>Italiano
English version
PRIVACY AND COOKIE POLICY
Politica generale sulla protezione dei dati personali
Indice
1. SCOPO, CAMPO DI APPLICAZIONE E DESTINATARI
2. RIFERIMENTI NORMATIVI
3. DEFINIZIONI
4. PRINCIPI BASE DEL TRATTAMENTO DEI DATI PERSONALI
4.1. Legalità, correttezza e trasparenza
4.2. Limitazione dello scopo
4.3. Minimizzazione dei dati
4.4. Precisione
4.5. Limitazione del periodo di conservazione
4.6. Integrità e confidenzialità
4.7. Responsabilità
5. INTEGRARE LA PROTEZIONE DEI DATI NELLE ATTIVITÀ COMMERCIALI
5.1. Informativa agli interessati
5.2. Scelta e consenso dell’interessato
5.3. Raccolta
5.4. Utilizzo, conservazione e smaltimento
5.5. Divulgazione a terzi
5.6. Trasferimento transfrontaliero dei dati personali
5.7. Diritti di accesso degli interessati
5.8. Portabilità dei dati
5.9. Diritto all’oblio
6. LINEE GUIDA SUL CORRETTO TRATTAMENTO
6.1. Informativa agli interessati
6.2. Ottenimento dei consensi
7. ORGANIZZAZIONE E RESPONSABILITÀ
8. LINEE GUIDA PER STABILIRE L’AUTORITÀ DI CONTROLLO PRINCIPALE
8.1. Necessità di stabilire l’autorità di controllo principale
8.2. Sede principale e autorità di controllo
8.2.1. Sede principale del titolare del trattamento
8.2.2. Sede principale del responsabile del trattamento
8.2.3. Sedi principali di titolari e responsabili di società extra UE
9. RISPOSTA AGLI INCIDENTI DI VIOLAZIONE DEI DATI PERSONALI
10. AUDIT E RESPONSABILITÀ
11. CONFLITTI DI LEGGE
12. GESTIONE E VALIDITÀ DEL DOCUMENTO
1. Scopo, campo di applicazione e destinatari
UNO MARKET Srl, da ora in poi definita come “Società”, si impegna a essere conforme alle leggi e ai regolamenti applicabili relativi alla protezione dei dati personali nei paesi dove questa opera.
La presente procedura definisce i principi fondamentali secondo i quali la Società tratta i dati personali di clienti, fornitori, business partner, dipendenti ed altri individui, ed indica le responsabilità dei propri servizi e dei propri dipendenti nel trattamento dei dati personali.
La presente procedura si applica alla Società e alle sue controllate (direttamente o indirettamente) che svolgono la propria attività all’interno dell’Area Economica Europea o trattano dati personali di interessati in tale area.
I destinatari della presente procedura sono tutti i dipendenti, temporanei o permanenti, e tutti i collaboratori che operano per conto della società.
2. Riferimenti normativi
- GDPR 2016/679 (Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche in materia di trattamento dei dati personali e alla libera circolazione di tali dati e che abroga la Direttiva 95/46 / CE)
- Leggi nazionali o regolamenti rilevanti per l’implementazione del Regolamento
- Politica di conservazione dei dati
- Registro dei trattamenti
- Procedura di richiesta di accesso e manutenzione dei dati
- Procedura trasferimento transfrontaliero dei dati
- Procedura di risposte agli interessati
3. Definizioni
Le definizioni utilizzate nel presente documento sono tratte dall’articolo 4 del Regolamento Europeo:
«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
Dati sensibili: dati personali che, per loro natura, sono particolarmente sensibili in relazione ai diritti e alle libertà fondamentali e meritano una protezione specifica in quanto il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Questi dati personali includono dati personali che rivelano origine razziale o etnica, opinioni politiche, credenze religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici che identificano in modo univoco una persona fisica, dati sulla salute o dati relativi all’orientamento sessuale della persona.
Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;
Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
Anonimizzazione:de- identificazione irreversibile dei dati personali in modo tale che la persona non può essere identificata tramite tecnologie e in tempi e costi ragionevoli né dal titolare né da altra persona. I principi di trattamento dei dati personali non si applicano ai dati anonimi in quanto questi non sono considerati dati personali.
Pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile; la pseudonimizzazione riduce, ma non elimina del tutto, la possibilità di collegare un dato personale a un interessato. Tenendo conto che i dati che hanno subito il processo di pseudonimizzazione sono ancora dati personali, tale processo deve essere conforme ai principi di trattamento dei dati personali.
Trattamento transfrontaliero: trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;
Autorità di controllo: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;
Autorità di controllo principale: l’autorità di vigilanza con la responsabilità primaria di occuparsi di un’attività di trattamento di dati transfrontaliera, ad esempio quando un interessato presenta un reclamo in merito al trattamento dei propri dati personali; è responsabile, tra l’altro, di ricevere le notifiche di violazione dei dati, di essere informato sulle attività di trattamento rischiose e avrà piena autorità per quanto riguarda i suoi obblighi di garantire l’osservanza delle disposizioni del GDPR;
Ciascuna “autorità di vigilanza locale” manterrà comunque la sua attività nel proprio territorio e monitorerà qualsiasi trattamento di dati a livello locale che riguarda gli interessati o che viene effettuato da un titolare o un responsabile UE o non UE quando il loro trattamento si rivolge agli interessati che risiedono sul suo territorio. I loro compiti e poteri comprendono lo svolgimento di indagini e l’applicazione di misure amministrative e sanzioni, la promozione a livello generale della consapevolezza dei rischi, delle norme, della sicurezza e dei diritti in relazione al trattamento dei dati personali, nonché l’accesso a qualsiasi sede del responsabile del titolare e del responsabile, compresi eventuali strumenti e mezzi per il trattamento dei dati.
Stabilimento principale: per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;
Stabilimento principale: con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;
Gruppo imprenditoriale: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;
4. Principi base del trattamento dei dati personali
I principi sulla protezione dei dati delineano le responsabilità base per le organizzazioni che si occupano del trattamento dei dati personali. L’articolo 5, punto 2 del Regolamento stabilisce che “il titolare del trattamento è responsabile e deve dimostrare la conformità a tali principi”.
4.1. Legalità, correttezza e trasparenza
I dati personali devono essere trattati in modo lecito, equo e trasparente in relazione all’interessato.
4.2. Limitazione dello scopo
I dati personali devono essere raccolti per scopi specifici, espliciti e legittimi e non ulteriormente trattati in modo incompatibile con tali scopi.
4.3. Minimizzazione dei dati
I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario in relazione agli scopi per i quali sono trattati. Se possibile per ridurre i rischi per gli interessati la Società deve applicare l’anonimizzazione o la pseudonimizzazione ai dati personali.
4.4. Precisione
I dati personali devono essere accurati e, ove necessario, aggiornati; misure ragionevoli devono essere prese per garantire che i dati personali inaccurati, in relazione alle finalità per cui sono trattati, siano cancellati o rettificati in modo tempestivo.
4.5. Limitazione del periodo di conservazione
I dati personali devono essere conservati per un periodo non superiore a quello necessario agli scopi per i quali i dati personali sono trattati.
4.6. Integrità e confidenzialità
Tenendo conto dello stato della tecnologia e di altre misure di sicurezza disponibili, dei costi di implementazione e della probabilità e della gravità dei rischi dei dati personali, la Società deve utilizzare misure tecniche o organizzative adeguate per trattare i dati personali in modo tale da garantire un’adeguata sicurezza dei dati personali, compresa la protezione contro la distruzione, la perdita, l’alternanza o la divulgazione accidentale o illecita o l’accesso non autorizzato.
4.7. Responsabilità
I responsabili del trattamento dei dati sono responsabili di dimostrare la conformità ai principi sopra descritti.
5. Integrare la protezione dei dati nelle attività commerciali
Al fine di dimostrare la conformità ai principi della protezione dei dati, l’organizzazione deve integrare la protezione dei dati nelle attività commerciali.
5.1. Informativa agli interessati
(Vedi la sezione Linee Guida sul corretto trattamento)
5.2. Scelta e consenso dell’interessato
(Vedi la sezione Linee Guida sul corretto trattamento)
5.3. Raccolta
La Società deve cercare di raccogliere il minor numero possibile di dati personali. Se i dati personali sono raccolti da una terza parte, il Titolare deve assicurarsi che i dati personali siano raccolti secondo le previsioni di legge.
5.4. Utilizzo, conservazione e smaltimento
Gli scopi, i metodi, i limiti di archiviazione e il periodo di conservazione dei dati personali devono essere coerenti con le informazioni contenute nell’informativa sulla protezione dei dati generali.
La Società deve mantenere l’accuratezza, l’integrità, la riservatezza e la rilevanza dei dati personali in base allo scopo del trattamento. È necessario utilizzare adeguati meccanismi di sicurezza volti a proteggere i dati personali per impedire che vengano rubati o utilizzati in modo improprio e prevenire le violazioni dei dati personali. Il Titolare è responsabile della conformità ai requisiti elencati in questa sezione.
5.5. Divulgazione a terzi
Ogni volta che la Società utilizza un fornitore di terza parte o un partner commerciale per trattare i dati personali per suo conto, il referente privacy deve garantire che questo processore fornisca misure di sicurezza appropriate per salvaguardare i dati personali ai rischi associati. A tal fine, è necessario utilizzare apposito questionario di conformità. (Processor GDPR Compliance Questionnaire)
La Società deve richiedere contrattualmente al fornitore o al partner commerciale di fornire lo stesso livello di protezione dei dati. Il fornitore o il partner commerciale deve elaborare i dati personali solo per adempiere ai propri obblighi contrattuali nei confronti della Società o dietro istruzioni della Società e non per altri scopi. Quando l’Azienda tratta i dati personali congiuntamente con una terza parte indipendente, la Società deve specificare esplicitamente le rispettive responsabilità e la terza parte nel rispettivo contratto o in qualsiasi altro documento legalmente vincolante, come il Contratto di trattamento dei dati del fornitore (Supplier Data Processing Agreement).
5.6. Trasferimento transfrontaliero dei dati personali
Prima di trasferire i dati personali dallo Spazio economico europeo (SEE) devono essere utilizzate misure di salvaguardia adeguate, compresa la firma di un accordo sul trasferimento dei dati, come richiesto dall’Unione europea e, se necessario, deve essere ottenuta l’autorizzazione da parte della autorità di protezione dei dati. L’entità che riceve i dati personali deve rispettare i principi del trattamento dei dati personali stabiliti nella Procedura di trasferimento dei dati transfrontalieri.
5.7. Diritti di accesso degli interessati
Quando agisce come titolare del trattamento dei dati, la società è tenuta a fornire agli interessati un ragionevole meccanismo di accesso che consenta loro di accedere ai propri dati personali e deve consentire loro di aggiornare, correggere, cancellare o trasmettere i propri dati personali, se del caso o richiesto dalla legge. Il meccanismo di accesso sarà ulteriormente dettagliato nella Procedura di richiesta di accesso ai dati dell’interessato.
5.8. Portabilità dei dati
Gli interessati hanno il diritto di ricevere, su richiesta, una copia dei dati che hanno fornito in un formato strutturato e di trasmettere gratuitamente tali dati a un altro titolare. Il Titolare è responsabile di garantire che tali richieste vengano elaborate entro un mese, non siano eccessive e non pregiudichino i diritti sui dati personali di altre persone.
5.9. Diritto all’oblio
Su richiesta l’interessato ha il diritto di ottenere dalla società la cancellazione dei suoi dati personali. Quando la società agisce in qualità di titolare del trattamento, il referente privacy deve intraprendere le azioni necessarie (comprese le misure tecniche) per informare le terze parti che usano o trattano quei dati di adeguarsi alla richiesta.
6. Linee guida sul corretto trattamento
I dati personali possono essere trattati solo se esplicitamente autorizzati dal titolare.
La società deve decidere se effettuare una valutazione di impatto sulla protezione dei dati per ogni attività di trattamento dei dati secondo quanto definito dalle Linee guida sulla valutazione dell’impatto sulla protezione dei dati personali(Data Protection Impact Assessment Guidelines).
6.1. Informativa agli interessati
Al momento della raccolta o prima della raccolta di dati personali per qualsiasi tipo di attività di trattamento incluso ma non limitato alla vendita di prodotti, servizi o attività di marketing, il Titolare è responsabile di informare adeguatamente gli interessati di quanto segue: la tipologia di dati personali raccolti, le finalità del trattamento, i metodi di trattamento, i diritti degli interessati in relazione ai loro dati personali, il periodo di conservazione, i potenziali trasferimenti internazionali di dati, se i dati saranno condivisi con terzi e le misure di sicurezza della Società per proteggere i dati personali. Queste informazioni sono fornite tramite un’informativa generale sulla protezione dei dati.
Se l’azienda ha molteplici attività di trattamento dei dati, occorrerà sviluppare diverse comunicazioni che saranno differenti a seconda dell’attività di trattamento e delle categorie di dati personali raccolti, ad esempio, un’informativa potrebbe essere scritta per le spedizioni via mail e una diversa per la spedizione via posta ordinaria.
Laddove i dati personali siano condivisi con terzi, il Titolare deve garantire che gli interessati siano stati informati di ciò tramite un’informativa generale sulla protezione dei dati.
Laddove i dati personali siano trasferiti in un paese terzo in base alla politica di trasferimento dei dati transfrontalieri, l’informativa generale sulla protezione dei dati dovrebbe specificarlo, indicando chiaramente dove e a quale entità vengono trasferiti i dati personali.
Nel caso in cui vengano raccolti dati personali sensibili, il Data Protection Officer deve assicurarsi che l’informativa generale sulla protezione dei dati chiarisca espressamente lo scopo per il quale tali dati sensibili vengono raccolti.
6.2. Ottenimento dei consensi
Ogni qualvolta il trattamento dei dati personali è basato sul consenso dell’interessato, o su altri motivi legittimi, il Titolare è responsabile di conservare una registrazione di tale consenso. Il Titolare è responsabile di presentare alle persone interessate le diverse opzioni per fornire il consenso e deve informare e garantire che il loro consenso (ogni volta che viene utilizzato come base legale per il trattamento) possa essere revocato in qualsiasi momento.
Quando viene richiesto di correggere, modificare o distruggere registrazioni di dati personali, il Referente Privacy deve garantire che tali richieste siano gestite entro un ragionevole lasso di tempo. Il Referente Privacy deve anche registrare le richieste e tenere un apposito registro.
I dati personali devono essere trattati solo per lo scopo per il quale sono stati originariamente raccolti. Nel caso in cui la Società desideri trattare i dati personali raccolti per un altro scopo, la Società deve richiedere il consenso dei suoi interessati in forma scritta chiara e concisa. Qualsiasi richiesta di questo tipo dovrebbe includere lo scopo originale per cui sono stati raccolti i dati e anche gli scopi nuovi o aggiuntivi. La richiesta deve includere anche il motivo del cambiamento di scopo / i. Il Data Protection Officer è responsabile del rispetto delle regole in questo paragrafo.
Ora e in futuro, il Referente Privacy deve garantire che i metodi di raccolta siano conformi alla legge, alle buone pratiche e agli standard industriali pertinenti.
Il Referente Privacy è responsabile della creazione e della manutenzione di un registro delle informative generali sulla protezione dei dati.
7. Organizzazione e responsabilità
La responsabilità di garantire un adeguato trattamento dei dati personali spetta a chiunque lavori all’interno della Società o per suo conto e abbia accesso ai dati personali da essa trattati.
Le principali aree di responsabilità per il trattamento dei dati personali sono riferibili ai seguenti ruoli organizzativi:
- Il Consiglio di Amministrazione o altro organo decisionale competente prende decisioni e approva le strategie generali della Società in materia di protezione dei dati personali.
- Il Data Protection Officer (DPO) o qualsiasi altro dipendente rilevante, è responsabile della gestione del programma di protezione dei dati personali e dello sviluppo e della promozione delle procedure end-to-end di protezione dei dati personali, come definito nella Job description del Data Protection Officer;
- Il dipartimento Affari legali / consulente insieme al Data Protection Officer, monitora e analizza le leggi sui dati personali e le modifiche alle normative, sviluppa i requisiti di conformità e assiste i reparti aziendali nel raggiungimento dei loro obiettivi relativi ai dati personali.
L’IT manager è responsabile di:
- garantire che tutti i sistemi, i servizi e le attrezzature utilizzate per l’archiviazione dei dati abbiano standard di sicurezza adeguati
- effettuare controlli periodici ed esami per verificare il livello di sicurezza dell’hardware e il funzionamento corretto del software.
Il Marketing manager, è responsabile di:
- approvare di qualsiasi dichiarazione sulla protezione dei dati allegata a comunicazioni quali e-mail e lettere.
- Affrontare qualsiasi quesito in merito alla protezione dei dati da parte di giornalisti o altri mezzi di informazione come giornali.
- Ove necessario, collaborare con il Data Protection Officer per garantire che le iniziative di marketing rispettino i principi di protezione dei dati.
Il Human Resources Managerè responsabile di:
- migliorare la consapevolezza di tutti i dipendenti sulla protezione dei dati personali degli utenti.
- organizzare per i dipendenti che lavorano con dati personali formazione per aumentare la competenza in materia di protezione dei dati personali e la consapevolezza.
- protezione end-to-end dei dati personali dei dipendenti. Deve garantire che i dati personali dei dipendenti vengano elaborati in base a finalità legittime e alle necessità aziendali del datore di lavoro.
IlProcurement Managerè responsabile del trasferimento delle responsabilità di protezione dei dati personali ai fornitori e del miglioramento dei livelli di consapevolezza dei fornitori in materia di protezione dei dati personali, nonché della trasmissione dei requisiti dei dati personali a qualsiasi fornitore terzo che utilizza. Il dipartimento Acquisti deve garantire che la Società si riserva il diritto di controllare i fornitori mediante audit.
8. Linee guida per stabilire l’autorità di controllo principale
8.1. Necessità di stabilire l’autorità di controllo principale
L’identificazione di un’autorità di controllo principale è rilevante solo se la Società effettua il trasferimento transfrontaliero dei dati personali.
Il trasferimento transfrontaliero dei dati personali è effettuato se:
- il trattamento dei dati personali è effettuato da società controllate dalla Società con sede in altri Stati membri;
oppure
- il trattamento dei dati personali che si svolgono in un’unica sede della Società nell’Unione europea, ma che incidono in modo sostanziale o potrebbero incidere sugli interessati in più di uno Stato membro.
Se la società ha sedi solo in uno Stato membro e le sue attività di trattamento riguardano solo le persone interessate in tale Stato membro, non è necessario istituire un’autorità di controllo principale. L’unica autorità competente sarà l’autorità di vigilanza nel paese in cui la società ha sede legale.
8.2. Sede principale e autorità di controllo
8.2.1. Sede principale del titolare del trattamento
Il [top management della Società] deve identificare la sede principale in modo che possa essere stabilita l’autorità di controllo.
Se la Società ha sede in uno stato dell’Unione europea e deve prendere decisioni in merito alle attività di trattamento transfrontaliero al posto della sua amministrazione centrale, ci sarà una sola autorità di controllo principale per le attività di trattamento dei dati effettuate dalla società.
Se la Società ha più sedi che agiscono in modo indipendente e prendono decisioni in merito alle finalità e ai mezzi del trattamento dei dati personali, [il top management della Società] deve riconoscere che esiste più di un’autorità di vigilanza principale.
8.2.2. Sede principale del responsabile del trattamento
Quando la Società agisce come responsabile del trattamento, la sede principale sarà il luogo di amministrazione centrale. Nel caso in cui il luogo di amministrazione centrale non si trovi nell’UE, la sede principale sarà lo stabilimento nell’UE in cui si svolgono le principali attività di trattamento.
8.2.3. Sedi principali di titolari e responsabili di società extra UE
Se la società non ha la sede principale nell’Unione Europea, ed ha le sue controllate all’interno del territorio dell’Unione, l’autorità di controllo competente è l’autorità di controllo locale.
Se la società non ha né la sede principale né controllate all’interno dell’Unione Europea, deve essere nominato un rappresentante in Europa e l’autorità di controllo competente sarà l’autorità di controllo del luogo dove si trova il rappresentante nominato.
9. Risposta agli incidenti di violazione dei dati personali
Quando la società viene a conoscenza di una sospetta o reale violazione dei dati personali, Il Referente Privacy deve condurre un’indagine interna e prendere appropriati provvedimenti in maniera tempestiva, secondo quanto previsto dalla procedura per la violazione dei dati. Se ci sono delle minacce ai diritti e alle libertà degli interessati, la società deve notificarle alle autorità per la protezione dei dati senza alcun ritardo, e se possibile, entro 72 ore.
10. Audit e responsabilità
L’ufficio audit o altri uffici rilevanti sono responsabili di verificare la corretta applicazione della presente procedura da parte delle altre aree aziendali.
Chiunque violerà la presente procedura sarà oggetto di un’azione disciplinare, e se la violazione commessa infrangerà leggi o regolamenti la persona sarà soggetta anche a responsabilità civili e penali.
11. Conflitti di legge
Tale procedura intende essere conforme con le leggi ed i regolamenti vigenti nei paesi dove è ubicata e dove opera la Società. In caso di conflitto tra questa procedura e le leggi ed i regolamenti applicabili, prevalgono questi ultimi.
12. Gestione e validità del documento
Il responsabile del documento è il Referente Privacy, che ha il compito di controllarlo e, se necessario, aggiornarlo, almeno annualmente.
Utilizzo dei cookie
Questo sito utilizza i cookies. Utilizzando il nostro sito web l’utente dichiara di accettare e acconsentire all’utilizzo dei cookies in conformità con i termini di uso dei cookies espressi in questo documento.
CHE COSA SONO I COOKIE?
I cookie sono file di testo che contengono pacchetti di informazioni che vengono memorizzati sul tuo computer o sul tuo dispositivo mobile tutte le volte che visiti un sito online attraverso un browser. Ad ogni successiva visita il browser invia questi cookies al sito web che li ha originati o ad un altro sito. I cookies permettono ai siti di ricordare alcune informazioni per permetterti di navigare online in modo semplice e veloce.
Ci sono due principali tipi di cookie: i cookie di sessione e cookies permanenti. I cookie di sessione vengono eliminati dal computer automaticamente quando chiudi il browser, mentre i cookie permanenti restano memorizzati sul tuo computer a meno che non siano eliminati o raggiungano la loro data di scadenza.
I COOKIE SUL NOSTRO SITO
Studiointegrato.eu utilizza i seguenti cookie tecnici, che vengono installati automaticamente a seguito dell’accesso al sito, per le finalità indicate in relazione a ciascuno di essi:
- Session cookie – Il cookie di sessione archivia e recupera valori per un determinato utente. Le informazioni sono archiviate lato server e solo l’ID univoco contenuto nel cookie viene condiviso tra l’utente e il server. Le informazioni memorizzate sul server restano in memoria fino alla scadenza della sessione. Il cookie stesso non contiene dati personali.
I COOKIE DI TERZE PARTI
Studiointegrato.eu utilizza Google Analytics per raccogliere informazioni circa l’utilizzo degli utenti del proprio sito web. Google Analytics genera informazioni statistiche e di altro genere attraverso i cookie, memorizzati sui computer degli utenti. Le informazioni generate relative al nostro sito web sono utilizzate per fare dei report sull’utilizzo dei siti web. Google memorizzerà ed utilizzerà queste informazioni. La politica sulla privacy di Google è disponibile al seguente indirizzo: http://www.google.com/privacypolicy.html.
COME DISABILITARE I COOKIE
Nel caso volessi bloccare cookie ti ricordiamo che questo potrebbe avere un impatto negativo sull’usabilità di alcuni siti web.
La maggior parte dei browser ti permette di rifiutare/accettare i cookie. Di seguito ti riportiamo alcune informazioni pratiche per disabilitare i cookie sul browser che stai utilizzando.
Microsoft Internet Explorer
Cliccare l’icona ‘Strumenti’ nell’angolo in alto a destra e selezionare ‘Opzioni internet’. Nella finestra pop up selezionare ‘Privacy’. Qui potrete regolare le impostazioni dei vostri cookies.
Google Chrome
Cliccare la chiave inglese nell’angolo in alto a destra e selezionare ‘Impostazioni’. A questo punto selezionare ‘Mostra impostazioni avanzate’ (“Under the hood’”) e cambiare le impostazioni della ‘Privacy’.
Mozilla Firefox
Dal menu a tendina nell’angolo in alto a sinistra selezionare ‘Opzioni’. Nella finestra di pop up selezionare ‘Privacy’. Qui potrete regolare le impostazioni dei vostri cookies.
Safari
Dal menu di impostazione a tendina nell’angolo in alto a destra selezionare ‘Preferenze’. Selezionare ‘Sicurezza’ e qui potrete regolare le impostazioni dei vostri cookies.
Per disabilitare i cookie analitici e per impedire a Google Analytics di raccogliere dati sulla tua navigazione, puoi scaricare il Componente aggiuntivo del browser per la disattivazione di Google Analytics: https://tools.google.com/dlpage/gaoptout.
General policy on the protection of personal data
Index
1. PURPOSE, FIELD OF APPLICATION AND ADDRESSEES
2. REGULATORY REFERENCES
3. DEFINITIONS
4. BASIC PRINCIPLES OF THE PROCESSING OF PERSONAL DATA
4.1. Legality, fairness and transparency
4.2. Purpose limitation
4.3. Data minimization
4.4. Precision
4.5. Limitation of the retention period
4.6. Integrity and confidentiality
4.7. Responsibility
5. INTEGRATE DATA PROTECTION IN COMMERCIAL ACTIVITIES
5.1. Information to interested parties
5.2. Choice and consent of the interested party
5.3. Collection
5.4. Use, storage and disposal
5.5. Disclosure to third parties
5.6. Cross-border transfer of personal data
5.7. Access rights of data subjects
5.8. Data portability
5.9. Right to be forgotten
6. GUIDELINES ON THE CORRECT TREATMENT
6.1. Information to interested parties
6.2. Obtaining the consent
7. ORGANIZATION AND RESPONSIBILITY
8. GUIDELINES TO ESTABLISH THE MAIN CONTROL AUTHORITY
8.1. Need to establish the main supervisory authority
8.2. Head office and supervisory authority
8.2.1. Head office of the data controller
8.2.2. Head office of the controller
8.2.3. Main locations of owners and managers of non-EU companies
9. RESPONSE TO ACCIDENT INFRINGEMENT OF PERSONAL DATA
10. AUDIT AND LIABILITY
11. CONFLICTS OF LAW
12. DOCUMENT MANAGEMENT AND VALIDITY
1. Purpose, scope and recipients
UNO MARKET Srl, hereinafter defined as “Company”, undertakes to comply with the applicable laws and regulations concerning the protection of personal data in the countries where it operates.
This procedure defines the fundamental principles according to which the Company processes the personal data of customers, suppliers, business partners, employees and other individuals, and indicates the responsibilities of its services and of its employees in the processing of personal data.
This procedure applies to the Company and its subsidiaries (directly or indirectly) that carry out their activities within the European Economic Area or process personal data of interested parties in this area.
The addressees of this procedure are all employees, temporary or permanent, and all collaborators who work on behalf of the company.
2. Normative references
GDPR 2016/679 (Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of individuals with regard to the processing of personal data and on the free movement of such data and repealing Directive 95 / 46 / EC)
National laws or regulations relevant for the implementation of the Regulation
Data retention policy
Register of treatments
Procedure for requesting access and maintenance of data
Cross-border transfer of data
Procedure for answers to interested parties
3. definitions
The definitions used in this document are drawn from Article 4 of the European Regulation:
‘Personal data’ means any information concerning an identified or identifiable natural person (‘concerned’); an identifiable natural person can be identified, either directly or indirectly, with particular reference to an identifier such as a name, an identification number, location data, an online ID or one or more characteristic elements of his physical identity, physiological, genetic, psychological, economic, cultural or social;
Sensitive data: personal data which, by their nature, are particularly sensitive in relation to fundamental rights and freedoms and deserve specific protection as the context of their processing could create significant risks for fundamental rights and freedoms. This personal data includes personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, union membership, genetic data, biometric data that uniquely identify a natural person, health data or data related to a person’s sexual orientation .
Data controller: the natural or legal person, public authority, service or other body that, individually or together with others, determines the purposes and means of processing personal data;
Data processor: the natural or legal person, public authority, service or other body that processes personal data on behalf of the data controller;
Treatment: any operation or set of operations, performed with or without the aid of automated processes and applied to personal data or sets of personal data, such as collection, registration, organization, structuring, preservation, adaptation o the modification, extraction, consultation, use, communication by transmission, diffusion or any other form of making available, comparison or interconnection, limitation, cancellation or destruction;
Anonymisation: irreversible identification of personal data in such a way that the person can not be identified by technology and at reasonable times and costs either by the holder or by another person. The principles of processing personal data do not apply to anonymous data as these are not considered personal data.
Pseudonymisation: the processing of personal data in such a way that personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is stored separately and subject to technical and organizational measures to ensure that such personal data are not attributed to an identified or identifiable natural person; pseudonymisation reduces, but does not completely eliminate, the possibility of connecting a personal data to an interested party. Taking into account that the data that have undergone the pseudonymisation process are still personal data, this process must comply with the principles of personal data processing.
Cross-border treatment: processing of personal data which takes place within the framework of the activities of establishments in more than one Member State of a controller or controller in the Union where the controller or processor is established in more than one a Member State; or processing of personal data which takes place within the framework of the activities of a single establishment of a controller or controller in the Union, but which affects or is likely to substantially affect data subjects in more than one Member State;
Supervisory authority: the independent public authority established by a Member State in accordance with Article 51;
Main supervisory authority: the supervisory authority with primary responsibility for dealing with a cross-border data processing activity, for example when a data subject submits a complaint about the processing of their personal data; is responsible, inter alia, for receiving data breach notifications, for being informed about risky processing activities and having full authority with regard to its obligations to ensure compliance with the provisions of the GDPR;
Each “local supervisor” will still maintain its activity in its territory and will monitor any data processing at the local level concerning the data subjects or that is carried out by an EU or non-EU holder or manager when their processing is directed to the interested parties. that reside on its territory. Their tasks and powers include the carrying out of investigations and the application of administrative measures and sanctions, the general promotion of awareness of risks, rules, security and rights in relation to the processing of personal data, as well as access to any office of the owner and manager, including any tools and means of data processing.
Main establishment: as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless decisions on the purposes and means of processing of personal data are taken in another establishment of the holder of treatment in the Union and that the latter establishment has the power to order the execution of such decisions, in which case the establishment which has adopted such decisions is considered to be the main establishment;
Main establishment: with reference to a controller with establishments in more than one Member State, the place where its central administration is located in the Union or, if the controller does not have a central administration in the Union, establishment of the controller in the Union where the main processing activities are carried out in the context of the activities of an establishment of the controller, to the extent that the controller is subject to specific obligations under this Regulation;
Business group: a group consisting of a controlling company and its subsidiaries;
4. Basic principles of the processing of personal data
The data protection principles outline the basic responsibilities for organizations dealing with the processing of personal data. Article 5, point 2 of the Regulation states that “the data controller is responsible and must demonstrate compliance with these principles”.
4.1. Legality, fairness and transparency
Personal data must be processed in a lawful, fair and transparent manner in relation to the data subject.
4.2. Purpose limitation
Personal data must be collected for specific, explicit and legitimate purposes and not further processed in a manner incompatible with these purposes.
4.3. Data minimization
Personal data must be adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed. If possible to reduce the risks for those concerned, the Company must apply anonymisation or pseudonymisation to personal data.
4.4. Precision
Personal data must be accurate and, where necessary, updated; reasonable measures must be taken to ensure that inaccurate personal data, in relation to the purposes for which they are processed, are deleted or corrected in a timely manner.
4.5. Limitation of the retention period
Personal data must be kept for a period not exceeding that necessary for the purposes for which personal data are processed.
4.6. Integrity and confidentiality
Taking into account the state of the technology and other available security measures, implementation costs and the likelihood and severity of the risks of personal data, the Company must use appropriate technical or organizational measures to process personal data in such a way as to guarantee a adequate security of personal data, including protection against destruction, loss, alternation or accidental or illicit disclosure or unauthorized access.
4.7. Responsibility
Data controllers are responsible for demonstrating compliance with the principles described above.
5. Integrate data protection in commercial activities
In order to demonstrate compliance with data protection principles, the organization must integrate data protection in commercial activities.
5.1. Information to interested parties
(See the Guidelines section on correct treatment)
5.2. Choice and consent of the interested party
(See the Guidelines section on correct treatment)
5.3. Collection
The Company must try to collect as few personal data as possible. If personal data are collected by a third party, the Data Controller must ensure that personal data are collected in accordance with the law.
5.4. Use, storage and disposal
The purposes, methods, storage limits and retention period of personal data must be consistent with the information contained in the general data protection notice.
The Company must maintain the accuracy, integrity, confidentiality and relevance of personal data based on the purpose of the processing. Appropriate security mechanisms must be used to protect personal data to prevent it from being stolen or used improperly and to prevent breaches of personal data. The Owner is responsible for compliance with the requirements listed in this section.
5.5. Disclosure to third parties
Whenever the Company uses a third-party supplier or a business partner to process personal data on its behalf, the privacy contact person must ensure that this processor provides appropriate security measures to safeguard personal data against the associated risks. To this end, it is necessary to use a specific conformity questionnaire. (Processor GDPR Compliance Questionnaire)
The Company must contractually request the supplier or business partner to provide the same level of data protection. The supplier or business partner must process personal data only to fulfill its contractual obligations towards the Company or upon instructions of the Company and not for other purposes. When the Company processes personal data jointly with an independent third party, the Company must explicitly specify its respective responsibilities and the third party in the respective contract or any other legally binding document, such as the Supplier’s Data Processing Agreement (Supplier Data) Processing Agreement).
5.6. Cross-border transfer of personal data
Before transferring personal data from the European Economic Area (EEA) appropriate safeguards must be used, including the signing of an agreement on data transfer, as requested by the European Union and, if necessary, authorization from part of the data protection authority. The entity that receives personal data must respect the principles of the processing of personal data established in the Cross-border data transfer procedure.
5.7. Access rights of data subjects
When acting as data controller, the company is required to provide the interested parties with a reasonable access mechanism that allows them to access their personal data and must allow them to update, correct, delete or transmit their personal data, if case or required by law. The access mechanism will be further detailed in the procedure for requesting access to the data of the data subject.
5.8. Data portability
Data subjects are entitled to receive, on request, a copy of the data they have provided in a structured format and to transmit such data for free to another holder. The Controller is responsible for ensuring that such requests are processed within one month, are not excessive and do not affect the rights of other people’s personal data.
5.9. Right to be forgotten
On request the interested party has the right to obtain the cancellation of his personal data from the company. When the company acts as the data controller, the privacy contact must take the necessary actions (including technical measures) to inform the third parties who use or process those data to comply with the request.
6. Guidelines on correct treatment
Personal data can be processed only if explicitly authorized by the owner.
The company must decide whether to perform a data protection impact assessment for each data processing activity as defined in the Data Protection Impact Assessment Guidelines.
6.1. Information to interested parties
At the time of collection or prior to the collection of personal data for any type of processing activity including but not limited to the sale of products, services or marketing activities, the Controller is responsible for informing the data subjects adequately of the following: the type of data personal data collected, the purposes of the processing, the methods of treatment, the rights of the data subjects in relation to their personal data, the retention period, potential international transfers of data, if the data will be shared with third parties and the security measures of the Company to protect personal data. This information is provided through a general information on data protection.
If the company has multiple data processing activities, it will be necessary to develop different communications that will be different depending on the processing activity and the categories of personal data collected, for example, an information could be written for mailings and a different for shipping by ordinary mail.
Where personal data are shared with third parties, the Data Controller must ensure that the data subjects have been informed of this by means of a general information on data protection.
Where personal data are transferred to a third country on the basis of the cross-border data transfer policy, the general data protection notice should specify it, clearly indicating where and to what extent personal data are transferred.
In the event that sensitive personal data are collected, the Data Protection Officer must ensure that the general data protection notice explicitly clarifies the purpose for which such sensitive data are collected.
6.2. Obtaining the consent
Whenever the processing of personal data is based on the consent of the data subject, or on other legitimate reasons, the Data Controller is responsible for maintaining a record of such consent. The Data Controller is responsible for presenting to the persons concerned the different options to provide consent and must inform and ensure that their consent (each time it is used as a legal basis for processing) can be revoked at any time.
When asked to correct, modify or destroy records of personal data, the Privacy Contactor must ensure that such requests are handled within a reasonable period of time. The Privacy Contactor must also register the requests and keep a special register.
Personal data must be processed only for the purpose for which they were originally collected. In the event that the Company wishes to process the personal data collected for another purpose, the Company must request the consent of its interested parties in a clear and concise written form. Any such request should include the original purpose for which the data were collected and also the new or additional purposes. The request must also include the reason for the change of purpose (s). The Data Protection Officer is responsible for compliance with the rules in this paragraph.
Now and in the future, the Privacy Contactor must ensure that the collection methods comply with the law, good practices and relevant industry standards.
The Privacy Contact Person is responsible for creating and maintaining a register of general information on data protection.
7. Organization and responsibility
The responsibility to guarantee the adequate processing of personal data rests with anyone who works within or on behalf of the Company and has access to the personal data processed by it.
The main areas of responsibility for the processing of personal data refer to the following organizational roles:
The Board of Directors or other competent decision-making body takes decisions and approves the Company’s general strategies for the protection of personal data.
The Data Protection Officer (DPO) or any other relevant employee is responsible for the management of the personal data protection program and the development and promotion of end-to-end personal data protection procedures, as defined in the Job description of the Date Protection Officer;
The Legal / Advisory Department in conjunction with the Data Protection Officer monitors and analyzes personal data laws and regulatory changes, develops compliance requirements and assists corporate departments in achieving their personal data goals.
The IT manager is responsible for:
ensure that all systems, services and equipment used for data storage have adequate security standards
carry out periodic checks and examinations to verify the level of security of the hardware and the correct functioning of the software.
The Marketing manager is responsible for:
approve of any declaration on data protection attached to communications such as e-mails and letters.
Address any queries regarding data protection by journalists or other media like newspapers.
Where necessary, work with the Data Protection Officer to ensure that marketing initiatives comply with data protection principles.
The Human Resources Manager is responsible for:
improve the awareness of all employees on the protection of personal data of users.
organize for employees who work with personal data training to increase their competence on personal data protection and awareness.
end-to-end protection of employee personal data. It must ensure that the personal data of employees are processed on the basis of legitimate purposes and the employer’s business needs.
The Procurement Manager is responsible for transferring the responsibility for protecting personal data to suppliers and for improving awareness levels of suppliers with regard to the protection of personal data, as well as for the transmission of personal data requirements to any third party suppliers that it uses. The Purchasing Department must ensure that the Company reserves the right to control suppliers through audits.
8. Guidelines for establishing the main supervisory authority
8.1. Need to establish the main supervisory authority
The identification of a principal control authority is relevant only if the Company carries out the cross-border transfer of personal data.
Cross-border transfer of personal data is carried out if:
the processing of personal data is carried out by subsidiaries of the Company based in other Member States;
or
the processing of personal data that take place at one location of the Company in the European Union, but which substantially affects or could affect data subjects in more than one Member State.
If the company has offices only in one Member State and its processing activities concern only the persons concerned in that Member State, it is not necessary to establish a main supervisory authority. The only competent authority will be the supervisory authority in the country where the company has its registered office.
8.2. Head office and supervisory authority
8.2.1. Head office of the data controller
The [top management of the Company] must identify the head office so that the supervisory authority can be established.
If the Company is based in a state of the European Union and has to make decisions about cross-border processing activities instead of its central administration, there will be only one main control authority for the company’s data processing activities.
If the Company has multiple locations that act independently and make decisions about the purposes and means of processing personal data, [the Company’s top management] must recognize that there is more than one primary supervisory authority.
8.2.2. Head office of the controller
When the Company acts as the controller of the processing, the main office will be the place of central administration. In the event that the central administration location is not located in the EU, the main office will be the establishment in the EU where the main processing activities take place.
8.2.3. Main locations of owners and managers of non-EU companies
If the company does not have its head office in the European Union, and has its subsidiaries within the territory of the Union, the competent supervisory authority is the local supervisory authority.
If the company has neither the head office nor controlled within the European Union, a representative in Europe must be appointed and the competent supervisory authority will be the supervisory authority of the place where the appointed representative is located.
9. Response to incidents of violation of personal data
When the company becomes aware of a suspected or actual violation of personal data, the Privacy Contact must conduct an internal investigation and take appropriate measures in a timely manner, as required by the data breach procedure. If there are threats to the rights and freedoms of the data subjects, the company must notify the data protection authorities without delay, and if possible within 72 hours.
10. Audit and responsibility
The audit department or other relevant offices are responsible for verifying the correct application of this procedure by the other company areas.
Anyone who violates this procedure will be subject to disciplinary action, and if the violation committed infringes laws or regulations, the person will also be subject to civil and criminal liability.
11. Conflicts of the law
This procedure is intended to comply with the laws and regulations in force in the countries in which it is located and where the Company operates. In case of conflict between this procedure and the applicable laws and regulations, the latter prevail.
12. Management and validity of the document
The person in charge of the document is the Privacy Contact Person, who has the task of checking it and, if necessary, updating it, at least annually.
Use of cookies
This site uses cookies. By using our website you agree to accept and consent to the use of cookies in accordance with the terms of use of cookies expressed in this document.
WHAT ARE COOKIES?
Cookies are text files that contain information packages that are stored on your computer or on your mobile device every time you visit an online site through a browser. At each subsequent visit the browser sends these cookies to the website that originated them or to another site. Cookies allow sites to remember certain information to allow you to browse online quickly and easily.
There are two main types of cookies: session cookies and permanent cookies. Session cookies are automatically deleted from your computer when you close your browser, while persistent cookies remain stored on your computer unless they are deleted or reach their expiration date.
COOKIES ON OUR SITE
Studiointegrato.eu uses the following technical cookies, which are installed automatically as a result of access to the site, for the purposes indicated in relation to each of them:
Session cookie – The session cookie stores and retrieves values for a given user. The information is stored on the server side and only the unique ID contained in the cookie is shared between the user and the server. The information stored on the server remains in memory until the session expires. The cookie itself does not contain personal data.
THIRD-PARTY COOKIES
Studiointegrato.eu uses Google Analytics to gather information about the use of users of its website. Google Analytics generates statistical and other information through cookies, stored on users’ computers. The information generated relating to our website is used to report on the use of websites. Google will memorize and use this information. The Google Privacy Policy is available at the following address: http://www.google.com/privacypolicy.html
HOW TO DISABLE COOKIES
In case you want to block cookies we remind you that this could have a negative impact on the usability of some websites.
Most browsers allow you to refuse / accept cookies. Below is some practical information to disable cookies on the browser you are using.
Microsoft Internet Explorer
Click on the ‘Tools’ icon in the upper right corner and select ‘Internet Options’. In the pop up window select ‘Privacy’. Here you can adjust the settings of your cookies.
Google Chrome
Click the wrench in the upper right corner and select ‘Settings’. At this point select ‘Show advanced settings’ (“Under the hood'”) and change the settings of the ‘Privacy’.
Mozilla Firefox
From the drop-down menu in the upper left corner, select ‘Options’. In the pop up window select ‘Privacy’. Here you can adjust the settings of your cookies.
Safari
From the drop down setting menu in the upper right corner select ‘Preferences’. Select ‘Security’ and here you can adjust the settings of your cookies.
To disable analytical cookies and to prevent Google Analytics from collecting data on your browsing, you can download the browser add-on to disable Google Analytics: https://tools.google.com/dlpage/gaoptout.
15 Febbraio, 2023
UNO MARKET S.R.L
P.IVA: 00617540075
DATI SOCIETARI
UNO MARKET S.R.L
Route Ramey 67 – 11020 Champoluc (AO)
Rea: AO – 52858
P.IVA: 00617540075
CODICE LEI: 815600E2D42BB5688D38
PEC: unomarketsrl@legalmail.it