+39 0342921292 | info@studiogival.it | Via XXV Aprile 2 - 23038 Valdidentro (SO)
Area Riservata |

Policy “Adempimenti Privacy”

1) Scopo e campo di applicazione

Scopo della presente policy è descrivere i principi e criteri generali a cui si deve ispirare l’azienda in materia di privacy nonché le modalità gestionali ed operative relative agli adempimenti connessi alla tutela dei dati personali a cui devono attenersi tutti coloro che a vario titolo possono essere coinvolti in trattamenti di dati personali.

Principio fondamentale a cui la società GIVAL S.R.L. (di seguito anche “la società”) intende attenersi in tutte le proprie attività è il rispetto, completo, sin dall’origine e di default, dei criteri di tutela del trattamento dei dati personali relativi sia a tutto il personale e sia dei soggetti terzi che a vario titolo possono interagire con la Società, secondo quanto previsto dalla normativa vigente in materia di privacy. La società si è riproposta pertanto di adottare quelle misure, normative, organizzative e tecniche, che appaiano idonee ad assicurare, tenuto conto del contesto in cui la società opera, la compliance alle norme nazionali e comunitarie.

Ai fini del corretto espletamento degli adempimenti richiesti dal Regolamento UE 2016/679 “Regolamento generale sulla protezione dei dati” (di seguito anche “GDPR” o “Regolamento”) ha predisposto un modello organizzativo che prevede il coinvolgimento dei seguenti soggetti:

il Titolare del trattamento, in persona del legale rappresentante della società, cui compete la responsabilità delle scelte e delle decisioni relative alle misure da attuare per garantire la conformità alla normativa nonché la responsabilità del controllo sulla loro efficacia e sul loro rispetto da parte degli operatori;

il Referente interno, dipendente della società a cui sono affidati i compiti: di curare sotto il profilo operativo l’attuazione ed il rispetto di tutti i principi, le norme e le disposizioni che sono state ritenute dal Titolare parte integrante di questa policy e del modello organizzativo interno; di verificare nel continuo che le istruzioni impartite dal Titolare siano conosciute, comprese ed eseguite; di relazionare al Titolare in merito al livello di conformità con la normativa privacy, evidenziando eventuali criticità o necessità di intervento;

gli Autorizzati al trattamento, ossia le persone fisiche incaricate per iscritto dal Titolare di compiere le operazioni di trattamento e che operano sotto la sua diretta autorità, attenendosi alle istruzioni agli stessi impartite;

i Responsabili del trattamento, che sono coloro (persona fisica o giuridica, autorità pubblica, servizio o altro organismo) che trattano dati personali per conto del titolare del trattamento: la società, anche attraverso appositi contratti con gli outsourcer, nominati responsabili del trattamento, garantisce che i dati personali oggetto di trattamento siano dai medesimi trattati in conformità a quanto previsto dal Regolamento e dalla normativa nazionale.

2) Contenuto

Si precisa che nella presente policy per le definizioni si fa riferimento a quelle riportate all’art. 4 del Regolamento.

Nomina degli Autorizzati

La società, con apposite lettere di designazione, ha nominato quali “Autorizzati” al trattamento dei dati personali della Società stessa, i propri dipendenti.

Agli Autorizzati sono state fornite istruzioni generali sul trattamento dei dati personali, che attengono ai seguenti principi:

  • i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
  • raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
  • adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (principio di minimizzazione);
  • esatti e, se necessario, aggiornati;
  • conservati in una forma che consenta l’identificazione dell’interessato per un arco di tempo necessario non superiore al conseguimento delle finalità per le quali sono trattati;
  • trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita o distruzione.

Sono state inoltre impartite ulteriori specifiche disposizioni:

  • dovere di procedere ad una classificazione dei dati, al fine di distinguere quelli “particolari” e “giudiziari”, per garantire la sicurezza dei quali occorrono maggiori cautele, rispetto a quanto è previsto per i dati di natura comune;
  • obbligo di custodire con cura i documenti (cartacei e/o digitali) contenenti dati personali, non consentendone l’accesso o la disponibilità a soggetti non autorizzati, provvedendo all’archiviazione osservando metodi sicuri (in armadi chiusi per i cartacei, per i digitali secondo le migliori procedure adottate in azienda atte a proteggere i sistemi informativi e i data base), vigilando anche sui supporti rimuovibili contenenti dati personali;
  • divieto di procedere alla comunicazione di dati a terzi se non per l’espletamento delle specifiche mansioni attribuite e comunque dietro apposita autorizzazione, garantendo il proprio impegno alla riservatezza in forza di specifici obblighi legali o contrattuali;
  • obbligo di segnalare immediatamente al Titolare del trattamento la violazione di dati personali di cui si sia venuti a conoscenza o di cui si abbia il sospetto;
  • dovere di aggiornarsi e di seguire con diligenza e consapevolezza le sessioni di formazione ed informazione stabilite dal Titolare sulla normativa in materia, sulle misure di sicurezza e sui rischi esistenti.

Coloro che sono preposti alla custodia dei dati personali dei lavoratori, sono stati specificamente incaricati di tale trattamento, dopo essere stati edotti delle peculiari cautele da adottare nel trattamento dei dati personali, anche di natura particolare, dei dipendenti.

In dettaglio il Titolare del trattamento ha disposto che:

  • i dati di natura “sensibile” dei lavoratori devono essere conservati separatamente da ogni altro dato personale dell’interessato, anche nel caso del fascicolo personale cartaceo;
  • gli incaricati sono stati richiamati alla scrupolosa osservanza del segreto d’ufficio;
  • devono essere attuate modalità di trasmissione elettronica di dati personali dei lavoratori tali da assicurare che gli stessi non possano essere acquisiti o riprodotti da soggetti non autorizzati (es: invio delle buste paga da parte del consulente del lavoro con file apribile con password);
  • le comunicazioni personali riferibili esclusivamente a singoli lavoratori devono essere trasmesse con modalità che escludano che terzi ne vengano a conoscenza.

Le lettere di designazione degli autorizzati vengono raccolte in modo ordinato e periodicamente, con cadenza almeno annuale, si procede a verificare l’ambito dei dati cui gli incaricati sono autorizzati ad accedere e dei trattamenti che sono autorizzati a porre in essere, per valutare la sussistenza delle condizioni che giustificano tali autorizzazioni. In caso di modifica della struttura organizzativa o di ampliamenti dell’organico vengono analizzate le posizioni al fine di individuare quelle che comportano trattamenti di dati personali e se del caso si effettuano nuove nomine di incaricato.

Nomina dei Responsabili del trattamento

La società ha provveduto alla nomina, ai sensi dell’art. 28 del Regolamento UE 2016/679, dei Responsabili del trattamento, individuando come tali quei soggetti “esterni”, siano essi società o imprese individuali, che prestano servizi alla società GIVAL S.R.L. e che, in ragione della particolare natura e caratteristiche del servizio prestato, trattano dati personali per conto del Titolare del trattamento. A tale scopo è stato predisposto un format di nomina, secondo le prescrizioni del Regolamento, da utilizzarsi per tutti i soggetti che, ad esito della verifica circa la loro idoneità a garantire in modo sufficiente la conformità del loro sistema organizzativo e informatico alle previsioni del GDPR, dovessero essere considerati Responsabili del trattamento. La nomina deve essere accettata dal Responsabile per costituire un valido atto giuridico.

I nominativi dei Responsabili del trattamento dei dati, quali individuati e nominati alla data dell’approvazione della policy, sono stati inseriti in un apposito elenco da aggiornare di volta in volta, conservato e a disposizione degli interessati presso la sede della società

Informativa agli interessati

Ai sensi dell’art. 13 del Regolamento UE 2016/679, i soggetti ai quali la società in relazione allo svolgimento dell’attività tipica, deve rendere l’informativa sono i seguenti:

  • i dipendenti, i collaboratori e i candidati all’assunzione;
  • i clienti persone fisiche o le persone fisiche all’interno di clienti persone giuridiche con cui si hanno contatti e di cui si trattano dati personali;
  • i fornitori persone fisiche o loro dipendenti di cui si trattano i dati.

I testi delle informative, diverse in relazione alle differenti finalità del trattamento per le quali i dati sono raccolti, sono stati predisposti con l’ausilio di un consulente e verranno modificati, su disposizione del Titolare del trattamento, qualora mutassero le finalità della raccolta.

In relazione alle caratteristiche dell’attività della società, che ha i primi contatti con i propri clienti generalmente via e-mail, poiché l’obbligo di rendere l’informativa deve essere assolto al momento della raccolta dei dati degli interessati, è stata predisposta un’informativa sintetica, da apporre quale seguito necessario della firma nelle mail degli incaricati, che rinvia all’informativa completa messa a disposizione degli interessati.

Qualora venisse avanzata richiesta di avere via mail il testo dell’informativa, gli incaricati sono tenuti a provvedere immediatamente. A consulenti e fornitori, qualora non fossero già intercorse comunicazioni mail, l’informativa è resa al momento della stipula del contratto di fornitura di beni o servizi.

Ai dipendenti e collaboratori l’informativa è fornita all’atto dell’assunzione, ai candidati al primo colloquio di lavoro.

Il soggetto che raccoglie dati dall’interessato è tenuto a verificare scrupolosamente la corrispondenza dei dati forniti da quest’ultimo con quelli eventualmente già registrati negli archivi della società e a provvedere al loro tempestivo aggiornamento in caso di modifiche intervenute.

Qualora i dati personali degli interessati non siano stati acquisti direttamente presso gli stessi, ma presso soggetti terzi, occorrerà inviare, al più tardi entro 30 giorni dall’acquisizione dei dati, l’informativa integrata con i dati ulteriori richiesti dall’art. 14 del GDPR (art. 14 lettera f) la fonte da cui hanno origine i dati personali).

Conservazione dei dati

I dati personali saranno conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti.

I dati che devono essere archiviati per obbligo di legge verranno cancellati soltanto successivamente al termine previsto dalla normativa di riferimento.

I dati relativi a contratti o rapporti di lavoro vengono conservati per un periodo di 10 anni successivo alla fine del contratto o del rapporto, in relazione alle norme di legge in tema di prescrizione, per consentire al Titolare la difesa dei propri diritti.

Per quanto concerne i restanti dati, come a titolo esemplificativo ma non esaustivo, i curricula dei candidati all’assunzione, vengono cancellati nel termine di 12 mesi dalla data di inizio del trattamento.

Diritti dell’interessato

Ai sensi dell’art. 12 del Regolamento la società deve porre in atto misure volte ad agevolare l’esercizio dei diritti di cui agli articoli da 15 a 22 da parte dell’interessato, e quindi del diritto di accesso, di rettifica, diritto alla cancellazione, alla limitazione del trattamento, alla portabilità del dato, diritto di opposizione, diritto di non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato.

Pertanto l’interessato può proporre le relative istanze senza formalità al Titolare del trattamento, anche per il tramite degli incaricati del trattamento. La richiesta può essere inoltrata dall’interessato mediante lettera raccomandata o posta elettronica.

Il Titolare del trattamento deve fornire all’interessato le informazioni in merito alla richiesta entro un mese dal ricevimento della richiesta stessa o, se ne ricorrono le circostanze, nel maggior termine previsto dall’art. 12, comma 3 del Regolamento. Pertanto chiunque riceva la richiesta deve immediatamente informare il Referente interno il quale provvede ad istruire la pratica ed il riscontro all’interessato. Qualora manchino uno o più elementi nella richiesta contatta l’interessato (per iscritto o telefonicamente), al fine di completarla e renderla ammissibile. Se del caso individua l’eventuale competente Responsabile incaricato del trattamento e chiede la sua assistenza ai sensi di quanto previsto nell’atto di nomina a Responsabile.

Il Referente dà seguito alle richieste dall’interessato e predispone apposita risposta in cui è confermato l’accoglimento dell’istanza ed il tipo di operazioni effettuate sui dati personali. La lettera è sottoposta alla firma del Titolare del Trattamento o inviata tramite PEC.

Se non ottempera alla richiesta dell’interessato, la società informa l’interessato, tramite raccomandata con ricevuta di ritorno o PEC, dei motivi sottostanti all’inottemperanza nonché della possibilità per l’interessato di proporre reclamo al Garante oppure avanti l’autorità giudiziaria.

Misure di sicurezza

Protezione di aree e locali. I locali in cui sono conservati i dati personali trattati sono accessibili solo ai soggetti che vi svolgono stabilmente l’attività lavorativa. L’eventuale accesso di terzi (clienti, fornitori, personale che svolge interventi di manutenzione, ecc.) avviene sempre durante l’orario di apertura degli uffici e sotto il controllo diretto di uno degli incaricati. Le porte di accesso delle stanze delle postazioni di lavoro, sono dotati di serrature. Le chiavi di stanze e contenitori chiusi vengono idoneamente custodite.

Gli uffici sono dotati di estintori regolarmente controllati, al fine di contrastare inizi di incendi.

Utilizzo dei Personal Computer Il Personal Computer a cui possono avere accesso i soci è uno strumento di lavoro. Ogni utilizzo non inerente all’attività lavorativa può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza.

L’accesso al PC è protetto da password che deve essere custodita dall’incaricato con la massima diligenza e non divulgata. L’incaricato ha l’obbligo di non lasciare incustodito e accessibile lo strumento elettronico, durante una sessione di trattamento, neppure in ipotesi di breve assenza. Non è consentito installare autonomamente programmi provenienti dall’esterno salvo previa autorizzazione del Titolare, in quanto sussiste il grave pericolo di apportare virus informatici e di alterare la stabilità delle applicazioni dell’elaboratore. Non è consentito l’uso di programmi diversi da quelli distribuiti ed installati ufficialmente dall’azienda. L’inosservanza di questa disposizione, infatti, oltre ad esporre la società al rischio di gravi responsabilità civili ed anche penali in caso di violazione della normativa a tutela dei diritti d’autore sul software (D. Lgs. 518/92 sulla tutela giuridica del software e L. 248/2000 nuove norme di tutela del diritto d’autore) può causare danneggiamenti del sistema per incompatibilità con il software esistente.

Ogni utente deve prestare la massima attenzione ai supporti di origine esterna, avvertendo immediatamente il Referente interno nel caso in cui vengano rilevati virus, in quanto potrebbero causare la perdita o distruzione o alterazione di dati personali.

Nell’ipotesi di interventi di manutenzione o di riparazione dell’elaboratore in dotazione, come la sostituzione del disco fisso, i dati stessi devono essere preventivamente cancellati dall’utente in modo che risulti tecnicamente impossibile il recupero dei dati stessi.

Autenticazione informatica e gestione delle password. Non è ammesso che due o più incaricati possano accedere agli strumenti elettronici utilizzando le medesime credenziali. E’ inoltre prevista la disattivazione delle credenziali di autenticazione: immediatamente, nel caso in cui l’incaricato perda la posizione che gli consentiva di accedere allo strumento; in ogni caso di lunga assenza, entro sei mesi di mancato utilizzo. Le password di ingresso alla rete, di accesso ai programmi e dello screen saver, sono previste ed attribuite dall’amministratore di sistema. È necessario procedere alla modifica della password a cura dell’incaricato del trattamento al primo utilizzo e, successivamente, almeno ogni tre mesi. Le password sono composte da almeno otto caratteri, non contengono la user-id, e soddisfano almeno 3 di queste condizioni: contenere almeno un carattere maiuscolo; contenere almeno un carattere minuscolo; contenere almeno un numero; contenere almeno un carattere speciale. Gli incaricati nell’elaborazione delle password devono seguire l’accorgimento che le stesse non contengano riferimenti agevolmente riconducibili all’utente medesimo.

Utilizzo Cellulare Il cellulare aziendale è uno strumento di lavoro. Ogni utilizzo non inerente all’attività lavorativa può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza.

L’accesso al cellulare è protetto tramite sistema biometrico e da codice di accesso che deve essere custodito dall’incaricato con la massima diligenza e non divulgato. L’incaricato ha l’obbligo di non lasciare incustodito e accessibile lo strumento elettronico, durante una sessione di trattamento, neppure in ipotesi di breve assenza

Credenziali di autorizzazione. In relazione alle limitate dimensioni della struttura del titolare, tenuto conto che solo il Titolare ha accesso ai PC non sono stati previsti profili di autorizzazione distinti.

Protezione di server e computer e Backup dei dati. E’ previsto un sistema di backup del PC su supporto esterno al fine di garantire la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico.

Sono presenti sistemi di protezione che garantiscono la continuità lavorativa (Business Continuity) in caso di interruzione dell’energia elettrica (UPS).

Formazione

Sono considerati necessari interventi formativi degli incaricati del trattamento, finalizzati a renderli edotti dei seguenti aspetti: 1) profili della disciplina sulla protezione dei dati personali, che appaiono più rilevanti per l’attività svolta dagli incaricati, e delle conseguenti responsabilità che ne derivano; 2) rischi che incombono sui dati; 3) misure disponibili per prevenire eventi dannosi; 4) conoscenza delle misure di sicurezza adottate dal Titolare.

La società programma corsi periodici di formazione per il personale, differenziati in relazione anche all’ambito di trattamenti per i quali i dipendenti sono nominati incaricati, ai quali le risorse sono tenute a partecipare. Tali interventi formativi sono previsti in particolare:

  • al momento dell’ingresso in servizio o della nomina ad incaricato del trattamento;
  • in occasione di cambiamenti di mansioni, che implichino modifiche rilevanti rispetto al trattamento di dati personali;
  • in occasione della introduzione di nuovi significativi strumenti, che implichino modifiche rilevanti nel trattamento di dati personali.

Data Breach

Ai sensi dell’articolo 33 del Regolamento, la società deve porre in essere precisi adempimenti nel caso in cui vi sia una violazione dei dati personali dalla stessa trattati.

La normativa prevede che il Titolare del trattamento, una volta venuto a conoscenza di una violazione di dati personali oggetto di trattamento, deve tempestivamente e ove possibile entro 72 ore, informare il Garante della privacy, attraverso l’invio di una raccomandata con ricevuta di ritorno o un messaggio di posta elettronica certificata, della violazione avvenuta.

La comunicazione inviata deve contenere almeno le informazioni previste dall’art. 33, comma 3 e quindi:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati, se nominato, o di altro punto di contatto presso cui ottenere più informazioni;
  • descrivere le probabili conseguenze della violazione dei dati personali;
  • descrivere le misure adottate o di cui si propone l’adozione da parte del Titolare per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare possibili effetti negativi.

Pertanto, chiunque all’interno della società abbia notizia o anche solo il sospetto che vi sia stata una violazione di dati personali deve immediatamente informare il Referente interno, il quale provvede ad indire una riunione a cui vengono invitati a partecipare, oltre al Referente interno, il legale rappresentante della società il consulente IT, il soggetto che ha riscontrato la violazione, l’eventuale diverso incaricato nella cui area di competenza si è verificato il fatto, l’eventuale Responsabile del trattamento che, in ragione del trattamento di dati personali effettuati per conto del Titolare, abbia informazioni a riguardo.

 

Assunte tutte le informazioni necessarie, e valutata la situazione quale risultante dall’analisi svolta, di cui viene redatto sintetico verbale, il Titolare del trattamento decide se si debba inoltrare la notifica al Garante privacy, tenuto conto che ai sensi dell’art. 33, comma 1, l’obbligo di non inoltrare la notifica al Garante privacy sussiste qualora “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.

Qualora il Titolare ritenga che la violazione possa comportare gravi rischi per i diritti e le libertà delle persone fisiche, oltre a disporre la notifica al Garante Privacy deve altresì comunicare, senza ingiustificato ritardo, la violazione all’interessato, in conformità alle disposizioni dell’art. 34 del Regolamento, che prevede anche i casi di esenzione.

Le eventuali notifiche e comunicazioni intercorse devono essere appositamente archiviate a cura del Referente interno. Inoltre lo stesso, ha il compito di documentare e archiviare in un apposito registro qualsiasi violazione dei dati personali (anche se non hanno dato origine a nessuna notifica) indicando le relative circostanze, le sue conseguenze e i provvedimenti adottati per porvi rimedio.

Valutazione d’impatto sulla protezione dei dati

Ai sensi dell’articolo 35 del Regolamento, la società, qualora un tipo di trattamento “allorché prevede in particolare l’uso di nuove tecnologie, considerata la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” prima di poter effettuare il trattamento dei dati, deve effettuare una valutazione d’impatto sulla protezione dei dati (DPIA). Pertanto in occasione di ogni nuovo trattamento, il Titolare del trattamento, effettua le sue valutazioni secondo questo schema.

Laddove ritenuta necessaria la DPIA dovrà essere effettuata dal Titolare del trattamento e, se l’esito della valutazione d’impatto sulla protezione dei dati dovesse fare emergere un rischio elevato, in assenza di misure adottate dalla società per attenuare tale rischio, allora il Titolare del trattamento consulta il Garante della Privacy, fornendo le informazioni di cui all’art. 36, comma 3, del GDPR. In caso di risposta positiva da parte del Garante il Titolare del trattamento procede ad autorizzare il trattamento dei dati. In caso di parere negativo, invece, si astiene dal trattamento o pone in essere gli accorgimenti o le misure richieste dal Garante stesso.

Registro delle attività di trattamento

La società, pur non trovandosi in una delle condizioni che lo rendono obbligatorio, ha deciso di istituire ai sensi dell’articolo 30 del Regolamento un Registro dei trattamenti. Tale registro viene tenuto in forma scritta, in formato elettronico. Il Referente interno è responsabile dalla corretta tenuta e alimentazione del registro secondo le disposizioni contenute all’articolo 30, comma 1, del Regolamento.

In particolare nel registro andranno inserite almeno le seguenti informazioni:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie personali di dati;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 del GDPR, la documentazione delle garanzie adeguate;
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1, del GDPR.

Il registro deve essere alimentato: 1) al momento della sua instaurazione; 2) alla eventuale variazione dei campi del registro; 3) alla definizione di nuove tipologie di trattamento.

Presidi da attuare in occasione di eventuali ispezioni, verifiche o accertamenti.

Nel caso in cui la società sia oggetto di ispezione, di verifica o di richiesta di accertamento da parte del Garante della Privacy, si specificano, quali ulteriori e specifici presidi di controllo, le seguenti modalità:

  • il soggetto incaricato di intrattenere rapporti con il Garante della Privacy o suoi delegati è il Titolare del trattamento dei dati, in persona del legale rappresentante della società, il quale può farsi supportare dal Referente interno, ed eventualmente anche da un consulente esterno;
  • deve essere fornita da parte di tutta la struttura aziendale la massima e trasparente collaborazione agli ispettori e deve essere tenuta evidenza degli incontri avvenuti con il Garante o con suoi delegati, delle richieste dagli stessi ricevute e della documentazione consegnata;

Il presente documento viene sottoscritto dal Titolare del trattamento, GIVAL S.R.L., in persona del legale rappresentante in carica e conservato in originale presso la sede della società medesima, unitamente alle nomine con istruzioni firmate per accettazione dai destinatari, per essere esibito in caso di controlli.

Alla presente policy saranno via via uniti i documenti che costituiscono e/o costituiranno in futuro integrazione ed aggiornamento del presente atto, necessari a dimostrare la conformità alle norme e, inoltre, per garantire la protezione dei dati sin dalla fase di ideazione e progettazione di un trattamento, in un’ottica di rispetto dei principi di “privacy by design” e “privacy by default”, e per assicurare che, attraverso un monitoraggio puntuale, le disposizioni interne siano sempre adeguate alle norme in vigore e/o ai cambiamenti nell’organizzazione della Società o della sua operatività.

Una copia della presente policy potrà essere consegnata:

  • ai responsabili esterni del trattamento dei dati personali
  • a chiunque ne faccia richiesta, in relazione all’instaurarsi di un rapporto che implichi un trattamento congiunto di dati personali.

Data
20/12/2018

Timbro e Firma