Introduzione
Il Regolamento Generale sulla protezione dei dati (GDPR) è il quadro giuridico per il trattamento dei dati personali in Europa, a partire dal 25 maggio 2018. Il GDPR ha un'applicazione diretta in tutta l'Unione Europea e non necessita di trasposizioni nazionali. In quanto tale, promuoverà l'armonizzazione dei regimi giuridici nell'ambito della protezione dei dati personali in Europa. Inoltre il GDPR ha un principio di extraterritorialità che consente, in determinate circostanze, di estendere il suo perimetro di applicazione al di fuori dei confini europei.
Se nella tua struttura vengono trattati dati personali, ci sono buone probabilità che tu sia soggetto alle disposizioni del GDPR e pertanto dovrai adempiere ad alcuni obblighi. Lo stesso vale per Socrate srl, di seguito “Socrate”, che avrà vincoli diversi a seconda della sua posizione: come incaricato o come responsabile del trattamento dei dati.
Definizioni
Comprendere un regolamento europeo non è sempre facile, specialmente quando contiene 99 articoli, 173 considerando le molte linee guida per renderlo più chiaro, ma è essenziale per evitare qualsiasi rischio derivante da un'errata interpretazione degli obblighi normativi. Pertanto, la comprensione delle seguenti espressioni è essenziale:
dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile. È considerata una persona fisica identificabile una persona fisica che può essere identificata, direttamente o indirettamente;
trattamento: qualsiasi operazione o insieme di operazioni eseguite con o senza il supporto di processi automatizzati e applicate a dati o insiemi di dati personali (raccolta, registrazione, trasmissione, storage, conservazione, datamining, consultazione, utilizzo, interconnessione, ecc...)
responsabile del trattamento dei dati: persona fisica o giuridica, autorità pubblica, servizio o altro organismo che, da solo o con altri soggetti, determina i mezzi e le finalità del trattamento
incaricato del trattamento dei dati: persona fisica o giuridica, autorità pubblica, servizio o altro organismo che tratta dati personali per conto del responsabile del trattamento
Socrate come incaricato del trattamento dei dati
Questo è certamente il caso in cui le tue aspettative su Socrate sono più incisive. Socrate riveste il ruolo di "incaricato del trattamento" quando tratta dati personali per conto di un responsabile del trattamento.
È la situazione che si verifica quando si utilizzano i servizi di Socrate e si archiviano i dati personali su un'infrastruttura sotto il controllo di Socrate. Entro i limiti dei suoi vincoli tecnici, Socrate tratterà i dati ospitati esclusivamente secondo le tue indicazioni, e per tuo conto.
L'impegno di Socrate in qualità di incaricato del trattamento dei dati
Nel ruolo di incaricato del trattamento dei dati, Socrate si impegna in particolare a eseguire le seguenti azioni:
- trattare i dati personali esclusivamente ai fini della corretta esecuzione dei servizi: Socrate non utilizzerà mai le tue informazioni per altri scopi;
- non trasferire i tuoi dati al di fuori dell'UE o al di fuori di Paesi riconosciuti dalla Commissione Europea come possessori di un livello di protezione sufficiente, a condizione che non si richieda espressamente un datacenter in un'area al di fuori dell'UE;
- informarti di qualsiasi eventuale ricorso ad altri incaricati che potrebbero trattare i tuoi dati personali anche se, ad oggi, nessun servizio che preveda l'accesso ai contenuti archiviati dall'utente viene esternalizzato al di fuori di Socrate o del nostro fornitore di hosting Telemar spa;
- implementare standard elevati di sicurezza al fine di garantire un alto livello di sicurezza ai nostri servizi;
- avvisarti il prima possibile in caso di violazione dei dati;
- assisterti nell'adempiere ai tuoi obblighi normativi fornendoti un'adeguata documentazione dei nostri servizi.
Socrate in qualità di incaricato del trattamento dei dati
Chi è il proprietario dei dati personali utilizzati e archiviati dal cliente nell'ambito dei nostri servizi?
- I dati archiviati dal cliente che si avvale dei servizi Socrate restano di proprietà del cliente;
- Socrate non accede a questi dati né li utilizza, se non quando è strettamente necessario e nei limiti dei propri vincoli tecnici;
- Socrate rispetta l'obbligo di non rivendere questi dati, né di utilizzarli per scopi personali (come datamining, profilazione o attività di direct marketing).
In quali casi Socrate può accedere ai dati archiviati e utilizzati dal cliente nell'ambito dei nostri servizi?
- Socrate accede ai dati soltanto in due situazioni:
- ai fini dell'esecuzione dei servizi e in particolare per ottimizzare l'assistenza ai clienti nel momento in cui contattano il Supporto Socrate. In questo caso, gli accessi ai dati degli utenti rimangono controllati grazie ad autorizzazioni specifiche e particolari misure di controllo e sicurezza;
- per adempiere agli obblighi legali nel contesto di richieste giudiziarie e/o amministrative, rigorosamente controllate.
Quali sono gli impegni di Socrate sulla localizzazione dei dati?
- Quando un servizio consente al cliente di archiviare i dati. Socrate usufruisce di datacenter Telemar spa ubicati in Italia, con cui ha regolare contratto di fornitura. Telemar spa attua il seguente Regolamento del Trattamento dei Dati Personali: https://www.telemar.it/it/regolamento-dati-personali
Socrate come responsabile del trattamento dei dati
Socrate riveste il ruolo di "responsabile del trattamento dei dati" quando determina i mezzi e le finalità del "proprio" trattamento di dati personali.
È il caso in cui Socrate raccoglie i dati per fatturazione, miglioramento del servizio e delle prestazioni, operazioni di vendita, gestione commerciale, ecc.., ma anche quando Socrate tratta i dati personali dei propri dipendenti.
In questo caso, i "tuoi" dati ospitati sui servizi Socrate, non sono interessati, diversamente da alcune informazioni che riguardano te o i tuoi dipendenti (ad esempio informazioni relative a identità e coordinate del tuo contatto in Socrate nell'ambito di una richiesta di Supporto). Questo è il motivo per cui Socrate ci tiene a spiegare le garanzie messe in atto per assicurare la protezione di questi dati personali:
- limitare la raccolta dei dati a quelli strettamente necessari: così facendo, quando si ordina un servizio si inseriscono soltanto i dati richiesti da Socrate per fornire prestazioni relative alla fatturazione, all'assistenza o adempiere agli obblighi legali nell'ambito della conservazione dei dati;
- non utilizzare i dati personali per scopi diversi da quelli per cui sono stati originariamente raccolti;
- conservare i dati personali per un periodo limitato. Ad esempio, le pagine, gli scripts ed i databases che compongono un sito web, sono conservati dall'azienda per l'intera durata del contratto e i successivi 3 mesi. Alla fine di questo periodo, vengono definitivamente cancellati da tutti i supporti e backup. Sono esclusi dati che, per disposizioni imperativi di legge, saranno conservati secondo quanto prescritto;
- non trasferire questi dati a terzi che non facciano parte delle società collegate a Socrate che sono coinvolte nell'esecuzione del contratto;
- implementare adeguate misure tecniche e organizzative al fine di garantire un alto livello di sicurezza.
Socrate e la protezione dei dati personali
È essenziale distinguere tra la sicurezza dei dati ospitati dal cliente e la sicurezza delle infrastrutture che ospitano questi dati.
- Sicurezza dei dati ospitati dal cliente: il cliente è l'unico responsabile della sicurezza delle proprie risorse e dei sistemi applicativi implementati per l'utilizzo dei servizi. Socrate mette a disposizione degli strumenti per supportare il cliente nella protezione dei propri dati;
- Sicurezza delle infrastrutture: Socrate si impegna a garantire la massima sicurezza delle proprie infrastrutture, in particolare implementando una politica di sicurezza dei sistemi informativi e rispondendo alle esigenze di numerose leggi e certificazioni (ISO/IEC 27001 e ISO/IES 27018).
Sicurezza delle infrastrutture Socrate
Socrate adotta le misure necessarie per preservare la sicurezza e la riservatezza dei dati personali trattati, in particolare per impedire che vengano violati, danneggiati o che soggetti terzi non autorizzati vi accedano.
Socrate si impegna in particolare a implementare:
- misure di sicurezza fisica per impedire a persone non autorizzate di accedere alle infrastrutture sulle quali sono archiviati i dati del cliente;
- un sistema fisico e/o logico per mantenere separati i clienti tra di loro (a seconda dei servizi);
- forti processi di autenticazione per utenti e amministratori grazie a una severa politica di gestione delle password e all'implementazione di alcune misure di doppia autenticazione;
- processi e dispositivi per tracciare tutte le azioni eseguite sul proprio sistema informativo e, in conformità con le norme vigenti, segnalare eventuali incidenti che riguardino i dati dei clienti.
I dati personali forniti dall’utente tramite form sono raccolti e trattati per le seguenti finalità:
- per lo svolgimento delle attività di relazione con il cliente in base agli accordi contrattuali
- per finalità amministrative e per l’adempimento di obblighi di legge quali ad esempio quelli di natura contabile, fiscale, o per dar corso a richieste dell’autorità giudiziaria;
- nel caso di invio di curriculum vitae, esclusivamente per finalità di selezione.
La base giuridica che legittima il trattamento è l’esecuzione di un contratto di cui l’interessato è parte o l’esecuzione di misure precontrattuali adottate su richiesta dello stesso. Nei casi espressamente indicati la base giuridica è il consenso liberamente fornito dall’interessato.
Natura del conferimento
A parte quanto precedentemente specificato, il conferimento dei dati:
rispetto alle finalità di cui ai punti 1) e 2) è facoltativo ma l’eventuale rifiuto comporterà l’impossibilità per Socrate di dar corso agli impegni contrattuali assunti. rispetto alle finalità di cui al punto 3) è anche esso facoltativo e il loro utilizzo è condizionato al rilascio di un esplicito consenso.
Esercitare i propri diritti relativi ai dati personali
Qualsiasi richiesta di esercitare i propri diritti conferiti dal Regolamento (UE) 2016/679 relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, può essere effettuata tramite mail all'indirizzo [email protected]