Regolamento UE 2016/679 – GDPR

Società: Web Coaching s.r.l.

Revisione del 28 novembre 2019

 

Politica aziendale per la protezione dei dati personali, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche

 

Definizioni

– Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

– Interessati: le persone fisiche a cui i Dati personali si riferiscono;

– Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

– Titolare del Trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;

– Responsabile del Trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio, altro organismo che tratta dati personali per conto del titolare del trattamento;

 

Scopo

Scopo del presente documento è quello di descrivere i principi generali e le scelte organizzative della Società in relazione ai trattamenti di dati personali che essa svolge in veste di Titolare del trattamento o di Responsabile del trattamento, al fine di assicurare la loro sicurezza e riservatezza a tutela dei diritti e delle libertà di tutti i soggetti coinvolti nell’esecuzione delle sue attività, in ottemperanza al Regolamento Europeo 2016/679, d’ora in avanti GDPR.

 

Sintetica descrizione della Società

La Società si occupa di web marketing e altre attività online per conto dei clienti Aziende, Professionisti e Organizzazioni. 

Essa è amministrata esclusivamente dal socio unico e si avvale della collaborazione di un numero limitato di collaboratori che si occupano dell’esecuzione tecnico – pratica dei servizi richiesti dai clienti, soprattutto da remoto e tramite proprie apparecchiature.

 

Obiettivi perseguiti

La Società intende dare attuazione ai principi dettati dal GDPR in materia di protezione dei dati personali attraverso un sistema di gestione sicura e riservata delle informazioni di natura personale da essa trattate.

 

Per far questo, adiuvata da professionista esperto in materia, la Società ha effettuato una mappatura dei trattamenti svolti nell’ambito delle proprie attività e, sebbene non obbligata dalla normativa, ha redatto e tiene costantemente aggiornato un Registro dei trattamenti in formato elettronico, secondo le linee guida diffuse dalle Autorità di controllo europee.

 

Descrizione generale dei trattamenti effettuati

I trattamenti mappati vedono generalmente la Società ricoprire la veste di Titolare del trattamento. Tuttavia, essa svolge anche trattamenti di dati personali per conto di diversi titolari, con la qualifica di Responsabile del trattamento e sulla scorta di accordi formalizzati, generalmente predisposti dai titolari.

 

I trattamenti effettuati dalla Società in qualità di Titolare riguardano normalmente dati personali ordinari, necessari a gestire le proprie attività e ad adempiere ai propri obblighi nei confronti dei clienti/prospects e dei fornitori, dei collaboratori/candidati e degli utenti delle pagine web e social da essa amministrate. I dati personali eccedenti o non pertinenti eventualmente contenuti nella documentazione pervenuta alla Società, specie se rientranti nella categoria dei dati particolari o giudiziari, non vengono ulteriormente trattati e, se possibile, vengono separati e cancellati.

 

Il trattamento avviene presso gli uffici della Società ed i dati sono comunicati all’esterno solo per ciò che è strettamente indispensabile all’adempimento degli obblighi amministrativi, fiscali, e contributivi a destinatari designati quali Responsabili del trattamento tramite apposito accordo scritto o alla Pubblica Amministrazione.

I dati non sono diffusi, né comunicati a soggetti extra UE, fatto salvo quanto connesso all’utilizzo di servizi di cloud storage e posta elettronica offerti da Google Inc. (che, tuttavia, garantisce tra i più elevati standard di sicurezza del mercato, in adesione al c.d. Privacy Shield).

 

La maggior parte dei trattamenti effettuati dalla Società, risultano avere come base giuridica di legittimazione l’esecuzione di misure contrattuali e precontrattuali adottate su richiesta dell’Interessato (art. 6 comma 1 lett. b GDPR), ovvero l’adempimento di obblighi legali (art. 6 comma 1 lett. c GDPR). L’eventuale trattamento dei dati degli interessati per far valere o difendere in giudizio i diritti della Società, fondato sulla base giuridica del legittimo interesse (art. 6 comma 1 lett. f GDPR), non pare creare problemi di bilanciamento con i diritti e le libertà degli interessati, posta anche la natura ordinaria dei dati personali utilizzati.

 

Per quanto riguarda:

• le attività di marketing diretto e, segnatamente, per l’iscrizione di Clienti, prospetcs e utenti del sito web a una mailing list promozionale;
• la pubblicazione dei dati identificativi, delle fotografie e delle esperienze e competenze professionali dei collaboratori sul proprio sito web,

la Società ritiene corretto ricorrere alla preventiva richiesta di consenso esplicito e informato da parte degli interessati.

 

Considerando le condizioni sopra descritte e tenendo conto dell’organizzazione sostanzialmente individualistica della Società, dell’accentramento in capo al socio unico e amministratore di tutte le decisioni aziendali e della sua costante applicazione diretta nelle attività che comportano il trattamento dei dati personali, la Società ritiene che il livello generale di rischio per i diritti e le libertà degli individui in relazione ai trattamenti da essa effettuati sia basso e possa essere presidiato efficacemente attraverso la formazione dei collaboratori e la predisposizione delle misure tecniche ed organizzative di sicurezza di cui al documento “A” allegato alla presente.

 

Soggetti autorizzati a trattare i datti personali – Formazione

Tutte le persone che trattano dati personali sotto l’autorità della Società sono formalmente autorizzati a farlo tramite atto di designazione contenente istruzioni e divieti di carattere generale atti a presidiare la sicurezza e la riservatezza dei dati.

 

In ogni caso, la Società ritiene fondamentale che detti soggetti siano debitamente istruiti sui relativi compiti e responsabilità e si impegnino personalmente al rispetto scrupoloso della riservatezza.

 

La Società ha redatto un piano di formazione pensato e realizzato per le specifiche attività effettuate dai collaboratori ed avente le seguenti caratteristiche:

1. a) specificità – corrispondenza alla tipologia di mansione/ruolo svolto;
2. b) appropriatezza – in relazione alla tipologia dei trattamenti dati realizzati;
3. c) continuità – aggiornamento periodico in particolare per eventuali nuovi assunti;
4. d) documentabilità – il suo svolgimento ed i successivi aggiornamenti devono risultare da registri, attestati o altre forme che ne diano evidenza;
5. e) efficacia – deve essere verificata periodicamente la comprensione generale, specifica ed il recepimento dei protocolli organizzativi aziendali.

 

La formazione di tutti i collaboratori ha ad oggetto anche il riconoscimento e la segnalazione delle violazioni di sicurezza (data breach), nonché le istruzioni per la cancellazione dei dati personali in sicurezza.

 

Nei confronti dei nostri fornitori – Responsabili del trattamento

Nella scelta dei fornitori di servizi complementari che comportino la comunicazione ad essi di dati personali e lo svolgimento di trattamenti per conto della Società, quest’ultima si impegna a pretendere il rispetto di adeguati standard di sicurezza e a regolare i rapporti attraverso appositi accordi scritti. In tutti i casi in cui i fornitori si trovino a effettuare sui dati personali comunicati dei trattamenti per conto della Società, i relativi accordi sono contenuti nell’atto di designazione a responsabili del trattamento.

 

La Società si impegna anche a monitorare periodicamente la persistenza degli standard di sicurezza in capo ai fornitori ed il rispetto delle istruzioni impartite ai responsabili del trattamento.

 

Adempimenti e protocolli applicati ai trattamenti di dati personali

 

• Costante aggiornamento del Registro dei trattamenti che permette la verifica delle varie tipologie di dati trattati e delle categorie di appartenenza nonché la verifica della finalità di ogni trattamento e della base giuridica anche al fine di rendere adeguata informativa agli Interessati;
• Verifica e aggiornamento periodico delle informative e della loro veridicità e adeguatezza;
• Corretta conservazione dei consensi prestati dagli Interessati;
• Formalizzazione di regole per il controllo degli accessi ai dati personali tramite autenticazione degli operatori;
• Adozione di misure di sicurezza fisica dei luoghi e degli strumenti presso/attraverso i quali si svolge il trattamento di dati personali;
• Instaurazione di una procedura da adottare in caso di eventuali violazioni della sicurezza dei dati (c.d. data breach), compreso un piano interventi per evitare l’indisponibilità prolungata dei dati; il compito di valutare la gravità delle conseguenze e dei rischi, vista l’organizzazione aziendale, spetta unicamente all’amministratore, eventualmente con il supporto di consulenti esperti esterni;
• Verifica periodicamente dell’efficienza e dell’efficacia, nonché dell’adeguatezza delle misure tecniche/organizzative applicate, in particolare in occasione di evoluzioni significative del business, subentro di nuove minacce rispetto a quelle considerate, significativi incidenti di sicurezza, evoluzione del contesto normativo o legislativo di riferimento.