Premessa

La presente politica interna (c.d. policy) attiene alle disposizioni attuative del Regolamento EU 679/2016, nonché al D.lgs 196/2003 e s.m.i., e rappresenta un atto d’indirizzo in materia di protezione dei dati personali trattati dal Titolare CONVEL SRL, nel rispetto della dignità e del diritto alla riservatezza delle persone fisiche, le quali esercitano, a diversi livelli di responsabilità e di funzione, un rapporto diretto o indiretto con il Titolare. Esse sono i clienti, il personale dipendente, i fornitori ed i candidati. A tal fine, il Titolare adotta idonee e preventive misure di sicurezza volte a ridurre al minimo i rischi di perdita dei dati, di accesso non autorizzato al trattamento oppure di trattamento illecito e non conforme alle finalità della raccolta. Il Titolare adotta altresì le misure necessarie per facilitare l’esercizio dei diritti dell’interessato, ai sensi del Regolamento EU 679/2016.

Con il presente scritto si rappresenta in modo trasparente come e perché vengono raccolti, memorizzati, elaborati, condivisi e utilizzati i dati personali degli interessati, oltre ad illustrare i controlli e le scelte che gli stessi possono esercitare su quando e come condividere tali dati.

Informazioni sulla policy

La presente policy illustra i dettagli essenziali relativi al trattamento dei dati personali degli interessati. Le disposizioni della presente policy si riferiscono a tutti i servizi del Titolare del trattamento. Vi è la possibilità di offrire o introdurre nuovi servizi. Qualora l’introduzione di questi servizi nuovi o aggiuntivi dovesse comportare una modifica del modo in cui si raccolgono e si trattano i dati personali degli interessati, verranno fornite ulteriori spiegazioni e termini o condizioni aggiuntivi. Se non diversamente specificato, eventuali servizi nuovi o aggiuntivi rientreranno nell’ambito di applicazione della presente Informativa.

Diritti e preferenze: scelta e controllo dell’interessato

Si informa l’interessato che il “Regolamento generale sulla protezione dei dati” o “GDPR” (General Data Protection Regulation) conferisce determinati diritti alle persone fisiche in relazione ai loro dati personali. Nella misura in cui sono disponibili e ad eccezione di quanto disposto dalla legge vigente, i diritti concessi sono i seguenti:

a) diritto di accesso: il diritto di essere informati e di richiedere l’accesso ai dati personali trattati che riguardano l’interessato;

b) diritto di rettifica: il diritto di richiedere la modifica o l’aggiornamento dei dati personali dell’interessato in caso di inesattezza o incompletezza;

c) diritto di cancellazione: il diritto di richiedere la cancellazione definitiva dei dati personali;

d) diritto di limitazione: il diritto di richiedere di interrompere temporaneamente o definitivamente il trattamento di tutti o di alcuni dei dati personali dell’utente;

e) diritto di opposizione:

– diritto di opporsi in qualsiasi momento al trattamento dei dati personali per motivi connessi alla situazione specifica dell’interessato;

– il diritto di opporsi al trattamento dei dati personali per finalità di marketing diretto, ove sussistessero;

f) diritto di portabilità dei dati: diritto di richiedere una copia dei propri dati personali in formato elettronico e il diritto di trasmettere tali dati personali per utilizzarli nell’ambito del servizio di altri;

g) diritto di non essere soggetti a un processo decisionale automatizzato: il diritto di non essere soggetti a una decisione basata esclusivamente su un processo decisionale automatizzato, anche in materia di profilazione, qualora la decisione abbia un effetto giuridico sull’interessato o comporti un effetto altrettanto significativo.

Eventuali richieste di rilascio di copia da parte di soggetti diversi dall’interessato non accompagnate da delega potranno essere accolte, in tutto o in parte, solo se la richiesta è giustificata dalla documentata necessità di:

1. far valere o difendere un diritto in sede giudiziaria di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile;

2. tutelare, in conformità alla disciplina sull’accesso ai documenti amministrativi, una situazione giuridicamente rilevante, di rango pari a quella dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile.

Le richieste di accesso senza delega sono valutate dal Titolare del trattamento.

Per qualsiasi domanda sulla privacy, sui diritti o su come esercitarli, le richieste potranno essere inoltrate all’indirizzo mail info@convel.biz. La risposta alle richieste dell’interessato verrà fornita entro un periodo di tempo ragionevole e comunque non superiore a 30 giorni, salvo necessità di proroga per le ragioni che verranno prontamente comunicate all’interessato, previa verifica dell’identità di chi abbia effettuato la richiesta.

Tipologie di dati personali raccolti

Il dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Il Titolare tratta i seguenti dati personali comuni:

a) dati comuni dei clienti dagli stessi comunicati per l’espletamento dell’attività del Titolare, relativi altresì alla reperibilità o alla corrispondenza con gli stessi, nonché inerenti a fini fiscali;

b) dati comuni del personale dipendente funzionali al rapporto di lavoro, alla reperibilità, alla corrispondenza con gli stessi o richiesti a fini fiscali e previdenziali (quali l’indirizzo e-mail, la data di nascita, il sesso, il codice postale, la residenza, numero di cellulare, le coordinate bancarie, nonché informazioni circa le competenze professionali);

c) dati comuni di potenziali candidati;

d) dati comuni dei fornitori dagli stesi comunicati, relativi altresì alla reperibilità o alla corrispondenza con gli stessi, nonché inerenti a fini fiscali.

Si tratta dei dati personali forniti dagli interessati e trattati per consentire l’esercizio dell’attività del Titolare o per instaurare/dare esecuzione ad un contratto di lavoro o altro tipo di rapporto con il Titolare. L’interessato ha inoltre la possibilità di fornire ulteriori dati personali al fine agevolare l’esecuzione del rapporto in essere con il Titolare.

I dati personali raccolti e trattati dipendono dal tipo di rapporto e/o contratto in essere tra il Titolare e l’interessato. Il dato particolare è quel dato personale sensibile idoneo a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’adesione ai partiti politici, ai sindacati, ad associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché idoneo a rivelare lo stato di salute e la vita sessuale dell’interessato, ed il dato biometrico.

Il Titolare può trattare, a seconda dell’attività svolta, i dati particolari di:

a) candidati;

b) personale dipendente conseguenti al rapporto di lavoro, anche sanitari, ovvero inerenti ai rapporti con gli enti previdenziali, assicurativi ed assistenziali, ovvero inerenti all’adesione ad organizzazioni sindacali;

c) clienti e fornitori, necessari per l’esercizio dell’attività del Titolare, compresi dati biometrici assunti attraverso eventuali strumenti di videosorveglianza e/o geolocalizzazione;

I dati particolari che non sono pubblici vengono acquisiti direttamente dall’interessato e legittimamente trattati nel rispetto della normativa vigente.

Trattamento dei dati

Con l’espressione “trattamento” si intende qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Qualunque trattamento di dati personali da parte del Titolare è consentito soltanto per lo scopo per cui tali dati sono stati raccolti.

Tutti i dati vengono trattati e conservati in fascicoli cartacei riposti in armadi chiusi e posti in locali dotati di chiusura a chiave e sistema anti intrusione, nonché su supporti informatici.

Il trattamento dei dati viene prevalentemente svolto presso i locali del Titolare da parte di collaboratori/personale dipendente all’uopo delegato allo svolgimento di specifiche mansioni.

Criteri per l’esecuzione del trattamento dei dati personali

Il trattamento dei dati viene effettuato con modalità atte ad assicurare il rispetto del diritto di riservatezza e della dignità degli interessati. Oggetto del trattamento devono essere i soli dati personali necessari per lo svolgimento delle attività svolte dal Titolare o per adempiere ad obblighi di Legge.

I dati personali sono trattati in modo lecito e corretto, raccolti e registrati secondo fini legittimi. I dati sono esatti, aggiornati, pertinenti e non eccedenti rispetto alle finalità per le quali sono raccolti e trattati.

Nei trattamenti è autorizzata solo l’esecuzione delle operazioni strettamente necessarie al perseguimento delle finalità per le quali il trattamento è consentito.

E’ compito del Titolare del trattamento verificare la liceità e la correttezza dei trattamenti, l’esattezza e l’aggiornamento dei dati, nonché la loro pertinenza, completezza, non eccedenza e necessità rispetto alle finalità perseguite per compiti istituzionali. I dati che, anche a seguito di verifiche, risultassero eccedenti, non pertinenti o non necessari, non potranno essere utilizzati, salvo che per l’eventuale conservazione, a norma di legge, dell’atto che li contiene. I trattamenti di dati effettuati attraverso l’accesso in banche dati pubbliche avviene nel rispetto della vigente normativa in materia di protezione dei dati personali.

In ogni caso vengono adottate misure tali da garantire che i dati personali, soprattutto quelli particolari, siano accessibili ai soli Titolare del trattamento, autorizzati interni, responsabili del trattamento regolarmente nominati ex art. 28 Reg. UE, nella misura strettamente necessaria allo svolgimento delle mansioni di ciascuno.

Utilizzo delle informazioni confidenziali

Il personale dell’Azienda è tenuto a garantire la segretezza delle informazioni riservate o segreti commerciali ed a farne uso esclusivamente per lo svolgimento delle proprie mansioni, non potendo pertanto in alcun caso farne uso differente. Il personale è tenuto a non rivelare, trasferire e/o comunicare, anche solo in parte, dette informazioni a terzi (società, enti o persone fisiche) né a riprodurre, copiare e/o duplicare, in qualsiasi modo ciò avvenga, documenti (ivi compresi quelli elettronici) contenenti le informazioni confidenziali o parte delle stesse, se non con il preventivo consenso scritto del Titolare.

Se non preventivamente autorizzato, non viene inoltre permesso al personale di portare con sé, al di fuori degli uffici aziendali, documentazione, progetti, disegni e quant’altro contenga informazioni riservate. L’obbligo di segretezza sopra disposto nonché i conseguenti divieti, vincolano il personale sia in vigenza di rapporto di lavoro, che successivamente alla sua cessazione.

Regole informatiche

La riservatezza delle informazioni deve venir attuata anche attraverso la scrupolosa osservanza delle disposizioni contenute nel Regolamento per l’utilizzo dei sistemi informatici adottato dal Titolare per una corretta gestione degli strumenti elettronici dati in dotazione al personale e per tutti gli ulteriori specifici adempimenti connessi. Le disposizioni previste dal presente regolamento in alcun caso fanno venir meno l’applicazione di quellecontenute nel sopra citato regolamento informatico, dovendosi semmai con esse essere integrate.

Comunicazione dei dati

La comunicazione dei dati personali degli interessati da parte del Titolare ad altri soggetti è ammessa esclusivamente per finalità inerenti all’attività del Titolare, nella misura strettamente necessaria allo svolgimento delle mansioni di ciascuno.

Informativa all’interessato

L’informativa sulle finalità e le modalità di trattamento dei dati personali può essere fornita mediante modello cartaceo, telematicamente, in forma verbale o esibita presso gli uffici del Titolare. Tali diverse modalità hanno tra di loro la medesima valenza ed efficacia.

Consenso al trattamento dei dati

Il Titolare tratta i dati personali comuni degli interessati. Solo in mancanza di altra base giuridica di cui all’elenco dell’art. 6 del Reg UE 679/2016, il trattamento sarà legittimato previa assunzione del consenso dell’interessato.

Registro delle attività di trattamento ex art. 30 Reg. UE

Il Titolare ha redatto il Registro delle attività di trattamento. Tale documento va aggiornato all’occorrenza sulla base dell’analisi dei rischi, che emerge dal monitoraggio delle misure logiche, fisiche ed organizzative adottate da Titolare al fine di garantire, in maniera continuativa e migliorativa, la tutela della privacy nel trattamento dei dati. Il Documento è oggetto di verifica ispettiva da parte del Garante.

Conservazione

Il dati personali sono conservati per il tempo necessario all’esecuzione del rapporto contrattuale o per il tempo di valenza del diverso rapporto, ivi compreso il termine di prescrizione dei diritti sottesi.

Trattamento di dati all’estero

I dati degli interessati possono essere trasferiti all’estero poiché è facoltà del Titolare, nello svolgimento della propria attività lavorativa, utilizzare strumenti quali ad esempio WeTransfer e Cloud per cui si garantisce il rispetto del Capo V del Regolamento

Data Breach

Il data breach consiste in ogni violazione di sicurezza che possa comportare accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Si riporta di seguito un elenco, non tassativo né esaustivo, di possibili ipotesi di violazioni che si possono verificare nella presente realtà Aziendale:

– sottrazione illecita strumenti informatici (es. furto del pc, tablet)

– perdita accidentale degli strumenti informatici (es. smarrimento pc, tablet);

– sottrazione illecita documentazione cartacea contenente dati personali trattati dall’Azienda (es. furto

agenda);

– perdita accidentale documentazione cartacea contenente dati personali trattati dall’Azienda (es.

smarrimento agenda);

– hackeraggio;

– ostaggio rete informatica;

– accesso non autorizzato al proprio strumenti informatico lasciato incustodito.

In caso di violazione dei dati personali, il titolare del trattamento è tenuto a notificare la violazione all’autorità di controllo competente a norma dell’articolo 55 del Reg. UE senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità dicontrollo non sia effettuata entro 72 ore, la stessa dovrà essere motivata.

Gli autorizzati o chiunque venisse a conoscenza di una violazione subita deve darne notizia al Sig. Giovanni Lovato o Andrea Gallo, oralmente o preferibilmente tramite compilazione del modulo disponibile presso gli Uffici del Titolare entro e non oltre 24 ore.

I soggetti sopra indicati, una volta ricevuta la comunicazione della violazione, valuteranno in concerto la gravità del rischio e adotteranno gli opportuni accorgimenti. Tali soggetti valuteranno altresì se formalizzare una segnalazione di data breach.

Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento comunicherà la violazione anche all’interessato senza ingiustificato ritardo.

Il Titolare redige il registro delle violazioni subite.

Terzi soggetti

Agli Enti, agli organismi, agli altri soggetti pubblici e privati esterni al Titolare ai quali siano affidati attività o servizi, con esclusivo riferimento alle connesse operazioni di trattamento dei dati, viene loro attribuita la funzione di Responsabile del trattamento, ai sensi dell’art. 28 del Reg. UE.

Nei contratti di affidamento di attività o di servizi a soggetti esterni al Titolare può essere inserita apposita clausola di garanzia con la quale il soggetto affidatario si impegna, per i trattamenti di dati effettuati, in forza del rapporto contrattuale, all’osservanza delle norme di legge sulla protezione dei dati personali.

Salvaguardia dei dati

Ci impegniamo a proteggere i dati personali degli interessati. Adottiamo misure tecniche e organizzative adeguate per proteggere la sicurezza dei dati personali dell’interessato; si ricorda tuttavia che nessun sistema è mai completamente sicuro, sebbene i nostri sistemi siano idonei ad assicurare la tutela della conservazione dei dati contro l’accesso non autorizzato e la cancellazione dei dati personali non necessari dai nostri sistemi.

Titolare del Trattamento

Convel Srl (il “Titolare”) c.f. e P.Iva 02435850249, con sede in Via Prati 11 – 36031 Dueville (VI), fraz. Povolaro, in persona del legale rappresentante (tel: (+39) 0444 – 361301, pec: convel@legalmail.it, mail: info@convel.biz) è il Titolare ai fini del trattamento dei dati personali ai sensi della presente Policy.

Al Titolare del trattamento competono le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali ed alle misure organizzative utilizzate, in materia di privacy, ivi compreso il profilo della sicurezza. Egli si avvale, per il coordinamento delle attività di tutela della privacy, dei autorizzati interni, i quali rivestono un profilo di carattere esclusivamente funzionale, sia in materia di tutela della privacy che di sicurezza dei dati.

Entrata in vigore e Pubblicità della policy

Con l’entrata in vigore del presente Regolamento tutte le disposizioni in precedenza adottate in materia, in qualsiasi forma comunicate, devono intendersi abrogate, qualora incompatibili o difformi, poiché sostituite dalle presenti.

Una copia della presente policy verrà affissa nei locali del Titolare anche per quanto prevede l’art.7 della Legge n. 300/1970, e pubblicata nel sito internet della società per quanto d’interesse a collaboratori, consulenti, agenti od altri incaricati esterni, clienti, fornitori e candidati.

Povolaro, lì _______________

f.to Titolare del trattamento

Convel Srl