Privacy Policy

Home / Privacy Policy

PREMESSA

Il presente Modello raccoglie le misure tecniche ed organizzative che GLOBALTECH SOLUTION SAGL nella qualità di Titolare del trattamento dei Suoi dati personali, attua per garantire – ed essere in grado di dimostrare – la conformità al Regolamento UE 2016/679 delle attività di trattamento dei dati personali delle persone fisiche, Cittadini Europei e residenti nell’Unione Europea, che la Società effettui direttamente o che soggetti terzi effettuino per suo conto. Il Regolamento del 27 aprile 2016, cosiddetto “General Data Protection Regulation”(di seguito brevemente “GDPR”), pubblicato sulla gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016, è divenuto definitivamente operativo ed applicabile in via diretta in tutti i Paesi membri dell’Unione Europea a partire dal 25 maggio 2018 e persegue il fine di rafforzare la protezione dei dati personali delle persone fisiche, sia all’interno che all’esterno dei confini europei, dunque a prescindere dal principio di territorialità, armonizzando le norme privacy di tutti gli stati membri. Insieme alla Direttiva UE 2016/680 dello stesso giorno, inerente al trattamento dei dati personali nel solo ambito della repressione dei reati, il Regolamento in oggetto costituisce il c.d. “pacchetto protezione dati personali”.

L’adozione delle misure tecniche ed organizzative adeguate è imposta dagli artt. 24 e seguenti del GDPR, ai sensi dei quali le politiche interne e le misure da attuare per soddisfare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default, devono tener conto, in concreto, della natura, dell’ambito di applicazione, del contesto e delle finalità di trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

Al fine di rispettare tale requisito, pertanto, l’elaborazione del presente modello ha richiesto la preventiva esecuzione di una attenta e critica attività di auditing, che ha consentito l’esame della singola realtà aziendale e della valutazione d’impatto sula protezione dei dati personali.

DEFINIZIONI

Ai fini del GDPR ed in relazione ai concetti specificamente coinvolti dalle attività di trattamento effettuate, direttamente ed indirettamente da GLOBALTECH SOLUTIONS SAGL ai sensi dell’art. 4 GDPR si intendono per:

1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

3) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;

4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;

5) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

6) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

7) «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

8) «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

9) «destinatario»: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

10) «terzo»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;

11) «consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

13) «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;

14) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;

15) «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

16) «stabilimento principale»:

per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;
con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;

17) «rappresentante»: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;

18) «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica;

19) «gruppo imprenditoriale»: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;

20) «norme vincolanti d’impresa»: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune;

21) «autorità di controllo»: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;

22) «autorità di controllo interessata»: un’autorità di controllo interessata dal trattamento di dati personali in quanto:

il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo;
gli interessati che risiedono nello Stato membro dell’autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure
un reclamo è stato proposto a tale autorità di controllo;

23) «trattamento transfrontaliero»:

a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure
b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

24) «obiezione pertinente e motivata»: un’obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all’interno dell’Unione;

25) «servizio della società dell’informazione»: il servizio definito all’articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio;

26) «organizzazione internazionale»: un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

GENERAL DATA PROTECTION REGULATION (GDPR)

Come accennato, a decorrere dal 25 maggio 2018, il GDPR è divenuto obbligatorio in tutti i suoi elementi nonché direttamente applicabile in ciascuno degli Stati membri e, contestualmente, è stata abrogata la Direttiva 95/46/CE che attualmente disciplina,

a livello comunitario, il trattamento dei dati.

A livello nazionale, è attualmente vigente nel nostro Paese il Codice della Privacy, introdotto con il Decreto Legislativo n. 196/2003, che ha recepito la direttiva di cui sopra e quella sull’e-privacy (ossia la Direttiva 58/2002/CE).

Nonostante il Regolamento prevalga sulla legge nazionale interna, il GDPR non comporta l’abrogazione automatica della legge statale regolante la medesima materia ma la disapplicazione concreta delle disposizioni della legge interna in contrasto con le nuove previsioni normative europee, in favore della nuova disciplina.

Peraltro, il considerando 10 del GDPR prevede espressamente “un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali”.

Il GDPR è costituito da tre principi ispiratori, che permeano e sostengono l’intero impianto normativo ed il cui rispetto è protetto da un sistema sanzionatorio, delineato dagli artt. 83 e ss., caratterizzato dalle rilevanti cifre che arrivano a colpire Titolari e Responsabili del trattamento con sanzioni amministrative fino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo, cui si aggiungono le sanzioni penali previste dalla normativa nazionale.

Tali principi essenziali sono quelli di:

accountability, ossia il principio di responsabilizzazione: il Regolamento non effettua una tipizzazione puntuale delle misure tecniche ed organizzative, esprimendosi unicamente in termini di loro adeguatezza al rischio “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 GDPR). Si tratta di una innovazione profonda in quanto viene attribuito ai Titolari il compito di decidere autonomamente le modalità, le garanzie ed i limiti del trattamento dei dati personali nel rispetto delle disposizioni normative ed alla luce di alcuni criteri specifici indicati nel Regolamento. Ciò impone un approccio integrato, che interessi tutte le aree aziendali, concreto e risk-based e che dia luogo a comportamenti proattivi;
privacy by design, che impone l’adozione di misure di protezione fin dalla fase di progettazione del trattamento;
privacy by default, che prescrive un utilizzo che si limiti, per impostazione predefinita, ai soli dati necessari a rispondere alle finalità specifiche della gestione dei dati.

Principi ispiratori di base che si riflettono sui cosiddetti “pilastri” del GDPR, ossia sulle principali novità operative quali:

la designazione del Responsabile della protezione dei dati (Data Protection Officer, art. 37-39)

intesa come figura fondamentale che deve raccogliere in sé competenze normative, tecniche, comunicative e di conoscenza profonda della struttura e dell’organizzazione aziendale;

l’istituzione del Registro delle attività di trattamento (art.30 e cons. 171) che costituisce il punto di partenza per la predisposizione dell’intero impianto documentale, deputato a raccogliere le evidenze, i controlli ed i processi che consentono di soddisfare l’accountability del sistema privacy;

Il processo di data breach, (art. 33 e 34) ossia la notifica delle eventuali violazioni dei dati personali, che richiede un’attenta analisi e conoscenza delle informazioni gestite, ma soprattutto investimenti tecnologici nelle modalità di monitoraggio, securizzazione e compartimentazione dei danni che ne possono derivare.

Diretto corollario dei sopra riferiti principi generali di accountability, privacy by design e privacy by default, è che la piena compliance al GDPR impone che il trattamento dei dati personali avvenga secondo i principi di liceità, correttezza e trasparenza.

Come nella precedente normativa, il trattamento è lecito allorché trovi fondamento in una base giuridica che, fermo restando in ogni caso l’obbligo di informativa a carico del Titolare del trattamento, può consistere in quanto segue:

consenso dell’interessato che deve essere libero, specifico, informato ed inequivocabile, non essendo ammesso il consenso tacito o presunto: deve, in altri termini, essere manifestato attraverso una “dichiarazione o azione positiva inequivocabile”. Inoltre, per i dati “sensibili” di cui all’art. 9, esso deve essere anche “esplicito”, non necessariamente “documentato per iscritto” né da prestare in “forma scritta”, sebbene tale modalità sia quella maggiormente idonea a dimostrare la sua prestazione, la sua inequivocabilità ed il suo essere “esplicito”;
adempimento di obblighi contrattuali, ossia il trattamento è lecito e è necessario all’esecuzione di un contratto di cui l’interessato è parte od all’esecuzione di misure precontrattuali adottare su richiesta dello stesso;
obblighi di legge cui è soggetto il titolare del trattamento, nel qual caso la finalità è specificata per legge;
interessi vitali della persona interessata o di terzi: ossia se è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; utilizzabile però come base giuridica solo se nessuna delle altre condizioni di liceità può trovare concreta applicazione;
legittimo interesse prevalente del titolare o di terzi cui i dati vengono comunicati, ossia quando il trattamento è necessario per il perseguimento dei legittimi interessi del Titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore;
interesse pubblico o esercizio di pubblici poteri, ovvero necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare del trattamento (tramite legge statale o dell’Unione) ed anche in tal caso la finalità deve essere specificata per legge.

Il trattamento dei dati personali è corretto se trasparente nei confronti degli interessati, ossia i dati personali devono essere trattati per scopi determinati, espliciti e legittimi, e senza scorrettezze o raggiri nei confronti degli interessati (essendo dunque vietata un’informazione confusa o parziale). Quello della trasparenza non è solo un principio fondamentale del trattamento, ma anche un vero e proprio diritto dell’interessato: devono cioè essere trasparenti e corrette le modalità di raccolta dei dati e di utilizzo degli stessi.

Gli interessati devono essere informati in merito alle finalità del trattamento, alle modalità del trattamento e all’indirizzo del titolare del trattamento, prima che si avvii il trattamento stesso. Le modalità del trattamento devono essere esplicitate in maniera comprensibile in modo che gli interessati siano in grado di capire osa accadrà ai loro dati.

L’interessato deve avere a disposizione una procedura efficace e accessibile per consentirgli di ottenere l’accesso ai suoi dati in un tempo ragionevole, e quindi di conoscere se e quali dati sono detenuti dal titolare.

Qualsiasi trattamento occulto o segreto deve, quindi, ritenersi illecito. I titolari e i responsabili devono garantire agli interessati che i dati saranno trattati secondo liceità e correttezza e in modo da conformarsi, per quanto possibile alla volontà degli stessi interessati.

OBIETTIVO E STRUTTURA DEL MODELLO

L’obiettivo del presente Modello Organizzativo Privacy è di garantire e dimostrare che il trattamento dei dati personali da parte di GLOBALTECH SOLUTIONS SAGL avviene in modo lecito, corretto e trasparente secondo la definizione sopra datane, da raggiungere attraverso la realizzazione di una gestione interna ben strutturata che promuova la cultura della privacy e della sicurezza dei dati personali, consolidando i principi comportamentali idonei a garantire la trasparenza, la sicurezza e la correttezza dei trattamenti, aumentando la propria affidabilità verso i propri azionisti, clienti, partners, consulenti e dipendenti.

Con l’ulteriore conseguenza di evitare la possibile erogazione delle sanzioni amministrative pecuniarie di cui all’art. 83 GDPR nonché di quelle penali di cui alla normativa nazionale per quanto ancora in vigore potendo, con la sua adozione, dimostrate l’attuazione concreta, efficiente ed efficace delle misure tecniche ed organizzative adeguate alla protezione dei dati personali da essa trattati, direttamente o tramite soggetti terzi che li effettuano per suo conto.

Il presente Modello Organizzativo si compone di dieci sezioni diretta a fornire una panoramica sul sistema complessivo delle misure tecniche e organizzative che, sulla base delle concrete esigenze sistematiche ed operative di GLOBALTECH SOLUTIONS SAGL, si ritengono adeguate, contenendo i principi, le regole organizzative e gli strumenti di controllo per garantire il trattamento lecito, corretto e trasparente dei dati personali.

In particolare:

Sezione 1, contenente alcuni cenni generali sui principi ispiratori del GDPR;
Sezione 2, illustrativa della struttura del presente Modello;
Sezione 3, dedicata alla policy aziendale, ossia all’esposizione dei principi generali di condotta adottati da GLOBALTECH SOLUTIONS SAGL nel trattamento dei dati personali in relazione alla loro tipologia;
Sezione 4, illustrativa delle figure privacy coinvolte;
Sezione 5, dedicata all’illustrazione delle risultanze del risk assessment;
Sezione 6, contenente l’elencazione delle banche dati aziendali e l’illustrazione delle modalità di archiviazione dei dati;
Sezione 7, di approfondimento delle modalità e degli strumenti di trattamento dei dati, anche sotto il profilo spaziale;
Sezione 8, concernente le misure di sicurezza a presidio dei rischi come sopra rilevati;
Sezione 9, contenente brevi cenni sugli istituti delle informative e dei consensi quali valide basi giuridiche di legittimità del trattamento.

POLICY AZIENDALE

Per il perseguimento del proprio scopo, GLOBALTECH SOLUTIONS SAGL svolge le attività di seguito descritte:

la prestazione di servizi nell’ambito del marketing online;
la vendita di spazi pubblicitari online;
la vendita di contenuti digitali quali videocorsi/consulenze in materia di marketing ed imprenditorialità;
l’esercizio dell’attività di e-commerce quale intermediario nel commercio online;
la disamina della specifica situazione di ciascuna Cliente al fine di formulare un’offerta calibrata ad hoc alle esigenze del singolo utente;
la società potrà svolgere qualsiasi attività ulteriore, affine o connessa al raggiungimento degli scopi societari.

Nello svolgimento di tali attività, GLOBALTECH SOLUTIONS SAGL gestisce differenti tipologie di dati personali, ovvero:

dati anagrafici in senso stretto riferibili ai legali rappresentanti di imprese fornitrici di beni e servizi nonché di professionisti e consulenti esterni;
dati bancari dei Clienti e dei fornitori.

In armonia con l’ottica di responsabilizzazione e di rischio del GDPR , di primaria importanza – logica prima ancora che giuridica – è la giusta percezione del “peso” del dato personale, ossia della circostanza che non tutti i dati personali siano uguali e che, pertanto, non tutti debbano essere protetti allo stesso modo: a titolo esemplificativo, un dato relativo alla salute è più delicato di altri e, conseguentemente, GLOBALTECH SOLUTIONS SAGL in persona del Titolare del trattamento dei dati, ha ideato ed applicato un sistema di protezione più solido.

Sotto tale profilo, un ruolo cruciale rivestono la cifratura dei dati e la pseudonimizzazione, due misure di sicurezza che si rivelano preziose soprattutto in caso di attacco agli archivi o in occasione di data breach, smarrimento o furto dei dispositivi e altre fuoriuscite non volute di informazioni, che si pone in pratica sia quando il trattamento avviene con strumenti cartacei che con strumenti informatici.

La base giuridica del trattamento di tali dati da parte di GLOBALTECH SOLUTIONS SAGL è rappresentata da:

l’adempimento degli obblighi contrattuali e pre-contrattuali di cui GLOBALTECH SOLUTIONS SAGL è parte;
l’adempimento degli obblighi di legge cui la stessa è tenuta;
per finalità amministrativo – contabili;
legittimo interesse del Titolare.

Ogni funzione di GLOBALTECH SOLUTIONS SAGL tratta i dati personali sopra elencati limitatamente alla propria competenza.

Quando gestiti in forma cartacea, tutti i documenti sono custoditi in armadi e/o schedari chiusi a chiave all’interno dei locali della Società, anch’essi chiusi a chiave. Sono impartite agli eventuali incaricati precise istruzioni sul trattamento dei dati e delle pratiche cartacee, in particolare la duplicazione elettronica mediante scansione dei documenti cartacei, onde prevenirne la distruzione totale accidentale e la pseudonomizzazione mediante l’archiviazione dei documenti.

Quando gestiti in forma elettronica, i dati ed i relativi documenti vengono trattati mediante personal computers, fissi e portatili, nonché smartphones. I dispositivi informatici sono tutti protetti da un doppio ordine di passwords: la prima richiesta all’atto dell’accensione del terminale e la seconda per l’accesso alle piattaforme informatiche gestionali. Entrambe le passwords sono conoscibili esclusivamente dall’affidatario del dispositivo informatico e dall’Amministratore del sistema. Nel caso di utilizzo di un PC diverso dal proprio, il titolare del trattamento deve, comunque, ricollegarsi alla rete con le proprie credenziali. Tutta la gestione elettronica dei dati è gestita autonomamente dal titolare del trattamento, non incorrendo pertanto nei rischi legati ad un eventuale affidamento in outsourcing, e garantisce la massima capacità tecnica e l’attenzione ad una corretta e protetta gestione dei dati.

Tutte le credenziali di accesso sono custodite con la massima attenzione e, in caso di loro furto o smarrimento, è previsto il coinvolgimento immediato del Responsabile della Protezione dei Dati ai sensi dell’art. 37 del Regolamento UE 679/2016 il quale, senza indugio, richiede l’immediato intervento dell’Amministratore di sistema affinché blocchi le credenziali oggetto di furto e/o smarrimento, verifichi l’assenza medio tempore di eventuali accessi non autorizzati e fornisca nuove credenziali di autenticazione che, al primo accesso da parte dell’incaricato, dovranno essere modificate a sua cura e sotto la sua esclusiva responsabilità.

In relazione all’utilizzo di softwares contabili e per la rilevazione di presenze del personale dipendente si verifica, inoltre, una situazione di:

– Responsabilità del trattamento, come definita dall’art. 28 del GDPR, regolamentata da un contratto di nomina a Responsabile del trattamento, in relazione all’outsourcing dei servizi IT.

Qualora sia necessario o strumentale per l’esecuzione delle specifiche finalità, i dati personali, oltre che dal personale interno di GLOBALTECH SOLUTIONS SAGL sono comunicati a destinatari nominati ai sensi dell’art. 28 GDPR, che li trattano in qualità di Responsabili

e/o in qualità di persone fisiche che agiscono sotto l’autorità del Titolare e del Responsabile al fine di ottemperare ad obblighi di legge, a contratti o alle finalità connesse.

Precisamente, i dati possono essere comunicati a destinatari appartenenti alle seguenti categorie:

Società partners o contitolari del trattamento dei dati personali;
Soggetti che forniscono servizi per la gestione del sistema informativo e delle reti di comunicazione di GLOBALTECH SOLUTIONS SAGL ivi compresa la posta elettronica;
Studi professionali o Società nell’ambito di rapporti di assistenza e consulenza;
Autorità competenti per adempimenti di obblighi di legge e/o di disposizioni di Organi Pubblici, su richiesta;
Istituti di Credito e Compagnie Assicurative.

L’elenco dei responsabili del trattamento designati è costantemente aggiornato e disponibile presso la sede della Società e sui suoi portali informatici. In nessun caso i dati raccolti da GLOBALTECH SOLUTIONS SAGL sono oggetto di diffusione e/o di trasferimento all’estero, né all’interno né all’esterno dell’Unione Europea, se non per quanto strettamente necessario a consentire l’adempimento del rapporto contrattuale previsto dall’attività di marketing online.

Nel rispetto di quanto previsto dall’art. 5, comma 1, lett. e) del GDPR, i dati personali vengono conservati in una forma che consenta l’identificazione dell’interessato o per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati stessi sono trattati o in base alle scadenze previste dalle norme di legge. La verifica sulla obsolescenza dei dati conservati in relazione alle finalità per cui sono stati raccolti viene effettuata periodicamente, sotto la vigilanza del Responsabile della Protezione dei dati.

TITOLARITA’ E RESPONSABILITA’ DEL TRATTAMENTO DEI DATI PERSONALI

Le figure e le funzioni coinvolte in GLOBALTECH SOLUTIONS SAGL nelle attività di protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale sono:

TITOLARE DEL TRATTAMENTO

Di norma è la stessa Società GLOBALTECH SOLUTIONS SAGL che riveste tale funzione e sulla quale, conseguentemente, incombono tutti gli obblighi e le responsabilità che la legge, italiana ed europea, le impone. Primo fra tutti, l’obbligo di mettere in atto, riesaminare ed aggiornare le misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è da essa effettuato conformemente al GDPR.

Quanto al regime di responsabilità, GLOBALTECH SOLUTIONS SAGL risponde quale titolare, in via esclusiva, del danno materiale o immateriale cagionato a qualunque interessato da una violazione del GDPR, salvo che dimostri che l’evento dannoso non è in alcun modo imputabile alla Società. In aggiunta GLOBALTECH SOLUTIONS SAGL risponde delle sanzioni amministrative pecuniarie inflitte dal Garante, il cui importo massimo previsto dal GDPR per le violazioni più gravi è pari ad 20 milioni di euro o fino al 4% del fatturato totale annuo.

RESPONSABILE DEL TRATTAMENTO

Il GDPR definisce all’art. 28 il Responsabile del trattamento come il soggetto che effettua trattamenti di dati personali per conto del Titolare, presentando garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che i trattamenti stessi soddisfino i requisiti del GDPR e garantiscano la tutela dei diritti dell’interessato.

In quanto non vietata ed oltremodo opportuna al fine di garantire l’applicazione e la vigilanza effettive capillari delle norme del GDPR, in ossequio all’atteggiamento prudenziale volto al massimo rispetto, GLOBALTECH SOLUTIONS SAGL assume in capo alla Società il ruolo di responsabile del trattamento, in relazione a quelle situazioni in cui svolge attività di intermediario nel commercio online in ambito e-commerce.

I Responsabili interni dei trattamenti individuati sono i referenti delle seguenti funzioni:

– acquisti e contrattualistica;

– amministrazione, finanza, risorse umane, servizi generali e sistemi informativi.

Parimenti, il contratto di nomina dei Responsabili del trattamento “esterni” è destinato a rivestire forma di addendum per i contratti già in essere, venendo integrato all’interno del testo contrattuale per i nuovi affidamenti. Fatta salva la revisione periodica a cura del responsabile della Protezione dei Dati dei modelli fac – simile dei relativi contratti di nomina, allegati al presente Modello organizzativo.

Quanto al regime di responsabilità, i responsabili del trattamento rispondono per il danno causato dal trattamento solo se non hanno adempiuto gli obblighi del GDPR specificamente loro diretti o se hanno agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare del trattamento GLOBALTECH SOLUTIONS SAGL

Sono altresì esonerati da responsabilità per danni, se dimostrino che l’evento dannoso non è in alcun modo loro imputabile. Rispondono, inoltre, delle sanzioni amministrative pecuniarie irrogabili dall’Autorità Garante secondo gli stessi termini e modalità del Titolare del trattamento.

RISK ASSESSMENT

Al fine di implementare le azioni volte all’adeguamento al nuovo Regolamento UE 679/2016 in materia di dati personali, è stata effettuata una ricognizione dell’attuale organizzazione e della documentazione vigente in materia di privacy e misure tecniche utilizzate.

In particolare, si è proceduto, con l’ausilio di consulenti esterni, all’esame della principale documentazione organizzativa e procedurale; alla luce di tale analisi, è stato predisposto uno specifico questionario finalizzato all’identificazione dei principali rischi di non conformità al Regolamento UE 679/2016.

Il suddetto questionario è stato assunto quale parametro di riferimento nel corso dell’attività di auditing.

Sulla base delle informazioni e valutazioni riportate nonché dei presidi esistenti a mitigazione dei rischi identificati, è stata effettuata una valutazione sul livello di probabilità del rischio, sull’impatto economico eventualmente derivabile, sul livello di rilevabilità del rischio in relazione ai controlli preventivi effettuati.

Per la valutazione di tali rischi, è stata utilizzata una scala di valori su 5 livelli:

Relativamente alla valutazione della rilevabilità del rischio, invece, i principali elementi che sono stati considerati sono relativi a:

procedure complete e formalizzate,

adeguati controlli e relativa tracciabilità,

responsabilità organizzative definite.

L’analisi dei rischi effettuata è stata di tipo auto – valutativo supportato da un’analisi critica delle valutazioni espresse, effettuata da consulenti esterni, attraverso il cui contributo è stato possibile effettuare un’analisi più aderente possibile alla società.

Per ciascun rischio, è stato individuato il ranking di rischio (IPR), calcolato sulla scorta delle seguenti variabili:

Rischio lordo: media tra probabilità del rischio ed impatto economico eventualmente derivabile;

Rischio residuo netto: rischio lordo al netto del livello di rilevabilità del rischio.

Al fine di rappresentare in maniera sintetica gli esiti delle valutazioni di Risk Assessment svolte, è stata quindi costruita la Matrice dei rischi che riporta le valutazioni dei rischi cui è esposta ciascuna funzione aziendale di riferimento.

Il colore di ciascuna cella è in funzione della valutazione del Rischio Lordo/ Residuo Netto, secondo una scala di valori che va da 1 a 5.

Sulla base dei possibili rischi individuati e delle valutazioni effettuate, di seguito l’elenco dei rischi con la relativa valutazione:

Dall’analisi svolta sono stati così mappati n. 27 rischi, dai quali risulta un complessivo rischio netto molto basso.

Nell’attività di analisi dei rischi è stata valutata anche la necessità di effettuare una valutazione d’impatto con riferimento al trattamento dei dati che “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

Dall’analisi effettuata non è emersa l’esigenza di effettuare una dettagliata valutazione d’impatto (c.d. DPIA) in senso stretto, in quanto non rilevata alcuna delle condizioni di cui al comma 1 nonché alle lettere a), b) e c), comma 2, dell’art. 25 del GDPR: GLOBALTECH SOLUTIONS SAGL infatti, fa uso di nuove tecnologie per effettuare tipi di trattamento caratterizzato da un rischio elevato per i diritti e le libertà delle persone fisiche ed altresì opera valutazione sistematica e globale di aspetti personali di persone fisiche basata su un trattamento automatizzato.

Nel caso in cui nel corso del tempo sopraggiungessero e si verificasse la sussistenza di taluna delle sopra citate condizioni, con la collaborazione del DPO, verrà effettuata nuovamente l’analisi e valutazione di tali rischi e valutata la necessità di effettuare una valutazione d’impatto in senso tecnico.

BANCHE DATI AZIENDALI E MODALITA’ DI ARCHIVIAZIONE

La gestione IT di GLOBALTECH SOLUTIONS SAGL è gestita autonomamente dal titolare del trattamento. La gestione delle banche dati e, conseguentemente, dei dati personali in esse contenuti è affidata al medesimo titolare del trattamento, che si accolla ogni onere di adeguamento formativo e tecnologico legato ad esse.

In base al profilo di autorizzazione assegnato, l’Amministratore di Sistema opera sull’infrastruttura IT che risiede presso gli uffici di 6900, Lugano (TI), Via Zurigo n. 35.

La tabella seguente riporta le banche dati gestite e la descrizione degli ambiti di operatività:

AREE, LOCALI, STRUMENTI DI TRATTAMENTO

Il trattamento dei dati avviene, con le modalità di seguito riportate, sia presso la sede legale ed operativa, situata in 6900, Lugano (TI), Via Zurigo n. 35, sia in tutte le sedi operative che apriranno in futuro.

L’accesso all’edificio ove sono situati i locali aziendali è consentito anche al pubblico ed avviene da un’unica entrata, situata nel medesimo indirizzo, che è soggetta a presidio ininterrotto. Alcun accesso è consentito in assenza di autorizzazione, ovvero in orario notturno.

Le stanze ed i locali nei quali viene svolta attività di segreteria di direzione, nonché attività amministrative, sono riservate; l’accesso a detti locali è soggetto a presidio ininterrotto, durante l’orario di lavoro e di apertura degli uffici, ed è consentito solo alle persone autorizzate. La sala server è situata all’interno dei locali delegati all’attività amministrativa, con accesso limitato alle persone autorizzate; l’ingresso è munito di chiusura a chiave. I dispositivi in essa contenuti sono emersi in regola con le norme di sicurezza.

I supporti cartacei, compresi quelli contenenti immagini, sono raccolti in schedari ubicati presso la sede, nei rispettivi uffici di competenza, e collocati dentro armadi o stanze muniti di chiusura a chiave, ad accesso consentito solo alle persone autorizzate. In tali archivi sono conservati i documenti di comune e continuo utilizzo, nonché quelli giunti a fine ciclo operativo. Tutti i documenti sono archiviati dal protocollo; è stato consigliato di predisporre una scannerizzazione degli stessi, predisponendo un archivio informatico.

Con riferimento agli strumenti utilizzati ed alle tipologie dei dati trattati, si precisa che:

I dati comuni vengono trattati sistematicamente con supporti cartacei e con elaborazione;
Gli elaboratori presenti sono collegati in rete con altri e dispongono esclusivamente del collegamento ad internet filtrato da sistemi anti-intrusione (firewall).

Di seguito si riporta tabella riassuntiva della struttura competente al trattamento dati e relativa descrizione del trattamento:

MISURE DI SICUREZZA ADOTTATE

Alla luce dei fattori di rischio e delle aree individuate nel presente Modello vengono descritte le misure atte a garantire:

– la protezione delle aree e dei locali ove si svolge il trattamento dei dati personali;

– la corretta archiviazione e custodia di atti, documenti e supporti contenenti dati personali;

– la sicurezza logica, nell’ambito degli strumenti elettronici.

Per quanto concerne il rischio che i dati vengano danneggiati o perduti a seguito di eventi distruttivi, i locali ove si svolge il trattamento dei dati sono protetti da:

– dispositivi antincendio previsti dalla normativa vigente;

– gruppo di continuità dell’alimentazione elettrica;

– impianto di condizionamento.

Per il trattamento effettuato con strumenti elettronici sono esistenti ed operative le seguenti misure:

realizzazione e gestione di un sistema di autenticazione informatica al fine di accertare l’identità delle persone che hanno accesso agli strumenti elettronici (profilo di accesso per la rete e per i software applicativi e gestionali);
le policy dell’azienda garantiscono la sicurezza di tutti i dati circolanti, attraverso il controllo delle autorizzazioni e la definizione delle tipologie di dati ai quali gli incaricati possono accedere e utilizzare secondo le mansioni lavorative;
protezione di strumenti e dati da malfunzionamenti ed attacchi informatici attraverso firewall ed antivirus centralizzati;
prescrizione delle opportune cautele per la custodia e l’utilizzo dei supporti rimovibili, contenenti dati personali.

Le schede seguenti mostrano quali sono le misure adottate per la protezione degli strumenti informatici dai rischi individuati:

INFORMATIVE E CONSENSI

L’obbligo di informativa rappresenta il principale obbligo imposto dal GDPR al Titolare del trattamento, il cui inadempimento, peraltro, è sanzionato con l’applicazione delle sanzioni più severe.

A tale obbligo GLOBALTECH SOLUTIONS SAGL adempie mediante la messa a disposizione degli interessati di un’informativa privacy che, oltre ad essere pienamente rispondente nei contenuti alle prescrizioni previste dall’art. 13 GDPR, risulta anche dettagliata oltre quanto strettamente necessario, avendo previsto, accanto ad informazioni generali valide per ogni interessato, anche informazioni specifiche diversificate a seconda delle categorie di destinatari. Ciò al fine di assicurare e garantire che ogni interessato possa concretamente fruire di un quadro informativo completo.

Il raggiungimento dell’obiettivo di GLOBALTECH SOLUTIONS SAGL di essere pienamente compliant al GDPR, inoltre, passa necessariamente attraverso i fondamenti di liceità del trattamento dei dati, ossia il rispetto dell’assunto per il quale ogni trattamento deve trovare fondamento in un’idonea base giuridica.

Le basi giuridiche sulle quali fondare la liceità del trattamento sono indicate nell’art. 6 GDPR e coincidono, grossomodo, con quelle attualmente previste dal Codice Privacy: consenso espresso, adempimento di obblighi contrattuali, obblighi di legge cui è soggetto il Titolare. Diretta conseguenza è che l’ottenimento e la gestione del consenso non sono obbligatori per tutte le attività di trattamento dei dati personali, essendo esso solo uno dei molteplici strumenti di legittimazione delle attività di trattamento.

Tra le basi giuridiche per il trattamento dei dati riconosciute dal GDPR ed idonee a fondare i trattamenti dei dati da parte di GLOBALTECH SOLUTIONS SAGL sono:

1) obblighi legali e conformità legale, che rappresenta la base più severa, precisa, ma anche ottimale per il trattamento dei dati, implicando l’esistenza di almeno una disposizione di legge che richiede, giustificandola, l’attività di trattamento dei dati stessi;

2) adempimento contrattuale, sia se indispensabile a dare esecuzione al contratto esistente con l’interessato o a stipulare un nuovo contratto, con la precisazione che in relazione alle misure precontrattuali l’avvio delle fasi di trattamento deve essere effettuato su iniziativa dell’interessato;

3) interessi legittimi, che seppur ambigua, offre la possibilità di sviluppare una giustificazione per il trattamento di dati evitando la gestione del consenso degli interessati ma valevole solo in situazioni in cui gli interessi, i diritti o le libertà degli interessati non prevalgano sugli interessi del Titolare;

4) il consenso dell’interessato, che deve riflettere l’azione discrezionale dell’interessato mediante una risposta positiva strutturata e non ambigua, data liberamente, al trattamento dei propri dati personali.

Anche in tale ambito, andando oltre quanto strettamente indispensabile, GLOBALTECH SOLUTIONS SAGL ha predisposto modelli di consenso diversificati a seconda della categoria di interessati e delle specifiche finalità per la realizzazione delle quali il consenso viene prestato e ciò, al fine di renderlo quanto più consapevole ed informato possibile.

Il presente Modello Organizzativo Privacy è soggetto a verifica ed eventuale aggiornamento annuale.

Il modello è stato aggiornato nel mese di Dicembre 2021.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.