PRIVACY POLICY

Scopo della politica

OBIETTIVO
Garantire la conformità di DI.GI International S.p.a. alla normativa cogente in materia di protezione dei dati personali degli interessati.

REGOLA
Definire e implementare un sistema di gestione della protezione dei dati personali, identificando ruoli e responsabilità per la protezione dei dati personali all’interno dell’azienda.
DI.GI International S.p.a. nell’ambito delle proprie attività raccoglie e gestisce tutti i dati personali degli interessati in conformità con le normative nazionali ed europee in materia di protezione dei dati. L’azienda utilizza i dati degli interessati per finalità concernenti i propri servizi erogati sul territorio dell’unione europea.

DI.GI International S.p.a. in quanto società avente sede legale in un paese membro dell’Unione Europea è soggetta alla normativa di settore

• Regolamento UE 2016/679
• D.lgs. 196/2003 Codice Privacy e successive modificazioni
• Provvedimenti dell’autorità garante italiana
Definizioni
• Interessato al trattamento: persona fisica interessata dal trattamento
• Titolare al trattamento: soggetto giuridico o persona fisica che determina le modalità, finalità e limitazioni del trattamento dati
• Responsabile al trattamento: soggetto giuridico o persona fisica che viene nominato, attraverso formale contratto, di svolgere attività di trattamento per nome e per conto del titolare secondo le modalità (anche di sicurezza) indicate dal titolare.
• Responsabile della protezione dei dati: organo di controllo per il rispetto del regolamento sulla protezione dei dati all’interno dell’azienda e punto di contatto per l’autorità garante.
• Dati personali: qualsiasi informazione che potrebbe essere utilizzata per identificare una persona fisica o che potrebbe essere ricondotta direttamente o indirettamente alla persona fisica
• Base legale del trattamento: Fondamento giuridico del trattamento dati personali, di seguito le categorie:
   o contrattuale
   o fondato sul consenso
   o necessario per adempiere un obbligo legale al quale è sottoposto il titolare del trattamento
   o necessario per tutelare la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica
   o necessario per l’esecuzione di un compito di interesse pubblico di cui è investito il titolare del trattamento.
   o Necessario per tutelare il legittimo interesse del titolare del trattamento
• Consenso: autorizzazione concessa dall’interessato al trattamento dopo essere stato debitamente informato
• Incidente di sicurezza che coinvolge dati personali: qualsiasi incidente che comporti una perdita di disponibilità, integrità o riservatezza dei dati personali degli interessati

Ruoli & Responsabilità

L’azienda ha individuato nella figura del Referente Privacy la funzione deputata a svolgere le attività peculiari del ruolo del Titolare del trattamento.
N.B. DI.GI International S.p.a. nell’erogazione dei propri servizi presso o per i clienti non di rado agisce in qualità di responsabile del trattamento dati personali.

Consenso e scelta

A. Consenso al trattamento

DI.GI. International S.p.a. si impegna a fornire all’interessato al trattamento l’informativa nella forma più completa, esaustiva e fruibile possibile. L’azienda si impegna, in caso di consenso espresso in forma orale, a fornire copia dell’informativa al contatto di posta elettronica fornito dall’interessato.

Tutti gli interessati al trattamento potranno in qualsiasi momento, in conformità con quanto previsto dalla normativa vigente, revocare il consenso al trattamento.

Tutti i dipendenti e terze parti che operino in nome e per conto dell’azienda devono pertanto:

• Verificare laddove possibile l’identità dell’interessato
• Richiedere l’autorizzazione del genitore in caso l’interessato abbia età inferiore ad anni 16
• Fornire l’informativa redatta dall’azienda prima dell’inizio di qualsiasi attività di trattamento.
• Raccogliere e registrare il consenso ottenuto in forma verbale
• Informare gli interessati al trattamento circa i propri diritti e le relative procedure per esercitare tali diritti
• Comunicare a DI.GI. prontamente attraverso gli opportuni strumenti la revoca del consenso da parte dell’interessato
• Conservare all’interno dei sistemi informativi un file di log che riporti data e ora di apposizione del consenso da parte dell’interessato, questo al fine di tutelare la società in caso di contenziosi legali.

Finalità del trattamento

A. Finalità legittime

DI.GI International S.p.a., fatto salvo quanto previsto dalla normativa europea in materia di protezione dei dati, si impegna a perseguire solo ed esclusivamente finalità legittime nello svolgimento di trattamento dati personali.

Si dispone per tanto che:

a) Ogni finalità del trattamento deve prevedere una base legale ai sensi della normativa vigente (art. 6 par.a-f)
b) La finalità del trattamento sia esposta nella maniera più chiara e comprensibile da parte dell’interessato e nella sua lingua di uso comune
c) In caso il trattamento richieda il consenso da parte dell’interessato, questo deve essere presentato in forma chiara e disgiunta da altre finalità, in modo da permettere all’interessato di comprendere il valore del consenso richiesto
d) Ai sensi dell’art. 13 par 2 comma E in caso di trattamento che richieda il consenso da parte dell’interessato, nell’informativa devono essere riportate le conseguenze della mancata apposizione del consenso.

B. Descrizione delle finalità

Fatto salvo quanto previsto dalla normativa europea in materia di protezione dei dati, si impegna a descrivere le finalità del trattamento nella forma più completa e comprensibile per tutti gli interessati al trattamento.
Ogni aggiornamento di tutta o una parte dell’informativa rilasciata agli interessati al trattamento dovrà essere comunicato nella maniera più opportuna agli interessati.

Limitazioni alla raccolta dei dati

DI.GI. si impegna a raccogliere solo i dati adeguati, pertinenti e strettamente necessari per le finalità correlate secondo il principio della minimizzazione dei dati.
L’azienda si impegna a raccogliere dati personali di interessati aventi età inferiore ad anni 16 solo previa espressa autorizzazione da parte del titolare della responsabilità genitoriale.

Limiti all’utilizzo, conservazione e divulgazione dei dati

A. Limiti generali

Tutti i dipendenti che trattino dati personali ricevono adeguate istruzioni su come trattare i dati personali e i dispositivi aziendali con i quali processano i dati.

È fatto divieto di:

• Conservare copie dei dati personali degli interessati sui dispositivi personali
• Conservare copie dei dati personali degli interessati su spazi di archiviazione di private-cloud
• Utilizzare dispostivi USB non protetti da strumenti crittografici per il trasferimento di dati personali degli interessati (specialmente dati sensibili)
• Comunicare i dati personali degli interessati al personale non autorizzato
• Utilizzare strumenti per la comunicazione dati personali degli interessati non autorizzati dall’azienda
Si raccomanda di:
• Utilizzare i dati personali degli interessati solo ed esclusivamente per le finalità concordate con gli interessati
• Verificare a cadenza periodica l’utilizzo corretto dei dati personali degli interessati da parte dei fornitori, partner e in generale terze parti.
• Avvalersi solo ed esclusivamente degli strumenti di comunicazione sicura predisposti dall’azienda per il trasferimento dei dati verso terze parti
• Distruggere in maniera sicura tutte le copie materiali dei dati (supporto cartaceo) al termine delle attività di trattamento o in alternativa al termine del periodo di conservazione dei dati personali.
• Custodire tutte le copie cartacee dei dati personali in archivi sicuri.
• Provvedere alla cancellazione da tutti gli archivi digitali i dati personali degli interessati al termine del periodo di conservazione concordato in sede di raccolta del consenso

B. Notifiche del responsabile del trattamento

Tutti i responsabili del trattamento, sia interni sia esterni all’azienda devono notificare al titolare del trattamento le divulgazioni di dati personali a terze parti.

Oggetto delle notifiche potrebbe essere:

• Richieste di accesso ai dati da parte dell’autorità giudiziaria
• Richieste di accesso ai dati da parte di una pubblica amministrazione

L’azienda vincola contrattualmente tutti i responsabili al trattamento sia interni che esterni verso tali obblighi.
C. Notifica di utilizzo di subcontractor da parte del responsabile del trattamento
Il responsabile del trattamento esterno, nominato dal titolare del trattamento deve comunicare allo stesso l’utilizzo di società in regime di subappalto per lo svolgimento delle attività di trattamento. Il responsabile del trattamento dovrà comunicare al titolare l’utilizzo di società di subappalto prima dell’inizio delle attività di trattamento.
Qualsiasi cambiamento da parte del responsabile del trattamento andrà notificato repentinamente ed il responsabile dovrà ricevere idonea autorizzazione da parte del titolare prima di poter procedere alla nomina di un subappaltatore.

Il responsabile del trattamento si impegna a:

• Trasmettere alla società in subappalto le disposizioni di sicurezza predisposte dal titolare del trattamento.
• Comunicare al titolare il paese nel quale la società di subappalto svolge le sue mansioni.

Trasparenza e comunicazioni

A. Informativa

Tutti i dipendenti sono tenuti ad utilizzare solo ed esclusivamente le informative predisposte dalla società.
Tutte le informative per la raccolta del consenso sono divulgate all’interessato al momento della raccolta del consenso.
Tutte le informative predisposte dalla società sono disponibili al pubblico presso i siti web della società e raggiungibili facilmente dagli interessati.
Copia dell’informativa è consegnata a mezzo telematico a tutti gli interessati che abbiano concesso il proprio consenso al trattamento dati attraverso mezzo telefonico. Traccia dell’effettiva consegna dell’informativa è mantenuta presso i sistemi della società per tutto il tempo della durata del trattamento.

B. Trasparenza

Al fine di facilitare l’esercizio dei diritti degli interessati al trattamento ha predisposto un insieme di adeguate procedure e ne comunica l’esistenza agli stessi al momento della raccolta del consenso.

Per maggiori informazioni consultare l’informativa della società nella sezione diritti dell’interessato link: www.digi.it/index.php/policy-privacy


Diritti degli interessati

Al fine di garantire l’esercizio dei diritti degli interessati al trattamento dati personali, ai sensi degli artt. 15-22 regolamento UE 679/2016, l’azienda ha predisposto un punto di contatto dposervice@digi.it. Ogni interessato che ne abbia diritto può contattare l’azienda all’indirizzo di cui sopra, avendo cura di allegare una copia dei propri documenti di identità al fine di essere identificato. L’azienda si riserva il diritto di rispondere alla richiesta dell’interessato entro i termini definiti dalla legge. A seconda della natura della richiesta e del grado di complessità richiesto potrebbe essere addebitato un costo all’interessato, che sarà preventivamente informato, così come previsto dalla normativa vigente.

Conformità alla normativa sulla protezione dati personali


A. Registro dei trattamenti

In conformità all’art. 30 del regolamento UE 2016/679, mantiene e aggiorna un registro delle attività di trattamento.


Il registro contiene:

• Titolare del trattamento
• Responsabile del trattamento
• Categorie degli interessati
• Categorie dei dati forniti dagli interessati
• Eventuali trasferimenti dati al di fuori dell’UE
• Attività del trattamento
• Finalità del trattamento
• Base legale del trattamento
• Tempo di conservazione dei dati


B. Registro degli incidenti di sicurezza

In conformità all’articolo 33 par 3 comma 5 del regolamento UE 2016/679, mantiene e aggiorna un registro degli incidenti di sicurezza che coinvolge i dati personali degli interessati.


C. Incidenti di sicurezza e notifica

Qualora dovesse verificarsi un incidente di sicurezza che coinvolga i dati personali degli interessati, DI.GI. si impegna a rispondere prontamente al fine di garantire i diritti e le libertà individuali degli interessati ai sensi degli artt. 32-34 del regolamento UE 2016/679.
Modalità di notifica agli interessati.

A seconda della natura dell’incidente, l’azienda potrebbe comunicare a tutti gli interessati l’avvenuto incidente di sicurezza. Le modalità di comunicazione dell’incidente potrebbero variare a seconda della natura dell’incidente e dal numero degli interessati coinvolti.
Notifica al garante nazionale.

DI.GI fornirà, a seconda della gravità degli incidenti occorsi, adeguata notifica al garante nazionale per la privacy entro e non oltre 72 ore dal momento dell’individuazione dell’incidente.

Questo sito utilizza cookie per migliorare la tua esperienza di navigazione. Approfondisci.