Politica della privacy - Compagnia del sapere

Adempimenti ex Art. 12 del REGOLAMENTO UE 679/2016 – Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato – Informativa ai sensi degli Artt. 13-14 del REGOLAMENTO UE 679/2016

La POLITICA della PRIVACY di Compagnia del Sapere Srl impone che, in coerenza con la missione della società, la gestione di tutti i processi sia impostata con le regole proprie dell’applicazione del Sistema di gestione della Privacy secondo le prescrizioni contenute nel D.Lgs. 196/03, come modificato dal D.Lgs. 101/2018, e del Reg. UE 679/2016 (GDPR).

SCOPO E OBIETTIVI

La Direzione di Compagnia del Sapere ha definito, divulgato e si impegna a mantenere attiva a tutti i livelli della propria organizzazione la presente politica per la Gestione della Privacy.
Lo scopo della presente policy è garantire la tutela e la protezione da tutte le minacce, interne o esterne, intenzionali o accidentali, delle informazioni e dei dati gestiti nell’ambito delle proprie attività, in accordo con il D.Lgs. 196/03 e con il Reg. UE 679/2016.

In tale ambito, la Società assicura che i dati personali siano:

trattati in modo lecito, corretto e trasparente;
raccolti per finalità determinate, esplicite e legittime;
adeguati, pertinenti e limitati a quanto necessario;
esatti e aggiornati;
conservati per un periodo non superiore a quello necessario;
trattati con adeguate misure tecniche e organizzative di sicurezza.

CAMPO DI APPLICAZIONE

La presente politica si applica indistintamente a tutti gli organi e i livelli della società.
L’attuazione è obbligatoria per tutto il personale e deve essere inserita negli accordi con qualsiasi soggetto esterno coinvolto nel trattamento di informazioni che rientrano nel campo di applicazione del Sistema di Gestione della Privacy.
Compagnia del Sapere consente la comunicazione e la diffusione delle informazioni verso l’esterno solo per il corretto svolgimento delle attività, nel rispetto delle regole e delle norme vigenti.

Categorie di interessati: clienti, fornitori, dipendenti, collaboratori, utenti del sito web e candidati.
Finalità principali del trattamento: gestione dei rapporti contrattuali e amministrativi; erogazione dei servizi; comunicazioni informative o promozionali previo consenso; gestione del personale; sicurezza informatica.
Base giuridica: esecuzione di un contratto o di misure precontrattuali (art. 6 §1 b GDPR), obblighi legali (art. 6 §1 c), legittimo interesse del titolare (art. 6 §1 f) e consenso dell’interessato ove richiesto (art. 6 §1 a).
Periodo di conservazione: per la durata del rapporto contrattuale e, successivamente, per il tempo necessario a far valere o difendere diritti o adempiere obblighi di legge.

LA NOSTRA POLICY IN TEMA DI SICUREZZA DELLE INFORMAZIONI

Il patrimonio informativo da tutelare è costituito dall’insieme delle informazioni gestite attraverso i servizi forniti e localizzate in tutte le sedi della società.

È necessario assicurare:

la confidenzialità delle informazioni: ovvero le informazioni devono essere accessibili solo da chi è autorizzato;
l’integrità delle informazioni: ovvero proteggere la precisione e la completezza delle informazioni e dei metodi per la loro elaborazione;
la disponibilità delle informazioni: ovvero che gli utenti autorizzati possano effettivamente accedere alle informazioni e ai beni collegati nel momento in cui lo richiedono.

La mancanza di adeguati livelli di sicurezza può comportare il danneggiamento dell’immagine della società, la mancata soddisfazione del cliente, il rischio di incorrere in sanzioni legate alla violazione delle leggi e normative vigenti nonché danni di natura economica e finanziaria.

Un adeguato livello di sicurezza è altresì basilare per la condivisione delle informazioni.

Viene istituito e tenuto dal Titolare del Trattamento e, ove applicabile, dal rappresentante, un apposito registro delle attività di trattamento dei dati che vengono svolte sotto la propria responsabilità.
Compagnia del Sapere identifica, inoltre, tutte le esigenze di sicurezza tramite la valutazione di impatto sulla protezione dei dati che consente di acquisire consapevolezza sul livello di esposizione a minacce dei propri sistemi di gestione dei dati.

La valutazione del rischio permette di valutare le potenziali conseguenze e i danni che possono derivare dalla mancata applicazione di misure di sicurezza al sistema informativo e quale sia la realistica probabilità di attuazione delle minacce identificate.
I risultati di questa valutazione determinano le azioni necessarie per individuare le corrette ed adeguate misure di sicurezza ed i meccanismi per garantire la protezione dei dati personali.

I principi generali della gestione della sicurezza delle informazioni abbracciano vari aspetti:
– deve esistere un catalogo costantemente aggiornato degli asset della società rilevanti ai fini della gestione delle informazioni e per ciascuno deve essere individuato un responsabile;
– le informazioni devono essere classificate in base al loro livello di criticità, in modo da essere gestite con livelli di riservatezza ed integrità coerenti ed appropriati;
– per garantire la sicurezza delle informazioni, ogni accesso ai sistemi deve essere sottoposto a una procedura d’identificazione e autenticazione;
– le autorizzazioni di accesso devono essere differenziate in base al ruolo ed agli incarichi ricoperti e periodicamente sottoposte a revisione;
– devono essere definite delle procedure per l’utilizzo sicuro dei beni della società e delle informazioni e dei loro sistemi di gestione;
– deve essere incoraggiata la piena consapevolezza delle problematiche relative alla sicurezza delle informazioni in tutto il personale;
– ogni incidente deve essere gestito come indicato nelle procedure;
– è necessario prevenire l’accesso non autorizzato alle sedi e ai singoli locali dove sono gestite le informazioni;
– deve essere assicurata la conformità con i requisiti legali e contrattuali con le terze parti;
– deve essere predisposto un piano di continuità per affrontare eventi imprevisti;
– gli aspetti di sicurezza devono essere inclusi in tutte le fasi di progettazione, sviluppo, manutenzione e dismissione dei sistemi e servizi informatici;
– devono essere garantiti il rispetto delle disposizioni di legge, regolamenti o obblighi contrattuali e ogni requisito inerente la sicurezza delle informazioni.

I dati sono conservati su server situati nell’Unione Europea. Qualora, per esigenze tecniche (es. servizi cloud o strumenti analitici), i dati siano trasferiti verso Paesi extra-UE, il trasferimento avverrà nel rispetto degli artt. 44 e seguenti del GDPR, mediante decisioni di adeguatezza o clausole contrattuali standard approvate dalla Commissione Europea.

RESPONSABILITÀ DI OSSERVANZA E ATTUAZIONE

L’osservanza e l’attuazione della policy sono responsabilità di:

Tutto il personale che, a qualsiasi titolo, collabora con la società ed è in qualche modo coinvolto con il trattamento di dati e informazioni che rientrano nel campo di applicazione del Sistema di Gestione Privacy. Tutto il personale è altresì responsabile della segnalazione di tutte le anomalie e violazioni di cui dovesse venire a conoscenza.
Tutti i soggetti esterni che intrattengono rapporti e collaborano con la società devono garantire il rispetto dei requisiti contenuti nella presente policy.

Il Responsabile del Sistema di Gestione Privacy, designato dal Titolare del Trattamento, deve:

condurre l’analisi dei rischi e adottare misure per la gestione del rischio;
stabilire le norme necessarie alla conduzione sicura delle attività;
verificare le violazioni alla sicurezza e adottare le contromisure necessarie;
organizzare la formazione e promuovere la consapevolezza del personale;
verificare periodicamente l’efficacia e l’efficienza del Sistema di Gestione Privacy.

Il personale e i collaboratori sono vincolati da accordi di riservatezza.
I responsabili esterni del trattamento (fornitori IT, consulenti, hosting provider, società di servizi contabili, marketing o gestione del personale) sono nominati ai sensi dell’art. 28 GDPR e operano secondo istruzioni scritte del Titolare.

Chiunque, dipendenti, consulenti e/o collaboratori esterni della società, in modo intenzionale o riconducibile a negligenza, disattenda le regole di sicurezza stabilite e in tal modo provochi un danno alla società, potrà essere perseguito nelle opportune sedi e nel pieno rispetto dei vincoli di legge e contrattuali.

RIESAME

La Direzione verificherà periodicamente e regolarmente almeno una volta all’anno o in concomitanza di cambiamenti significativi l’efficacia e l’efficienza del Sistema di Gestione Privacy.
Il Responsabile del Sistema di Gestione Privacy ha la responsabilità del riesame della politica privacy.
Il riesame dovrà verificare lo stato delle azioni preventive e correttive e l’aderenza alla politica privacy, tenendo conto di cambiamenti organizzativi, tecnici, legali o regolamentari.

La Società tiene traccia dei riesami e delle eventuali violazioni dei dati personali (data breach) secondo l’art. 33 GDPR, notificandole al Garante per la Protezione dei Dati Personali e, se necessario, agli interessati.

IMPEGNO DELLA DIREZIONE

La Direzione sostiene attivamente le attività inerenti la gestione della privacy tramite un chiaro indirizzo, un impegno evidente, incarichi espliciti e il riconoscimento delle responsabilità relative alla sicurezza delle informazioni.

L’impegno della Direzione si attua tramite una struttura i cui compiti sono:

garantire che siano identificati gli obiettivi relativi alla sicurezza delle informazioni;
stabilire i ruoli e le responsabilità per lo sviluppo e il mantenimento del Sistema di Gestione Privacy;
fornire risorse sufficienti alla pianificazione, implementazione, organizzazione, controllo, revisione, gestione e miglioramento continuo del Sistema;
controllare che il Sistema Gestione Privacy sia integrato in tutti i processi aziendali;
approvare e sostenere le iniziative volte al miglioramento della sicurezza delle informazioni;
attivare programmi per la diffusione della consapevolezza e della cultura della sicurezza delle informazioni.

Riconosciamo la nostra responsabilità e ci impegniamo a proteggere i dati personali che gli utenti affidano alla nostra Società da perdita, uso improprio o accesso non autorizzato. Per la protezione dei dati personali degli utenti, la nostra Società si avvale di una serie di tecnologie e procedure di sicurezza: controlli per l’accesso, firewall, server protetti e crittografia dei dati sensibili.

TITOLARE E RESPONSABILI DEL TRATTAMENTO

Titolare del Trattamento è Compagnia del Sapere Srl,

sede operativa: Via Aldo Moro, 41/A – 04011 APRILIA (LT) – sede legale: Via Costantino,64 – 04011 APRILIA (LT)

Tel. +39 06 9271782 – Fax. +39 06 87690626 – privacy@compagniadelsapere.it – www.compagniadelsapere.it

Le istanze relative all’esercizio dei predetti diritti possono essere inoltrate, per iscritto, anche mediante messaggio di posta elettronica. Le richieste relative all’identità dei Responsabili del trattamento designati da Compagnia del Sapere Srl nonché le richieste di cui al precedente paragrafo 5 possono essere formulate anche oralmente. L’elenco completo dei Responsabili nominati dalla Società potrà essere richiesto mediante messaggio di posta elettronica.

SCOPO E OBIETTIVI

CAMPO DI APPLICAZIONE

LA NOSTRA POLICY IN TEMA DI SICUREZZA DELLE INFORMAZIONI

RESPONSABILITÀ DI OSSERVANZA E ATTUAZIONE

RIESAME

IMPEGNO DELLA DIREZIONE

Sedi

Chiama

Scrivi

Come creare un Curriculum Vincente dopo i corsi GOL: la tua guida al successo professionale

Tutte promosse: concluso con successo il primo corso OSS della Compagnia del Sapere nel Programma GOL