(All. 06.22A IT v.01 MODELLO v.00)

                                                                        All’interessato (persona giuridica o persona fisica)

Nel testo che segue ci riferiremo a Wondersys anche con la dizione “la ns. azienda” ed alla vostra Ditta, o alla vostra persona, anche con la dizione “la Vs. società”.

La presente Informativa Privacy è fornita in base degli Art. da 13 a 22 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016 – relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati – GDPR General Data Protection Regulation [1]


Alcune definizioni

Le definizioni seguenti sono tratte dagli Art. 4 e 9 del Reg. UE 679/2016, cui si rimanda per la terminologia completa, e sono sintetizzate:

  • Il “dato personale” è costituito da qualsiasi informazione riguardante una persona fisica (l’interessato) identificata o identificabile direttamente o indirettamente. In particolare devono essere considerati “dati personali particolari” (o “sensibili”, secondo l’accezione di cui al D.Lgs. 196/2003) quelli relativi a origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici identificativi della persona, dati relativi alla salute, alla vita o orientamento sessuale.
  • Il “trattamento” è relativo a qualsiasi operazione su dati personali (raccolta, registrazione, organizzazione, conservazione, modifica, estrazione, consultazione, trasmissione, diffusione, limitazione, cancellazione e quant’altro).
  • Il “titolare del trattamento” (data controller, nel testo in lingua originale) determina le finalità ed i mezzi del trattamento di dati personali ed è responsabile giuridicamente dell’ottemperanza agli obblighi previsti dal Regolamento.
  • Il “responsabile del trattamento” (data processor) tratta i dati personali per conto del titolare del trattamento, adottando le misure tecniche ed organizzative congrue a garantire un livello di sicurezza adeguato al rischio.

In aggiunta:

  • gli “interessati” sono le persone i cui dati personali sono coinvolti nel trattamento.

Categorie dei dati personali trattati e loro acquisizione da parte della ns. azienda

La ns Azienda acquisisce i dati personali identificativi “comuni” (quali quali nominativo, numero di telefono, e-mail, mansione aziendale), non sensibili o particolari (Art. 9 Reg. UE 679/2016), né giuridici (Art. 10 Reg. UE 679/2016) o relativi a  minori, del personale della Vs. Società o di quanti altri ci forniate i contatti, inclusi vostri fornitori, collaboratori e vostri clienti, al semplice scopo di interagire direttamente e gestire il rapporto precontrattuale e contrattuale per le finalità di cui alle eventuali offerta o ordine. Più in generale i vostri dati personali di contatto serviranno per poter interagire anche solo a livello interlocutorio. Questa informativa non prevede quindi richiesta di consenso al trattamento.

Nel caso in cui si instauri un rapporto contrattuale che preveda il trattamento, da parte nostra, di vostri dati personali di categoria particolare, sarà nostra cura inviarvi un’informativa privacy specifica con la richiesta dei consensi necessari.

In generale, una prima acquisizione dei Vs. dati di contatto potrebbe essere avvenuta, indirettamente, attraverso organismi pubblici in cui la Vs. società si sia registrata (ad esempio Confindustria), oppure direttamente per essere stati da Voi contattati o per aver già ricevuto offerte e/o forniture da parte vostra. La ns. azienda, in generale, può ricevere i dati personali anche tramite propri siti Internet da coloro che richiedono di essere contattati o che si iscrivono alle newsletter, nonché tramite qualunque altro mezzo di posta, telefono, e-mail, con cui gli interessati si rivolgano direttamente ad essa o che essi abbiano deliberatamente resi pubblici.

Identità e contatto delle figure coinvolte nel trattamento dei dati personali

  • Titolare del trattamento dati personali (data controller), ai sensi dell’Art. 4 del Reg. UE 679/2016 (GDPR) e dell’art. 4 del D.Lgs. 196/2003:
    Wondersys s.r.l.
    Via A. Lampredi, 45 – 57121 Livorno – Italia
    P. IVA 01598430492

titolare@wonder-sys.co

  • Responsabile aziendale del trattamento dati personali (data processor):

segreteria@wonder-sys.com  

  • sites.manager@wonder-sys.com  (nell’eventuale acquisizione dei vs. dati da ns. sito web)
  • Incaricati aziendali dei rapporti con i fornitori e/o i collaboratori e della gestione amministrativa e finanziaria, nonché la Direzione Aziendale e l’Amministratore di Sistema (informativo) della ns. azienda.
  • Incaricati aziendali per il controllo dell’esecuzione delle attività contrattuali.
  • Responsabile esterno del trattamento dei vs. dati personali: Google in quanto provider utilizzato dalla ns. azienda per registrare i dati comuni di contatto, nonché per soddisfare le richieste precontrattuali e contrattuali, quale incaricato e responsabile dei trattamenti relativi all’archiviazione dei dati ed al loro trasferimento, criptazione e decriptazione per renderli fruibili all’utente.

Per quanto riguarda i dati personali di vostri dipendenti, collaboratori e qualsiasi altro interessato, che ci sia stato comunicato dalla vostra Società, è la medesima ad assumere il ruolo di titolare  del trattamento mentre la nostra azienda ne è responsabile esterno.


Finalità e base giuridica del trattamento

In termini generali la liceità del trattamento deriva, come da Art. 6 Reg. UE 679/2016, da una o più delle seguenti condizioni:

  • l’esecuzione del contratto o delle misure precontrattuali di cui la Vs. società è parte in causa,
  • il legittimo interesse del Titolare, che non deve prevalere sugli interessi o i diritti e le libertà fondamentali dell’interessato, quale ad es. il diritto alla tutela del credito, la necessità di prevenire frodi, o l’obbligo di adempiere a prescrizioni di legge.

Anche in presenza di dati particolari, il trattamento è ammesso, secondo l’Art. 9 Reg. UE 679/2016, in base a:

  • eventuale consenso esplicito al trattamento di dati sensibili,
  • acquisizione di dati già manifestamente pubblici.

Nello specifico, le principali finalità del trattamento, da parte ns., dei vostri dati riguardano:

  • la gestione delle comunicazioni tra la nostra azienda e la vostra società, in particolare per quel che può eventualmente riguardare rapporti precontrattuali e contrattuali di cui la vostra società ed i suoi rappresentanti siano parte in causa.
  • l’esercizio di marketing diretto da parte nostra (senza che ne siano incaricati soggetti terzi) tramite invio di comunicazioni commerciali a mezzo di sporadiche email, limitatamente a prodotti di cui abbiate già richiesto offerta o effettuato acquisto o sottoscrizione in tempi non remoti. Per un invio di materiale pubblicitario diverso o più frequente vi richiederemmo, per altre vie, il vostro esplicito consenso. In tutti i casi potete opporvi con una semplice comunicazione ad uno degli indirizzi forniti.
  • valutazione del merito creditizio, prevenzione da sovraindebitamento, elaborazioni statistiche (sono escluse decisioni automatizzate), tutela e recupero crediti, consultazione, raffronto con criteri prefissati ed ogni altra opportuna operazione relativa al conseguimento delle predette finalità.


Comunicazione e diffusione dei dati (altri destinatari dei dati)

I destinatari dei dati personali degli interessati sono tutti quei soggetti, responsabili ed incaricati, interni od esterni alla ns. azienda, deputati al trattamento dei dati, limitatamente alle finalità prefissate.

Questi soggetti, per quanto riguarda la ns. azienda, comprendono le persone fisiche del Titolare (operativo), del Responsabile aziendale e degli incaricati al trattamento, nonché dell’Amministratore di Sistema, specificati precedentemente. Essi si avvalgono tra l’altro dei servizi cloud messi a disposizione da provider, come Google LLC, fornitore del Google Workspace (già Google Suite) e Google Platform., il quale assume, per sua stessa dichiarazione, il ruolo di Responsabile esterno del trattamento.

Altri destinatari possono essere collaboratori della ns. azienda, quali società di servizi informatici, enti di tutela del credito, società che svolgono servizi di pagamento, assicurazioni, rivenditori, convenzionati, mediatori creditizi, società di factoring e/o recupero crediti, studi legali, se finalizzati all’esecuzione delle attività precontrattuali, contrattuali e post-contrattuali. In questi casi i dati trasmessi saranno esclusivamente quelli necessari allo scopo, in base al principio di minimizzazione.

In ogni caso la ns. azienda non diffonde, e tanto meno commercializza, dati personali con terze parti che non siano direttamente coinvolte nel trattamento secondo le specifiche finalità.


Trasferimento dei vostri dati in paesi extra UE

I provider come Google utilizzano, anche ai fini della sicurezza contro la perdita dei dati, duplicati su più supporti di memorizzazione di massa, sedi diverse e dislocate anche al di fuori dei paesi dell’Unione Europea (“paesi terzi”), garantendo comunque i requisiti richiesti dal GDPR, in quanto in paesi esplicitamente autorizzati dall’Autorità Garante (decisione di adeguatezza, Art. 45 Reg. UE 679/2016) e/o per la presenza di altre clausole previste dal GDPR o dalla Commissione europea per la privacy, quali le EU Standard Contractual Clauses (in alternativa all’US-EU Privacy Shield che era valido per gli U.S.A. sino al luglio 2020).


Garanzie offerte da Google

Certificazioni di cui al link https://cloud.google.com/security/compliance/#/: 

  • ISO 27001 Tecnologie Informatiche – Tecniche di sicurezza – Sistemi di gestione della sicurezza dell’informazione – Requisiti,
  • 27017 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services,
  • 27018 Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors,
  • SYSTEM AND ORGANIZATION CONTROLS: SOC 1 (Controlli sui rapporti finanziari), SOC 2 (controlli su sicurezza, disponibilità e riservatezza), SOC 3 (Rapporto pubblico dei controlli su sicurezza, disponibilità e riservatezza);
  • cloud security alliance CSA STAR (Protezione degli ambienti di cloud computing).
  • Certificazione TISAX (Trusted Information Security Assessment Exchange, framework di sicurezza informatica) al livello di valutazione 2 (AL2)
  • Conformità al GDPR secondo il link https://privacy.google.com/businesses/compliance/?hl=it#!?modal_active=none
  • EU-U.S. PRIVACY SHIELD FRAMEWORK
  • SWISS-U.S. PRIVACY SHIELD FRAMEWORK
  • sottoscrizione delle Modal Contract Clauses (che corrispondono alla EU Standard Contractual Clauses)
  • Adesione al GDPR, come da https://cloud.google.com/security/compliance/eu-mcc/  e da https://cloud.google.com/security/gdpr/ 


Periodo di conservazione dei dati

I dati personali vengono mantenuti e gestiti per un periodo conforme alle finalità del trattamento (Art. 5 Reg. UE 679/2016) e vengono ulteriormente conservati per eventuali periodi successivi qualora ciò sia richiesto per adempiere ad eventuali prescrizioni legali. A seconda dei casi, il periodo di trattamento può essere predeterminato, ma più generalmente è legato e comunque limitato alle esigenze del trattamento stesso, nel rispetto delle esigenze del Titolare e degli interessati.

I dati personali di contatto vengono cancellati quando cessa, oltre all’eventuale rapporto contrattuale, l’interesse della ns. azienda verso la vostra società, nonché quando si rilevi che un contatto non è più collegato ad essa. E’ pianificato un controllo quinquennale degli archivi, ovunque situati, per una verifica globale sulla necessità o meno di conservare i singoli contatti, con eventuale cancellazione degli stessi, salvo rinnovo della trasmissione dell’informativa e, se fosse necessario, della richiesta di consenso al trattamento.


Misure tecniche ed organizzative

In generale la ns. azienda, nell’ambito della privacy by design e privacy by default, adotta le seguenti misure (Art. 24, 25 e 32 Reg. UE 679/2016) per tutti i trattamenti dati personali effettuati, allo scopo di mitigare i possibili rischi contro le libertà ed i diritti delle persone fisiche, quali possono sorgere nel caso di violazione dei dati o distruzione fisica degli stessi:

  1. minimizzazione, con l’acquisizione e gestione dei soli dati strettamente necessari secondo le finalità del trattamento,
  2. formazione e sensibilizzazione di tutto il personale aziendale al rispetto dei requisiti del GDPR,
  3. nomina formale di tutti gli addetti ai trattamenti, Titolare operativo e Responsabile aziendale del trattamento, Amministratori di Sistema ed altri possibili Incaricati,
  4. impegno alla riservatezza circa i dati personali “particolari” da parte di tutti gli addetti al trattamento,
  5. gestione della sicurezza contro le violazioni dei dati relativamente ai dispositivi fisici ed agli accessi agli account aziendali, mediante accorgimenti hardware, software e organizzativi,
  6. misure contro il furto e contro possibili disastri nell’ambito dei locali della sede aziendale,
  7. protezione di eventuali copie di lavoro dei dati personali necessarie temporaneamente sulla memoria di massa di personal computer, mediante le protezioni adottate sul computer stesso, secondo istruzioni interne emesse allo scopo, e la loro cancellazione alla conclusione dei relativi trattamenti locali,
  8. verifica delle garanzie fornite dai provider dei servizi su cloud, quali certificazioni acquisite, verifiche di terze parti, dichiarazioni di responsabilità,
  9. utilizzo di servizi su cloud che assicurano la ridondanza dei dati ed il loro eventuale ripristino,
  10. utilizzo del servizio Gmail per l’invio e la ricezione della posta elettronica, al fine di utilizzare la crittografia SSL/TLS dei messaggi in transito,
  11. adozione di una Politica per la Privacy (inclusa nella politica aziendale) e di un Modello Organizzativo per la Sicurezza e Privacy dei dati personali, comprendente i relativi organigramma, procedure, istruzioni operative e modulistica di registrazione,
  12. l’istituzione di un registro del Titolare e del Responsabile aziendale del trattamento dei dati personali (Art. 30), per ogni categoria di trattamento o, ove necessario, ogni singolo trattamento.

In linea generale, per specifici trattamenti possono essere adottate ulteriori misure, suggerite dalla valutazione dei rischi e dall’eventuale valutazione di impatto (Art. 35 Reg. UE 679/2016) ove pertinente e necessaria. Qualora l’esito di una valutazione di impatto dovesse evidenziare,  pur in presenza delle misure che è possibile ragionevolmente mettere in atto, la permanenza di rischi elevati per gli interessati, è prevista la consultazione preventiva dell’Autorità di controllo, o in alternativa la rinuncia al trattamento dei dati e quindi all’eventuale contratto.


Diritti degli interessati, secondo gli art. da 15 a 22 del Reg. UE 679/2016 e l’art.7 del D.Lgs 196/2003

  1. Diritto all’informazione e diritto di accesso (Art. 15 Reg. UE 679/2016). L’interessato ha il diritto, su richiesta, che gli sia confermato o meno che è in corso il trattamento dei suoi dati personali e di ottenere l’accesso ai dati stessi, nonché alle relative informazioni.
  2. Diritto di rettifica (Art. 16 Reg. UE 679/2016). L’interessato ha diritto di ottenere, senza ingiustificato ritardo, la rettifica di suoi dati inesatti o l’integrazione degli stessi in funzione delle finalità del trattamento.
  3. Diritto di revoca del consenso (Art. 13 Reg. UE 679/2016). L’interessato deve avere la possibilità di ritirare un consenso precedentemente concesso per il trattamento dei propri dati personali per uno scopo.
  4. Diritto alla cancellazione o “diritto all’oblìo” (Art. 17 Reg. UE 679/2016). La cancellazione, che riguarda anche i dati trasmessi a terzi, cui il Titolare deve rimettere la richiesta, deve essere effettuata a seguito di revoca o di opposizione al trattamento (sempre che non in contrasto con norme di legge o altre disposizioni cogenti), nonché per altri eventi, indipendentemente dalle istanze degli interessati, quali il decadere delle finalità del trattamento.
  5. Diritto di limitazione del trattamento (Art. 18 Reg. UE 679/2016). L’interessato ha diritto a richiedere la sospensiva temporale del trattamento (ma con mantenimento della conservazione dei dati), nel caso di contestazioni o altre occorrenze legittime che ne possano richiedere la disponibilità, sino a risoluzione del contrasto.
  6. Diritto che le eventuali richieste di cui sopra siano rivolte anche a coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impegno di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
  7. Diritto alla portabilità dei dati (Art. 20 Reg. UE 679/2016). L’interessato può richiedere di ricevere i propri dati personali in un formato di uso comune leggibile automaticamente e può richiederne la trasmissione ad altro titolare del trattamento.
  8. Diritto di opposizione (Art. 21 Reg. UE 679/2016). L’interessato ha il diritto di opporsi, per motivi legittimi, al trattamento dei propri dati personali, senza che questo comporti la loro cancellazione, in toto o limitatamente ad una specifica parte del trattamento, quale, ad esempio, la finalità di marketing diretto.
  9. Diritto di opposizione al trattamento automatizzato (Art. 22 Reg. UE 679/2016). L’interessato ha il diritto che i suoi dati non vengano elaborati a seguito di decisioni automatiche, come la profilazione, perché ritiene, ad esempio, che un trattamento non manuale non possa tener conto delle sue proprie singolarità.
  10. Diritto che, da parte del Titolare del trattamento, vengano comunicate eventuali violazioni dei dati personali (Art. 34 Reg. UE 679/2016), se ciò rappresenta un rischio elevato per i diritti e le libertà della persona nonostante le eventuali contromisure applicate.
  11. Diritto di presentare un reclamo all’Autorità di controllo.
  12. Diritto di conoscere la logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici.
  13. Diritto alle informazioni di cui alla presente informativa: finalità e modalità dei trattamenti, estremi identificativi del titolare (o suo rappresentante) e del responsabile del trattamento, soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati o affidati.


Esercizio dei propri diritti da parte degli interessati

Gli interessati possono rivolgere alla ns. azienda le loro richieste in merito al trattamento dei dati personali, rivolgendosi al Titolare o al Responsabile del trattamento, nei modi ritenuti più opportuni, e-mail o invio per posta, preferibilmente tramite PEC o raccomandata, ma in ogni caso in forma scritta. La disiscrizione dalle newsletter può essere effettuata tramite il link che viene fornito con l’invio delle stesse.

La ns. azienda soddisferà tali richieste, nei tempi previsti dal GDPR, salvo comunicazione di problemi in merito, attraverso procedimenti manuali, pur nell’interfacciamento con applicazioni e servizi elettronici, od in modo automatico quando possibile e predisposto allo scopo.

Tuttavia, se le richieste fossero manifestamente infondate o eccessive, potrebbe essere addebitato ai richiedenti un contributo spese ragionevole, o potrebbe avvenire il rifiuto di soddisfare le richieste stesse


Conseguenze per mancato conferimento dei dati od opposizione al trattamento

Gli eventuali mancato conferimento dei dati o una richiesta di cancellazione o limitazione degli stessi precluderebbero la possibilità, da parte della ns. azienda, di adempiere agli impegni precontrattuali e usufruire delle prestazioni contrattuali, comportando necessariamente la risoluzione del contratto, se già stipulato, ovvero l’eventuale rinuncia da parte della ns. azienda a parte dei prodotti o servizi coinvolti dai dati personali che non potessero essere trattati, inclusa la possibilità di contattare la vostra società.

__________________________________________________________

  1. Il Regolamento UE 679/2016 (GDPR), già in vigore dal 2016, è vincolante dal 25/05/2018, abroga la direttiva 95/46/CE ed affianca il D.Lgs. 196/2003 “CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI” o prevale su questo se in contrasto.