente esclusa dall’ambito autorizzativo qualsiasi altra attività di trattamento.


FORMAZIONE DEL PERSONALE AUTORIZZATO
Il Titolare del Trattamento forma il personale e ne verifica l’apprendimento attraverso sessioni di formazione dedicata, generale e specifica, collettive o individuali, in particolare:
in occasione dell’entrata in servizio;
in occasione di un cambiamento di mansioni che comporti necessariamente una modifica del profilo autorizzativo;
in occasione di un cambiamento nella tecnostruttura o nell’organizzazione dell’Azienda che impatti sulle mansioni, e quindi sul profilo autorizzativo, o sulle procedure;
in generale, ogni qualvolta il Titolare del Trattamento ne ravveda la necessità o l’opportunità. Il personale è obbligato a partecipare alle predette sessioni di formazione. Attraverso la verifica dell’apprendimento il Titolare del Trattamento, in qualità di Datore di Lavoro, può riscontrare l’inidoneità, eventualmente temporanea, allo svolgimento di mansioni.


REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO
Benché non obbligato, il Titolare del Trattamento ha predisposto il Registro delle Attività di Trattamento ai sensi dell’art. 30 del RGPD su base volontaria. Lo stesso Titolare del Trattamento sottopone detto documento a revisione:
periodica, ad intervallo annuale;

• occasionale, ogni qualvolta intervenga cambiamento nella tecnostruttura o nell’organizzazione dell’Azienda tale da renderne necessario un aggiornamento;
• in generale, ogni qualvolta il Titolare del Trattamento ne ravveda la necessità o l’opportunità.

• occasionale, ogni qualvolta intervenga cambiamento nella tecnostruttura o nell’organizzazione
dell’Azienda tale da renderne necessario un aggiornamento;
• in generale, ogni qualvolta il Titolare del Trattamento ne ravveda la necessità o l’opportunità. 

 

MODELLI DI INFORMATIVA E RACCOLTA DEL CONSENSO
Il trattamento dei dati personali deve essere effettuato esclusivamente in conformità alle finalità previste e dichiarate dall’Azienda e, in generale, alle informazioni che l’Azienda ha comunicato agli
interessati. L’eventuale raccolta di dati e del consenso degli interessati dovrà avvenire nel rispetto delle procedure e dei modelli di informativa e/o raccolta del consenso elaborati dall’Azienda:
I modelli preordinati per l’uso comune sono:
• “info_clienti”: modello di informativa e raccolta del consenso dei clienti dell’Azienda (anche potenziali); va sottoposto all’interessato all’atto del primo contatto, anche se in fase precontrattuale;
• “info_fornitori”: modello di informativa e raccolta del consenso da trasmettere ai fornitori dell’Azienda (anche potenziali); va sottoposto all’interessato all’atto del primo contatto, anche se in fase precontrattuale;
• “info_lavoratori”: modello di informativa e raccolta del consenso per il trattamento dei dati personali funzionali all’instaurazione ed alla gestione del rapporto di lavoro dei lavoratori
dell’Azienda (a qualsiasi titolo); va sottoposto al lavoratore già in fase precontrattuale; sarà possibile instaurare il rapporto di lavoro solo se l’interessato avrà prestato il proprio consenso;
• “info_lavoratori_terzo_interessato_dati_particolari”: modello di informativa e raccolta del consenso dei soggetti connessi con i lavoratori dell’Azienda e di cui il lavoratore chiede il
trattamento di dati appartenenti a categorie particolari ai fini della fruizione di agevolazioni fiscali e/o contributive e/o di permessi previsti dalla legge; va sottoposto all’interessato, eventualmente per tramite del lavoratore, prima di procedere al trattamento dei suoi dati
personali; sarà possibile procedere al trattamento di dati dell’interessato appartenenti a categorie particolari solo con il consenso di quest’ultimo;
• “info_curriculum”: modello di informativa e raccolta del consenso per il trattamento dei dati personali contenuti nei curriculum vitae raccolti nell’ambito di una ricerca di personale, da trasmettere agli stessi all’atto del ricevimento del curriculum; se un curriculum vitae contiene
dati appartenenti a categorie particolari, sarà possibile conservarlo solo se l’interessato avrà prestato il proprio consenso;
• “info_newsletter_WhatsApp”: modello di informativa e raccolta del consenso per l’invio di comunicazioni promozionali e/o informative e/o commerciali relative ad iniziative e/o attività dell’Azienda tramite l’applicazione per smartphone WhatsApp a clienti dell’azienda, passati,
presenti o potenziali; va sottoposto all’interessato prima di procedere al trattamento dei suoi dati personali;

• “info_newsletter_e-mail”: modello di informativa e raccolta del consenso per l’invio di comunicazioni promozionali e/o informative e/o commerciali relative ad iniziative e/o attività dell’Azienda via e-mail a clienti dell’azienda, passati, presenti o potenziali; va sottoposto
all’interessato prima di procedere al trattamento dei suoi dati personali;
• “info_newsletter_posta”: modello di informativa e raccolta del consenso per l’invio di comunicazioni promozionali e/o informative e/o commerciali relative ad iniziative e/o attività dell’Azienda tramite servizio postale a clienti dell’azienda, passati, presenti o potenziali; va
sottoposto all’interessato prima di procedere al trattamento dei suoi dati personali;
• “info_newsletter_WhatsApp+e-mail+posta”: modello di informativa e raccolta del consenso per l’invio di comunicazioni promozionali e/o informative e/o commerciali relative ad iniziative e/o attività dell’Azienda, ivi comprese eventuali campionature, tramite l’applicazione per smartphone WhatsApp e/o via e-mail e/o tramite servizio postale a clienti dell’azienda, passati, presenti o potenziali, e tramite cui l’interessato può scegliere tra i mezzi di comunicazione proposti; va sottoposto all’interessato prima di procedere al trattamento dei suoi dati personali. Eventuali altri modelli, diversi da quelli sopra riportati, potranno essere elaborati dal Titolare del Trattamento per scopi specifici congiuntamente alle rispettive istruzioni d’uso e quindi usati dallo stesso e dai soggetti incaricati. 

 

DIRITTI DELL’INTERESSATO
L’esercizio dei diritti dell’interessato di accesso ai propri dati personali, di rettifica o di cancellazione o di portabilità degli stessi, o di limitazione del trattamento o di opposizione al trattamento, è gestito direttamente dal Titolare del Trattamento attraverso una puntuale ricognizione dei dati dell’interessato negli archivi fisici ed informatici dell’Azienda e la loro analisi in base ad un contemperamento di diritti ed interessi legittimi, nonché degli obblighi, anche conservativi, di legge in capo al Titolare del Trattamento. Il processo ed il puntuale riscontro
all’interessato dovranno essere garantiti senza ingiustificato ritardo.
Nel caso l’interessato abbia legittimamente esercitato il diritto di rettifica, di cancellazione, di limitazione o di opposizione, il Titolare del Trattamento ne notifica tempestivamente i destinatari dei dati cui li abbia comunicati.


PERIODO DI CONSERVAZIONE DEI DATI
Il Registro delle Attività di Trattamento riporta per ciascun trattamento di dati personali il periodo di conservazione dei dati. Tale informazione è anche contenuta, rispettivamente, in ciascun modello di informativa e raccolta del consenso. Per i dati personali di clienti e fornitori raccolti in fase precontrattuale nell’ambito di una trattativa che non ha dato esito alla conclusione di un contratto, come pure per i curriculum vitae di candidati con cui non si è instaurato un rapporto di lavoro, è previsto un periodo di conservazione breve,
stabilito dal Titolare del Trattamento sulla base dell’opportunità di rinnovare la trattativa entro
termini temporali ragionevoli ed usuali. Quasi tutti gli altri dati trattati sono invece soggetti ad un obbligo legale di conservazione molto lungo (anche dieci anni) ed in ogni caso sono conservati fino
alla prescrizione di diritti il cui esercizio possa essere fondato sugli stessi dati, ivi compreso il diritto alla difesa in capo al Titolare del Trattamento. Il Titolare del Trattamento esegue su base mensile una ricognizione dei dati per verificare quali debbano essere cancellati.

 

SISTEMA INFORMATICO DELL’AZIENDA
Il sistema informatico dell’Azienda consiste di:
• 1 elaboratore portatile, in uso esclusivo al Titolare del Trattamento, protetto da antivirus e ad accesso previa autenticazione;
• 1 smartphone, in uso esclusivo al Titolare del Trattamento;
• 1 disco rigido esterno di back-up;
• servizio cloud per la gestione della posta elettronica (vedi oltre);
• accesso Wi-Fi protetto da password, ad uso esclusivo al Titolare del Trattamento. 

 

ARCHIVI FISICI
Gli archivi fisici (armadi, scaffali, cassettiere, …) contenenti dati pers onali devono essere chiusi a chiave al termine della sessione di lavoro e riaperti all’inizio della successiva. Devono essere altresì chiusi a chiave anche durante interruzioni della sessione di lavoro (anche se di brevissima durata) a meno che un altro soggetto autorizzato di omologo profilo autorizzativo, o in alternativa il Titolare del Trattamento, non rimanga a presidio degli stessi. Gli archivi fisici sono distribuiti negli ambienti dell’Azienda e organizzati nel proprio contenuto a cura del Titolare del Trattamento in base alla natura dei dati trattati e, per quanto possibile, alla raggiungibilità da parte dei soggetti autorizzati in base allo specifico profilo autorizzativo. La natura del contenuto di ogni archivio è palesata da apposite etichette. E’ vietato eseguire qualsiasi
ricollocazione degli archivi fisici o lo spostamento del loro contenuto in altri archivi o la variazione (ivi compresa la diversificazione) della loro destinazione in riferimento alla natura del loro contenuto senza l’autorizzazione del Titolare del Trattamento.
Ad ogni soggetto autorizzato compete l’uso e la custodia della chiave degli archivi fisici di sua competenza in forza della rispettiva Lettera di Autorizzazione al Trattamento di Dati Personali. E’ vietato eseguire riproduzioni delle chiavi senza l’autorizzazione del Titolare del Trattamento. Le chiavi devono essere custodite con cura al fine di evitarne lo smarrimento, il furto o riproduzioni non autorizzate, e quindi al fine di evitare accessi non autorizzati agli archivi. Qualora una chiave
sia stata lasciata nella disponibilità di terzi e vi sia stata quindi la possibilità di una sua riproduzione
non autorizzata è necessario informare il Titolare del Trattamento, che provvederà senza ritardo

alla sostituzione della serratura. 

 

POSTAZIONI DI LAVORO
Durante una sessione di lavoro presso le postazioni sono in evidenza documenti in lavorazione o in consultazione, siano essi cartacei (ad esempio sulla scrivania) o elettronici (sullo schermo dell’elaboratore): al termine di una sessione di lavoro è obbligatorio riporre i documenti cartacei negli archivi fisici (lasciando libera la scrivania e le altre strutture aperte), chiudere gli stessi a chiave e spegnere l’elaboratore, in modo tale che nessun dato rimanga disponibile. Nel caso di
interruzione temporanea della sessione di lavoro di brevissima durata, è possibile evitare di chiudere sotto chiave i documenti cartacei e spegnere l’elaboratore solo nel caso in cui un altro soggetto autorizzato di omologo profilo autorizzativo, o in alternativa il Titolare del Trattamento, rimanga a presidio della postazione del soggetto autorizzato temporaneamente assente.
Quando si riceve qualcuno presso la propria postazione di lavoro è necessario rimuovere previamente dalla sua possibile visuale qualsiasi documento recante dati personali di terzi. 

 

CHIUSURA DEI LOCALI
I locali dell’Azienda vanno chiusi ogni qualvolta non vi sia personale presente e disponibile a presidiarli, anche per se per pochissimo tempo. 

 

UTILIZZO DELL’ELABORATORE
Gli elaboratori affidati al personale sono uno strumento di lavoro di proprietà dell’Azienda concesso in uso ai lavoratori al fine di una più proficua erogazione della prestazione lavorativa.
Non ne è consentito qualsiasi utilizzo non inerente all’attività lavorativa, anche in quanto può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza del
sistema informatico dell’Azienda e dei dati ivi contenuti e trattati.
L’accesso all’elaboratore e alla rete è protetto da password che devono essere custodite con la massima diligenza e non divulgate.
Non è consentito installare autonomamente programmi provenienti dall’esterno salvo previa autorizzazione esplicita del Titolare del Trattamento, in quanto sussiste il grave pericolo di portare
virus informatici e di alterare la stabilità delle applicazioni dell’elaboratore e/o del sistema informatico.
Non è consentito l’uso di programmi diversi da quelli distribuiti ed installati ufficialmente dal Titolare del Trattamento. L’inosservanza di questa disposizione, infatti, oltre al rischio di danneggiamenti
del sistema per incompatibilità con il software esistente, può esporre l’Azienda a gravi responsabilità civili e penali in caso di violazione della normativa a tutela dei diritti d’autore sul software (D. Lgs. 518/92 sulla tutela giuridica del software e L. 248/2000 in materia di nuove

norme di tutela del diritto d’autore) che impone la presenza nel sistema di software regolarmente licenziato o comunque libero e quindi non protetto dal diritto d’autore.
Non è consentito all’utente modificare le caratteristiche impostate sull’elaboratore affidatogli, salvo previa autorizzazione esplicita del Titolare del Trattamento.
L’elaboratore deve essere spento al termine della giornata di lavoro o in caso di assenze prolungate dalla propria postazione. In ogni caso lasciare un elaboratore incustodito connesso alla rete può occasionarne un utilizzo illecito da parte di terzi: pertanto, anche nel caso di allontanamento temporaneo di brevissima durata dalla propria postazione, l’utente deve attivare lo screen saver con relativa password sull’elaboratore affidatogli. Per sicurezza, è necessario
impostare l’attivazione automatica dello screen saver dopo cinque minuti di inutilizzo dell’elaboratore.
Non è consentita l’installazione sull’elaboratore affidato di nessun dispositivo di memorizzazione, comunicazione o altro (come ad esempio masterizzatori, modem, pen-driver, etc…), se non con
l’autorizzazione espressa del Titolare del Trattamento.
Tutti i supporti magnetici utilizzati vanno riposti negli archivi fisici secondo la disciplina che regola la custodia della documentazione cartacea. I supporti non più utilizzati possono essere cestinati
solo dopo essere stati fisicamente distrutti e resi inutilizzabili ad ogni effetto. Qualora un elaboratore dovesse in futuro contenere dati appartenenti a categorie particolari dovrà essere protetto da crittografia e, al termine di ogni sessione di lavoro, deve essere sempre chiusa la protezione crittografica.


ELABORATORI PORTATILI
Oltre a quanto sopra in materia di elaboratori in generale, per gli elaboratori portatili sono previste misure di sicurezza ulteriori. E’ fatto assoluto divieto di lasciare incustodito l’elaboratore portatile,
anche se per pochissimo tempo. E’ altresì raccomandata la massima prudenza nei confronti di possibili sottrazioni dello strumento. Quando non utilizzato, l’elaboratore portatile deve essere sempre tenuto spento. 

 

DEVICE (SMARTPHONE, TABLET, …)
I device (eventualmente) affidati al personale sono uno strumento di lavoro di proprietà dell’Azienda concesso in uso ai lavoratori al fine di una più proficua erogazione della prestazione lavorativa. Non ne è consentito qualsiasi utilizzo non inerente all’attività lavorativa, anche in quanto può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza del sistema informatico dell’Azienda e dei dati ivi contenuti e trattati. Non è consentito installare autonomamente programmi o applicazioni salvo previa autorizzazione esplicita del Titolare del Trattamento.

E’ fatto assoluto divieto di lasciare incustodito il device, anche se per pochissimo tempo. E’ altresì raccomandata la massima prudenza nei confronti di possibili sottrazioni dello strumento. Per sicurezza, è necessario impostare la richiesta del PIN ad ogni accesso al device. 

 

GESTIONE DELLE PASSWORD
Le password di avviamento degli elaboratori, di accesso ai programmi (ivi compresa la posta elettronica) e dello screen saver, sono previste, attribuite e modificate dal Titolare del Trattamento.
Nel caso si sospetti o si abbia la certezza che una password abbia perso la segretezza è necessario avvisare senza ritardo il Titolare del Trattamento. Parimenti, qualora un utente venisse a conoscenza delle password di altro utente, è tenuto a darne immediata notizia al Titolare del Trattamento. In ogni caso, per sicurezza, le password sono cambiate almeno ogni tre mesi. 

 

USO DELLA POSTA ELETTRONICA
La caselle di posta elettronica dell’Azienda affidati al personale sono uno strumento di lavoro di proprietà dell’Azienda concesso in uso ai lavoratori al fine di una più proficua erogazione della prestazione lavorativa. Gli utenti assegnatari (in forma esclusiva o non esclusiva) delle caselle di posta elettronica sono personalmente responsabili dell’utilizzo che fanno delle stesse. E’ fatto divieto di utilizzare le caselle di posta elettronica dell’Azienda per l’invio di messaggi
personali o per l’iscrizione o la partecipazione a dibattiti, forum, mail-list siti o servizi web o social network o per qualunque altra attività non necessaria direttamente connessa allo svolgimento dell’attività lavorativa. E’ buona norma evitare messaggi estranei al rapporto di lavoro o alle relazioni non professionali tra colleghi tramite le caselle di posta elettronica dell’Azienda. La casella di posta elettronica deve
essere mantenuta in ordine. E’ fatto divieto di impostare account di posta elettronica personali sul programma di gestione della
posta elettronica installato sul elaboratore affidato.
E’ obbligatorio controllare i file allegati di posta elettronica prima del loro utilizzo (non eseguire download di file eseguibili o documenti da siti web o Ftp non conosciuti).
E’ vietato inviare catene telematiche (o “di Sant’Antonio”). Se si dovessero ricevere messaggi di questo tipo, si deve comunicarlo immediatamente al Titolare del Trattamento. Non si deve in alcun
caso aprire/eseguire gli allegati di tali messaggi. 

 

USO DELLA RETE INTERNET E DEI RELATIVI SERVIZI
I browser Internet installati sugli elaboratori affidati al personale sono uno strumento di lavoro concesso in uso ai lavoratori al fine di una più proficua erogazione della prestazione lavorativa. E’ assolutamente proibita la navigazione in Internet per motivi diversi da quelli strettamente legati all’attività lavorativa stessa.

E’ fatto divieto all’utente lo scarico di software gratuito (freeware) e shareware prelevato da siti Internet, se non espressamente autorizzato dal Titolare del Trattamento. E’ tassativamente vietata l’effettuazione di ogni genere di transazione finanziaria personale ivi comprese le operazioni di remote banking, acquisti on-line e simili con strumenti dell’Azienda salvo i casi direttamente autorizzati dal Titolare del Trattamento. E’ da evitare ogni forma di registrazione a siti web i cui contenuti non siano legati all’attività lavorativa. 

 

BACK-UP
Il Titolare del Trattamento esegue alla fine di ogni settimana un back-up del proprio smartphone sul proprio elaboratore portatile, e quindi un back-up dell’elaboratore portatile su supporto esterno, che viene appositamente portato e poi custodito in luogo diverso e sicuro.
Qualora l’elaboratore dovesse in futuro contenere dati appartenenti a categorie particolari, anche il back-up dovrà essere protetto da crittografia. 

 

SERVIZI IN CLOUD O SU DATA CENTER ESTERNI
L’Azienda si avvale di data center Aruba per la gestione della posta elettronica. I data center di Aruba deputati allo scopo si trovano in territorio dell’Unione Europea (vedi allegato 1 “posizione_Data_Center_Aruba_1” e allegato 2 “posizione_Data_Center_Aruba_2”). Inoltre, Aruba presenta numerose certificazioni in materia di sicurezza informatica e di protezione dei dati (vedi allegato 3 “certificazioni_Aruba”), garantisce alti standard di protezione (vedi allegato 4 “protezione_dati_Aruba”) e aderisce al Codice di Condotta CISPE sulla protezione dei dati (vedi allegato 5 “codice_condotta_Aruba_1” e allegato 6 “codice_condotta_Aruba_2”).
L’Azienda inoltre si avvale dell’applicazione per smartphone WhatsApp per la comunicazione commerciale con i propri clienti e per azioni di marketing diretto. WhatsApp ha sede negli USA, si avvale dei data center della capogruppo Facebook, che sono dislocati tra gli USA e l’Unione Europea (vedi allegato 7 “posizione_Data_Center_WhatsApp-Facebook”) ed ha aderito al trattato USA-UE “Privacy Shield” (vedi allegato 8 “WhatsApp_in_PrivacyShield_List”). Inoltre, WhatsApp
presenta elevati standard di sicurezza, tra cui la protezione crittografica end-to-end in tutte le comunicazioni, che rende non intelligibile qualsiasi dato anche per lo stesso gestore, nonché la
non archiviazione dei messaggi consegnati al destinatario (vedi allegato 9 “protezione_dati_WhatsApp_1”, allegato 10 “protezione_dati_WhatsApp_2” e allegato 11 “protezione_dati_WhatsApp_3”). Tutto ciò considerato, il trasferimento di dati si ritiene soggetto a garanzie adeguate, ai sensi dell’art. 46 del RGPD. 

 

DATA BREACH
Ai sensi e per gli effetti dell’art. 33 ed alla luce del Considerando 85 del RGPD sussiste in capo al Titolare del Trattamento l’obbligo di notifica della violazione dei propri sistemi informatici, (“data breach”) al Garante della Privacy soltanto se si ritiene probabile che da tale violazione derivino
rischi per i diritti e le libertà fondamentali degli interessati (si veda). Pertanto, la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati, che spetta, appunto, al Titolare del Trattamento. L’art. 34 estende, in caso di “rischio elevato”, l’obbligo di notifica anche a tutti gli interessati i cui dati personali siano stati oggetto di violazione.

Data la natura dei dati trattati nell’Azienda, si ritiene non sia configurabile un rischio per i diritti e le libertà fondamentali degli interessati, tanto più che al momento della redazione della presente Privacy Policy l’Azienda non tratta dati appartenenti a categorie particolari. Qualora il Titolare del Trattamento decidesse di effettuarla, la notifica va eseguita “senza giustificato ritardo” e comunque entro 72 ore da quando lo stesso Titolare del Trattamento è venuto a conoscenza della violazione.
In caso di comprovata necessità la notifica al Garante dovrà:
• descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
• comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
• descrivere le probabili conseguenze della violazione dei dati personali;
• descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. Le violazioni sono potenzialmente riscontrabili, ad esempio, attraverso:
• segnalazioni del software antivirus;
• notifica di Aruba (vedi ancora allegato 6 “codice_condotta_Aruba_2”).
In ogni caso il Titolare del Trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio attraverso un apposito registro che sarà istituito alla prima violazione riscontrata. 

 

ATTIVITA’ DI CONTROLLO
Il Titolare del Trattamento, anche (ma non esclusivamente) nell’espletamento di una regolare attività di controllo della sicurezza dei dati e del sistema informatico dell’Azienda, accede come super user a qualsiasi componente del sistema stesso, ivi compresi gli strumenti (sia hardware che software, compresa la posta elettronica) mediante i quali il personale eroga la prestazione lavorativa.
Il personale è informato che attraverso un controllo di questo tipo il Titolare del Trattamento è in grado di riscontrare sia la qualità della prestazione lavorativa (c.d. “controllo preterintenzionale”) che il rispetto da parte del personale degli obblighi legali e/o contrattuali (c.d. “controllo difensivo”).

 

NON OSSERVANZA DELLA PRESENTE PRIVACY POLICY
La presente Privacy Policy, assieme alla Lettera di Autorizzazione al Trattamento di Dati Personali, costituisce disposizione del Datore di Lavoro. Il Titolare del Trattamento vigila sull’effettiva ottemperanza della presente Privacy Policy da parte del personale. Il mancato rispetto o la
violazione delle regole contenute nella presente Privacy Policy è perseguibile con provvedimenti disciplinari nonché con le azioni civili e penali previste dall’ordinamento. 

 

VALUTAZIONE DEL RISCHIO
L’Azienda, per sua stessa natura professionale, tratta soprattutto dati personali di scarsa appetibilità. Al momento della redazione della presente Privacy Policy l’Azienda non tratta dati appartenenti a categorie particolari, né dati relativi a condanne penali o reati.
Le misure di sicurezza qui previste, sia tecniche che organizzative, sia di prevenzione del rischio che di mitigazione/contrasto dell’impatto, derivante da pericoli connessi sia con la riservatezza che con l’integrità o la disponibilità dei dati e la resilienza dei sistemi, si ritengono pertanto ampiamente adeguate. 

 

MEMORANDUM
Il Titolare del Trattamento, ai sensi dell’art. 30 del RGPD, al momento della redazione della presente Privacy Policy non è tenuto alla redazione di un Registro delle Attività di Trattamento, in quanto:
• occupa meno di 250 dipendenti;
• non effettua trattamenti che possano presentare un rischio per i diritti e le libertà fondamentali dell’interessato;
• non tratta dati appartenenti a categorie particolari di dati personali;
• non tratta dati personali relativi a condanne penali o reati;
ciononostante, ha predisposto il Registro delle Attività di Trattamento su base volontaria.
Il Titolare del Trattamento, ai sensi dell’art. 35 comma 1 del RGPD, non è tenuto alla valutazione d’impatto sulla protezione dei dati, in quanto i trattamenti svolti, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, non presentano un rischio elevato per i diritti e le libertà delle persone fisiche.
Il Titolare del Trattamento, ai sensi dell’art. 37 comma 1 del RGPD, considerando le Linee guida sui responsabili della protezione dei dati emanate dal Garante per la protezione dei dati personali in data 13-12-2016 come emendate in data 05-04-2017 (punto 5.3) nonché le Nuove Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato emanate dal Garante per la protezione dei dati personali in data 26-03-2018 (punto 4), non è tenuto alla designazione di un
Responsabile della Protezione dei Dati, in quanto:
a) è un soggetto privato;

b) non svolge attività principali che consistono nel monitoraggio regolare e sistematico degli interessati su larga scala;
c) non svolge attività principali che consistono nel trattamento su larga scala di dati personali particolari o giudiziari.

 

PREMESSA
Ai fini della presente Privacy Policy si intende per:
«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il
nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o
sociale;
«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
«Titolare del Trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; in questa fattispecie, Casa Tonini S.r.l. (nel prosieguo, per brevità, anche
l’Azienda”), società che esercita l’attività di realizzazione e commercializzazione di elementi d’arredo, legalmente rappresentata dagli amministratori Rosanna Tonini ed Elisabetta Di Pauli;
«soggetto autorizzato»: qualsiasi lavoratore (dipendente, tirocinante, prestatore d’opera occasionale, ) che, ai fini dello svolgimento delle proprie mansioni all’interno dell’Azienda, è da questi autorizzato al trattamento di dati personali, nell’ambito e nei limiti della Lettera di Autorizzazione al Trattamento di Dati Personali;
«comunicazione»: la condivisione di informazioni in qualunque forma (scritta, orale, figurativa, diretta o indiretta, esplicita o implicita).
Benché al momento della redazione di questo documento l’Azienda non si avvalga di collaboratori, la presente Privacy Policy è già predisposta con le relative previsioni e disposizioni in materia.
Inoltre, al momento della redazione di questo documento l’Azienda non tratta dati personali appartenenti a categorie particolari, né dati relativi a condanne penali o reati.


OBBLIGO DI RISERVATEZZA
Senza espressa autorizzazione del Titolare del Trattamento è assolutamente vietata la comunicazione a qualunque soggetto esterno all’Azienda diverso dal relativo interessato qualsiasi dato personale, ed in generale di qualsiasi informazione afferente l’Azienda ed i soggetti con cui interagisce, che non sia espressamente e strettamente ricompresa nelle mansioni lavorative e nella propria rispettiva Lettera di Autorizzazione al Trattamento di Dati Personali.

Lo stesso Titolare del Trattamento osserva la più assoluta riservatezza sulle informazioni trattate nell’ambito della propria attività, salvo che la loro comunicazione discenda da obbligo di legge e/o non sia parte integrante del trattamento di dati personali come prevista e portata a conoscenza dei rispettivi interessati e, ove necessario, da questi autorizzate.


PERSONALE AUTORIZZATO
Il personale dell’Azienda viene autorizzato al trattamento di dati personali dal Titolare del Trattamento tramite Lettera di Autorizzazione al Trattamento di Dati Personali individuale ove sono specificamente individuati, per ciascun trattamento oggetto di autorizzazione:
una descrizione dell’attività;
le finalità del trattamento;
le categorie di interessati;
le categorie di dati trattati;
le categorie di destinatari;
Le attività di trattamento oggetto di autorizzazione sono strettamente organiche alle mansioni svolte dal singolo lavoratore. E’ tassativamente esclusa dall’ambito autorizzativo qualsiasi altra attività di trattamento.


FORMAZIONE DEL PERSONALE AUTORIZZATO
Il Titolare del Trattamento forma il personale e ne verifica l’apprendimento attraverso sessioni di formazione dedicata, generale e specifica, collettive o individuali, in particolare:
in occasione dell’entrata in servizio;
in occasione di un cambiamento di mansioni che comporti necessariamente una modifica del profilo autorizzativo;
in occasione di un cambiamento nella tecnostruttura o nell’organizzazione dell’Azienda che impatti sulle mansioni, e quindi sul profilo autorizzativo, o sulle procedure;
in generale, ogni qualvolta il Titolare del Trattamento ne ravveda la necessità o l’opportunità. Il personale è obbligato a partecipare alle predette sessioni di formazione. Attraverso la verifica dell’apprendimento il Titolare del Trattamento, in qualità di Datore di Lavoro, può riscontrare l’inidoneità, eventualmente temporanea, allo svolgimento di mansioni.


REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO
Benché non obbligato, il Titolare del Trattamento ha predisposto il Registro delle Attività di Trattamento ai sensi dell’art. 30 del RGPD su base volontaria. Lo stesso Titolare del Trattamento sottopone detto documento a revisione:
periodica, ad intervallo annuale;

• occasionale, ogni qualvolta intervenga cambiamento nella tecnostruttura o nell’organizzazione dell’Azienda tale da renderne necessario un aggiornamento;
• in generale, ogni qualvolta il Titolare del Trattamento ne ravveda la necessità o l’opportunità.

 

• occasionale, ogni qualvolta intervenga cambiamento nella tecnostruttura o nell’organizzazione
dell’Azienda tale da renderne necessario un aggiornamento;
• in generale, ogni qualvolta il Titolare del Trattamento ne ravveda la necessità o l’opportunità. 

 

MODELLI DI INFORMATIVA E RACCOLTA DEL CONSENSO
Il trattamento dei dati personali deve essere effettuato esclusivamente in conformità alle finalità previste e dichiarate dall’Azienda e, in generale, alle informazioni che l’Azienda ha comunicato agli
interessati. L’eventuale raccolta di dati e del consenso degli interessati dovrà avvenire nel rispetto delle procedure e dei modelli di informativa e/o raccolta del consenso elaborati dall’Azienda:
I modelli preordinati per l’uso comune sono:
• “info_clienti”: modello di informativa e raccolta del consenso dei clienti dell’Azienda (anche potenziali); va sottoposto all’interessato all’atto del primo contatto, anche se in fase precontrattuale;
• “info_fornitori”: modello di informativa e raccolta del consenso da trasmettere ai fornitori dell’Azienda (anche potenziali); va sottoposto all’interessato all’atto del primo contatto, anche se in fase precontrattuale;
• “info_lavoratori”: modello di informativa e raccolta del consenso per il trattamento dei dati personali funzionali all’instaurazione ed alla gestione del rapporto di lavoro dei lavoratori
dell’Azienda (a qualsiasi titolo); va sottoposto al lavoratore già in fase precontrattuale; sarà possibile instaurare il rapporto di lavoro solo se l’interessato avrà prestato il proprio consenso;
• “info_lavoratori_terzo_interessato_dati_particolari”: modello di informativa e raccolta del consenso dei soggetti connessi con i lavoratori dell’Azienda e di cui il lavoratore chiede il
trattamento di dati appartenenti a categorie particolari ai fini della fruizione di agevolazioni fiscali e/o contributive e/o di permessi previsti dalla legge; va sottoposto all’interessato, eventualmente per tramite del lavoratore, prima di procedere al trattamento dei suoi dati
personali; sarà possibile procedere al trattamento di dati dell’interessato appartenenti a categorie particolari solo con il consenso di quest’ultimo;
• “info_curriculum”: modello di informativa e raccolta del consenso per il trattamento dei dati personali contenuti nei curriculum vitae raccolti nell’ambito di una ricerca di personale, da trasmettere agli stessi all’atto del ricevimento del curriculum; se un curriculum vitae contiene
dati appartenenti a categorie particolari, sarà possibile conservarlo solo se l’interessato avrà prestato il proprio consenso;
• “info_newsletter_WhatsApp”: modello di informativa e raccolta del consenso per l’invio di comunicazioni promozionali e/o informative e/o commerciali relative ad iniziative e/o attività dell’Azienda tramite l’applicazione per smartphone WhatsApp a clienti dell’azienda, passati,
presenti o potenziali; va sottoposto all’interessato prima di procedere al trattamento dei suoi dati personali;

• “info_newsletter_e-mail”: modello di informativa e raccolta del consenso per l’invio di comunicazioni promozionali e/o informative e/o commerciali relative ad iniziative e/o attività dell’Azienda via e-mail a clienti dell’azienda, passati, presenti o potenziali; va sottoposto
all’interessato prima di procedere al trattamento dei suoi dati personali;
• “info_newsletter_posta”: modello di informativa e raccolta del consenso per l’invio di comunicazioni promozionali e/o informative e/o commerciali relative ad iniziative e/o attività dell’Azienda tramite servizio postale a clienti dell’azienda, passati, presenti o potenziali; va
sottoposto all’interessato prima di procedere al trattamento dei suoi dati personali;
• “info_newsletter_WhatsApp+e-mail+posta”: modello di informativa e raccolta del consenso per l’invio di comunicazioni promozionali e/o informative e/o commerciali relative ad iniziative e/o attività dell’Azienda, ivi comprese eventuali campionature, tramite l’applicazione per smartphone WhatsApp e/o via e-mail e/o tramite servizio postale a clienti dell’azienda, passati, presenti o potenziali, e tramite cui l’interessato può scegliere tra i mezzi di comunicazione proposti; va sottoposto all’interessato prima di procedere al trattamento dei suoi dati personali. Eventuali altri modelli, diversi da quelli sopra riportati, potranno essere elaborati dal Titolare del Trattamento per scopi specifici congiuntamente alle rispettive istruzioni d’uso e quindi usati dallo stesso e dai soggetti incaricati. 

 

DIRITTI DELL’INTERESSATO
L’esercizio dei diritti dell’interessato di accesso ai propri dati personali, di rettifica o di cancellazione o di portabilità degli stessi, o di limitazione del trattamento o di opposizione al trattamento, è gestito direttamente dal Titolare del Trattamento attraverso una puntuale ricognizione dei dati dell’interessato negli archivi fisici ed informatici dell’Azienda e la loro analisi in base ad un contemperamento di diritti ed interessi legittimi, nonché degli obblighi, anche conservativi, di legge in capo al Titolare del Trattamento. Il processo ed il puntuale riscontro
all’interessato dovranno essere garantiti senza ingiustificato ritardo.
Nel caso l’interessato abbia legittimamente esercitato il diritto di rettifica, di cancellazione, di limitazione o di opposizione, il Titolare del Trattamento ne notifica tempestivamente i destinatari dei dati cui li abbia comunicati.


PERIODO DI CONSERVAZIONE DEI DATI
Il Registro delle Attività di Trattamento riporta per ciascun trattamento di dati personali il periodo di conservazione dei dati. Tale informazione è anche contenuta, rispettivamente, in ciascun modello di informativa e raccolta del consenso. Per i dati personali di clienti e fornitori raccolti in fase precontrattuale nell’ambito di una trattativa che non ha dato esito alla conclusione di un contratto, come pure per i curriculum vitae di candidati con cui non si è instaurato un rapporto di lavoro, è previsto un periodo di conservazione breve,
stabilito dal Titolare del Trattamento sulla base dell’opportunità di rinnovare la trattativa entro
termini temporali ragionevoli ed usuali. Quasi tutti gli altri dati trattati sono invece soggetti ad un obbligo legale di conservazione molto lungo (anche dieci anni) ed in ogni caso sono conservati fino
alla prescrizione di diritti il cui esercizio possa essere fondato sugli stessi dati, ivi compreso il diritto alla difesa in capo al Titolare del Trattamento. Il Titolare del Trattamento esegue su base mensile una ricognizione dei dati per verificare quali debbano essere cancellati.

 

SISTEMA INFORMATICO DELL’AZIENDA
Il sistema informatico dell’Azienda consiste di:
• 1 elaboratore portatile, in uso esclusivo al Titolare del Trattamento, protetto da antivirus e ad accesso previa autenticazione;
• 1 smartphone, in uso esclusivo al Titolare del Trattamento;
• 1 disco rigido esterno di back-up;
• servizio cloud per la gestione della posta elettronica (vedi oltre);
• accesso Wi-Fi protetto da password, ad uso esclusivo al Titolare del Trattamento. 

 

ARCHIVI FISICI
Gli archivi fisici (armadi, scaffali, cassettiere, …) contenenti dati pers onali devono essere chiusi a chiave al termine della sessione di lavoro e riaperti all’inizio della successiva. Devono essere altresì chiusi a chiave anche durante interruzioni della sessione di lavoro (anche se di brevissima durata) a meno che un altro soggetto autorizzato di omologo profilo autorizzativo, o in alternativa il Titolare del Trattamento, non rimanga a presidio degli stessi. Gli archivi fisici sono distribuiti negli ambienti dell’Azienda e organizzati nel proprio contenuto a cura del Titolare del Trattamento in base alla natura dei dati trattati e, per quanto possibile, alla raggiungibilità da parte dei soggetti autorizzati in base allo specifico profilo autorizzativo. La natura del contenuto di ogni archivio è palesata da apposite etichette. E’ vietato eseguire qualsiasi
ricollocazione degli archivi fisici o lo spostamento del loro contenuto in altri archivi o la variazione (ivi compresa la diversificazione) della loro destinazione in riferimento alla natura del loro contenuto senza l’autorizzazione del Titolare del Trattamento.
Ad ogni soggetto autorizzato compete l’uso e la custodia della chiave degli archivi fisici di sua competenza in forza della rispettiva Lettera di Autorizzazione al Trattamento di Dati Personali. E’ vietato eseguire riproduzioni delle chiavi senza l’autorizzazione del Titolare del Trattamento. Le chiavi devono essere custodite con cura al fine di evitarne lo smarrimento, il furto o riproduzioni non autorizzate, e quindi al fine di evitare accessi non autorizzati agli archivi. Qualora una chiave
sia stata lasciata nella disponibilità di terzi e vi sia stata quindi la possibilità di una sua riproduzione
non autorizzata è necessario informare il Titolare del Trattamento, che provvederà senza ritardo

 

alla sostituzione della serratura. 

 

POSTAZIONI DI LAVORO
Durante una sessione di lavoro presso le postazioni sono in evidenza documenti in lavorazione o in consultazione, siano essi cartacei (ad esempio sulla scrivania) o elettronici (sullo schermo dell’elaboratore): al termine di una sessione di lavoro è obbligatorio riporre i documenti cartacei negli archivi fisici (lasciando libera la scrivania e le altre strutture aperte), chiudere gli stessi a chiave e spegnere l’elaboratore, in modo tale che nessun dato rimanga disponibile. Nel caso di
interruzione temporanea della sessione di lavoro di brevissima durata, è possibile evitare di chiudere sotto chiave i documenti cartacei e spegnere l’elaboratore solo nel caso in cui un altro soggetto autorizzato di omologo profilo autorizzativo, o in alternativa il Titolare del Trattamento, rimanga a presidio della postazione del soggetto autorizzato temporaneamente assente.
Quando si riceve qualcuno presso la propria postazione di lavoro è necessario rimuovere previamente dalla sua possibile visuale qualsiasi documento recante dati personali di terzi. 

 

CHIUSURA DEI LOCALI
I locali dell’Azienda vanno chiusi ogni qualvolta non vi sia personale presente e disponibile a presidiarli, anche per se per pochissimo tempo. 

 

UTILIZZO DELL’ELABORATORE
Gli elaboratori affidati al personale sono uno strumento di lavoro di proprietà dell’Azienda concesso in uso ai lavoratori al fine di una più proficua erogazione della prestazione lavorativa.
Non ne è consentito qualsiasi utilizzo non inerente all’attività lavorativa, anche in quanto può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza del
sistema informatico dell’Azienda e dei dati ivi contenuti e trattati.
L’accesso all’elaboratore e alla rete è protetto da password che devono essere custodite con la massima diligenza e non divulgate.
Non è consentito installare autonomamente programmi provenienti dall’esterno salvo previa autorizzazione esplicita del Titolare del Trattamento, in quanto sussiste il grave pericolo di portare
virus informatici e di alterare la stabilità delle applicazioni dell’elaboratore e/o del sistema informatico.
Non è consentito l’uso di programmi diversi da quelli distribuiti ed installati ufficialmente dal Titolare del Trattamento. L’inosservanza di questa disposizione, infatti, oltre al rischio di danneggiamenti
del sistema per incompatibilità con il software esistente, può esporre l’Azienda a gravi responsabilità civili e penali in caso di violazione della normativa a tutela dei diritti d’autore sul software (D. Lgs. 518/92 sulla tutela giuridica del software e L. 248/2000 in materia di nuove

 

norme di tutela del diritto d’autore) che impone la presenza nel sistema di software regolarmente licenziato o comunque libero e quindi non protetto dal diritto d’autore.
Non è consentito all’utente modificare le caratteristiche impostate sull’elaboratore affidatogli, salvo previa autorizzazione esplicita del Titolare del Trattamento.
L’elaboratore deve essere spento al termine della giornata di lavoro o in caso di assenze prolungate dalla propria postazione. In ogni caso lasciare un elaboratore incustodito connesso alla rete può occasionarne un utilizzo illecito da parte di terzi: pertanto, anche nel caso di allontanamento temporaneo di brevissima durata dalla propria postazione, l’utente deve attivare lo screen saver con relativa password sull’elaboratore affidatogli. Per sicurezza, è necessario
impostare l’attivazione automatica dello screen saver dopo cinque minuti di inutilizzo dell’elaboratore.
Non è consentita l’installazione sull’elaboratore affidato di nessun dispositivo di memorizzazione, comunicazione o altro (come ad esempio masterizzatori, modem, pen-driver, etc…), se non con
l’autorizzazione espressa del Titolare del Trattamento.
Tutti i supporti magnetici utilizzati vanno riposti negli archivi fisici secondo la disciplina che regola la custodia della documentazione cartacea. I supporti non più utilizzati possono essere cestinati
solo dopo essere stati fisicamente distrutti e resi inutilizzabili ad ogni effetto. Qualora un elaboratore dovesse in futuro contenere dati appartenenti a categorie particolari dovrà essere protetto da crittografia e, al termine di ogni sessione di lavoro, deve essere sempre chiusa la protezione crittografica.


ELABORATORI PORTATILI
Oltre a quanto sopra in materia di elaboratori in generale, per gli elaboratori portatili sono previste misure di sicurezza ulteriori. E’ fatto assoluto divieto di lasciare incustodito l’elaboratore portatile,
anche se per pochissimo tempo. E’ altresì raccomandata la massima prudenza nei confronti di possibili sottrazioni dello strumento. Quando non utilizzato, l’elaboratore portatile deve essere sempre tenuto spento. 

 

DEVICE (SMARTPHONE, TABLET, …)
I device (eventualmente) affidati al personale sono uno strumento di lavoro di proprietà dell’Azienda concesso in uso ai lavoratori al fine di una più proficua erogazione della prestazione lavorativa. Non ne è consentito qualsiasi utilizzo non inerente all’attività lavorativa, anche in quanto può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza del sistema informatico dell’Azienda e dei dati ivi contenuti e trattati. Non è consentito installare autonomamente programmi o applicazioni salvo previa autorizzazione esplicita del Titolare del Trattamento.

 

E’ fatto assoluto divieto di lasciare incustodito il device, anche se per pochissimo tempo. E’ altresì raccomandata la massima prudenza nei confronti di possibili sottrazioni dello strumento. Per sicurezza, è necessario impostare la richiesta del PIN ad ogni accesso al device. 

 

GESTIONE DELLE PASSWORD
Le password di avviamento degli elaboratori, di accesso ai programmi (ivi compresa la posta elettronica) e dello screen saver, sono previste, attribuite e modificate dal Titolare del Trattamento.
Nel caso si sospetti o si abbia la certezza che una password abbia perso la segretezza è necessario avvisare senza ritardo il Titolare del Trattamento. Parimenti, qualora un utente venisse a conoscenza delle password di altro utente, è tenuto a darne immediata notizia al Titolare del Trattamento. In ogni caso, per sicurezza, le password sono cambiate almeno ogni tre mesi. 

 

USO DELLA POSTA ELETTRONICA
La caselle di posta elettronica dell’Azienda affidati al personale sono uno strumento di lavoro di proprietà dell’Azienda concesso in uso ai lavoratori al fine di una più proficua erogazione della prestazione lavorativa. Gli utenti assegnatari (in forma esclusiva o non esclusiva) delle caselle di posta elettronica sono personalmente responsabili dell’utilizzo che fanno delle stesse. E’ fatto divieto di utilizzare le caselle di posta elettronica dell’Azienda per l’invio di messaggi
personali o per l’iscrizione o la partecipazione a dibattiti, forum, mail-list siti o servizi web o social network o per qualunque altra attività non necessaria direttamente connessa allo svolgimento dell’attività lavorativa. E’ buona norma evitare messaggi estranei al rapporto di lavoro o alle relazioni non professionali tra colleghi tramite le caselle di posta elettronica dell’Azienda. La casella di posta elettronica deve
essere mantenuta in ordine. E’ fatto divieto di impostare account di posta elettronica personali sul programma di gestione della
posta elettronica installato sul elaboratore affidato.
E’ obbligatorio controllare i file allegati di posta elettronica prima del loro utilizzo (non eseguire download di file eseguibili o documenti da siti web o Ftp non conosciuti).
E’ vietato inviare catene telematiche (o “di Sant’Antonio”). Se si dovessero ricevere messaggi di questo tipo, si deve comunicarlo immediatamente al Titolare del Trattamento. Non si deve in alcun
caso aprire/eseguire gli allegati di tali messaggi. 

 

USO DELLA RETE INTERNET E DEI RELATIVI SERVIZI
I browser Internet installati sugli elaboratori affidati al personale sono uno strumento di lavoro concesso in uso ai lavoratori al fine di una più proficua erogazione della prestazione lavorativa. E’ assolutamente proibita la navigazione in Internet per motivi diversi da quelli strettamente legati all’attività lavorativa stessa.

 

E’ fatto divieto all’utente lo scarico di software gratuito (freeware) e shareware prelevato da siti Internet, se non espressamente autorizzato dal Titolare del Trattamento. E’ tassativamente vietata l’effettuazione di ogni genere di transazione finanziaria personale ivi comprese le operazioni di remote banking, acquisti on-line e simili con strumenti dell’Azienda salvo i casi direttamente autorizzati dal Titolare del Trattamento. E’ da evitare ogni forma di registrazione a siti web i cui contenuti non siano legati all’attività lavorativa. 

 

BACK-UP
Il Titolare del Trattamento esegue alla fine di ogni settimana un back-up del proprio smartphone sul proprio elaboratore portatile, e quindi un back-up dell’elaboratore portatile su supporto esterno, che viene appositamente portato e poi custodito in luogo diverso e sicuro.
Qualora l’elaboratore dovesse in futuro contenere dati appartenenti a categorie particolari, anche il back-up dovrà essere protetto da crittografia. 

 

SERVIZI IN CLOUD O SU DATA CENTER ESTERNI
L’Azienda si avvale di data center Aruba per la gestione della posta elettronica. I data center di Aruba deputati allo scopo si trovano in territorio dell’Unione Europea (vedi allegato 1 “posizione_Data_Center_Aruba_1” e allegato 2 “posizione_Data_Center_Aruba_2”). Inoltre, Aruba presenta numerose certificazioni in materia di sicurezza informatica e di protezione dei dati (vedi allegato 3 “certificazioni_Aruba”), garantisce alti standard di protezione (vedi allegato 4 “protezione_dati_Aruba”) e aderisce al Codice di Condotta CISPE sulla protezione dei dati (vedi allegato 5 “codice_condotta_Aruba_1” e allegato 6 “codice_condotta_Aruba_2”).
L’Azienda inoltre si avvale dell’applicazione per smartphone WhatsApp per la comunicazione commerciale con i propri clienti e per azioni di marketing diretto. WhatsApp ha sede negli USA, si avvale dei data center della capogruppo Facebook, che sono dislocati tra gli USA e l’Unione Europea (vedi allegato 7 “posizione_Data_Center_WhatsApp-Facebook”) ed ha aderito al trattato USA-UE “Privacy Shield” (vedi allegato 8 “WhatsApp_in_PrivacyShield_List”). Inoltre, WhatsApp
presenta elevati standard di sicurezza, tra cui la protezione crittografica end-to-end in tutte le comunicazioni, che rende non intelligibile qualsiasi dato anche per lo stesso gestore, nonché la
non archiviazione dei messaggi consegnati al destinatario (vedi allegato 9 “protezione_dati_WhatsApp_1”, allegato 10 “protezione_dati_WhatsApp_2” e allegato 11 “protezione_dati_WhatsApp_3”). Tutto ciò considerato, il trasferimento di dati si ritiene soggetto a garanzie adeguate, ai sensi dell’art. 46 del RGPD. 

 

DATA BREACH
Ai sensi e per gli effetti dell’art. 33 ed alla luce del Considerando 85 del RGPD sussiste in capo al Titolare del Trattamento l’obbligo di notifica della violazione dei propri sistemi informatici, (“data breach”) al Garante della Privacy soltanto se si ritiene probabile che da tale violazione derivino
rischi per i diritti e le libertà fondamentali degli interessati (si veda). Pertanto, la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati, che spetta, appunto, al Titolare del Trattamento. L’art. 34 estende, in caso di “rischio elevato”, l’obbligo di notifica anche a tutti gli interessati i cui dati personali siano stati oggetto di violazione.

 

Data la natura dei dati trattati nell’Azienda, si ritiene non sia configurabile un rischio per i diritti e le libertà fondamentali degli interessati, tanto più che al momento della redazione della presente Privacy Policy l’Azienda non tratta dati appartenenti a categorie particolari. Qualora il Titolare del Trattamento decidesse di effettuarla, la notifica va eseguita “senza giustificato ritardo” e comunque entro 72 ore da quando lo stesso Titolare del Trattamento è venuto a conoscenza della violazione.
In caso di comprovata necessità la notifica al Garante dovrà:
• descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
• comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
• descrivere le probabili conseguenze della violazione dei dati personali;
• descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. Le violazioni sono potenzialmente riscontrabili, ad esempio, attraverso:
• segnalazioni del software antivirus;
• notifica di Aruba (vedi ancora allegato 6 “codice_condotta_Aruba_2”).
In ogni caso il Titolare del Trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio attraverso un apposito registro che sarà istituito alla prima violazione riscontrata. 

 

ATTIVITA’ DI CONTROLLO
Il Titolare del Trattamento, anche (ma non esclusivamente) nell’espletamento di una regolare attività di controllo della sicurezza dei dati e del sistema informatico dell’Azienda, accede come super user a qualsiasi componente del sistema stesso, ivi compresi gli strumenti (sia hardware che software, compresa la posta elettronica) mediante i quali il personale eroga la prestazione lavorativa.
Il personale è informato che attraverso un controllo di questo tipo il Titolare del Trattamento è in grado di riscontrare sia la qualità della prestazione lavorativa (c.d. “controllo preterintenzionale”) che il rispetto da parte del personale degli obblighi legali e/o contrattuali (c.d. “controllo difensivo”).

 

NON OSSERVANZA DELLA PRESENTE PRIVACY POLICY
La presente Privacy Policy, assieme alla Lettera di Autorizzazione al Trattamento di Dati Personali, costituisce disposizione del Datore di Lavoro. Il Titolare del Trattamento vigila sull’effettiva ottemperanza della presente Privacy Policy da parte del personale. Il mancato rispetto o la
violazione delle regole contenute nella presente Privacy Policy è perseguibile con provvedimenti disciplinari nonché con le azioni civili e penali previste dall’ordinamento. 

 

VALUTAZIONE DEL RISCHIO
L’Azienda, per sua stessa natura professionale, tratta soprattutto dati personali di scarsa appetibilità. Al momento della redazione della presente Privacy Policy l’Azienda non tratta dati appartenenti a categorie particolari, né dati relativi a condanne penali o reati.
Le misure di sicurezza qui previste, sia tecniche che organizzative, sia di prevenzione del rischio che di mitigazione/contrasto dell’impatto, derivante da pericoli connessi sia con la riservatezza che con l’integrità o la disponibilità dei dati e la resilienza dei sistemi, si ritengono pertanto ampiamente adeguate. 

 

MEMORANDUM
Il Titolare del Trattamento, ai sensi dell’art. 30 del RGPD, al momento della redazione della presente Privacy Policy non è tenuto alla redazione di un Registro delle Attività di Trattamento, in quanto:
• occupa meno di 250 dipendenti;
• non effettua trattamenti che possano presentare un rischio per i diritti e le libertà fondamentali dell’interessato;
• non tratta dati appartenenti a categorie particolari di dati personali;
• non tratta dati personali relativi a condanne penali o reati;
ciononostante, ha predisposto il Registro delle Attività di Trattamento su base volontaria.
Il Titolare del Trattamento, ai sensi dell’art. 35 comma 1 del RGPD, non è tenuto alla valutazione d’impatto sulla protezione dei dati, in quanto i trattamenti svolti, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, non presentano un rischio elevato per i diritti e le libertà delle persone fisiche.
Il Titolare del Trattamento, ai sensi dell’art. 37 comma 1 del RGPD, considerando le Linee guida sui responsabili della protezione dei dati emanate dal Garante per la protezione dei dati personali in data 13-12-2016 come emendate in data 05-04-2017 (punto 5.3) nonché le Nuove Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato emanate dal Garante per la protezione dei dati personali in data 26-03-2018 (punto 4), non è tenuto alla designazione di un
Responsabile della Protezione dei Dati, in quanto:
a) è un soggetto privato;

b) non svolge attività principali che consistono nel monitoraggio regolare e sistematico degli interessati su larga scala;
c) non svolge attività principali che consistono nel trattamento su larga scala di dati personali particolari o giudiziari.

 

©Tonini Interiors 2021

©Tonini Interiors 2021

©Tonini Interiors 2021

©Tonini Interiors 2021

©Tonini Interiors 2021

©Tonini Interiors 2021