0. Premessa
La società Tecmo s.r.l. (di seguito semplicemente “Tecmo” o “società” o “Il Titolare del trattamento”), in linea con le normative a tutela dei dati personali delle persone fisiche, D.lgs. 196/2003 (di seguito “Codice Privacy”) e del Regolamento UE n. 2016/679 (di seguito, semplicemente “GDPR”), intende garantire la privacy e la sicurezza dei dati personali ad esso affidati coerentemente con quanto prescritto nella presente privacy policy.
La legislazione vigente prevede la tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali. A norma della stessa, tale trattamento sarà improntato ai principi di correttezza, liceità e trasparenza tutelando la riservatezza e i diritti dell’interessato.
I dati personali vengono raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo compatibile con tali finalità.
Con il presente documento si descrivono sinteticamente le modalità di trattamento dei dati personali ed i principi ispiratori per quanto concerne il corretto trattamento dei dati personali da parte della società e dei suoi incaricati al trattamento dei dati.
Si tratta di un documento che è reso e diffuso con l’intento di rendere quanto più trasparente la gestione del trattamento di dati personali e promuovere al contempo la cultura della protezione e della riservatezza dei dati personali degli interessati.
1. Definizioni
Vengono riportate, per comodità d’uso, le definizioni utilizzate nel seguente documento, tratte dal regolamento UE n. 679 del 24 aprile 2016 meglio noto come “GDPR”:
– dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
– trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
– categorie particolari di dati personali: dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Tali categorie di dati potranno essere trattate dal Titolare e dai relativi incaricati solo previo ed esplicito consenso dell’interessato, manifestato in forma esplicita;
– limitazione di trattamento: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;
– profilazione: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
– pseudonomizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
– archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
– titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
– responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
destinatario: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;
– terzo: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;
– consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
– violazione di dati personali: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
– autorità di controllo: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;
– autorità di controllo interessata: un’autorità di controllo interessata dal trattamento di dati personali in quanto:
2. I valori e gli obiettivi della società
Il presente documento racchiude l’insieme dei valori di riferimento e dei principi cui ogni azione di Tecmo è improntata e si propone i seguenti obiettivi:
Tutti i predetti obiettivi e le disposizioni che seguono costituiscono ciò che Tecmo indica come il valore a cui tende l’intera società.
Si definisce etico il comportamento conforme alla presente privacy policy e che, comunque, ne realizza il sistema di valori.
Il presente documento contiene, pertanto, una serie di prescrizioni di natura etico-comportamentale cui dovranno uniformarsi, nello svolgimento delle attività tipiche e secondo uno spirito di massima collaborazione, tutti i dipendenti, dirigenti e collaboratori della società.
I destinatari della policy sono comunque tutti coloro che, a qualunque titolo e con differente responsabilità, partecipano e costituiscono la società e ne realizzano direttamente e indirettamente gli scopi.
Le disposizioni del presente codice si applicano a tutte le sedi ed a tutti i luoghi ove Tecmo svolge la propria attività.
Oltre a quanto espressamente statuito nelle disposizioni che seguono, la società considera sempre propri valori etici d’impresa:
Tecmo, inoltre, si impegna a garantire con ogni sforzo possibile la qualità della propria attività, l’efficienza, l’innovazione e il miglioramento continuo, il coinvolgimento di ciascun portatore di interesse e la valorizzazione del personale, la creazione di valore e la responsabilità sociale.
I dipendenti ed i collaboratori della società, nello svolgimento delle attività tipiche, sono tenuti a rispettare diligentemente le leggi vigenti, il modello comportamentale, la presente policy e i regolamenti interni.
La società garantisce inoltre la riservatezza dei dati trattati e si impegna ad un trattamento dei dati personali conforme alle norme giuridiche vigenti in materia.
Tecmo, a tutela della privacy degli interessati, ha adottato regole volte a specificare le informazioni che l’impresa può richiedere ai propri dipendenti, clienti, fornitori e collaboratori nonché le relative modalità di trattamento, inclusa la conservazione.
Le suddette regole vietano, fatte salve le ipotesi espressamente previste dalla legge, la comunicazione e la diffusione dei dati personali, senza il previo consenso dell’interessato, e prevedono dei criteri per il controllo, da parte di ciascun collaboratore, delle norme sulla privacy.
E’ in ogni caso esclusa qualsiasi indagine sulla vita privata, sulle opinioni di qualsivoglia natura e sulle altre espressioni individuali dei soggetti interessati.
A tal fine la società ha intrapreso un percorso di adeguamento al nuovo Regolamento Europeo 2016/679, al fine di offrire maggiore trasparenza nei confronti dei propri interlocutori.
3. Finalità del trattamento dei dati personali
I dati personali trattati dal Titolare e dai soggetti incaricati sono necessari per gli adempimenti previsti per legge, per l’interesse legittimo del Titolare stesso, per il perseguimento delle obbligazioni contrattuali con clienti, dipendenti e fornitori.
4. Dati trattati e soggetti interessati
I dati trattati dalla società hanno per oggetto dati personali non sensibili – perlopiù consistenti in anagrafica di clienti e fornitori – e dati personali e sanitari dei dipendenti.
Gli interessati al trattamento che affidano i propri dati personali alla società sono, in sintesi: clienti, dipendenti e persone fisiche fornitrici di servizi e prodotti.
5. Diritti degli interessati
In ogni momento, gli interessati potranno esercitare, ai sensi dell’art. 7 del D.Lgs. 196/2003 e degli articoli dal 15 al 22 del GDPR, il diritto di:
6. Modalità e durata del trattamento
I dati personali sono trattati in forma manuale ed automatizzata, anche per mezzo di programmi informatici, tra i quali il sistema gestionale PICAM LIGHT (First Point) <, nel rispetto di quanto previsto dall’art. 32 del GDPR e dall’Allegato B del D.lgs. 196/2003 (artt. 33 e ss. del Codice Privacy) in materia di misure di sicurezza, ad opera dei soli soggetti incaricati ed in ottemperanza a quanto previsto dagli art. 29 GDPR.
In ogni caso Tecmo non adotta alcun processo decisionale automatizzato, compresa la profilazione, di cui all’articolo 22, paragrafi 1 e 4, del Regolamento GDPR.
Su previo consenso esplicito dell’interessato per mezzo dell’apposita informativa i dati personali dei clienti assistiti, con particolare riferimento ai dati sanitari dei dipendenti e le categorie di dati personali trattate ex artt. 26 e 27 Codice Privacy ed artt. 9 e 10 del GDPR, previo esplicito consenso dell’interessato, saranno debitamente trattati e custoditi per mezzo di misure tecniche e di sicurezza adeguate alla gravità e rilevanza degli stessi.
6.1. Le indicazioni agli incaricati al trattamento dei dati
Gli incaricati sono individuati dal Titolare, con apposito atto scritto nel quale sono richiamati gli “ambiti” del trattamento consentito con riferimento alla posizione all’interno della società.
Gli incaricati devono osservare tutte le istruzioni impartite dal Titolare.
Essi hanno accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti istituzionali loro assegnati.
Durante il trattamento e, soprattutto, in caso di allontanamento dal posto di lavoro, l’incaricato deve osservare tutte le misure previste ed a sua disposizione (es. spegnimento della postazione per il successivo inserimento delle password), secondo le istruzioni ricevute dal Titolare del trattamento e le prassi in uso nell’azienda, per evitare l’accesso non autorizzato di terzi, anche se dipendenti, ai dati personali trattati o in corso di trattamento.
A prescindere, comunque, dalla formale attribuzione della qualifica di “incaricato”, i dipendenti dell’Azienda, nonché tutti coloro che vi operano, a qualsiasi titolo, sono tenuti al rispetto di quanto previsto dal presente documento, qualora durante la loro attività vengano a conoscenza di dati personali.
Tutti i soggetti di cui sopra, in particolare, sono tenuti a:
Condotte eventualmente difformi dai canoni suddetti non sono giustificabili, neppure se intraprese nel presunto interesse della società stessa, non essendo in nessun caso effettivamente di suo interesse, né in alcun modo a suo vantaggio.
6.2. Utilizzo del computer da parte degli incaricati al trattamento
Il computer che l’incaricato ha ricevuto in dotazione è uno strumento di lavoro da utilizzarsi nel rispetto dei principi di correttezza e diligenza per perseguire finalità di tipo aziendale e/o previste dalla legge e nel rispetto della normativa sulla privacy.
Il computer presenta caratteristiche hardware e software impostate dalla società che non possono essere modificate.
In particolare sono presenti computer fissi, ad uso esclusivo rispettivamente dei dipendenti (incaricati) e portatili, il cui utilizzo è eventuale e comune.
Tutti i dispositivi sono dotati di password alfanumerica a conoscenza del solo incaricato, il quale si impegna a cambiarla ogni sei mesi; infine, i dispositivi sono dotati di antivirus.
6.3. Utilizzo delle reti
L’accesso alla rete è consentito nel rispetto dei principi di correttezza e diligenza per perseguire finalità di tipo aziendale e/o previste dalla legge.
Tecmo si riserva la facoltà di bloccare l’accesso a siti ritenuti non consoni allo svolgimento dell’attività lavorativa e/o comunque non affidabili.
6.4. Utilizzo della posta elettronica
La casella di posta è uno strumento di lavoro. Le persone assegnatarie delle caselle di posta elettronica sono responsabili del corretto utilizzo delle stesse.
In particolare, le due incaricate sono dotate di mail aziendale, predisposta ad uso esclusivo per fini aziendali; solo in via subordinata ed al bisogno, viene utilizzata la mail personale per sopperire ad eventuali malfunzionamenti di quella aziendale. Anche in quest’ultimo caso devono essere assolti gli obblighi di privacy di seguito meglio specificati.
Nel caso di mittenti sconosciuti o messaggi insoliti, per non correre il rischio di essere infettati da virus occorrerà cancellare i messaggi senza aprirli.
Nel caso di messaggi provenienti da mittenti conosciuti con allegati però sospetti, questi ultimi non devono essere aperti.
L’incaricato non deve rispondere o partecipare alle cosiddette “catene di sant’Antonio”.
Nell’ipotesi di invio di allegati “pesanti” l’utente deve utilizzare un formato compresso.
L’incaricato deve controllare i file in allegato di posta elettronica prima del loro utilizzo. La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili, superati, ingombranti.
6.5. Utilizzo sito internet
Per quanto attiene l’utilizzo del sito internet aziendale, i dipendenti di Tecmo si limitano alla mera consultazione, mentre la gestione è rimessa totalmente alla filiale tedesca, diretta produttrice dei prodotti che, all’interno dello stesso, sono descritti con le specifiche tecniche.
6.6 Protezione
L’incaricato deve tenere comportamenti tali da ridurre il rischio di attacco al sistema informatico aziendale.
Ogni incaricato è tenuto a controllare la presenza e il regolare funzionamento del programma antivirus aziendale e consentire i periodici aggiornamenti dello stesso.
Nel caso che il programma antivirus rilevi la presenza di un virus l’utente dovrà sospendere ogni elaborazione in corso senza spegnere il computer e segnalare l’accaduto al responsabile.
7. Controlli
Tecmo si riserva la facoltà di verificare a livello informatico, per finalità di sicurezza e tutela propria e degli interessati, l’esistenza di un comportamento illecito del dipendente nell’uso degli strumenti elettronici, accesso a internet e uso della posta elettronica.
8. Luogo di trattamento dei dati personali
I trattamenti connessi alle finalità di Tecmo hanno luogo presso le sedi della stessa: sede legale sita in Milano, Viale Premuda n. 12, e sede operativa sita in Merate (LC), Via degli Alpini, n. 22, e sono curati unicamente da personale incaricato del trattamento.
I dati possono essere trasferiti sia in formato elettronico che cartaceo presso la sede principale della società, e pertanto tale trasferimento comporterà specifico consenso da parte dei titolari dei dati interessati.
Parimenti, i dati personali degli interessati salvati su supporto cartaceo sono conservati presso le strutture della società. Tale documentazione, benché in quantità limitata, viene conservata all’interno di ambienti ed armadi che le incaricate si impegnano a chiudere a chiave e, comunque, a sorvegliare. Le chiavi dell’ufficio presso cui i documenti sono detenuti sono nell’esclusiva disponibilità delle due dipendenti incaricate; i locali interessati sono dotati di apparecchiature antincendio accessibili solo agli incaricati del trattamento ed in via meramente eccezionale a clienti o tecnici, comunque in presenza delle dipendenti.
9. Diffusione dei dati personali
I dati personali e le particolari categorie di dati personali degli interessati non sono mai diffusi senza l’esplicito consenso dello stesso, salvo le comunicazioni necessarie che possono comportare il trasferimento di dati ad enti pubblici, a consulenti o ad altri soggetti per l’adempimento degli obblighi di legge, per l’adempimento delle obbligazioni contratte o per il legittimo interesse del Titolare o dell’interessato stesso
Per quanto concerne la realtà di Tecmo vi è la possibilità che i dati di contatto dei dipendenti, nonché quelli dei clienti e dei fornitori, vengano diffusi in altri Paesi Europei, solo a seguito dell’esplicito consenso dell’interessato.
10. Analisi dei rischi
A seguito dell’analisi dei rischi svolta – e di seguito allegata – non si sono riscontrati indici di elevato per i diritti e le libertà delle persone interessate. Non sarà pertanto necessaria una valutazione d’impatto (“DPIA”) ex art. 29 GDPR. Tuttavia il Titolare del trattamento si impegna ad approfondire l’analisi del sistema informatico del trattamento dei dati e di riportare le opportune valutazioni sulla documentazione privacy adottata.
Tecmo pone molta attenzione da parte a tutti gli aspetti della protezione e sicurezza dei dati sia in formato digitale che cartaceo.
L’azienda è impegnata in un costante processo di miglioramento dell’infrastruttura al fine di rispettare standard di sicurezza e integrità dei dati sempre più alti.
11. Tutela dell’integrità dei dati in formato digitale
Per la sede di Merate, unica presso cui è stato effettuato l’accesso, è stato predisposto un ufficio per i dipendenti della società che svolgono le loro mansioni presso una postazione personale, dotata di proprio computer fisso protetto da password; è inoltre presente un computer portatile anch’esso dotato di password.
Ad oggi non sono previsti altri tipi di accesso remoto.
I dati presenti sui singoli personal computer risultano relativamente pochi, e la quasi totalità dei dati è presente all’interno degli hard disk, protetti da password e nella disposizione dei soli incaricati.
12. Trattamento dei documenti cartacei
Sono presenti armadi a vista che le incaricate si impegnano a chiudere a chiave, presso cui sono detenuti i documenti cartacei; essi risultano adeguatamente protetti da lettura e/o il prelievo non autorizzato, con la conseguente garanzia di riservatezza e integrità dei dati personali in essi contenuti riposti negli appositi archivi al termine della giornata lavorativa.
La consultazione dei documenti, contenenti dati personali avviene esclusivamente da parte degli incaricati al trattamento, solo quando operativamente necessario ed in loco.
13. Distruzione e cancellazione dei dati personali
Tecmo si impegna a distruggere e cancellare i dati personali trattati qualora siano decorsi i termini previsti per legge per la conservazione o non vi sia alcun legittimo interesse alla conservazione da parte del titolare o dell’interessato.
Nel caso di dati salvati su supporto cartaceo questi vengono distrutti utilizzando apposite apparecchiature o, in assenza, sono sminuzzati in modo da non essere più ricomponibili.
Per i dati salvati su supporto digitale questi vengono eliminati attraverso la normale procedura di cancellazione ed anche per mezzo dello svuotamento dalla cartella “cestino”. Qualora il PC sul quale erano salvati dati personali dovessero venire destinati ad un uso diverso i dischi vengono formattati.
13. Videosorveglianza
Si dà atto che la zona esterna ed adiacente agli uffici di Tecmo non è soggetta a videosorveglianza.
14. Registro del trattamento dei dati
In data 12 agosto 2018 il Titolare del trattamento ha adottato, quale ulteriore presidio a garanzia dei dati personali trattati, il primo Registro del trattamento dei dati personali ex art. 30 GDPR.
Il Registro verrà conservato dal Titolare del trattamento ed aggiornato dallo stesso entro il 31 dicembre di ogni anno solare.
Il Registro rappresenta la sintesi schematica dei vari trattamenti di dati personali effettuati da parte del Titolare.
La presente privacy policy adottata in data 19 aprile 2019 potrà venire aggiornata in un secondo momento.
Allegati: