AI SENSI DELL'ART. 32 REGOLAMENTO UE 2016/679
PREMESSO CHE

a) con il presente modello Privacy vengono individuate le disposizioni operative interne volte a regolare il trattamento dei dati personali effettuato dalla S.I.E.M. SOCIETÀ IMPIANTI ELETTRCI E MANUTENZIONI DI AVAGNINA DARIO & C. S.N.C., con sede in MONDOVì (CN), Via Gherbiana n. 2/b (di seguito Società o SIEM SNC), ai sensi del D.Lgs. 169/2003 (Codice) e del Regolamento UE 2016/ 679 (Regolamento);

b) la presente Policy riguarda dunque tutti i trattamenti dei dati personali effettuati dagli uffici della Società, automatizzati o svolti manualmente, in cui la predetta agisce in qualità di Titolare;

c) la presente Policy è di applicazione immediata per la Società;

d) la Società si impegna a garantire e dimostrare che il trattamento dei dati avviene in maniera conforme a quanto previsto dalla normativa e secondo i seguenti principi di liceità di trattamento:

• trattati in modo lecito, corretto e trasparente nei confronti dell'interessato;
• raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
• adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
• esatti e, se necessario, aggiornati; a tal proposito sono state adottate misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
• conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
• trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

e) le presenti indicazioni sono valide anche, per tutti quei trattamenti di cui la Società è nominata Responsabile esterno da altri Titolari, salvo la presenza di misure più restrittive in materia di protezione dei dati personali.

f) la stessa garanzia di protezione e di adozione di adeguate misure di sicurezza è richiesta altresì a quei soggetti terzi ai quali la società ha affidato l'incarico della gestione di alcuni trattamenti. A tal fine la presente Policy in oggetto è disponibile presso i responsabili del trattamento nominati;

g) la presente Policy si applica a tutti i Soci, ai dipendenti della Società e ai collaboratori esterni, che collaborano in modo continuo con quest'ultima;

SI DISPONE QUANTO SEGUE

Oggetto e modalità di applicazione
Oggetto della presente Policy è il trattamento dei dati personali effettuato dalla società.

Organigramma e sistema di nomine e responsabilità
Al fine di garantire la tutela dei diritti delle persone fisiche relativamente al trattamento dei dati personali, la Società ha implementato un sistema di nomine e ripartizione delle responsabilità di seguito delineate, parametrate alla natura, all'ambito di applicazione, al contesto e alle finalità del trattamento, nonché ai rischi per i diritti e le libertà delle persone fisiche analizzati.

Titolare del Trattamento Policy Privacy

Conformemente a quanto previsto dalla normativa, è Titolare del trattamento la società SIEM SNC e quest'ultima si impegna a:

• adeguare il proprio assetto organizzativo per il governo della privacy;
• adottare le modalità operative connesse con la gestione degli adempimenti ed il trattamento dei dati ai fini privacy;
• assumere le decisioni in ordine alle finalità, alle modalità del trattamento dei dati e agli strumenti utilizzati, ivi compreso il profilo della sicurezza, sia per i trattamenti svolti all'interno che all'esterno della propria struttura; individuare e designare i Responsabili del trattamento dei dati, impartendo loro le relative istruzioni;
• vigilare sulla puntuale osservanza delle disposizioni e istruzioni impartite, anche nei confronti dei Responsabili del trattamento (sia interni che esterni).

La Società si impegna altresì a garantire l'esercizio dei seguenti diritti degli interessati a tale scopo:

• diritto di ottenere la conferma dell'esistenza o meno di dati personali che la riguardano e di averne accesso (c.d. diritto all'accesso). In particolare l'interessato ha diritto di conoscere: l'origine dei dati personali; le finalità e modalità del trattamento; la logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; gli estremi identificativi del titolare, dei responsabili e del rappresentante designato; l'elenco dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza, di responsabili o incaricati;
• diritto di ottenere l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati (c.d. diritto alla rettifica);
• diritto di ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati (c.d. diritto alla cancellazione);
• diritto di limitare od opporsi, per motivi legittimi, al trattamento, rivolgendosi al personale espressamente incaricato (c.d. diritto di opposizione).

Al fine di esercitare i diritti sopra descritti, la Società si impegna a rispondere senza ritardo alle richieste presentate da parte dell'interessato ai Responsabili o agli Incaricati nominati, in forma orale o attraverso ulteriori idonei strumenti.

Responsabile del Trattamento dei dati personali
Il Responsabile del trattamento dei dati è la persona nominata dal Titolare al fine di garantire l'attuazione delle misure di sicurezza previste in materia di trattamento dei dati. La persona preposta allo svolgimento della funzione viene individuata in quanto dotata di adeguate garanzie e tra le sue funzioni sono comprese:

• osservare le procedure in materia di protezione dei dati personali adottate dal Titolare;
• organizzare, gestire e supervisionare tutte le operazioni di trattamento dei dati personali affinché esse vengano effettuate nel rispetto delle disposizioni di legge e predisporre tutti i documenti nonché le misure tecniche organizzative richiesti dal Codice e dal Regolamento;
• adottare e verificare il rispetto delle misure di sicurezza indicate dal Codice e dal Regolamento e la conformità dei sistemi e delle misure di sicurezza;
• redigere e aggiornare il registro delle attività di trattamento, qualora venga adottato;
• informare il Titolare del trattamento di tutte le misure adottate e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del trattamento o da un altro soggetto da questi incaricato;
• nominare gli incaricati che svolgono le funzioni di amministratore di sistema, conservando i relativi estremi identificativi, definendo gli ambiti di operatività ai medesimi consentiti e verificando almeno annualmente il relativo operato per controllarne la rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti il trattamento dei dati personali;
• inviare, con periodicità stabilita dal Titolare, una lista aggiornata dei nominativi e degli ambiti di operatività degli amministratori di sistema (ove nominati), in particolare al fine di consentire al Titolare l'adempimento dell'obbligazione posta a suo carico dal Provvedimento del Garante Privacy del 27.11.2008 circa il trattamento dei dati dei dipendenti;
• nominare gli autorizzati al trattamento dei dati ai sensi dell'art. 30 del Codice, conferendo loro apposite istruzioni sulle norme e le procedure da osservare e provvedendo alla relativa formazione;
• controllare le operazioni di trattamento svolte dagli incaricati e la conformità all'ambito di trattamento consentito;
• redigere e aggiornare la lista dei nominativi degli autorizzati e verificarne almeno annualmente l'ambito del trattamento consentito ai medesimi;
• proporre al Titolare del trattamento dei dati la nomina di soggetti esterni quali Responsabile del trattamento dei dati in relazione all'affidamento agli stessi di determinate attività;
• attuare gli obblighi di informazione ed acquisizione del consenso, quando richiesto, nei confronti degli interessati;
• garantire all'interessato che ne faccia richiesta l'effettivo esercizio dei diritti previsti dalla normativa di settore;
• distruggere i dati personali alla fine dei trattamenti degli stessi nei casi previsti dal Regolamento, secondo le procedure atte a garantire la sicurezza degli stessi e provvedere alle formalità di legge e agli adempimenti necessari anche mediante comunicazione al Garante, se dovuta;
• comunicare immediatamente al titolare non oltre le 24 ore successive al loro ricevimento, ogni richiesta, ordine o attività di controllo da parte del Garante o dell'Autorità Giudiziaria;
• osservare le procedure in materia di protezione dei dati personali adottate dal Titolare; Il Responsabile può essere anche esterno e in tal caso sarà tenuto a garantire l'applicazione delle misure individuate dal Titolare. Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il Titolare allo stato ha nominato sia Responsabili interni sia dei Responsabili esterni.

Referenti privacy o referente esecutivo per la protezione dei dati personali
Il Titolare può nominare dei Referenti privacy.

I compiti del Referente privacy, nominato/designato con apposito atto, sono di seguito sintetizzati:

• individuare e promuoverne l'autorizzazione per area di competenza delle persone da autorizzare al trattamento dei dati;
• vigilare sull'effettivo funzionamento delle prescrizioni adottate dalla Società in materia di Privacy;
• segnalare al Responsabile del trattamento eventuali casi di data breach, segnalati da parte delle sue risorse o autonomamente individuati;
• effettuare audit in materia di Privacy e controllare l'applicazione del principio di privacy by design e by default;
• segnalare al Responsabile del trattamento eventuali richieste ricevute da parte dell'interessato sull'esercizio dei relativi diritti, nonché attenersi alla procedura interna sull'esercizio dei diritti;
• cooperare in caso di attività di controllo in ambito privacy da parte di strutture interne o esterne, fornendo eventuale documentazione richiesta e garantendo l'accesso ai locali;
• informare il Responsabile del trattamento dell'esistenza di un nuovo progetto/attività che impatta sulla protezione dei dati, in applicazione del principio di privacy by design (quando si richiede una nuova analisi preventiva per progettare/implementare le misure di sicurezza prima di iniziare il trattamento) e by default (quando si richiede assicurare che le misure garantiscano l'utilizzo dei dati personali necessari per ciascuna finalità di trattamento nel momento in cui si procede a detto trattamento e nel momento della conservazione/accesso dei dati);
• informare il Responsabile del Trattamento dell'esistenza di un nuovo trattamento per cui risulta necessario aggiornare il registro o modificarlo, in applicazione del principio di privacy by design e by default;
• informare il Responsabile della presenza di una nuova risorsa che tratta dati personali al fine di valutare necessità di formazione in ambito privacy;
• controllare che le persone autorizzate al trattamento rispettino le indicazioni impartite dalla Società;
• segnalare casi di mancato rispetto delle disposizioni in tema di protezione dei dati al responsabile del trattamento;
• informare e fornire consulenza al Titolare del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dalla normativa in materia privacy;
• promuovere la cultura della protezione dei dati all'interno della società e contribuire a dare attuazione a elementi essenziali del Regolamento (es. principi fondamentali del trattamento, diritti degli interessati, privacy by design e by default, registro delle attività di trattamento, sicurezza dei trattamenti e data breach);
• conservare e aggiornare l'elenco degli Autorizzati/incaricati al trattamento dei dati personali;
• ricevere e dare esecuzione alle istruzioni e alle prescrizioni impartite dal DPO, ove nominato, per la conformità della Società al Regolamento UE n. 679 del 2016;
• riportare direttamente al DPO, ove nominato, le decisioni adottate dal Titolare in contrasto con la normativa privacy o in dissenso alle indicazioni ricevute dal DPO;
• predisporre e attuare adeguati flussi di comunicazione da e verso il DPO, ove nominato, ivi inclusi gli alert/data breach di sistema;
• fornire al DPO, ove nominato, accesso alle informazioni necessarie per lo svolgimento dei compiti a quest'ultimo attribuiti;
• fungere da punto di contatto tra gli autorizzati al trattamento e il DPO;
• fungere da punto di contatto per l'interessato relativamente a tutte le questioni inerenti il trattamento dei loro dati personali e all'esercizio dei diritti;
• redigere una relazione annuale sulle proprie attività da sottoporre al DPO, ove nominato;
• tenere e aggiornare il Registro dei trattamenti;
• supportare il DPO, ove nominato, fornendo un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
• fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;
• cooperare con l'autorità di controllo;
• informare tempestivamente il DPO, o in mancanza il Responsabile, in caso di data breach;
• garantire riservatezza in merito all'adempimento dei propri compiti, in conformità con il diritto vigente;

  In caso di mancata nomina di Referenti privacy, tutti i compiti sopra sintetizzati sono affidati al Responsabile del trattamento dei dati personali.

Autorizzati/Incaricati del trattamento dei dati personali
Il Titolare ha provveduto a nominare le persone autorizzate al trattamento dei dati, così come indicato dall'art. 30 del Codice Privacy.

L'Autorizzato effettua tutte le operazioni di Trattamento dei Dati Personali attinenti all'attività lavorativa di competenza dell'area di appartenenza ed opera sotto l'autorità del Titolare o del Responsabile del Trattamento, attenendosi alle istruzioni dallo stesso impartite nonché alle specifiche procedure che regolamentano le modalità di utilizzo delle banche dati cui lo stesso abbia accesso. In particolare, i compiti ad esso attribuiti sono così sintetizzati:

• segnalare al Responsabile eventuali richieste ricevute da parte dell'interessato sull'esercizio dei relativi diritti, nonché attenersi alla procedura interna sull'esercizio dei diritti;
• avvisare il Responsabile, o se nominato il Referente, nel caso in cui nello svolgimento di un'attività dovesse riscontrare il trattamento di nuovi dati e finalità per cui risultasse necessario aggiornare il registro dei trattamenti, in applicazione del principio di privacy by design e by default;
• informare immediatamente il Responsabile, o se nominato il Referente, qualora le istruzioni le risultino non conformi alla normativa sulla protezione dai dati;
• segnalare al Responsabile, o se nominato al Referente, eventuali accessi non autorizzati;
• rilasciare all'interessato l'informativa e acquisire il consenso laddove necessario, secondo le istruzioni impartite dal Titolare.

Amministratore di sistema
È nominata Amministratore di sistema la figura professionale che, in ambito informatico, mantiene, configura e gestisce: (i) un sistema di elaborazione dati o sue componenti (system administrator); ovvero (ii) una base dati (database administrator); ovvero (iii) reti e apparati di telecomunicazione di sicurezza (network administrator). L'attribuzione delle funzioni di Amministratore di sistema avviene previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale fornisce idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di Trattamento, ivi compreso il profilo relativo alla sicurezza.

La nomina ad amministratore di sistema deve essere individuale, formalizzata, con l'indicazione analitica degli ambiti di applicazione di operatività consentiti in base al profilo di autorizzazione assegnato. In generale, l'Amministratore di sistema ha le seguenti responsabilità:

• sovraintendere alle risorse dei sistemi computerizzati al fine di consentirne una corretta ed efficiente utilizzazione;
• in accordo con il Referente, o se non viene designato dal Responsabile, fornire guida e supporto agli Incaricati in merito al trattamento dei dati personali;
• amministrare e gestire la sicurezza informatica operando anche come gestore e custode delle password;
• nell'ambito delle responsabilità assegnate, effettuare periodici controlli e verifiche tecniche, anche nei riguardi degli Incaricati in merito a quanto previsto dal presente documento;
• individuare l'eventuale soggetto/i esterno/i quale manutentore del sistema stesso.

L'amministratore che provvede alla designazione dei soggetti incaricati alla manutenzione deve preventivamente informare il Titolare del Trattamento e deve formalizzare per iscritto l'attribuzione dell'incarico eventualmente specificando i limiti dell'intervento e le manutenzioni richieste.

Per manutenzione s'intende non soltanto l'intervento tecnico diretto ad eliminare eventuali avarie hardware, ma anche gli interventi volti alla ricostruzione di archivi che dovessero in qualche modo risultare danneggiati o corrotti oltre all'intervento tecnico diretto ad eliminare eventuali avarie al software di sistema e all'applicativo utilizzato.

Per poter svolgere le sue funzioni, all'Amministratore vengono concesse dal Titolare le “Autorità di sistema”, ossia attributi, privilegi, o accessi che consentono la gestione delle “risorse critiche del sistema operativo”, ovvero degli oggetti informatici necessari al funzionamento dei sistemi e del servizio di elaborazione dati (es. log di sistema, tabella di servizio, cataloghi dei dati, ecc.). L'elenco dei soggetti nominati Amministratori di sistema sono conservati presso la sede amministrativa della Società.

Trattamento dei dati personali (definizione e mappatura dei trattamenti)
Secondo quanto previsto dal Regolamento, il Titolare ed eventualmente il Responsabile, qualora nominato, sono tenuti alla redazione e all'aggiornamento del registro dei trattamenti, da sottoporre all'Autorità di controllo, laddove richiesto.

Il predetto registro deve contenere:

a) il nome e i dati di contatto del Titolare del trattamento e, ove applicabile, del contitolare del trattamento, del Rappresentante esterno del trattamento, del DPO (ove nominato) e del Referente esecutivo per la protezione dei dati personali;

b) le finalità del trattamento;

c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti, la documentazione delle garanzie adeguate;

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche.

Nello svolgimento delle proprie attività, la Società può svolgere trattamenti di dati che riguardano il personale dipendente, nonché candidati, i clienti o terzi fornitori/collaborati.

Alla luce dell'attività di mappatura dei trattamenti svolta, risultano essere presenti i dati di seguito indicati.

Dati dei dipendenti dei collaboratori e dei componenti degli Organi Aziendali
La Società, al fine di adempiere ai propri obblighi di gestione del personale, raccoglie i dati dei componenti degli organi aziendali e dei propri dipendenti, informandoli dei propri diritti. In particolare, il trattamento dei dati delle suddette categorie è previsto per finalità amministrativo-contabili, quali ad esempio:

• gestione delle buste paga, gestione delle trasferte, promozioni e premi;
• pianificazione degli avanzamenti di carriera;
• gestione dei piani di formazione;
• gestione dei dati anagrafici per finalità di legge (ad es. in adempimento del D. lgs. 81/08 in tema di sicurezza sul lavoro).

Dati dei clienti
La Società, per mezzo dei propri Referenti o Autorizzati, può raccogliere i dati personali dei clienti direttamente presso la clientela ovvero presso terzi, al fine di perfezionare accordi contrattuali, per poter effettuare le necessarie valutazioni, le quali hanno ad oggetto prevalentemente la valutazione del rischio di credito.

I dati personali dei clienti potranno essere trattati nell'ambito della normale attività della Società per le seguenti finalità:

• prestare i servizi richiesti e gestire i rapporti con la clientela (es. acquisizione di informazioni preliminari alla conclusione di un contratto, esecuzione di operazioni sulla base degli obblighi derivanti dal contratto concluso con la clientela, ecc);
• adempiere ad obblighi previsti da un regolamento o dalla normativa comunitaria (es. centrale rischi, normativa in materia di antiriciclaggio ecc.), nonché per osservare disposizioni impartite dalle pubbliche Autorità ed organi di vigilanza e controllo a ciò legittimati dalla legge. In tal caso il conferimento dei dati personali è necessario e obbligatorio e per il trattamento di tali dati non è richiesto il consenso;
• svolgimento di indagini di mercato/customer satisfaction e marketing, tra cui rientrano indagini di mercato e rilevazione del grado di soddisfazione della clientela e promozione e vendita di prodotti e servizi della Società o di società terze con le quali possono essere stati conclusi accordi commerciali.

Al fine del trattamento dei dati personali per le finalità di marketing, trasferimento a terzi, nonché allo scopo di trattare i dati sensibili, il Titolare garantisce di presentare un autonomo consenso, rispetto all'uso degli ulteriori dati.

Dati dei terzi
Durante lo svolgimento dell'attività, la Società può venire a conoscenza di dati che riguardano terzi, ovvero fornitori, collaboratori ecc. In tali casi, la Società si impegna a sottoscrivere apposita clausola o accordo al fine di garantire la corretta applicazione delle presenti indicazioni anche nei rapporti con i terzi.

Misure di sicurezza e relativi controlli sulla gestione della sicurezza
La responsabilità dell'attività di impostazione e coordinamento dei sistemi che garantiscono la sicurezza e la tutela di tutti i dati oggetto di trattamento aziendale sia da un punto di vista logico che fisico, la loro gestione diretta o tramite fornitori, sono in carico al Responsabile.

Il Responsabile, o (se nominato) il Referente o, a sua volta, (se designato) l'Amministratore di sistema, in base alle figure professionali presenti in azienda, definisce i profili standard da assegnare agli utenti con le autorizzazioni necessarie all'espletamento delle rispettive mansioni definite per ruoli e competenze.

La validità delle richieste di accesso alla rete è verificata automaticamente dal sistema stesso prima di consentire l'accesso ai dati, tramite un sistema di autenticazione costituito da User-ID e password.

I dati in formato elettronico possono essere archiviati su: Cartelle in Cloud, cartelle su Server non cifrato, cartelle all'interno di PC non cifrato con password policy elevata.

Misure per garantire l'integrità a protezione dell'accesso ai dati
Sono le misure di sicurezza volte a minimizzare i rischi che le informazioni siano rivelate o modificate senza autorizzazione, ovvero perse o alterate accidentalmente o intenzionalmente. Il sistema in atto prevede un sistema di autenticazione, basato su codice identificativo e password individuale segreta, per assicurare che la persona che accede al sistema, nelle sue diverse articolazioni, sia identificata con certezza, nonché un sistema di autorizzazione, che prevede che a ciascuna persona che accede al sistema sia assegnato un profilo di accesso che definisce i dati ai quali l'utente è autorizzato ad accedere e, ove applicabile, le operazioni che per ciascun dato o gruppo di dati è autorizzato ad eseguire (consultazione, inserimento, modifica, cancellazione).

Gli utenti che dispongono di un pc aziendale sono censiti all'interno dell'Active Directory.

Clean Desk Policy
La politica di “scrivania pulita” è una delle migliori strategie da attuare quando si cerca di ridurre il rischio di violazioni della sicurezza della postazione di lavoro. Lo scopo di questa politica è di stabilire i requisiti minimi per prevenire eventi di data breach e responsabilizzare i dipendenti aziendali. Di seguito sono elencati i comportamenti da applicare:

• i dipendenti sono tenuti a garantire che tutte le informazioni sensibili o confidenziali in formato elettronico o cartaceo siano messe al sicuro nella propria postazione di lavoro, in particolare alla fine della giornata lavorativa e in caso di assenza prolungata;
• i computer devono essere bloccati quando le postazioni di lavoro non sono occupate;
• tutti i computer devono essere spenti alla fine della giornata lavorativa;
• qualsiasi informazione e/o dato particolare/sensibile deve essere rimosso dalla scrivania e chiuso a chiave in un cassetto quando la postazione di lavoro non è occupata e alla fine della giornata lavorativa;
• le cartelle contenenti informazioni riservate e/o dati particolari/ sensibili devono essere tenute chiuse e bloccate quando non utilizzate;
• le chiavi utilizzate per accedere alle informazioni riservate e/o ai dati particolari/sensibili non devono essere lasciate su una scrivania non presidiata;
• i laptotp devono essere bloccati con un cavo di bloccaggio o conservati in un cassetto se non utilizzati;
• le password non possono essere lasciate su note adesive attaccate sopra o sotto un computer, né possono essere lasciate per iscritto su una postazione accessibile;
• le stampe contenenti informazioni riservate e/o dati particolari/sensibili devono essere immediatamente rimosse dalle stampanti;
• al momento dello smaltimento, i documenti riservati o contenenti dati particolari/sensibili devono essere triturati nei distruggidocumenti appositi;
• le lavagne contenenti informazioni riservate e/o dati particolari/sensibili devono essere cancellate;
• i dispositivi portatili come laptop, smartphone o tablet non devono mai essere lasciati sbloccati e incustoditi;
• tutti i dispositivi di archiviazione di massa come CDROM, DVD o chiavi USB contenenti informazioni riservate e/o dati particolari/sensibili devono essere conservati in cassetti chiusi a chiave.

Il dipendente che viola queste norme di comportamento può essere soggetto ad azioni disciplinari, fino al licenziamento.

Misure per garantire la disponibilità dei dati
Sono le attività volte a ridurre i rischi di indisponibilità (parziale o totale) nell'accesso al sistema informatico della Società

Processo di assunzione dei dipendenti
Nel contesto di assunzione di una nuova risorsa nella Società, il Responsabile delle risorse umane è tenuto ad inviare una mail almeno 7 giorni prima della data di ingresso della risorsa all'IT Support per la creazione dell'utenza in AD, per la preparazione del PC e di eventuale telefono aziendale (ove previsto). Questi ultimi vengono consegnati al momento dell'ingresso della nuova risorsa.

Servizi IT
Office home and business 2010 : la risorsa avrà in dotazione l'account di posta;

Tuttonormel e Autocad LT2020 per stesura dichiarazione di conformità

Gestionale ArcaEvo

CENTRO per la configurazione delle centraline allarme

User ID Management
Tutte le utenze hanno un unico ID e un unico dominio. L'utenza è personale e non è concesso che essa sia condivisa con uno o più soggetti.

La Società può modificare i diritti di accesso ai servizi e ai sistemi in qualsiasi momento e per qualsiasi ragione. Tutti i dipendenti della Società non sono amministratori di macchina dei dispositivi rilasciati in dotazione.

Processo di dimissione del dipendente
Nel caso di dimissioni di una risorsa della Società, il responsabile delle risorse umane è tenuto a inviare una mail almeno 7 giorni prima della data di cessazione del rapporto di lavoro all'IT Support per la disabilitazione dell'utenza e per la riconsegna del PC e dell'eventuale telefono aziendale.

L'IT Support disabilita immediatamente tutti i diritti di accesso del dipendente su Office 365 e rete aziendale.

Review delle utenze
L'IT Support verifica, con cadenza semestrale, insieme al dipartimento HR che la lista dei dipendenti cessati sia coerente con le utenze disabilitate.

Dismissione dei dispositivi utilizzati dagli utenti
Tutti i dispositivi della Società rilasciati in dotazione ai dipendenti, vengono formattati a seguito delle dimissioni degli stessi al fine di rimuovere tutti i dati personali contenuti al loro interno.

Tutti i dipendenti della Società sono, quindi, tenuti ad assicurarsi che venga correttamente eseguito il passaggio di consegne tra i colleghi del team affinché venga assicurata la continuità dei servizi erogati e la conservazione delle carte di lavoro relative ai clienti.

Livelli di sicurezza
L'amministrazione della sicurezza logica segue i seguenti criteri generali:

• applicazione del principio “need to know” e del minimo privilegio, secondo cui la definizione dei profili standard da assegnare agli utenti con le autorizzazioni necessarie all'espletamento delle rispettive mansioni (definite per ruoli e competenze) avviene alla luce delle effettive esigenze operative. A tal scopo viene limitato l'accesso logico a reti, sistemi e basi dati;
• la validità delle richieste di accesso alla rete è verificata automaticamente dal sistema stesso prima di consentire l'accesso ai dati, tramite un sistema di autenticazione costituito da UserID e password;
• sono adottate delle indicazioni per la gestione delle password che indicano la lunghezza, la complessità, la durata, la conservazione sicura richiesta, in conformità a quanto richiesto dall'allegato B del Codice Privacy, nel caso di trattamenti dei dati effettuati con strumenti elettronici;
• sono previsti sistemi per la periodica validazione e il censimento delle utenze e delle abilitazioni;
• sono adottate tecniche e metodologie per la verifica nel continuo dell'utilizzo dei sistemi applicativi e per il controllo del traffico di rete generato, al fine di garantire pronto intervento in caso di attività anomale;
• sono previsti presidi rafforzati per l'accesso da remoto, in particolare nei confronti di utenti appartenenti a soggetti terzi;
• è prevista la revisione periodica delle misure di sicurezza, anche attraverso esercizi di penetretion test, al fine di prevenire ipotesi di Data Breach;
• sono organizzate sessioni di formazione dei dipendenti, nonché regolamenti e altre forme di documentazione interna, al fine di rendere gli stessi edotti dei rischi in materia di privacy.

Inoltre, vengono previsti periodici controlli al fine di verificare l'adeguatezza, l'affidabilità complessiva e la tutela del sistema informativo. 8. Informazione e formazione dei destinatari L'obbiettivo di garantire un corretto trattamento dei dati, conforme ai requisiti previsti dalla normativa, viene raggiunto dalla Società anche e soprattutto grazie alla particolare attenzione risposta nei confronti della formazione del proprio personale. A tal proposito, fin dal momento di ingresso di una nuova risorsa, la Società presenta a quest'ultima la Policy Privacy, nonché le comunica eventuali aggiornamenti con e-mail inviata a tutti i dipendenti. Tale policy viene comunque archiviata all'interno della intranet aziendale accessibile a tutti gli utenti.

Secondariamente, allo scopo di formare gli Incaricati e i Responsabili dei trattamenti, la Società:

1. adotta un piano formativo con l'obiettivo di alfabetizzazione in materia di protezione dei dati personali, destinato a tutto il personale della società;

2. prevede l'erogazione di un modulo relativo alla formazione privacy all'interno dei corsi organizzati all'atto dell'ingresso in servizio in Società o anche al momento del cambio di mansione, qualora tale cambio preveda l'utilizzo di un nuovo applicativo, sistema o software all'interno della quale vengono trattati dati personali;

3. prevede un piano di formazione programmato con cadenza annuale sulla formazione erogata in ambito privacy a tutti i dipendenti della società;

4. conserva la documentazione distribuita e la modulistica attestante la partecipazione agli interventi formativi.

La formazione degli incaricati e, ove necessario, dei responsabili del trattamento riguarda in particolare:

• aspetti della disciplina di protezione dei dati personali, in ambito generale e specifico, soffermandosi sui rischi che minacciano i dati;
• le conseguenze derivate dalla violazione di dati personali (Data Breach);
• le procedure da seguire in caso di Data Breach;
• le misure disponibili per evitare eventi di Data Breach;
• aspetti della disciplina di protezione dei dati personali, in ambito generale ed ambito specifico (particolari provvedimenti in ambito sanitario, telco, bancario, ecc.);
• training per aggiornare il personale sulle misure adeguate di sicurezza e protezione dei dati personali adottate dal Titolare del trattamento; La formazione deve essere:
• adeguata al proprio sistema di trattamenti dei dati;
• capace di trasmettere agli incaricati e responsabili del trattamento misure adeguate di sicurezza e protezione dei dati personali adottate dal Titolare;

Disposizioni interne per il corretto utilizzo degli strumenti informatici e telematici
La Società si è dotata di procedure specifiche per l'uso dei sistemi informatici nonché l'accesso ad internet. Tali procedure, che vengono diffuse tra i dipendenti della Società e sono raccolte presso il Responsabile al trattamento, hanno lo scopo di ridurre i rischi di natura patrimoniale, di danneggiamento di immagine della Società nonché di incorrere in responsabilità penali conseguenti alla violazione di specifiche disposizioni di legge. Le regole che disciplinano l'utilizzo delle risorse informatiche e telematiche si ispirano al principio della diligenza e correttezza, principi che normalmente si adottano nell'ambito dei rapporti di lavoro. Per quanto non espressamente indicato, si rimanda alla normativa specifica in materia adottata.

Il mancato rispetto delle indicazioni in materia di uso delle risorse aziendali conferite ai dipendenti espone gli stessi a provvedimenti disciplinari e risarcitori previsti dal vigente CCNL, nonché a tutte le azioni civili e penali consentite.

Utilizzo del personal computer e internet
Il Personal Computer affidato all'utente è uno strumento di lavoro, pertanto ogni utilizzo non inerente all'attività lavorativa è vietato perché può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza.

È quindi assolutamente proibita la navigazione in Internet per motivi personali e diversi da quelli strettamente legati all'attività lavorativa.

Il personal computer deve essere custodito con cura evitando ogni possibile forma di danneggiamento. L'accesso alla intranet aziendale avviene solo attraverso specifiche credenziali di autenticazione, che devono essere custodite da parte dell'utente.

Il personale incaricato del Reparto IT ha la facoltà di collegarsi e visualizzare in remoto il desktop delle singole postazioni PC al fine di garantire l'assistenza tecnica e la normale attività operativa nonché la massima sicurezza contro virus, spyware, malware, etc. L'intervento viene effettuato esclusivamente su chiamata dell'utente o, in caso di oggettiva necessità, a seguito della rilevazione tecnica di problemi nel sistema informatico e telematico. In quest'ultimo caso, e sempre che non si pregiudichi la necessaria tempestività ed efficacia dell'intervento, verrà data comunicazione della necessità dell'intervento stesso.

Non è consentito l'uso di programmi diversi da quelli ufficialmente installati dal personale del Reparto IT per conto della Società né viene consentito agli utenti di installare autonomamente programmi provenienti dall'esterno, sussistendo infatti il grave pericolo di introdurre Virus informatici e/o di alterare la funzionalità delle applicazioni software esistenti.

L'inosservanza della presente disposizione espone la stessa Società a gravi responsabilità civili.

Le violazioni della normativa a tutela dei diritti d'autore sul software che impone la presenza nel sistema di software regolarmente licenziato, o comunque libero e quindi non protetto dal diritto d'autore, vengono sanzionate penalmente e possono anche comportare il sorgere di una responsabilità amministrativa a carico della società, come disposto dall'art. 25-nonies del D.lgs. 8 giugno 2001, n. 231, con applicazione di sanzioni pecuniarie ed interdittive.

Salvo preventiva espressa autorizzazione del personale del Responsabile IT, non è consentito all'utente modificare le caratteristiche impostate sul proprio PC né procedere ad installare dispositivi di memorizzazione, comunicazione o altro (come ad esempio masterizzatori, modem ecc.).

Ogni utente deve prestare la massima attenzione ai supporti di origine esterna, avvertendo immediatamente il personale del Reparto IT nel caso in cui siano rilevati virus.

Il Personal Computer deve essere spento ogni sera prima di lasciare gli uffici o in caso di assenze prolungate dall'ufficio o in caso di suo inutilizzo, salvo disposizioni e/o richieste specifiche da parte del Responsabile IT.

In ogni caso, lasciare un elaboratore incustodito connesso alla rete può essere causa di utilizzo da parte di terzi senza che vi sia la possibilità di provarne in seguito l'indebito uso. Qualora, l'utente sia dotato di un PC portatile, egli è responsabile di custodirlo con diligenza sia se l'utilizzo avviene fuori sede sia durante l'utilizzo nel luogo di lavoro, in quest'ultimo caso bloccandolo con il relativo cavo di sicurezza.

I PC portatili utilizzati all'esterno, in caso di allontanamento, devono essere custoditi con diligenza, adottando tutti i provvedimenti che le circostanze rendono necessari per evitare danni o sottrazioni.

Al fine di evitare la navigazione in siti non pertinenti all'attività lavorativa, la Società rende peraltro nota l'adozione di uno specifico sistema di blocco o filtro automatico che previene determinate operazioni quali l'upload o l'accesso a determinati siti inseriti in una black list.

Tutti i supporti magnetici rimovibili (dischetti, CD e DVD riscrivibili, supporti USB, ecc.), contenenti dati sensibili nonché informazioni costituenti know-how aziendale, devono essere trattati con particolare cautela onde evitare che il loro contenuto possa essere trafugato o alterato e/o distrutto o, successivamente alla cancellazione, recuperato.

I supporti magnetici contenenti dati sensibili devono essere adeguatamente custoditi dagli utenti in armadi chiusi.

E' vietato l'utilizzo di supporti rimovibili personali.

Oltre che per motivi di sicurezza del sistema informatico, anche per motivi tecnici e/o manutentivi (ad esempio, aggiornamento/sostituzione/implementazione di programmi, manutenzione hardware, ecc.) o per finalità di controllo e programmazione dei costi aziendali (ad esempio, verifica costi di connessione ad internet, traffico telefonico, ecc.), comunque estranei a qualsiasi finalità di controllo dell'attività lavorativa, è facoltà dell'Amministrazione, tramite il Responsabile IT o addetti alla manutenzione, accedere direttamente, nel rispetto della normativa sulla privacy, a tutti gli strumenti informatici aziendali e ai documenti ivi contenuti, nonché ai tabulati del traffico telefonico.

Gestione delle credenziali di accesso
Le credenziali di autenticazione per l'accesso alla rete vengono assegnate dal personale del Reparto IT, previa formale richiesta del Responsabile dell'ufficio/area nell'ambito del quale verrà inserito ed andrà ad operare il nuovo utente. Nel caso di collaboratori a progetto e coordinati e continuativi la preventiva richiesta, se necessaria, verrà inoltrata direttamente dall'Amministrazione ovvero dal Responsabile con il quale il collaboratore si coordina nell'espletamento del proprio incarico.

Le credenziali di autenticazione consistono in un codice per l'identificazione dell'utente (user id), assegnato dal Reparto IT, associato ad una Password riservata che dovrà venir custodita dall'autorizzato con la massima diligenza e non divulgata.

Non è consentita l'attivazione della password di accensione (bios), senza preventiva autorizzazione da parte del Responsabile IT.

La Password, formata da lettere (maiuscole o minuscole) e/o numeri, anche in combinazione fra loro, deve essere composta da almeno otto caratteri e non deve contenere riferimenti agevolmente riconducibili all'autorizzato.

In ogni caso la Password dovrà soddisfare i requisiti delle singole applicazioni.

È necessario procedere alla modifica della parola chiave a cura dell'utente autorizzato del trattamento al primo utilizzo e, comunque, quando richiesto dall'applicazione e, successivamente, almeno ogni 6 mesi. Qualora la parola chiave dovesse venir sostituita, per decorso del termine sopra previsto e/o in quanto abbia perduto la propria riservatezza, si procederà in tal senso d'intesa con il Responsabile IT. Il soggetto preposto alla custodia delle credenziali di autenticazione è il personale autorizzato del Responsabile IT.

Gestione locali
Al locale contenente i fascicoli / faldoni contenenti dati personali di clienti e/o lavoratori avranno accesso soltanto incaricati al loro trattamento.

Le porte di accesso al predetto locale dovranno presentare un cartello che dissuada gli estranei dal provare ad aprirle (ove comunque tentassero l'accesso, come si è detto, le porte dovranno essere chiuse a chiave). La comunicazione ai clienti dovrà avvenire senza che quest'ultimi possano accedere al locale in cui sono depositati fascicoli / faldoni contenenti dati personali.

Tutti i dati visibili dallo sportello, usato per interfacciarsi con i clienti, non dovranno essere diversi dai dati personali.

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
AI SENSI DEL REGOLAMENTO UE 2016/679

Il sottoscritto AVAGNINA ALEX, in qualità di

RAPPRESENTANTE LEGALE E SOCIO AMMINISTRATORE DI

S.I.E.M. SOCIETÀ IMPIANTI ELETTRCI E MANUTENZIONI DI AVAGNINA DARIO & C. S.N.C.

MONDOVì (CN), Via Gherbiana n. 2/b

C.F. / P.I. / R.I. Cuneo n. 00619940042

p.e.c. siem@cert.postecert.it

p.e.o. info@siemimpiantielettrici.it

tel. / fax 0174.46710

- di seguito TITOLARE DEL TRATTAMENTO (detto anche DATA CONTROLLER), a norma del Regolamento UE 2016/679 (nel prosieguo "Regolamento"), dei dati personali di cui l’IMPRESA è entrata in possesso con l’affidamento dell’incarico di eseguire impianti elettrici (compresi gli impianti a tecnologia FER) e riparazioni elettriche, installazioni e/o manutenzioni impianti elettronici fornisce le seguenti informazioni affinché Lei possa prestare un consenso specifico, inequivocabile, informato, libero e consapevole al Trattamento dei Dati che potrà avvenire anche con strumenti informatici e/o telematici.

1) Fonte dei Dati.
I dati necessari per lo svolgimento del rapporto contrattuale tra le Parti, nonché i dati altrimenti acquisiti nell’ambito di tale attività, sono raccolti dall’IMPRESA direttamente dall’Interessato e/o per il tramite di soggetti terzi, nonché ottenuti consultando alcune banche dati esterne pubbliche e private.

2) Disponibilità dell’Informativa.
L’IMPRESA fornisce la possibilità di consultare questa informativa: a) ogni volta che raccoglie i dati personali dei Clienti; b) ogni volta ne viene fatta espressa richiesta al Titolare; c) attraverso la consultazione web accedendo alla home page del sito www.siemimpiantielettrici.it

3) Finalità del trattamento dei Dati.
L’IMPRESA per le proprie finalità istituzionali, connesse o strumentali all’attività, tratta i Suoi dati per i seguenti scopi:

a) finalità connesse agli obblighi previsti da leggi, da regolamenti e dalla normativa comunitaria nonché da disposizioni impartite da Autorità a ciò legittimate dalla legge o da organi di vigilanza e/o controllo;

b) finalità contrattuali, connesse e strumentali alla instaurazione e gestione dei rapporti con la clientela, quali ad esempio l’acquisizione di informazioni preliminari all’eventuale conclusione di un contratto;

c) rilevazione del grado di soddisfazione sulla qualità dei servizi, eseguita direttamente dall'IMPRESA ovvero attraverso l’opera di società specializzate mediante interviste personali o telefoniche, questionari interattivi, indagini di mercato;

d) promozione di prodotti e servizi dell’IMPRESA effettuata attraverso l'invio di materiale pubblicitario, contratti telefonici ed ogni altra forma di comunicazione elettronica (invio di e-mail, sms, mms, pubblicazione su social network);

e) comunicazione e/o cessione dei dati a terzi per la promozione e/o la vendita di prodotti e servizi, con modalità tradizionali e/o automatizzate. Con riferimento alle finalità di cui ai punti c), d), e), La informiamo che, in ogni momento, lei sarà libero di revocare il consenso espresso secondo le modalità specificate nella presente informativa.

4) Natura del conferimento dei Dati.
Lei ha diritto di sapere che il conferimento dei dati può avere natura obbligatoria o facoltativa, nonché comportare conseguenze in caso di un eventuale rifiuto. A tale riguardo Le preciso che:

a) il conferimento del Suo consenso per le finalità di cui alle lettere a) e b) del punto 3 ha natura obbligatoria in quanto previsto dalla legge o per dar seguito ad obbligazioni di tipo contrattuale (come indicato dall’art. 6, comma 1, lettera b e c) del Regolamento). Il diniego del Suo consenso per le finalità indicate alla lettera b) del punto 3) non permetterà, pertanto, all’IMPRESA di eseguire l’incarico da Lei conferitole o di giungere alla conclusione del contratto di cui Lei è parte;

b) il diniego al trattamento dei Dati per le finalità di cui alle lettere c), d), e) del punto 3 è, invece, di tipo facoltativo, non Le comporterà alcuna conseguenza pregiudizievole e potrà da Lei essere revocato in qualsiasi momento, limitatamente alle finalità connesse all’invio di materiale pubblicitario, rilevazione del grado di soddisfazione sulla qualità dei servizi, compimento di ricerche di mercato o di comunicazione commerciale, mediante contatti telefonici o con ogni altra forma di comunicazione elettronica (invio di e-mail, sms, mms, whatsapp, pubblicazione su siti web, social network, ecc.), eseguiti direttamente dall’IMPRESA ovvero attraverso l’opera di società specializzate mediante interviste personali o telefoniche, questionari interattivi.

5) Conservazione dei Dati.
I Dati saranno conservati per il tempo necessario a gestire il rapporto contrattuale ed adempiere ad obblighi di legge, con particolare riferimento anche alla normativa in materia di Antiriciclaggio. I Dati sono trattati sempre nel pieno rispetto del principio di proporzionalità del trattamento (art. 5, comma 1, lett. c) del Regolamento), in base al quale tutti i Dati personali e le varie modalità del loro trattamento devono essere pertinenti e non eccedenti rispetto alle finalità perseguite, in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento, nonché un trattamento lecito e corretto.

6) Tempi di conservazione dei Dati.
In virtù di quanto disposto dall’art. 13, comma 2, lett. a) del Regolamento, di seguito sono fornite indicazioni circa i tempi di conservazione dei Dati in base alle diverse finalità del trattamento:

• con riferimento alle lettere a) e b) del punti 3 i Dati sono conservati per il periodo necessario a gestire il contratto e adempiere agli obblighi di legge;
• con riferimento alle lettere c), d), e), del punto 3, i tempi di conservazione sono fissati in 10 anni.

7) Modalità del trattamento dei Dati.
In relazione alle finalità indicate al punto 3, i Dati personali potranno essere trattati anche da un “Responsabile”, ossia una persona fisica o una società/ente, anche esterna all’IMPRESA, a cui potranno essere affidati specifici e definiti compiti di gestione e controllo del trattamento dei dati, e da uno o più “Incaricato/i”, che provvederanno all’elaborazione o utilizzazione materiale dei Dati sulla base delle istruzioni ricevute dal Titolare o dal Responsabile (soggetti che, qualora non espressamente indicati nella presente informativa, sono da considerarsi non ancora designati, e non necessariamente da designare se il trattamento è occasionale, e i cui dati Le saranno forniti in caso di loro designazione).

Sempre in relazione alle finalità sopra indicate, i Dati potranno essere trattati attraverso strumenti manuali, informatici e/o altrimenti automatizzati secondo logiche strettamente connesse alle finalità del trattamento e, comunque, in modo da garantirne la sicurezza e riservatezza anche nel caso di trattamento attraverso strumenti di comunicazione a distanza.

8) Trasferimento dei Dati all’estero.
I Dati potrebbero essere trasferiti verso Paesi dell’Unione Europea e verso Paesi terzi (ossia non aderenti all’Unione europea) esclusivamente nell’ambito delle finalità di cui alle lettere a) e b) del punto 3. In tal caso, l’intenzione di trasferire i dati personali dovrà preventivamente esserle comunicata e da Lei autorizzata solo qualora sia garantito un livello di protezione dei dati adeguato a quello europeo.

9) Comunicazione dei Dati.
I Dati, in ragione del rapporto instauratosi e al fine di agevolare e consentire l’esecuzione dell’incarico, potranno essere comunicati a:

i) collaboratori esterni;

ii) altri professionisti/imprese individuate dal Titolare al fine di collaborare per l’espletamento dell’incarico affidato dall’Interessato;

iii) banche e altri soggetti operanti nel settore bancario;

iv) fornitori e/o produttori di materiale necessario per espletare l’incarico;

v) assicurazioni al fine della stipula di polizze attinenti l’incarico conferito al Titolare;

vi) collegi di arbitri e, in genere, tutti quei soggetti pubblici e privati cui la comunicazione sia necessaria per il corretto adempimento delle finalità indicate al punto 3);

vii) Organi di Vigilanza/Controllo e altre Autorità, per finalità connesse agli obblighi previsti da legge (legge anti-usura, normativa antiriciclaggio) e/o da regolamenti, nonché da disposizioni impartite dalle medesime Autorità.

Tutti i soggetti, appartenenti alle categorie ai quali i Dati potranno essere comunicati, utilizzeranno i Dati in qualità di “titolari” ai sensi della legge o di specifico consenso, in piena autonomia, essendo estranei all’originario trattamento effettuato presso l’IMPRESA, ovvero di “responsabili esterni”. Per conoscere in qualsiasi momento i soggetti, cui i Suoi dati verranno comunicati, è sufficiente che Lei richieda l’elenco aggiornato scrivendo al Titolare del trattamento dei dati presso la sede dell’IMPRESA.

Infine i Suoi Dati saranno conosciuti da tutti i dipendenti e collaboratori dell’IMPRESA, designati responsabili e/o incaricati del trattamento, in relazione allo svolgimento delle mansioni e dei compiti a ciascuno attribuiti. I Dati trattati dall’IMPRESA non saranno oggetto di diffusione.

10) Diritti dell’interessato.
Nei limiti e alle condizioni previste dagli artt. 15 – 23 del Regolamento, l’IMPRESA Le garantisce e Le riconosce l’esercizio dei seguenti diritti:

• il diritto di accedere ai dati personali presenti in propri archivi cartacei e/o elettronici;
• il diritto di chiederne la rettifica, l'aggiornamento e la cancellazione, se incompleti o erronei, nonché di opporsi al loro trattamento per motivi legittimi e specifici;
• il diritto di ottenere la rettifica dei dati personali inesatti senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa;
• il diritto di ottenere la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo se sussiste uno dei motivi di cui all’art. 17, comma 1 del Regolamento;
• il diritto di ottenere la limitazione del trattamento quando ricorre una delle ipotesi di cui all’art. 18, comma 1 del Regolamento;
• il diritto alla portabilità del dato nei limiti e nei modi previsti dall’art. 20 del Regolamento.

Lei ha, inoltre, in qualsiasi momento, il diritto di revocare il consenso al trattamento dei suoi dati senza pregiudicare in alcun modo la liceità del trattamento basata sul consenso prestato prima della revoca, nonché di opporsi in qualsiasi momento al trattamento per finalità di marketing (diritto di opposizione).

Lei ha diritto di ricevere le informazioni relative all’azione intrapresa riguardo a una delle suddette richieste o agli effetti nascenti dall’esercizio di uno dei suddetti diritti, senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa, prorogabile, se necessario, di due mesi; ha, altresì, diritto di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.

Fatto salvo il caso in cui il trattamento dei Dati violi i principi generali dettati dal Regolamento, l’esercizio di tali diritti dovrà essere pertinente e motivato e non potrà implicare la revoca del consenso prestato o la richiesta di cancellazione dei Dati da Lei forniti per la conclusione e l’esecuzione del contratto di cui al punto 3) lettere a) e b), nella misura in cui e fintantoché i Dati siano necessari a tale finalità.

I diritti in oggetto potranno essere esercitati, anche per il tramite di un incaricato, mediante richiesta rivolta al Titolare o al Responsabile del trattamento dei Dati a tutti gli indirizzi e contatti riportati in epigrafe, nella parte in cui viene identificata l’IMPRESA (V. indirizzo sede, indirizzo p.e.c., indirizzo p.e.o., tel. / fax).

Nell’esercizio dei diritti, Lei potrà conferire, per iscritto, delega o procura a persone fisiche, enti associazioni od organismi; potrà, altresì, farsi assistere da una persona di fiducia. L’IMPRESA, per garantire l’effettivo esercizio dei Suoi diritti, adotterà le misure idonee volte ad agevolare l’accesso ai Dati, a semplificare le modalità e a ridurre i tempi per dare relativo riscontro alla Sua richiesta.

Infine si segnala che Lei potrà proporre reclamo all’autorità di controllo ossia al Garante per la Protezione dei Dati Personali attraverso i seguenti mezzi:

a) raccomandata A/R indirizzata a Garante per la protezione dei dati personali, Piazza di Monte Citorio n. 121 00186 Roma;

b) e-mail all’indirizzo: garante@gpdp.it, oppure protocollo@pec.gpdp.it;

c) fax al numero: 06/69677.3785.

Tutte le relative informazioni sui reclami proponibili dall’Interessato sono disponibili sul sito web del Garante all’indirizzo www.garanteprivacy.it

11) Responsabile e Incaricati del trattamento dei Dati.
Responsabile del Trattamento, ai sensi dell’art. 28 del Regolamento è AVAGNINA ALEX

Incaricati del Trattamento sono:

AVAGNINA Dario

AVAGNINA Ivo

VINAI Liliana

MAZZUCCHI Cristina