Privacy policy

PRIVACY POLICY 

ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (“GDPR”) 

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli  utenti che lo consultano. 

L’informativa è resa ai sensi degli artt. 13 e 14 del Reg. Ue – Regolamento Europeo in materia di protezione dei dati  personali a coloro che interagiscono con i servizi web di FemmeCafè Mattioli accessibili per via telematica a partire  dall’indirizzo: https://www.femmecafe.it/ 

corrispondente alla pagina iniziale, home page, di uno del sito ufficiale di FemmeCafè Mattioli. 

L’informativa è resa esclusivamente per questo sito web di FemmeCafè Mattioli e non anche per altri siti web  eventualmente consultati dall’utente tramite link. 

L’informativa si ispira anche alla Raccomandazione n. 2/2001 che le autorità europee per la protezione dei dati  personali, riunite nel Gruppo istituito dall’art. 29 della direttiva n. 95/46/CE, hanno adottato il 17 maggio 2001 per  individuare alcuni requisiti minimi per la raccolta di dati personali on-line, e, in particolare, le modalità, i tempi e la  natura delle informazioni che i titolari del trattamento devono fornire agli utenti quando questi si collegano a pagine  web, indipendentemente dagli scopi del collegamento. 

La Raccomandazione e una descrizione di sintesi delle sue finalità sono riportate nel sito ufficiale del Garante per la  Protezione dei Dati Personali. 

1. A CHI STAI CONFERENDO I TUOI DATI? CHI LI TRATTERÀ? 

FemmeCafè Mattioli
Sede legale: Via Montevecchio 56/c, CAP 61032, Fano (PU)
P. IVA: 02278320417
E-mail: info@femmecafe.it 

2. QUALI DATI TI CHIEDIAMO, RACCOGLIAMO E/O TRATTIAMO? 

Ti chiederemo e/o tratteremo le seguenti informazioni: 

• Nome e dettagli di contatto, quali, a titolo esemplificativo, nome e cognome, indirizzo e-mail, indirizzo,  numero di telefono; 
• Credenziali dell’account, quali, a titolo esemplificativo, la password e altre informazioni di sicurezza  utilizzate per l’autenticazione e l’accesso; 
• Informazioni finanziarie, quali, a titolo esemplificativo, conto bancario, numeri di carte di credito e di debito  per l’elaborazione dei pagamenti; 
• Informazioni sull’utilizzo, quali, a titolo esemplificativo, informazioni comportamentali su come navigate  nei nostri Servizi e quali elementi dei nostri Servizi utilizzate più frequentemente e informazioni relative ai  prodotti e/o servizi che desiderate ordinare, lista dei desideri, preferenze, interessi e così via. Altre  informazioni condivise da voi attraverso i nostri siti Web, app, negozi Web e altri prodotti; 
• Informazioni su computer, dispositivo e connessione, quali, a titolo esemplificativo, indirizzo IP, tipo e  versione del browser e ubicazione. 

3. I MINORI DEGLI ANNI 14 POSSONO ACCEDERE AL SITO? 

Se siete minori di 13 anni, vi invitiamo a non utilizzare o accedere ai Servizi. 

FemmeCafè Mattioli non raccoglie o conserva consapevolmente informazioni personali (secondo la definizione fornita  nello United States Children’s Online Privacy Protection Act) di persone minori di 13 anni.

In caso FemmeCafè Mattioli venisse a conoscenza che nell’erogazione dei Servizi sono state raccolte informazioni  personali di minori di 13 anni, intraprenderà le azioni opportune per eliminare tali informazioni. 

4. PER QUALI FINALITÀ TRATTIAMO I TUOI DATI PERSONALI? QUALI SONO LE BASI GIURIDICHE DEI NOSTRI  TRATTAMENTI? 
5. a) Finalità di legge e necessarie per l’erogazione dei servizi da parte di FemmeCafè Mattioli nell’ambito della  navigazione sul sito web, quali nello specifico: 

• Servizio E-Commerce: ricevere le richieste di acquisto dei servizi specificati nella relativa sezione;  identificare il richiedente e la relativa richiesta a seguito della compilazione di uno specifico modulo  elettronico; procedere alla gestione del Servizio ai sensi delle condizioni di fornitura specificate; 
• Altri Servizi: gestire tutte le altre richieste che pervengano al Titolare tramite i vari moduli di contatto e gli  indirizzi e-mail a disposizione dell’utenza nelle varie pagine del Sito in vista della fornitura di servizi specifici  e/o delle informazioni richieste. 

Base giuridica: Articolo 6, par. 1 lett. b) del GDPR: “Il trattamento è lecito quando è necessario all’esecuzione di un  contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso” (come  per esempio la richiesta di informazioni, richiesta di preventivo ecc.). 

b) I dati personali saranno altresì trattati anche per adempiere agli obblighi previsti dalla legge, da un  regolamento o dalla normativa comunitaria e per finalità civilistiche, amministrative, contabili e fiscali. Base giuridica: Ai sensi dell’art. 6, par. 1 lett. c) GDPR il trattamento per tale finalità è lecito in quanto necessario per  adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento. 

c) Infine, i dati personali potranno essere trattati per far valere o difendere nelle sedi competenti (giudiziarie,  arbitrali, amministrative, etc.) diritti di qualsiasi natura, siano essi connessi o meno ad un rapporto  contrattuale per la resa dei servizi sopra elencati (es: inadempimento) o ad altri termini e condizioni legali del  Sito. 

Base giuridica: Articolo 6, par. 1 lett. f): “Il trattamento è necessario per il perseguimento del legittimo interesse del  titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali  dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”. 

5. PER QUANTO TEMPO CONSERVIAMO LE TUE INFORMAZIONI PERSONALI? 

Le vostre informazioni personali saranno trattate nella misura necessaria per l’adempimento dei nostri obblighi e per  il tempo necessario a raggiungere gli scopi per i quali le informazioni vengono raccolte, in conformità con le nostre  policy di conservazione dei dati e le leggi applicabili sulla protezione dei dati. 

Quando non avremo più bisogno delle vostre informazioni personali, adotteremo tutte le misure ragionevoli per  rimuoverle dai nostri sistemi e registri o prenderemo le misure per renderle anonime correttamente, in modo che non  sia più possibile identificarvi da esse. 

6. QUAL È LA NATURA DEL CONFERIMENTO DEI DATI? 

A parte quanto specificato per i dati di navigazione, l’utente è libero di fornire i dati personali per poter accedere ai  servizi offerti dal presente sito. 

Il mancato conferimento dei dati necessari per la compilazione dei moduli di richiesta comporta l’impossibilità di  accedere ai servizi richiesti compreso l’invio di materiale informativo 

7. COME TRATTIAMO I TUOI DATI PERSONALI? DI CHI CI AVVALIAMO PER FARLO? 

Tratteremo i tuoi Dati Personali mediante strumenti manuali, informatici o telematici, ed in ogni caso idonei a  garantirne la sicurezza e la riservatezza.

Il trattamento verrà eseguito da personale che abbiamo debitamente istruito e formato nonché contrattualizzato. 

Il trattamento avverrà nel rispetto del principio di limitazione delle finalità nonché di tutti gli altri principi presenti  all’articolo 5 del Regolamento 679/2016. In particolare in osservanza dei principi di integrità e riservatezza, ai sensi  dei quali vengono adottate specifiche misure di sicurezza per prevenire la perdita dei dati, usi illeciti o non corretti e  accessi non autorizzati. 

8. A CHI VENGONO COMUNICATI I TUOI DATI PERSONALI? PERCHÉ? DOVE VENGONO TRATTATI? LI  DIFFONDIAMO? 

Per il perseguimento delle finalità indicate al punto 4, il Titolare potrà comunicare i dati personali dell’Utente a  soggetti terzi, quali, ad esempio, quelli appartenenti ai seguenti soggetti o categorie di soggetti: • i nostri fornitori di servizi, ad esempio per la gestione o l’hosting di servizi e/o per la tecnologia a supporto  dei Servizi che eroghiamo; 

• altre parti, ad esempio in base alle esigenze in materia di audit esterno, conformità, gestione dei rischi,  sviluppo aziendale e/o governance aziendale; o 
• autorità governative e regolamentari, come richiesto dalla legge applicabile. 

In tutti i casi sopra illustrati FemmeCafè Mattioli non comunicherà i dati personali a destinatari esterni, a meno che la  comunicazione non sia richiesta da ordini cogenti di autorità pubbliche e/o giudiziarie. I dati non saranno oggetto di  diffusione. 

9. I TUOI DATI VENGONO TRASFERITI AL DI FUORI DELL’UNIONE EUROPEA? 

I dati non saranno comunicati o diffusi a terzi e non saranno trasferiti o trattati fuori dall’Unione Europea. 

I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE +  Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti a condizione che  l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art.  45 del Regolamento UE 2016/679). 

In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano  garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del  Regolamento UE 2016/679). Al riguardo, possono costituire garanzie adeguate: 

o senza autorizzazione da parte del Garante: 

• gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (art. 46, par. 2, lett. a); 
• le norme vincolanti d’impresa (art. 46, par. 2, lett. b); 
• le clausole tipo (art. 46, par. 2, lett. c e lett. d); 
• i codici di condotta (art. 46, par. 2, lett. e); 
• i meccanismi di certificazione (art. 46, par. 2, lett. f); 

o previa autorizzazione del Garante: 

• le clausole contrattuali ad hoc (art. 46, par. 3, lett. a); 
• gli accordi amministrativi tra autorità o organismi pubblici (art. 46, par. 3, lett. b); 

In assenza di ogni altro presupposto, è possibile trasferire i dati personali in base ad alcune deroghe che si verificano in  specifiche situazioni (art. 49 del Regolamento UE 2016/679). 

10. QUALI SONO I TUOI DIRITTI? 

Ai sensi degli articoli 13, comma 2, lettere (b) e (d), da 15 a 22 del Regolamento, si informa l’interessato che ha diritto  di chiedere: 

– Diritto di accesso: Lei potrà ottenere da FemmeCafè Mattioli la conferma che sia o meno in corso un trattamento dei  Suoi Dati Personali e, in tal caso, ottenere l’accesso ai Dati Personali ed alle informazioni previste dall’art. 15 del  Regolamento, tra le quali, a titolo esemplificativo: le finalità del trattamento, le categorie di Dati Personali trattati etc.

– Qualora i Dati Personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, Lei ha il diritto  di essere informato dell’esistenza di garanzie adeguate relative al trasferimento. Se richiesto, FemmeCafè Mattioli Le  potrà fornire una copia dei Dati Personali oggetto di trattamento. Per le eventuali ulteriori copie FemmeCafè Mattioli potrà addebitarle un contributo spese ragionevole basato sui costi amministrativi. Se la richiesta in questione è  presentata mediante mezzi elettronici, e salvo diversa indicazione, le informazioni Le verranno fornite da FemmeCafè  Mattioli in un formato elettronico di uso comune. 

– Diritto di rettifica: Lei potrà ottenere da FemmeCafè Mattioli la rettifica dei Suoi Dati Personali che risultano inesatti  come pure, tenuto conto delle finalità del trattamento, l’integrazione degli stessi, qualora risultino incompleti,  fornendo una dichiarazione integrativa. 

– Diritto alla cancellazione: Lei potrà ottenere dal Titolare la cancellazione dei Suoi Dati Personali, se sussiste uno dei  motivi previsti dall’art. 17 del Regolamento, tra cui, a titolo esemplificativo, qualora i Dati Personali non sono più  necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati o qualora il consenso su cui si basa il  trattamento dei Suoi Dati Personali è stato da Lei revocato e non sussiste altro fondamento giuridico per il trattamento.  La informiamo che FemmeCafè Mattioli non potrà procedere alla cancellazione dei Suoi Dati Personali: qualora il loro  trattamento sia necessario, ad esempio, per l’adempimento di un obbligo di legge, per motivi di interesse pubblico, per  l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. 

– Diritto di limitazione di trattamento: Lei potrà ottenere la limitazione del trattamento dei Suoi Dati Personali  qualora ricorra una delle ipotesi previste dall’art. 18 del Regolamento, tra le quali, ad esempio: a fronte di una Sua  contestazione circa l’esattezza dei Suoi Dati Personali oggetto di trattamento o qualora i Suoi Dati Personali le siano  necessari per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, benché FemmeCafè Mattioli non ne  abbia più bisogno ai fini del trattamento. 

– Diritto alla portabilità dei dati: FemmeCafè Mattioli informa l’interessato circa lo specifico diritto alla portabilità.  L’articolo 20 del Regolamento generale sulla protezione dei dati introduce il nuovo diritto alla portabilità dei dati. Tale  diritto consente all’interessato di ricevere i dati personali forniti a FemmeCafè Mattioli in un formato strutturato, di  uso comune e leggibile da dispositivo automatico, e – a certe condizioni – di trasmetterli a un altro titolare del  trattamento senza impedimenti. 

Sono portabili i soli dati personali che (a) riguardano l’interessato, e (b) sono stati forniti dall’interessato a FemmeCafè  Mattioli; (c) sono trattati elettronicamente nell’ambito della stipula di un contratto. 

La portabilità dei dati comprende il diritto dell’interessato di ricevere un sottoinsieme dei dati personali che lo  riguardano trattati dallo Studio e di conservarli in vista di un utilizzo ulteriore per scopi personali. Tale conservazione  può avvenire su un supporto personale o su un cloud privato, senza comportare necessariamente la trasmissione dei  dati a un altro titolare. La portabilità è una sorta di integrazione e rafforzamento del diverso diritto di accesso ai dati  personali, pure previsto dall’art. 15 del Regolamento. 

FemmeCafè Mattioli si impegna ad evadere le richieste di portabilità entro 30 giorni dalla ricezione della richiesta,  riservandosi, ai sensi dell’art. 12, comma 3 del Regolamento, la facoltà di riscontrare la richiesta nel termine più lungo  di tre mesi nei casi di maggiore complessità. La richiesta di portabilità va indirizzata al seguente, specifico indirizzo  email: info@femmecafe.it 

– Diritto di opposizione: Lei potrà opporsi in qualsiasi momento al trattamento dei Suoi Dati Personali qualora il  trattamento venga effettuato per l’esecuzione di un’attività di interesse pubblico o per il perseguimento di un interesse  legittimo del Titolare (compresa l’attività di profilazione). Qualora Lei decidesse di esercitare il diritto di opposizione  qui descritto, FemmeCafè Mattioli si asterrà dal trattare ulteriormente i Suoi dati personali, a meno che non vi siano  motivi legittimi per procedere al trattamento (motivi prevalenti sugli interessi, sui diritti e sulle libertà  dell’interessato), oppure il trattamento sia necessario per l’accertamento, l’esercizio o la difesa in giudizio di un diritto. 

– Diritto di non essere sottoposto a decisioni automatizzate, compresa la profilazione: l’interessato ha il diritto di  non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che  produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona, salvo nei  casi in cui la decisione automatizzata sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e  un titolare del trattamento; sia prevista dalla legge, nel rispetto di misure e cautele; si basi sul consenso esplicito  dell’interessato. 

– Diritto di proporre un reclamo all’Autorità Garante per la protezione dei dati personali: Fatto salvo il Suo  diritto di ricorrere in ogni altra sede amministrativa o giurisdizionale, qualora ritenesse che il trattamento dei Suoi  Dati Personali da parte del Titolare avvenga in violazione del Regolamento e/o della normativa applicabile potrà 

proporre reclamo all’Autorità Garante per la Protezione dei dati personali competente seguendo le procedure e le  indicazioni pubblicate sul sito web ufficiale dell’Autorità su https://www.garanteprivacy.it/modulistica-e-servizi online/reclamo 

11. COME POSSO ESERCITARE I MIEI DIRITTI? 

Potrai esercitare i diritti di cui sopra mediante richiesta scritta rivolta al Titolare, reperibile al seguente indirizzo e mail: info@femmecafe.it 

Procederemo secondo quanto da te indicato senza ritardo e, comunque, al più tardi entro un mese dal ricevimento  della tua richiesta. Il termine potrà essere prorogato di due mesi, se necessario tenuto conto della complessità e del  numero delle richieste che riceveremo. In tale evenienza, sarà comunque nostra cura inviarti, entro un mese dal  ricevimento della tua richiesta, una comunicazione per informarti ed indicarti i motivi della proroga. 

Ti ricordiamo che, laddove il riscontro alle tue richieste non sia stato a tuo avviso soddisfacente, potrai rivolgerti e  proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali nei modi previsti dalla Normativa  Applicabile e seguendo le istruzioni reperibili all’indirizzo www.garanteprivacy.it. 

12. DOVE POSSO REPERIRE IL MODULO PER ESERCITARE I MIEI DIRITTI? 

Clicca qui: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1089924 

13. LINK AD ALTRI SITI WEB 

Il sito Web contiene link ad altri siti di terze parti, i quali prevedono informative sulla privacy diverse dalla nostra. Non  siamo responsabili per la raccolta, il trattamento o la divulgazione di informazioni personali raccolte attraverso altri  siti Web. 

Inoltre, non siamo responsabili per qualsiasi informazione o contenuto presenti in tali siti Web. I link ad altri siti Web sono forniti esclusivamente per comodità. 

L’utilizzo e la navigazione su tali siti Web sono soggetti alle politiche specifiche di tale sito Web. Vi invitiamo a rivedere le informative sulla privacy pubblicate su altri siti Web: 

• Facebook: https://it-it.facebook.com/policy.php
• Instagram: https://help.instagram.com/519522125107875

14. USO DEI COOKIE 

Utilizziamo i cookie per ottimizzare i nostri siti Web e analizzare il traffico del sito Web. A volte, se abbiamo ottenuto in anticipo il vostro consenso informato, potremmo utilizzare cookie di terze parti, in particolare plugin di social media,  per consentirvi di condividere idee e informazioni relative a noi istantaneamente e per vostri scopi di marketing. 

I cookie o tecniche simili (denominati collettivamente “cookie”) sono piccoli file di testo o pixel che potrebbero essere  memorizzati sul vostro computer o dispositivo mobile. I cookie possono essere necessari per facilitare la navigazione  del sito Web e renderlo più user-friendly. Cookie di terze parti possono raccogliere informazioni per analizzare il  comportamento di navigazione personale. 

È possibile che vengano utilizzati cookie appartenenti a una delle quattro categorie elencate di seguito. Il banner sui  cookie del nostro sito Web facilita la gestione delle preferenze delle categorie di cookie non obbligatorie. Il banner  fornisce anche una panoramica di tutti i cookie utilizzati nelle categorie. 

• Cookie tecnici (o necessari): questi cookie obbligatori sono necessari per il corretto funzionamento dei  nostri siti Web. 
• Cookie analitici (chiamati anche statistici o di performance): questi cookie supportano servizi analitici  che ci aiutano a migliorare la funzionalità e l’esperienza degli utenti del nostro sito Web. 
• Cookie di profilazione (o marketing): questi cookie possono essere applicati per raccogliere  approfondimenti e pubblicare contenuti e pubblicità personalizzati sul nostro e su altri siti Web.
  

Informazioni aggiuntive sui cookie sono disponibili consultando la “Cookie Policy”. 

15. AGGIORNAMENTI 

La Privacy Policy del Sito potrà essere soggetta a periodici aggiornamenti. 

Ogni variazione sostanziale verrà pubblicata al presente indirizzo ed è fatto carico all’utente di monitorare  periodicamente il presente sito internet per informarsi sulla vigenza o sulla modifica delle presenti condizioni.

Vi informiamo che, per l’instaurazione e l’esecuzione dei rapporti contrattuali con Voi in corso, la nostra organizzazione è in possesso di Vostri dati, acquisiti anche verbalmente, direttamente o tramite terzi, qualificati come personali dal Regolamento Europe 2016/679 dal (GDPR).

Secondo la normativa indicata, tale trattamento sarà improntato ai principi di correttezza, liceità, trasparenza e di tutela della Sua riservatezza e dei Suoi diritti.

Ai sensi dell’articolo 13 del GDPR 2016/679, pertanto, Le forniamo le seguenti informazioni:

Natura dei dati trattati: trattiamo i Vostri dati anagrafici, fiscali e di natura economica necessari allo svolgimento dei rapporti contrattuali, in essere o futuri, con la Vostra società. nonché per conseguire una efficace gestione dei rapporti commerciali. I dati sono trattati senza il Vostro consenso espresso art. 6 lett. b, e, GDPR, solo ed esclusivamente per le seguenti Finalità di Servizio: adempiere agli obblighi precontrattuali, contrattuali e fiscali derivanti da rapporti con voi in essere; adempiere agli obblighi previsti dalla legge, da un regolamento, dalla normativa comunitaria o da un ordine dell’Autorità; esercitare i diritti del Titolare, ad esempio il diritto di difesa in giudizio. Non siamo in possesso di Vostri dati qualificabili come particolari o di natura giudiziaria (artt.9 e 10 del GDPR).

Finalità del trattamento e durata: i Vostri dati vengono trattati per tutta la durata del rapporto contrattuale ed anche successivamente, per esigenze contrattuali e connessi adempimenti di obblighi legali e fiscali, e per un’efficace gestione dei rapporti finanziari, commerciali e di web marketing come invio di email, sms, whatsapp, google analytics, pixel facebook e operazioni indicate all’art. 4 n. 2) GDPR. Il Titolare tratterà i dati personali per il tempo necessario per adempiere alle finalità di cui sopra e comunque per non oltre 10 anni dalla cessazione del rapporto per le Finalità di Servizio.

Modalità del trattamento: il trattamento sarà effettuato sia con strumenti manuali e/o informatici e telematici con logiche di organizzazione ed elaborazione strettamente correlate alle finalità stesse e comunque in modo da garantire la sicurezza, l’integrità e la riservatezza dei dati stessi nel rispetto delle misure organizzative, fisiche e logiche previste dalle disposizioni vigenti.

Obbligo o facoltà di conferire i dati: per quanto concerne i dati che siamo obbligati a conoscere, al fine di adempiere agli obblighi previsti da leggi, il loro mancato conferimento da parte Vostra comporta l’impossibilità di instaurare o proseguire il rapporto, nei limiti in cui tali dati sono necessari all’esecuzione dello stesso.

Ambito di conoscenza dei Vostri dati: le seguenti categorie di soggetti possono venire a conoscenza dei Vostri dati, in qualità di responsabili o incaricati del trattamento, nominati dalla scrivente società, titolare del trattamento: dirigenti, amministratori e sindaci; uffici di segreteria interni; addetti alla contabilità ed alla fatturazione; addetti alla commercializzazione dei servizi; agenti e rappresentanti.

Comunicazione e diffusione: i Vostri dati non verranno da noi diffusi a soggetti indeterminati mediante la loro messa a disposizione o consultazione. Vostri dati potranno da noi essere comunicati, per quanto di loro rispettiva e specifica competenza, ad Enti ed in generale ad ogni soggetto pubblico o privato rispetto al quale vi sia per noi obbligo (o facoltà riconosciuta da norme di legge o di normativa secondaria o comunitaria) o necessità di comunicazione, nonché a soggetti nostri consulenti, nei limiti necessari per svolgere il loro incarico presso la nostra organizzazione, previo nostra lettera di incarico che imponga il dovere di riservatezza e sicurezza.

I Vostri diritti: nella Vostra qualità di interessato, avete i diritti di cui all’art. 15 GDPR e precisamente i diritti di: i. ottenere la conferma dell’esistenza o meno di dati personali che Ti riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile; ii. ottenere l’indicazione: a) dell’origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’art. 3, comma 1, GDPR; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati; iii. ottenere: a) l’aggiornamento, la rettificazione ovvero l’integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato; iv. opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che Vi riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che Vi riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante l’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore mediante email e/o mediante modalità di marketing tradizionali mediante telefono e/o posta cartacea. Ove applicabili, avrete altresì i diritti di cui agli artt. 16-21 GDPR (Diritto di rettifica, diritto all’oblio, diritto di limitazione di trattamento, diritto alla portabilità dei dati, diritto di opposizione), nonché il diritto di reclamo all’Autorità Garante. In qualsiasi momento potrete ottenere conferma dell’esistenza o meno di dati personali che Vi riguardano e la comunicazione di tali dati e delle finalità su cui si basa il trattamento. Inoltre, potrete ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, nonché l’aggiornamento, la rettificazione o, qualora sussista un Vostro interesse in merito, l’integrazione dei dati. Potrete opporvi, per motivi legittimi, al trattamento stesso. Vi chiediamo cortesemente di segnalare tempestivamente all’Ufficio di riferimento della società ogni eventuale variazione dei Vostri dati personali in modo da poter ottemperare all’art. 11, lettera (c) della suddetta normativa, che richiede che i dati raccolti siano esatti e, quindi, aggiornati.

Titolare del trattamento: titolare del trattamento è (denominazione Titolare) EMME RETAIL SRL con sede in FANO (PU) VIA ROMA 205.

Il Responsabile del Trattamento, cui è possibile rivolgersi per esercitare i diritti e/o per eventuali chiarimenti in materia di tutela dati personali è raggiungibile all’indirizzo: emme.retail@gmail.com

Data della revisione: 12/07/2018 – 10:10:55

1. Scopo, campo di applicazione e destinatari

Emme Retail Srl, da ora in poi definita come “Società”, si impegna a essere conforme alle leggi e ai regolamenti applicabili relativi alla protezione dei dati personali nei paesi dove questa opera.

La presente procedura definisce i principi fondamentali secondo i quali la Società tratta i dati personali di clienti, fornitori, business partner, dipendenti ed altri individui, ed indica le responsabilità dei propri servizi e dei propri dipendenti nel trattamento dei dati personali.

La presente procedura si applica alla Società e alle sue controllate (direttamente o indirettamente) che svolgono la propria attività all’interno dell’Area Economica Europea o trattano dati personali di interessati in tale area.

I destinatari della presente procedura sono tutti i dipendenti, temporanei o permanenti, e tutti i collaboratori che operano per conto della società.

2. Riferimenti normativi

• GDPR 2016/679 (Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche in materia di trattamento dei dati personali e alla libera circolazione di tali dati e che abroga la Direttiva 95/46 / CE)

• Leggi nazionali o regolamenti rilevanti per l’implementazione del Regolamento

• Politica di conservazione dei dati

• Registro dei trattamenti

• Procedura di richiesta di accesso e manutenzione dei dati

• Procedura trasferimento transfrontaliero dei dati

• Procedura di risposte agli interessati

3. Definizioni

Le definizioni utilizzate nel presente documento sono tratte dall’articolo 4 del Regolamento Europeo:

«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

Dati sensibili: dati personali che, per loro natura, sono particolarmente sensibili in relazione ai diritti e alle libertà fondamentali e meritano una protezione specifica in quanto il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Questi dati personali includono dati personali che rivelano origine razziale o etnica, opinioni politiche, credenze religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici che identificano in modo univoco una persona fisica, dati sulla salute o dati relativi all’orientamento sessuale della persona.

Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;

Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

Anonimizzazione: de- identificazione irreversibile dei dati personali in modo tale che la persona non può essere identificata tramite tecnologie e in tempi e costi ragionevoli né dal titolare né da altra persona. I principi di trattamento dei dati personali non si applicano ai dati anonimi in quanto questi non sono considerati dati personali.

Pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile; la pseudonimizzazione riduce, ma non elimina del tutto, la possibilità di collegare un dato personale a un interessato. Tenendo conto che i dati che hanno subito il processo di pseudonimizzazione sono ancora dati personali, tale processo deve essere conforme ai principi di trattamento dei dati personali.

Trattamento transfrontaliero: trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

Autorità di controllo: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;

Autorità di controllo principale: l’autorità di vigilanza con la responsabilità primaria di occuparsi di un’attività di trattamento di dati transfrontaliera, ad esempio quando un interessato presenta un reclamo in merito al trattamento dei propri dati personali; è responsabile, tra l’altro, di ricevere le notifiche di violazione dei dati, di essere informato sulle attività di trattamento rischiose e avrà piena autorità per quanto riguarda i suoi obblighi di garantire l’osservanza delle disposizioni del GDPR;

Ciascuna “autorità di vigilanza locale” manterrà comunque la sua attività nel proprio territorio e monitorerà qualsiasi trattamento di dati a livello locale che riguarda gli interessati o che viene effettuato da un titolare o un responsabile UE o non UE quando il loro trattamento si rivolge agli interessati che risiedono sul suo territorio. I loro compiti e poteri comprendono lo svolgimento di indagini e l’applicazione di misure amministrative e sanzioni, la promozione a livello generale della consapevolezza dei rischi, delle norme, della sicurezza e dei diritti in relazione al trattamento dei dati personali, nonché l’accesso a qualsiasi sede del responsabile del titolare e del responsabile, compresi eventuali strumenti e mezzi per il trattamento dei dati.

Stabilimento principale: per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

Stabilimento principale: con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;

Gruppo imprenditoriale: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;

4. Principi base del trattamento dei dati personali

I principi sulla protezione dei dati delineano le responsabilità base per le organizzazioni che si occupano del trattamento dei dati personali. L’articolo 5, punto 2 del Regolamento stabilisce che “il titolare del trattamento è responsabile e deve dimostrare la conformità a tali principi”.

4.1. Legalità, correttezza e trasparenza

I dati personali devono essere trattati in modo lecito, equo e trasparente in relazione all’interessato.

4.2. Limitazione dello scopo

I dati personali devono essere raccolti per scopi specifici, espliciti e legittimi e non ulteriormente trattati in modo incompatibile con tali scopi.

4.3. Minimizzazione dei dati

I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario in relazione agli scopi per i quali sono trattati. Se possibile per ridurre i rischi per gli interessati la Società deve applicare l’anonimizzazione o la pseudonimizzazione ai dati personali.

4.4. Precisione

I dati personali devono essere accurati e, ove necessario, aggiornati; misure ragionevoli devono essere prese per garantire che i dati personali inaccurati, in relazione alle finalità per cui sono trattati, siano cancellati o rettificati in modo tempestivo.

4.5. Limitazione del periodo di conservazione

I dati personali devono essere conservati per un periodo non superiore a quello necessario agli scopi per i quali i dati personali sono trattati.

4.6. Integrità e confidenzialità

Tenendo conto dello stato della tecnologia e di altre misure di sicurezza disponibili, dei costi di implementazione e della probabilità e della gravità dei rischi dei dati personali, la Società deve utilizzare misure tecniche o organizzative adeguate per trattare i dati personali in modo tale da garantire un’adeguata sicurezza dei dati personali, compresa la protezione contro la distruzione, la perdita, l’alternanza o la divulgazione accidentale o illecita o l’accesso non autorizzato.

4.7. Responsabilità

I responsabili del trattamento dei dati sono responsabili di dimostrare la conformità ai principi sopra descritti.

5. Integrare la protezione dei dati nelle attività commerciali

Al fine di dimostrare la conformità ai principi della protezione dei dati, l’organizzazione deve integrare la protezione dei dati nelle attività commerciali.

5.1. Informativa agli interessati

(Vedi la sezione Linee Guida sul corretto trattamento)

5.2. Scelta e consenso dell’interessato

(Vedi la sezione Linee Guida sul corretto trattamento)

5.3. Raccolta

La Società deve cercare di raccogliere il minor numero possibile di dati personali. Se i dati personali sono raccolti da una terza parte, il Titolare deve assicurarsi che i dati personali siano raccolti secondo le previsioni di legge.

5.4. Utilizzo, conservazione e smaltimento

Gli scopi, i metodi, i limiti di archiviazione e il periodo di conservazione dei dati personali devono essere coerenti con le informazioni contenute nell’informativa sulla protezione dei dati generali.

La Società deve mantenere l’accuratezza, l’integrità, la riservatezza e la rilevanza dei dati personali in base allo scopo del trattamento. È necessario utilizzare adeguati meccanismi di sicurezza volti a proteggere i dati personali per impedire che vengano rubati o utilizzati in modo improprio e prevenire le violazioni dei dati personali. il Titolare è responsabile della conformità ai requisiti elencati in questa sezione.

5.5. Divulgazione a terzi

Ogni volta che la Società utilizza un fornitore di terza parte o un partner commerciale per trattare i dati personali per suo conto, il referente privacy deve garantire che questo processore fornisca misure di sicurezza per salvaguardare i dati personali appropriate ai rischi associati. A tal fine, è necessario utilizzare apposito questionario di conformità. (Processor GDPR Compliance Questionnaire)

La Società deve richiedere contrattualmente al fornitore o al partner commerciale di fornire lo stesso livello di protezione dei dati. Il fornitore o il partner commerciale deve elaborare i dati personali solo per adempiere ai propri obblighi contrattuali nei confronti della Società o dietro istruzioni della Società e non per altri scopi. Quando l’Azienda tratta i dati personali congiuntamente con una terza parte indipendente, la Società deve specificare esplicitamente le rispettive responsabilità e la terza parte nel rispettivo contratto o in qualsiasi altro documento legalmente vincolante, come il Contratto di trattamento dei dati del fornitore (Supplier Data Processing Agreement).

5.6. Trasferimento transfrontaliero dei dati personali

Prima di trasferire i dati personali dallo Spazio economico europeo (SEE) devono essere utilizzate misure di salvaguardia adeguate, compresa la firma di un accordo sul trasferimento dei dati, come richiesto dall’Unione europea e, se necessario, deve essere ottenuta l’autorizzazione da parte della autorità di protezione dei dati. L’entità che riceve i dati personali deve rispettare i principi del trattamento dei dati personali stabiliti nella Procedura di trasferimento dei dati transfrontalieri.

5.7. Diritti di accesso degli interessati

Quando agisce come titolare del trattamento dei dati, la società è tenuta a fornire agli interessati un ragionevole meccanismo di accesso che consenta loro di accedere ai propri dati personali e deve consentire loro di aggiornare, correggere, cancellare o trasmettere i propri dati personali, se del caso o richiesto dalla legge. Il meccanismo di accesso sarà ulteriormente dettagliato nella Procedura di richiesta di accesso ai dati dell’interessato.

5.8. Portabilità dei dati

Gli interessati hanno il diritto di ricevere, su richiesta, una copia dei dati che hanno fornito in un formato strutturato e di trasmettere gratuitamente tali dati a un altro titolare. il Titolare è responsabile di garantire che tali richieste vengano elaborate entro un mese, non siano eccessive e non pregiudichino i diritti sui dati personali di altre persone.

5.9. Diritto all’oblio

Su richiesta l’interessato ha il diritto di ottenere dalla società la cancellazione dei suoi dati personali. Quando la società agisce in qualità di titolare del trattamento, il referente privacy deve intraprendere le azioni necessarie (comprese le misure tecniche) per informare le terze parti che usano o trattano quei dati di adeguarsi alla richiesta.

6. Linee guida sul corretto trattamento

I dati personali possono essere trattati solo se esplicitamente autorizzati dal titolare.

La società deve decidere se effettuare una valutazione di impatto sulla protezione dei dati per ogni attività di trattamento dei dati secondo quanto definito dalle Linee guida sulla valutazione dell’impatto sulla protezione dei dati dati personali. Data Protection Impact Assessment Guidelines.

6.1. Informativa agli interessati

Al momento della raccolta o prima della raccolta di dati personali per qualsiasi tipo di attività di trattamento incluso ma non limitato alla vendita di prodotti, servizi o attività di marketing, il Titolare è responsabile di informare adeguatamente gli interessati di quanto segue: la tipologia di dati personali raccolti, le finalità del trattamento, i metodi di trattamento, i diritti degli interessati in relazione ai loro dati personali, il periodo di conservazione, i potenziali trasferimenti internazionali di dati, se i dati saranno condivisi con terzi e le misure di sicurezza della Società per proteggere i dati personali. Queste informazioni sono fornite tramite un’informativa generale sulla protezione dei dati.

Se l’azienda ha molteplici attività di trattamento dei dati, occorrerà sviluppare diverse comunicazioni che saranno diverse a seconda dell’attività di trattamento e delle categorie di dati personali raccolti, ad esempio, un’informativa potrebbe essere scritta per le spedizioni via mail e una diversa per la spedizione via posta ordinaria.

Laddove i dati personali siano condivisi con terzi, il Titolare deve garantire che gli interessati siano stati informati di ciò tramite un’informativa generale sulla protezione dei dati

Laddove i dati personali siano trasferiti in un paese terzo in base alla politica di trasferimento dei dati transfrontalieri, l’informativa generale sulla protezione dei dati dovrebbe specificarlo, indicando chiaramente dove e a quale entità vengono trasferiti i dati personali.

Nel caso in cui vengano raccolti dati personali sensibili, il Data Protection Officer deve assicurarsi che l’informativa generale sulla protezione dei dati chiarisca espressamente lo scopo per il quale tali dati sensibili vengono raccolti.

6.2. Ottenimento dei consensi

Ogni qualvolta il trattamento dei dati personali è basato sul consenso dell’interessato, o su altri motivi legittimi, il Titolare è responsabile di conservare una registrazione di tale consenso. Il Titolare è responsabile di presentare alle persone interessate le diverse opzioni per fornire il consenso e deve informare e garantire che il loro consenso (ogni volta che viene utilizzato come base legale per il trattamento) possa essere revocato in qualsiasi momento.

Quando viene richiesto di correggere, modificare o distruggere registrazioni di dati personali, il Referente Privacy deve garantire che tali richieste siano gestite entro un ragionevole lasso di tempo. Il Referente Privacy deve anche registrare le richieste e tenere un apposito registro.

I dati personali devono essere trattati solo per lo scopo per il quale sono stati originariamente raccolti. Nel caso in cui la Società desideri trattare i dati personali raccolti per un altro scopo, la Società deve richiedere il consenso dei suoi interessati in forma scritta chiara e concisa. Qualsiasi richiesta di questo tipo dovrebbe includere lo scopo originale per cui sono stati raccolti i dati e anche gli scopi nuovi o aggiuntivi. La richiesta deve includere anche il motivo del cambiamento di scopo / i. Il Data Protection Officer è responsabile del rispetto delle regole in questo paragrafo.

Ora e in futuro, il Referente Privacy deve garantire che i metodi di raccolta siano conformi alla legge, alle buone pratiche e agli standard industriali pertinenti.

Il Referente Privacy è responsabile della creazione e della manutenzione di un registro delle informative generali sulla protezione dei dati.

7. Organizzazione e responsabilità

La responsabilità di garantire un adeguato trattamento dei dati personali spetta a chiunque lavori all’interno della Società o per suo conto e abbia accesso ai dati personali da essa trattati.

Le principali aree di responsabilità per il trattamento dei dati personali sono riferibili ai seguenti ruoli organizzativi:

Il Consiglio di Amministrazione o altro organo decisionale competente prende decisioni e approva le strategie generali della Società in materia di protezione dei dati personali.

Il Data Protection Officer (DPO) o qualsiasi altro dipendente rilevante, è responsabile della gestione del programma di protezione dei dati personali e dello sviluppo e della promozione delle procedure end-to-end di protezione dei dati personali, come definito nella Job description del Data Protection Officer;

Il dipartimento Affari legali / consulente insieme al Data Protection Officer, monitora e analizza le leggi sui dati personali e le modifiche alle normative, sviluppa i requisiti di conformità e assiste i reparti aziendali nel raggiungimento dei loro obiettivi relativi ai dati personali.

L’IT manager è responsabile di:

• garantire che tutti i sistemi, i servizi e le attrezzature utilizzate per l’archiviazione dei dati abbiano standard di sicurezza adeguati

• effettuare controlli periodici ed esami per verificare il livello di sicurezza dell’hardware e il funzionamento corretto del software.

Il Marketing manager, è responsabile di:

• approvare di qualsiasi dichiarazione sulla protezione dei dati allegata a comunicazioni quali e-mail e lettere.

• Affrontare qualsiasi quesito in merito alla protezione dei dati da parte di giornalisti o altri mezzi di informazione come giornali.

• Ove necessario, collaborare con il Data Protection Officer per garantire che le iniziative di marketing rispettino i principi di protezione dei dati.

Il Human Resources Manager è responsabile di:

• migliorare la consapevolezza di tutti i dipendenti sulla protezione dei dati personali degli utenti.

• organizzare per i dipendenti che lavorano con dati personali formazione per aumentare la competenza in materia di protezione dei dati personali e la consapevolezza.

• protezione end-to-end dei dati personali dei dipendenti. Deve garantire che i dati personali dei dipendenti vengano elaborati in base a finalità legittime e alle necessità aziendali del datore di lavoro.

Il Procurement Manager è responsabile del trasferimento delle responsabilità di protezione dei dati personali ai fornitori e del miglioramento dei livelli di consapevolezza dei fornitori in materia di protezione dei dati personali, nonché della trasmissione dei requisiti dei dati personali a qualsiasi fornitore terzo che utilizza. Il dipartimento Acquisti deve garantire che la Società si riserva il diritto di controllare i fornitori mediante audit.

8. Linee guida per stabilire l’autorità di controllo principale

8.1. Necessità di stabilire l’autorità di controllo principale

L’identificazione di un’autorità di controllo principale è rilevante solo se la Società effettua il trasferimento transfrontaliero dei dati personali.

Il trasferimento transfrontaliero dei dati personali è effettuato se:

a) il trattamento dei dati personali è effettuato da società controllate dalla Società con sede in altri Stati membri;

              oppure

b) il trattamento dei dati personali che si svolgono in un’unica sede della Società nell’Unione europea, ma che incidono in modo sostanziale o potrebbero incidere sugli interessati in più di uno Stato membro.

Se la società ha sedi solo in uno Stato membro e le sue attività di trattamento riguardano solo le persone interessate in tale Stato membro, non è necessario istituire un’autorità di controllo principale. L’unica autorità competente sarà l’autorità di vigilanza nel paese in cui la società ha sede legale.

8.2. Sede principale e autorità di controllo

8.2.1. Sede principale del titolare del trattamento

Il Titolare del trattamento deve identificare la sede principale in modo che possa essere stabilita l’autorità di controllo.

Se la Società ha sede in uno stato dell’Unione europea e deve prendere decisioni in merito alle attività di trattamento transfrontaliero al posto della sua amministrazione centrale, ci sarà una sola autorità di controllo principale per le attività di trattamento dei dati effettuate dalla società.

Se la Società ha più sedi che agiscono in modo indipendente e prendono decisioni in merito alle finalità e ai mezzi del trattamento dei dati personali, il Titolare del Trattamento deve riconoscere che esiste più di un’autorità di vigilanza principale.

8.2.2. Sede principale del responsabile del trattamento

Quando la Società agisce come responsabile del trattamento, la sede principale sarà il luogo di amministrazione centrale. Nel caso in cui il luogo di amministrazione centrale non si trovi nell’UE, la sede principale sarà lo stabilimento nell’UE in cui si svolgono le principali attività di trattamento.

8.2.3. Sedi principali di titolari e responsabili di società extra UE

Se la società non ha la sede principale nell’Unione Europea, ed ha le sue controllate all’interno del territorio dell’Unione, l’autorità di controllo competente è l’autorità di controllo locale.

Se la società non ha né la sede principale né controllate all’interno dell’Unione Europea, deve essere nominato un rappresentante in Europa, e l’autorità di controllo competente sarà l’autorità di controllo del luogo dove si trova il rappresentante nominato.

9. Risposta agli incidenti di violazione dei dati personali

Quando la società viene a conoscenza di una sospetta o reale violazione dei dati personali, Il Referente Privacy deve condurre un’indagine interna e prendere appropriati provvedimenti in maniera tempestiva, secondo quanto previsto dalla procedura per la violazione dei dati. Se ci sono delle minacce ai diritti e alle libertà degli interessati, la società deve notificarle alle autorità per la protezione dei dati senza alcun ritardo, e se possibile, entro 72 ore.

10. Audit e responsabilità

L’ufficio audit o altri uffici rilevanti sono responsabili di verificare la corretta applicazione della presente procedura da parte delle altre aree aziendali.

Chiunque violerà la presente procedura sarà oggetto di un’azione disciplinare, e se la violazione commessa infrangerà leggi o regolamenti la persona sarà soggetta anche a responsabilità civili e penali.

11. Conflitti di legge

Tale procedura intende essere conforme con le leggi ed i regolamenti vigenti nei paesi dove è ubicata e dove opera la Società. In caso di conflitto tra questa procedura e le leggi ed i regolamenti applicabili, prevalgono questi ultimi.

12. Gestione e validità del documento

Il responsabile del documento è il Referente Privacy, che ha il compito di controllarlo e, se necessario, aggiornarlo, almeno annualmente.