GDPR
Introduzione
Complexity Intelligence Italia S.r.l. riconosce il valore dei vostri dati e della vostra privacy. Per questo motivo, si impegna costantemente nella loro tutela e protezione, offrendo sempre la massima sicurezza e riservatezza.A tal riguardo, aderisce con soddisfazione al Regolamento Generale sulla Protezione dei Dati, anche noto come GDPR, e si impegna ad adottare tutte le misure necessarie per garantire la conformità della propria piattaforma e del proprio portafoglio di prodotti/servizi a tale regolamento.
Cos’è il GDPR ?
Il GDPR, acronimo di General Data Protection Regulation, è un regolamento europeo che sostituisce la direttiva 95/46/CE in materia di protezione dei dati delle persone fisiche e che troverà applicazione a decorrere dal 25 Maggio 2018.I suoi obiettivi?
- Rafforzare la sicurezza e la protezione dei dati personali all’interno dell’Unione Europea;
- Armonizzare le norme sul trattamento dei dati personali in tutta l'Unione;
- Assicurare un livello di protezione e sicurezza dei dati personali equivalente in tutti gli stati membri dell' UE e in tutti quei Paesi terzi, al di fuori dell’Unione, verso cui i dati di cittadini e residenti europei vengono trasferiti, al fine di consentire una loro libera e sicura circolazione.
Cosa si intende per dati personali ?
Per dato personale si intende qualsiasi informazione che identifica o rende identificabile una persona fisica, fornendo dettagli sulle sue caratteristiche fisiche, psichiche, sulle sue opinioni politiche, religiose, sulle sue preferenze, hobby, passioni, sulle sue relazioni e i suoi rapporti, sulla sua situazione economica, finanziaria …I dati personali possono classificarsi in:
- Dati identificativi: fanno parte di questa categoria quei dati che consentono l’identificazione di una persona (es. nome e cognome, numero di telefono, data di nascita, indirizzo di residenza, numero della carta di identità …). Sebbene alcuni di questi dati presi singolarmente (es. data di nascita, indirizzo, nome e cognome) non permettano di identificare una singola persona in maniera univoca; tuttavia, la loro combinazione può consentire di raggiungere l’obiettivo.
- Dati particolari: fanno parte di questa categoria quei dati particolarmente sensibili che possono rivelare l’origine razziale ed etnica di un individuo; le sue convinzioni religiose o filosofiche; le sue opinioni politiche, le sue adesioni a partiti e sindacati, associazioni politiche e religiose; il suo stato di salute e la sua vita sessuale (art. 9 GDPR). Data la particolare natura di questi dati, il loro trattamento è consentito solamente con il consenso esplicito dell’interessato, ad eccezione dei casi elencati nell’art. 9.
- Dati giudiziari: fanno parte di questa categoria quei dati che possono rivelare l’esistenza di provvedimenti giudiziari in capo all’interessato. Pertanto il loro trattamento deve avvenire sotto il controllo dell’autorità pubblica.
I principi del trattamento dei dati personali
È opportuno assicurarsi sempre che il trattamento dei dati personali avvenga nel rispetto dei principi di liceità, correttezza e trasparenza.- LICEITA’: il trattamento è lecito se la persona fisica ha espresso il suo consenso al trattamento dei dati personali per una o più finalità; se il trattamento è necessario all’esecuzione di un contratto; per adempiere a un obbligo di legge; per la salvaguardia degli interessi vitali della persona fisica; per l’esecuzione di un compito di interesse pubblico; per il perseguimento di un legittimo interesse (più in dettaglio art. 6 GDPR).
- CORRETTEZZA: in caso di richiesta di consenso al trattamento dei dati personali, il consenso deve essere: Dimostrabile; Distinguibile se sottoscritto per più finalità; Liberamente prestato; Revocabile in qualsiasi momento.
- TRASPARENZA: tutte le informazioni, comunicazioni e modalità relative al trattamento dei dati personali devono essere fornite in forma concisa, trasparente e facilmente comprensibile, adottando un linguaggio semplice e chiaro.
Chi sono i principali soggetti interessati ?
I soggetti chiave nel GDPR sono:- L’ interessato: persona fisica identificata e identificabile attraverso i propri dati personali;
- Il titolare del trattamento (Data Controller): persona fisica, giuridica (società, imprese, enti, associazioni …), autorità che definisce le finalità e le modalità del trattamento dei dati personali;
- Il responsabile del trattamento (Data Processor): persona fisica, giuridica (società, imprese, enti, associazioni …), autorità autorizzata dal titolare del trattamento a processare e trattare, per suo conto, i dati personali dell’interessato.
Le misure che stiamo adottando per garantire la protezione e sicurezza dei vostri dati
Come azienda che opera nel settore ICT, Complexity Intelligence Italia S.r.l., attraverso la sua piattaforma DataKnowl e attraverso lo sviluppo di nuovi prodotti/servizi, gestisce con la massima sicurezza e serietà i vostri dati. La piattaforma DataKnowl è progettata seguendo gli standard di sicurezza più elevati, adottando tutti gli strumenti tecnologici e procedure operative per garantire la massima sicurezza, secondo la filosofia “by design and by default”.Con riferimento al GDPR, abbiamo individuato le seguenti aree su cui intervenire:
1. CONTROLLO DEGLI ACCESSI: l’accesso ai dati è consentito esclusivamente a persone dello staff o a sistemi automatici autorizzati ed esclusivamente per scopi legati al lavoro. Le persone dello staff autorizzate all’accesso ai dati sono vincolate, tramite contratto, alla massima segretezza e riservatezza. L’accesso è inoltre limitato ad alcune operazioni, in modo da operare una separazione degli accessi e delle relative responsabilità;
2. CONSERVAZIONE DEI DATI: tutti i dati sono conservati per un periodo di tempo limitato e strettamente necessario per lo scopo del trattamento e/o erogazione del servizio, a meno che un tempo maggiore di conservazione non sia stabilito da obblighi di legge. I dati sono memorizzati presso data center dotati delle seguenti certificazioni: ISO 27001, PCI DSS 3.2, ISO 27017, ISO 27018.
3. CANCELLAZIONE DEI DATI: Su richiesta, e se non sussistono obblighi di legge per la conservazione, è possibile procedere alla cancellazione dei dati secondo le modalità previste dal GDPR.
4. CIFRATURA: l’accesso alla piattaforma DataKnowl da parte degli utenti (mediante relativo account) avviene tramite protocollo sicuro HTTPS. I dati in transito tra il browser dell’utente e i server sono pertanto criptati. Complexity Intelligence Italia S.r.l. utilizza funzioni di hash crittografico per proteggere i dati di accesso. In caso di violazione della sicurezza, la password originale non può essere recuperata dai nostri server. Utilizziamo Privacy Shield Framework UE-USA (Scudo UE-USA per la Privacy). Aderiamo ai principi della protezione per la privacy, in merito alla raccolta, uso e conservazione delle informazioni personali trasferite dall’UE agli USA.
5. AUDIT & LOG: Complexity Intelligence Italia S.r.l. utilizza soluzioni di logging, monitoraggio ed auditing continuo di tutte le componenti della piattaforma DataKnowl, ai fini di garantire la massima sicurezza ed efficienza. Attraverso tali strumenti e procedure operative, Complexity Intelligence Italia S.r.l. è in grado di rilevare attività anomale, fino ad eventuali accessi non autorizzati ai dati (“data breach”). In questo caso, Complexity Intelligence Italia s.r.l. darà pronta notifica secondo le modalità e le tempistiche definite nel GDPR.
Versione: ITA20180228
Questo documento è una frutto di una libera interpretazione delle norme sancite nel GDPR. Il contenuto del presente documento non costituisce un parere legale. In attesa di eventuali e ulteriori informazioni/comunicazioni in merito all’applicazione del nuovo regolamento in materia di protezione dei dati personali, non si escludono successive modifiche e integrazioni.
