Datenschutz
Übersetzungen:
General Data Protection Regulation rev 2018
Il Regolamento europeo 679/2016 in materia di protezione dei dati personali pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016, è entrato in vigore il 24 maggio 2016 e è applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018. Pushstart ha deliberato di adeguarsi al regolamento che disciplina le modalità di trattamento dei dati personali delle persone fisiche sotto il profilo:
- dell’informativa e consenso nella loro acquisizione
- utilizzo e circolazione dei dati. e ciò a tutela del riconosciuto diritto dell’individuo di disporre dei propri dati, quali aspetti del fondamentale diritto di identità e personalità (art. 16 del TFUE, art. 8 della Carta dei diritti fondamentali). Pushstart ha adottato il principio della accountability (responsabilità del titolare del trattamento che deve garantire l’efficacia della tutela predisposta ricomprendente il riesame ed aggiornamento costante di tutte le condizioni adottate) a cui consegue la natura in continua evoluzione e tassativa delle procedure adottate.
I dati personali L’art. 4 del Regolamento definisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile. Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o ad uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.” Poiché le prescrizioni non riguardano le persone giuridiche, Pushstart tiene conto del fatto che spesso i dati degli enti comportano la conoscenza dei dati di persone fisiche ( es. legale rappresentante)- Pushstart ha adottato una autonoma rilevanza e attenzione ai c.d. dati sensibili (art.9) (origine razziale o etnica, le opinioni politiche, le convinzioni religiose, politiche o filosofiche, l’appartenenza sindacale , vita sessuale )e fra questi ai: dati genetici “dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute della persona fisica, e che risultano in particolare dall’analisi di un campione biologico del soggetto.” dati biometrici “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.” dati relativi alla salute “dati personali attinenti alla salute fisica o mentale, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative allo stato di salute.” Il generale divieto di trattamento dei dati sensibili trova deroga nel caso di Pushstart nella misura in cui “il trattamento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali”. I dati raccolti da Pushstart sono:
Il trattamento Il trattamento è definito come “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione. Il trattamento di Pushstart avviene in maniera :
Il consenso Prima di esprimere il proprio consenso l’interessato viene compiutamente informato da Pushstart circa le modalità e finalità di trattamento dei dati. Il consenso viene quindi essere espresso in modo ➢ libero ➢ inequivoco ➢ specifico ( si riferisce quindi a un preciso trattamento e non è generico ed estendibile a vari possibili trattamenti, come da informativa allegata) Pustart non applica quindi di forme di consenso tacito o mediante opzioni già preselezionate Il Regolamento non prevede obbligatoriamente la forma scritta per il consenso ma Pushstart la ha applicata in quanto l’art.7 onera il titolare del trattamento di “dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”. Il consenso raccolto prima del 25 maggio 2018 resta valido in quanto ha tutti i requisiti indicati nel Regolamento 2016/679. “Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso di Pushstart è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro”. L’informativa L’informativa di Pushstart fornisce con linguaggio semplice e chiaro le informazioni relative al trattamento dei dati in forma concisa, trasparente, intellegibile e facilmente accessibile e dovrà contenere: ➢ i riferimenti di contatto di Pushstart ( telefono – fax - indirizzo di posta elettronica) per le comunicazioni relative all’esercizio dei diritti ➢la precisa e dettagliata descrizione delle finalità per cui viene posto in essere il trattamento ➢specifica e chiara indicazione dei diritti di revoca del consenso, di accesso ai dati, di rettifica, di cancellazione ( c.d. diritto all’oblio), di limitazione del trattamento, di portabilità dei dati e di opposizione se le finalità mutano si dovrà quindi acquisire un nuovo consenso Adempimenti In attuazione del Regolamento e al fine di garantire il rispetto dei principi in tema di trattamento dei dati personali acquisiti, Pushstart ha deciso di: ➢ predisporre il documento (c.d. registro – art. 30) ed elaborare il servizio per la tutela della privacy con definizione ex ante delle singole fasi il trattamento dei dati, le procedure di sicurezza, le verifiche di tenuta del sistema ( che comprende la necessità di adeguamento degli strumenti informatici) e le responsabilità. ➢consegnare ai propri clienti l’informativa ( con ricevuta a firma dell’interessato per presa visione). Tale adempimento è ritenuto sufficiente nella totalità dei casi a prescindere dal consenso che si è detto non è prescritto come necessario qualora il trattamento dei dati derivi dall’adempimento di un obbligo legale, ma Pushstart ha ritenuto opportuno in ogni caso raccoglierlo.
Registro di attività di trattamento L’obbligo di tenuta del registro delle attività di trattamento quale strumento di monitoraggio degli adempimenti e di garanzia dei diritti previsti nel regolamento, non è obbligatoria per il titolare del trattamento poiché Pushstart occupa meno di 250 dipendenti. L’obbligo prescinde dal requisito dimensionale solo nel caso in cui i dati oggetto del trattamento possano presentare un rischio per i diritti e le libertà degli interessati, il trattamento non sia occasionale o includano dati sensibili, genetici, biometrici, giudiziari, così come individuati dagli artt. 9 e 10 del Regolamento. Non è quindi necessario, in relazione alla natura dei dati trattati da Pushstart, dotarsi ex ante del registro che individui il titolare del trattamento, le categorie dei dati trattati ( personali ed eventualmente giudiziali e stragiudiziali) e le finalità. Tuttavia essendovi peraltro trasferimenti di dati in paesi terzi ( Pushstart utilizza Dropbox, Google cloud ed altri servizi che comportano la trasmissione dei dati anche fuori dal territorio della UE)è stato ritenuto opportuno adottare il registro, con una descrizione generale delle misure di sicurezza tecniche e organizzative ( cfr art 32 ). – si veda l’allegato modello - .
Nomina autorizzati al trattamento Date le ridotte dimensioni di Pushstart tutti i dipendenti sono autorizzati al trattamento, poiché tutti possono essere delagti ad effettuare materialmente le operazioni di trattamento sui dati personali. Si tratta di persone fisiche che agiscono sotto la diretta autorità del titolare.
Data Protection Officer DPO Non è obbligatorio per Pushstart, in quanto le attività principali dello stesso non consistono in trattamenti che, per loro natura richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
Data breach Nonostante sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche coinvolte, clienti e personale, Pushstart si obbliga a notificare all’autorità di controllo le violazioni di dati personali senza ingiustificato ritardo e, dove possibile, entro 72 ore dal momento in cui ne sia venuto a conoscenza. Quando la violazione dei dati personali presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunicherà senza ritardo e con un linguaggio semplice e chiaro, la violazione all’interessato.
In seguito si riportano le misure di analisi adottate da Pushstart tra le minacce più significative e le relative misure di sicurezza tecniche ed organizzative a mitigazione del rischio.
Per questi tipi di minacce, Pushstart Srl applica utili misure di attenuazione del rischio ed in particolare: -la puntuale definizione e implementazione dei diritti di accesso al fine di ridurre al minimo le conseguenze di un attacco -la disponibilità di set di back up realizzati secondo schemi affidabili e testati per assicurare un ripristino veloce dei dati -l’implementazione di una gestione robusta delle vulnerabilità e degli aggiornamenti e di strumenti di filtraggio dei contenuti finalizzati a bloccare attacchi indesiderati, mail con allegati dannosi, spam e traffico di rete indesiderato -l’installazione di strumenti di protezione delle postazioni, costituiti non solo da software antivirus ma anche da componenti in grado di bloccare l’esecuzione di programmi non verificati
l’adozione di politiche per il controllo di dispositivi esterni e in generale dell’accesso attraverso porte usb
la formazione degli utenti sul comportamento consapevole della navigazione web
l’attenzione sempre massima agli sviluppi di nuovi ramsomware e ai suggerimenti per la prevenzione.
Pushstart Srl
INFORMATIVA PUSHSTART AL TRATTAMENTO DEI DATI PERSONALI (ART. 13 e14 REG. UE 2016/679) Gentile Sig./Sig.ra _(interessato) nato a _____________________ il ,residente, c.f tel mail ______________________________ ai fini previsti dal Regolamento Ue n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, La informo che il trattamento dei dati personali da Lei forniti ed acquisiti da PUSHSTART SRL , saranno oggetto di trattamento nel rispetto della normativa prevista dal premesso Regolamento nel rispetto dei diritti ed obblighi conseguenti e che: a) FINALITÀ DEL TRATTAMENTO - Il trattamento è finalizzato alla verifica delle condizioni di abilitazione alla guide per test drive nonché per alla corretta e completa esecuzione delle procedure amministrative ad essa correlate, oltre che per attività di profilazione commerciale e per fini di promozione commerciale delle attività di Pushstart. b) MODALITÀ DEL TRATTAMENTO DEI DATI PERSONALI - Il trattamento è realizzato attraverso operazioni, effettuate con o senza l’ausilio di strumenti elettronici e consiste nella raccolta, registrazione, organizzazione conservazione, consultazione ,elaborazione, modificazione, selezione, estrazione, raffronto utilizzo interconnessione, profilazione, promozione commerciale, blocco, comunicazione cancellazione e distruzione dei dati. Il trattamento è svolto dal titolare e dagli incaricati espressamente autorizzati dal titolare. c) CONFERIMENTO DEI DATI E RIFIUTO - Il conferimento dei dati personali comuni, sensibili e giudiziari è necessario ai fini dello svolgimento delle attività di cui al punto a) e il rifiuto da parte dell’interessato di conferire i dati personali comporta l’impossibilità di adempiere all’attività di cui al punto a). d) COMUNICAZIONE DEI DATI - I dati personali possono venire a conoscenza dagli incaricati del trattamento e possono essere comunicati per le finalità di cui al punto a) a collaboratori esterni , autorità di polizia locale e autorità giudiziarie, agenzie di promozione commerciale, e in generale a tutti i soggetti i quali la comunicazione è necessaria per il corretto espletamento delle attività di test drive e con specifica autorizzazione al loro utilizzo per scopi di promozione commerciale. Per le finalità di cui al punto a) I dati personali sono soggetti a diffusione. e) TRASFERIMENTO DEI DATI ALL’ESTERO - I dati personali possono essere trasferiti verso paesi dell’unione europea o verso paesi terzi rispetto a quelli dell’unione europea o ad un’organizzazione internazionale, nell’ambito delle finalità di cui al punto a). Sarà comunicato all’interessato se esista o meno una decisione di adeguatezza della Commissione Ue. f) CONSERVAZIONE DEI DATI - I dati sono conservati per il periodo necessario all’espletamento dell’attività e comunque non superiore a dieci anni g) TITOLARE DEL TRATTAMENTO - Il titolare del trattamento è STEFANO RAVAZZINI IN QUALITA’ DI LEGALE RAPPRESENTANTE DI PUSHSTART SRL h) DIRITTI DELL’INTERESSATO - l’interessato ha diritto :
- all’ accesso, rettifica, cancellazione, limitazione e opposizione al trattamento dei dati
- ad ottenere senza impedimenti dal titolare del trattamento i dati in un formato strutturato di uso comune e leggibile da dispositivo automatico per trasmetterli ad un altro titolare del trattamento
- a revocare il consenso al trattamento, senza pregiudizio per la liceità del trattamento basata sul consenso acquisito prima della revoca
- proporre reclamo all’Autorità Garante per la Protezione dei dati personali L’esercizio dei premessi diritti può essere esercitato mediante comunicazione scritta da inviare a mezzo pec all’indirizzo PEC pushstart-srl@legalmail.it o lettera raccomandata a/r all’indirizzo PUSHSTART SRL VIA FERRARI 41 MARANELLO (MO) . Il/la sottoscritto/a dichiara di aver ricevuto l’informativa che precede. , LUOGO E DATA Firma del dichiarante (per esteso e leggibile)
Letto, confermato e sottoscritto (TIMBRO PUSHSTART)
CONSENSO AL TRATTAMENTO DEI DATI (ART. 4, COMMA 11, REGOLAMENTO UE 2016/679) il/la sottoscritto/a Sig./Sig.ra (interessato) nato il , c.f residente, Essendo stato informato: dell’identità del titolare del trattamento dei dati dell’identità del Responsabile della protezione dei dati, della misura modalità con le quali il trattamento avviene delle finalità del trattamento cui sono destinati i dati personali del diritto alla revoca del consenso Così come indicato dalle lettere a, b, c, d, e, f, h dell’informativa sottoscritta ai sensi dell’art. 13 del Regolamento (UE) 2016/679 con la sottoscrizione del presente modulo, come rappresentato nelle informative consegnatemi dal personale incaricato di Pushstart Srl ai sensi dell’art. 13 del Codice sulla PROTEZIONE DEI DATI PERSONALI - D.LGS. 196 DEL 2003 E DELL’ART. 13 REGOLAMENTO (UE) 2016/679 RELATIVO ALLA PROTEZIONE DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI, NONCHÉ ALLA LIBERA CIRCOLAZIONE DI TALI DATI PER L’ESECUZIONE DELLE OPERAZIONI E DEI SERVIZI COMMERCIALI - È RICHIESTO IL TRATTAMENTO DEI MIEI DATI PERSONALI IN RELAZIONE Al TRATTAMENTI DI SEGUITO INDICATE ACCONSENTE al trattamento dei dati personali PER LE SEGUENTI FINALITÀ: ai sensi e per gli effetti dell’art. 7 e ss. del Regolamento UE 2016/679, al trattamento dei dati personali secondo le modalità e nei limiti di cui all’informativa allegata.
- CONTRATTUALI, CONNESSE E STRUMENTALI ALLA INSTAURAZIONE E GESTIONE DEI RAPPORTI CON LA CLIENTELA, QUALI AD ESEMPIO L’ACQUISIZIONE DI INFORMAZIONI PRELIMINARI ALLA EVENTUALE CONCLUSIONE DI UN CONTRATTO NONCHÉ L’EFFETTUAZIONE DI VERIFICHE E VALUTAZIONI SULLE RISULTANZE E SULL’ANDAMENTO DEI RAPPORTI;
- CONNESSE CON PARTICOLARI ELABORAZIONI STATISTICHE, NONCHÉ ALLA VERIFICA DELL’AUTENTICITÀ DEI DATI CONTENUTI NELLA DOCUMENTAZIONE DA LEI FORNITA E DELLE INFORMAZIONI DA LEI RILASCIATE . CONSAPEVOLE CHE, IN MANCANZA DEL MIO CONSENSO, L’ISTITUTO NON POTRÀ DAR CORSO A OPERAZIONI CHE RICHIEDONO IL TRATTAMENTO DI TALI DATI E QUINDI NON SARA’ POSSIBILE CONCLUDERE IL CONTRATTO RELATIVO AI SERVIZI DI TEST DRIVE
DATA CONSENSO CLIENTE _____________ DO IL CONSENSO ___ NEGO IL CONSENSO__ ___________________
-CONNESSE ALL’UTILIZZO PER TRATTAMENTO DEI DATI PERSONALI A FINI DI PROMOZIONE COMMERCIALE, PER LA RILEVAZIONE DEL GRADO DI SODDISFAZIONE DELLA CLIENTELA SULLA QUALITÀ DEI SERVIZI, ESEGUITA DIRETTAMENTE PUSHSTART SRL OVVERO ATTRAVERSO L’OPERA DI SOCIETÀ SPECIALIZZATE MEDIANTE INTERVISTE PERSONALI O TELEFONICHE. QUESTIONARI INTERATTIVI. ETC, PER LA PROMOZIONE: DI PRODOTTI E SERVIZI DELLE SOCIETÀ APPARTENENTI AL GRUPPO E/O DI UNA QUALSIVOGLIA SOCIETÀ CONTROLLATA DA UNA SOCIETÀ APPARTENENTE AL GRUPPO,DI PRODOTTI E SERVIZI DI TERZI LEGATI AD PUSHSTART SRL DA RAPPORTI DI COLLABORAZIONE ANCHE PER IL TRAMITE DI SOCIETÀ SPECIALIZZATE NOMINATE A TAL FINE RESPONSABILI DEL TRATTAMENTO, EFFETTUATE ATTRAVERSO LETTERE, TELEFONO, MATERIALE PUBBLICITARIO ED OGNI ALTRA FORMA DI COMUNICAZIONE TRADIZIONALE O SISTEMI AUTOMATIZZATI (E-MAIL, SMS, MMS, ECC.), INDAGINI DI MERCATO PER LA COMUNICAZIONE E/O CESSIONE DEI DATI A TERZI PER LA PROMOZIONE E/O LA VENDITA DI PRODOTTI E SERVIZI, CON MODALITÀ TRADIZIONALI E/O AUTOMATIZZATE
CONSENSO CLIENTE
DO IL CONSENSO ___ NEGO IL CONSENSO__ ___________________
Allegato
Registro Pushstart di attività di trattamento
(art. 30 32 del Regolamento UE n.679/2016)
Pushstart srl tratta i seguenti dati comuni:
dati comuni dei clienti, dei fornitori o di terzi ricavati da albi, elenchi pubblici, visure camerali, banche accessibili al pubblico;
dati comuni e sensibili (anche riguardanti lo stato di salute) del personale dipendente funzionali al rapporto di lavoro, alla reperibilità alla corrispondenza con gli stessi o richiesti a fini fiscali e previdenziali.
dati comuni dei clienti dagli stessi comunicati per l’espletamento dell’incarico professionale, compresi dati sul patrimonio e sulla situazione economica, o necessari a fini fiscali o attinenti alla reperibilità e alla corrispondenza con gli stessi.
dati comuni di terzi forniti dai clienti per l’espletamento degli incarichi compresi i dati sul patrimonio o sulla situazione economica, o necessari a fini fiscali o attinenti alla reperibilità o alla corrispondenza con gli stessi, o per atti giudiziari nonché i dati personali relativi alla loro identità personale ed al titolo di abilitazione alla guida di veicoli per il corretto svolgimento delle attività di test drive e noleggio veicoli.
dati comuni dei fornitori forniti dagli stessi e relativi alla reperibilità o alla corrispondenza con gli stessi nonché inerenti a fini fiscali o di natura bancaria nonché i dati personali relativi alla loro identità personale ed al titolo di abilitazione alla guida di veicoli per il corretto svolgimento delle attività di test drive e noleggio veicoli.
dati comuni di professionisti ai quali Pushstart affida incarichi o si rivolge per consulenze attinenti alla loro reperibilità alla corrispondenza nonché inerenti a finalità fiscali o di natura bancaria nonché per attività commerciali e di promozione delle proprie attività.
Pushstart tratta i seguenti dati sensibili e giudiziari
dati sensibili e giudiziari del personale dipendente conseguenti al rapporto di lavoro, ovvero inerenti i rapporti con gli enti previdenziali ed assicurativi e assistenziali, o dati giudiziari del personale dipendente o l’adesione ad organizzazioni sindacali.
dati giudiziari dei clienti idonei a rivelare i provvedimenti di cui all’art.3 Dpr n.313/02 o idonei a rivelare la qualità di indagato o imputato.
dati giudiziari di terzi idonei a rivelare i provvedimenti di cui all’art 3 Dpr.n.313/02 o idonei a rivelare la qualità di indagato o imputato
dati sensibili dei clienti (idoneità alla guida e titoli abilitativi) dagli stessi forniti per l’espletamento delel attività di noleggio e test drive anche idonei a rivelare l’origine razziale ed etnica le convinzioni o l’adesione ad organizzazioni a carattere religioso politico ,sindacale, filosofico
dati sensibili dei clienti e di dipendenti dagli stessi forniti o acquisiti per per lo svolgimento delle attività di noleggio auto e di test drive affidati a Pushstart idonei a rivelare lo stato di salute.
dati sensibili di terzi forniti dai clienti o acquisiti per l’espletamento degli incarichi idonei a rivelare lo stato di salute.
dati sensibili di clienti e di terzi afferenti la vita sessuale.
dati genetici di clienti, dipendenti e terzi
I dati che non sono pubblici vengono acquisiti previa l’informativa che viene allegata al presente Registro di attività di trattamento (art. 30) e vengono trattati e conservati in fascicoli cartacei e in registri digitali riposti in schedari dotati di chiusura e posti in locali protetti oltre che in fascicoli informatici con il programma gestionale di Pushstart accessibile dalla rete internet e archiviati al termine della acquisizione dei dati e del contratto di noleggio o test drive.
Il trattamento dei dati è fatto prevalentemente all’interno della sede di Pushstart, eventuali collaboratori autorizzati e dalle segretarie, per l’attività preparatoria l’attività di rendicontazione contabile, nonché per l’attività contabili e amministrative di Pushstart.
Il luogo ove vengono trattati i dati è sito in Maranello, via Ferrari 41 dotato di citofono e portone di ingresso con apertura e chiusura a chiave con accesso limitato al solo personale autorizzato) La segreteria è ubicata in un locale separato dall’ingresso e dal luogo di accoglienza e d’attesa per i clienti.
Pushstart è dotato di computer collegati a quello della segretaria da un sistema di condivisione – server ed è collegato con n.2 .linee telefoniche ( internet). Nel locale segreteria sono ubicati la stampante fax- fotocopiatrice. Il collegamento internet è protetto da antivirus, antimalware e firewall.
Descrizione della rete informatica
La rete informatica è costituita da stazioni di lavoro dotate di sistema operativo Macintosh e Windows. L’abilitazione alla configurazione dei diritti di accesso è abilitata e consentita solo al personale autorizzato. Gli utenti sono opportunamente istruiti per gestire il cambio della password di accesso al sistema. Le stazioni di lavoro sono dotate di software antivirus Avira e antimalware spybot con aggiornamento automatico tramite internet e firewall.
Criteri protezione accesso ad Internet: L’accesso ad Internet avviene tramite router.
Criteri per assicurare l’integrità dei dati
L’integrità dei dati viene assicurata eseguendo: Le procedure di controllo dello stato logico dei dischi e dei database di configurazione in dotazione al sistema. Le procedure di controllo in dotazione degli specifici applicativi di gestione delle basi dati Non è previsto alcun reimpiego dei supporti di memorizzazione, che verranno distrutti al cessare della loro funzionalità per obsolescenza.
Incaricati del trattamento
I dati comuni dei clienti, fornitori dei terzi, di altri professionisti domiciliatari ,i dati giudiziari dei clienti e di terzi, i dati sensibili dei clienti e dei terzi sono trattati oltre che dal titolare da tutti gli incaricati.
ANALISI DEI RISCHI
Per quanto concerne i dati comuni raccolti relativi ai soggetti specificati nella prima parte del presente documento il rischi legato alla gestione e al trattamento può definirsi basso. Per i dati sensibili dei clienti e dei terzi il rischi legati al loro trattamento possono definirsi bassi. Per i dati sensibili riguardanti lo stato di salute, o idonei a rivelare la vita sessuale, per le pratiche riguardanti la sfera personale e familiare (separazioni, divorzi, disconoscimenti di paternità) il rischio può definirsi basso.
I rischi relativi agli strumenti elettronici presenti presso Pushstart possono riguardare mal funzionamenti o guasti ,eventi naturali alterazioni nella trasmissione. Per ridurre i rischi al minimo sono state adottate oltre alle misure di sicurezza sopra specificate le seguenti misure di sicurezza: password di otto caratteri sostituita ogni tre mesi scelta al titolare il quale la conserva in cassetto chiuso a chiave con disposizione a tutti gli utilizzatori di non lasciare incustoditi gli strumenti elettronici e che verifichino la provenienza delle e- mail e a tale riguardo è stato inserito lo screensaver automatico dopo 3 minuti di non utilizzo del computer, ecc…). Si è data disposizione di considerare internet e posta elettronica quali strumenti di lavoro e si è pertanto vietata la navigazione in internet su siti poco attendibili o non ufficiali e si è data disposizione di non aprire e.mail provenienti da soggetti non conosciuti e di non inviare e.mail non autorizzate dal titolare.
I rischi relativi ai software possono consistere in errori o virus. Si è data disposizione di provvedere periodicamente alla pulizia dei file temporanei e del disco rigido, alla deframmentazione e all’utilizzo di programmi di scansione.
Il rischio per il trattamento dei dati cartacei può essere considerato basso essendo l’archivio dotato di chiusura a chiave e i fascicoli riposti in armadi chiusi, fatti salvi gli eventi naturali. E’ stata data disposizione che i fascicoli contenenti i dati siano sempre riposti negli appositi schedari e prelevati per il tempo necessario al trattamento e che non vengano lasciati incustoditi sulle scrivanie, che le comunicazioni a mezzo posta o fax debbano essere smistate immediatamente ai destinatari. Terminato il servizio si è data in protetta da password. I fascicoli siano archiviati in apposito locale chiuso a chiave e i relativi file esistenti sul computer vengano cancellati. Fuori dell’orario di lavoro non ne è consentito l’accesso al locale archivio se non previa autorizzazione. Per quanto riguarda l’archivio elettronico viene applicato un sistema di protezione dei dati anticorruzione consistente nella presenza di piùdischi che consentono di escludere il rischio di cancellazione e corruzione dei dati oltre che a garantirne la recuperabilità in caso di malfunzionamento degli stessi.
E’ stata data disposizione che il materiale cartaceo destinato allo smaltimento sia riposto in sacchi di plastica non trasparenti o contenitori chiusi al fine di evitarne la fuoriuscita e smaltiti quattro volte alla settimana.
Per quanto riguarda il rischio per il trattamento dei dati elettronici può essere considerato basso essendo adottati tutti i sistemi di sicurezza derivanti dalla gestione dei dati. Il rischio di perdita dei supporti di memorizzazione è basso in quanto è previsto un sistema di backup. Per il ripristino dei dati si è data istruzione che venga richiesto l’intervento dell’installatore e in ogni caso è dato incarico di provvedere al ripristino entro due giorni.
Gli incaricati del trattamento sono affidabili e riservati quindi i rischi connessi ad incuria, distrazione sono bassi.
Gli utenti autorizzati del sistema vengono formati, rispettivamente per i loro ruoli all’atto dell’ingresso nella struttura di Pushstart e dell’installazione di nuovi sistemi dai tecnici venditori dei sistemi e per quanto concerne le procedure per garantire le misure di sicurezza dal titolare del trattamento. Gli incaricati dovranno comunicare immediatamente al titolare disfunzioni dei sistemi operativi e sono autorizzati a richiedere l’intervento del tecnico incaricato in caso di interruzioni e disfunzioni. Terzi operatori tecnici interverranno sugli strumenti informatici previo autorizzazione ed invito ad effettuare gli interventi limitatamente alla prestazione da eseguire e alla presenza del titolare o delle persone autorizzate.
Il rischio di accesso a Pushstart può essere considerato basso essendo dotato di porta blindata e di citofono sistema e di sicurezza antiintrusione oltre ad un sistema di videosorveglianza che si attiva durante le ore di chiusura così come l’accesso di terzi estranei al locale deputato allo svolgimento delle attività amministrative, essendo dotato di porta con chiusura ed essendo l’accesso previamente controllato dal presonale dipendente.
Il rischio che terzi estranei accedano agli strumenti elettronici è basso essendo la sala di attesa dei clienti distante dalle postazioni di lavoro ed essendo i clienti controllati dal personale.
Pushstart ha provveduto ad adottare le disposizioni della legge 626/94 81/08 e ss. è dotato di salvavita e estintore periodicamente controllato. I rischi eventuali sono inerenti ad eventi naturali e accidentali. Il rischio può essere considerato basso.
Infine i dati trattati da Pushstart Srl non possono essere considerati di interesse per i terzi.
Il presente documento è stato redatto in duplice originale sottoscritto dal titolare del trattamento.
all. : informativa lì Maranello 14 Maggio 2018
Pushstart Srl ………………………………………………. Allegato
Pushstart Srl
Va Ferrari 41
Maranello (MO
Pec ________
OGGETTO: ESERCIZIO DI DIRITTI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (artt. 7 e 8 del Codice)
Il/Lasottoscritto/a ____________________________________ nato/a a___________________ il ________________________,
esercita con la presente richiesta i suoi diritti di cui all’articolo 7 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196):
La presente richiesta riguarda (indicare i dati personali, le categorie di dati o il trattamento cui si fa riferimento): (BARRARE SOLO LE CASELLE CHE INTERESSANO)
Accesso ai dati personali (art. 7, comma 1, del Codice) (BARRARE SOLO LE CASELLE CHE INTERESSANO) Il sottoscritto intende accedere ai dati che lo riguardano e precisamente: __chiede di confermargli l’esistenza o meno di tali dati, anche se non ancora registrati, e/o __chiede di comunicargli i medesimi dati in forma intelligibile (art. 10 del Codice).
Richiesta di conoscere alcune notizie sul trattamento (art. 7, comma 2, del Codice) Il sottoscritto chiede di conoscere: __l’origine dei dati (ovvero il soggetto o la specifica fonte dalla quale essi sono stati acquisiti); __le finalità del trattamento dei dati che lo riguardano; __le modalità del medesimo trattamento; __la logica applicata al trattamento effettuato con strumenti elettronici; __gli estremi identificativi del titolare del trattamento (ovvero della pubblica amministrazione, della persona giuridica pubblica o privata, dell’associazione od organismo che li tratta); __gli estremi identificativi del/i responsabile/i del trattamento (nel caso in cui siano designati ai sensi dell’art. 29 del Codice); __i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o di incaricati o di rappresentante designato nel territorio dello Stato; __gli estremi identificativi del rappresentante del titolare nel territorio dello Stato (se designato ai sensi dell’art. 5 del Codice).
Richiesta di intervento sui dati (art. 7, comma 3, del Codice) Il sottoscritto chiede di effettuare le seguenti operazioni: aggiornamento dei dati; __rettificazione dei dati; __integrazione dei dati; __cancellazione dei dati trattati in violazione di legge (compresi quelli di cui non è necessaria la conservazione); __trasformazione in forma anonima dei dati trattati in violazione di legge (compresi quelli di cui non è necessaria la conservazione); __blocco dei dati trattati in violazione di legge (compresi quelli di cui non è necessaria la conservazione); __attestazione che tale intervento sui dati è stato portato a conoscenza, anche per quanto riguarda il suo contenuto, di coloro ai quali i dati sono stati comunicati o diffusi.
Opposizione al trattamento per fini pubblicitari (art. 7, comma 4, del Codice) Il sottoscritto si oppone al trattamento dei dati effettuato a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
Opposizione al trattamento per motivi legittimi (art. 7, comma 4, del Codice) Il sottoscritto si oppone al trattamento dei dati per i seguenti motivi legittimi:
(Luogo e data) (Firma)
Si allega copia del documento di identità