INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

Informativa resa ai sensi degli articoli 13-14 del GDPR (General Data Protection Regulation) 2016/679

TITOLARE DEL TRATTAMENTO è la scrivente SEAL, Associazione Sindacale avente sede a Roma (00187, Italia), in Via Sicilia 50, contattabile ai seguenti recapiti: telefono 02345678, e-mail sindacatoseal@gmail.com, pec sindacatoseac@sicurezzapostale.it;

RESPONSABILE DELLA PROTEZIONE DEI DATI è il DPO (Data Protection Officer) SEAL, domiciliato presso la sede aziendale in Via Sicilia 50, e contattabile ai recapiti: telefono 02345678, e-mail dpo@seal.it

2- DATI TRATTATI, FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO

2.1. I sistemi informatici e i software preposti al funzionamento del sito istituzionale SEAL (www.sindacatoseal.it) acquisiscono alcuni dati personali che sono implicita conseguenza dell’uso dei protocolli di informazione in Internet (a titolo di esempio i nomi di dominio e gli indirizzi IP). Tali dati non sono accompagnati da informazioni personali aggiuntive e sono utilizzati per ricavare informazioni statistiche anonime sull’uso del sito, per controllare le modalità di utilizzo dello stesso e per accertare eventuali responsabilità in caso di reati informatici. La base giuridica che legittima il trattamento di tali dati è la necessità di rendere utilizzabili le funzionalità del sito aziendale in conseguenza dell’accesso dell’Utente.

2.2. I dati forniti volontariamente dall’Utente sono invece quelli necessari al Titolare per fornire i servizi disponibili e sono trattati in modo lecito e secondo correttezza, inoltre sono raccolti e registrati per gli scopi determinati, espliciti e legittimi più avanti indicati e sono utilizzati in operazioni di trattamento che non sono incompatibili con tali scopi.

I dati personali (dati personali identificativi quali, ad esempio: nome e cognome, ragione sociale, codice fiscale e partita IVA, indirizzo, telefono / fax, e-mail, riferimenti bancari e di pagamento) sono raccolti e trattati:

a) per svolgere le attività di relazione con il cliente in base agli accordi precontrattuali e contrattuali;

b) per finalità amministrative, fiscali o contabili interne connesse al rapporto cliente-fornitore e per adempiere agli obblighi in genere previsti a carico del Titolare da leggi o da regolamenti, dalla normativa comunitaria, da richieste dell’Autorità giudiziaria oppure per esercitare i diritti del Titolare (ad esempio il diritto di difesa in giudizio);

c) in presenza di specifico distinto consenso dell’Utente, per le seguenti finalità di marketing: inviare (via e-mail, posta, sms o contatto telefonico) newsletter, aggiornamenti sulle attività del Titolare, materiale pubblicitario o comunicazioni commerciali – eventualmente anche personalizzate sulla base delle abitudini di consumo dell’Utente (profilazione) – su prodotti o servizi offerti dal Titolare che l’Utente potrà ritenere di Suo interesse e per rilevare il grado di soddisfazione sulla qualità dei servizi, comprese richieste di partecipazione ad analisi o ricerche di mercato;

d) in presenza di specifico distinto consenso dell’Utente, per le seguenti finalità di marketing: inviare (via e-mail, posta, sms o contatto telefonico) newsletter, aggiornamenti, materiale pubblicitario o comunicazioni commerciali – eventualmente anche personalizzate sulla base delle abitudini di consumo dell’Utente (profilazione) – su prodotti o servizi offerti da soggetti terzi quali, ad esempio, business partners o altre società del Gruppo SEAL;

e) nel caso di invio di curriculum vitae, esclusivamente per finalità di selezione del personale e per l’instaurazione di un rapporto di lavoro.

La base giuridica che legittima il trattamento dei dati di cui ai punti “a” (accordi precontrattuali e contrattuali) e “b” (finalità amministrative, contabili o fiscali) è l’esecuzione di un contratto di fornitura di servizi di cui l’Utente è parte, oppure lo svolgimento di attività precontrattuale su richiesta dell’Utente.

Nei casi espressamente indicati ai punti “c” (marketing e profilazione), “d” (marketing e profilazione da parte di terzi) ed “e” (curriculum vitae) la base giuridica è il consenso liberamente prestato dall’Utente.

2.3. Ai sensi degli artt. 9 e 10 del GDPR l’Utente può conferire al Titolare dati qualificabili come “categorie particolari di dati personali” (ovvero quei dati che rivelano “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale…dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”). Tali categorie di dati potranno essere trattate dal Titolare solo previo consenso dell’Utente, manifestato in forma scritta firmando tale Informativa, per esigenze contrattuali e connessi adempimenti di obblighi legali e fiscali e per esigenze di selezione del personale.

MODALITÀ DEL TRATTAMENTO

Il trattamento dei dati personali dell’Utente è realizzato per mezzo delle operazioni di: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modifica, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati.

I dati personali dell’Utente sono raccolti a seguito di invio diretto al Titolare, tramite compilazione di form o di moduli in genere a tal fine predisposti, anche inseriti in documenti contrattuali, oppure raccolti telefonicamente dall’operatore nell’ambito delle attività precontrattuali. I dati vengono trattati sia mediante elaborazioni manuali in formato cartaceo che con strumenti elettronici o comunque automatizzati, informatici e telematici. I dati raccolti vengono registrati e conservati dal Titolare in archivi informatici e cartacei, nonché custoditi e controllati in modo tale da ridurre al minimo i rischi di distruzione o di perdita anche accidentale, di accesso non autorizzato e di trattamento non consentito o non conforme alle finalità della raccolta.

I dati sono trattati da personale dipendente o da collaboratori del Titolare, debitamente istruiti in tal senso.

NATURA DELLA COMUNICAZIONE DEI DATI

Il conferimento dei dati personali relativi al trattamento ha natura facoltativa. Tuttavia il mancato conferimento, parziale o totale, dei dati può comportare la parziale o totale impossibilità di instaurare o di proseguire il rapporto con l’Utente, nei limiti in cui tali dati siano necessari all’esecuzione dello stesso.

Il conferimento dei dati per le finalità di marketing è anch’esso facoltativo. L’Utente può quindi decidere di non conferire alcun dato o di negare successivamente la possibilità di trattare dati già forniti: in tal caso non potrà ricevere newsletter, comunicazioni commerciali e materiale pubblicitario in genere inerente ai servizi offerti dal Titolare.

DESTINATARI O EVENTUALI CATEGORIE DI DESTINATARI DEI DATI PERSONALI

Il trattamento dei dati dell’Utente è effettuato da personale interno del Titolare (dipendenti, collaboratori, Amministratori di Sistema), individuato e autorizzato al trattamento secondo istruzioni che vengono impartite nel rispetto della normativa vigente in materia di privacy e di sicurezza dei dati.

Qualora ciò sia necessario per le finalità elencate all’articolo 2, i dati personali dell’Utente potranno essere trattati da terzi nominati quali Responsabili del trattamento (ai sensi dell’articolo 28 del GDPR) oppure Titolari “autonomi”, e precisamente:

  1. dalle Società del Gruppo SEAL per le finalità di cui all’articolo 2.2. lettera “d”;
  2. da professionisti, società, associazioni o studi professionali che prestino al Titolare assistenza o consulenza per finalità amministrative, contabili, fiscali, ovvero di tutela legale o selezione del personale;
  3. da tutti gli Istituti Pubblici stabiliti dalla legge e più in generale da tutti gli Enti previsti dalla vigente normativa in materia contabile e fiscale come destinatari di comunicazioni obbligatorie;
  4. da istituti bancari per gli incassi e i pagamenti nonché da eventuali professionisti – in forma singola, associata o societaria – per servizi di analisi e ricerche di mercato, per la gestione dei pagamenti tramite carte di credito o strumenti di pagamento elettronico in genere, corrieri postali, per l’eventuale recupero crediti o per le attività di certificazione del bilancio del Titolare.

L’elenco aggiornato dei Responsabili e degli Incaricati al trattamento è custodito presso la sede legale del Titolare.

In ogni caso, i dati personali dell’Utente non sono soggetti a diffusione.

TRASFERIMENTO DEI DATI AD UN PAESE TERZO O ORGANIZZAZIONI INTERNAZIONALI

Nell’ambito della gestione del rapporto contrattuale non è previsto alcun trasferimento dei dati dell’Utente verso Paesi terzi extra UE né verso organizzazioni internazionali.

PERIODO DI CONSERVAZIONE DEI DATI PERSONALI OVVERO CRITERI UTILIZZATI PER DETERMINARE TALE PERIODO

Per le finalità di cui alle lettere “a” (accordi precontrattuali e contrattuali) e “b” (gestione adempimenti amministrativi, contabili o fiscali) dell’articolo 2.2. i dati personali dell’Utente saranno trattati e conservati dal Titolare per l’intera durata del rapporto contrattuale tra l’Utente e il Titolare e, al termine dello stesso per qualsivoglia ragione, saranno conservati per il tempo previsto – per ciascuna categoria di dati – dalla vigente normativa in materia contabile, fiscale, civilistica e processuale.

Per le finalità di cui alle lettere “c” (marketing e profilazione) e “d” (marketing e profilazione da parte di terzi) i dati personali dell’Utente saranno trattati e conservati dal Titolare fino a revoca del consenso da parte dell’Utente oppure fino all’esercizio, da parte dell’Utente, del diritto di opposizione al trattamento o di quello di cancellazione dei dati personali.

Per le finalità di cui alle lettere “e” (curricula vitae) i dati personali dell’Utente potranno essere trattati e conservati dal Titolare per un tempo massimo di 12 mesi dalla data di ricezione.

DIRITTI DELL’UTENTE

Nella Sua qualità di Interessato ed in relazione ai trattamenti descritti nella presente Informativa, l’Utente ha i diritti di cui agli articoli 7, da 15 a 21 e 77 del GDPR e, in particolare, il:

• diritto di accesso – articolo 15 GDPR: diritto di ottenere conferma che sia o meno in corso un trattamento di dati personali che riguardano l’Utente e, in tal caso, ottenere l’accesso a tali dati personali, compresa una copia degli stessi;

• diritto di rettifica – articolo 16 GDPR: diritto di ottenere, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che riguardano l’Utente e/o l’integrazione dei dati personali incompleti;

• diritto alla cancellazione (diritto all’oblio) – articolo 17 GDPR: diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati personali che riguardano l’Utente;

• diritto di limitazione di trattamento – articolo 18 GDPR: diritto di ottenere la limitazione del trattamento, quando: l’Interessato contesta l’esattezza dei dati personali, per il periodo necessario al Titolare per verificare l’esattezza di tali dati; il trattamento è illecito e l’Interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo; i dati personali sono necessari all’Interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; l’Interessato si è opposto al trattamento ai sensi dell’art. 21 GDPR, nel periodo di attesa della verifica in merito all’eventuale prevalenza di motivi legittimi del Titolare del trattamento rispetto a quelli dell’Interessato;

• diritto alla portabilità dei dati – articolo 20 GDPR: diritto di ricevere, in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i dati personali che riguardano l’Utente forniti al Titolare e il diritto di trasmetterli a un altro Titolare senza impedimenti, qualora il trattamento si basi sul consenso e sia effettuato con mezzi automatizzati. Inoltre, il diritto di ottenere che i dati personali dell’Utente siano trasmessi direttamente ad altro Titolare qualora ciò sia tecnicamente fattibile;

• diritto di opposizione – articolo 21 GDPR: diritto di opporsi, in qualsiasi momento per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che riguardano l’Utente basati sulla condizione di liceità del legittimo interesse o dell’esecuzione di un compito di interesse pubblico o dell’esercizio di pubblici poteri, compresa la profilazione, salvo che sussistano motivi legittimi per il Titolare di continuare il trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’Interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. Inoltre, il diritto di opporsi in qualsiasi momento al trattamento qualora i dati personali siano trattati per finalità di marketing diretto, compresa la profilazione, nella misura in cui sia connessa a tale marketing diretto;

• diritto di revoca – articolo 7 GDPR: l’Utente ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca;

• diritto di reclamo – articolo 77 GDPR: l’Utente ha il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali, Piazza di Montecitorio 121, 00186, Roma (RM).

MODALITÀ DI ESERCIZIO DEI DIRITTI

L’Utente potrà in qualsiasi momento esercitare i propri diritti inviando una raccomandata a.r. a:

Sindacato SEAL –Via Sicilia 50 – 00187 Roma (RM) oppure una pec all’indirizzo sindacatoseac@sicurezzapostale.it

Per l’esercizio dei diritti come indicati nella presente Informativa nonché per ricevere qualsiasi informazione relativa agli stessi, l’Utente potrà contattare il Titolare o il DPO che, anche tramite le strutture designate, provvederanno a prendere in carico la richiesta e a fornire all’Utente, senza ingiustificato ritardo e comunque, al più tardi, entro un mese dal ricevimento della stessa, le informazioni relative all’azione intrapresa riguardo alla richiesta.

L’esercizio dei diritti da parte dell’Utente è gratuito ai sensi dell’articolo 12 GDPR. Tuttavia, nel caso di richieste manifestamente infondate o eccessive, anche per la loro ripetitività, il Titolare potrebbe addebitare all’Utente un contributo spese ragionevole, alla luce dei costi amministrativi sostenuti per gestire la sua richiesta, o negare la soddisfazione della sua richiesta.

PRIVACY COMPLIANCE LIST

TOPICS

I dati di backup sono mantenuti in una location differente rispetto ai dati copiati NO
Il backup è effettuato con frequenza predeterminata SI
È stato definito un piano di Disaster Recovery SI
I backup vengono criptati prima del trasporto fisico esterno NO
Le utenze dei dipendenti che lasciano la società sono disattivate in modo permanente SI
È stato definito un processo – e formalizzata la relativa procedura – per gestire le attività di identity e access management (es. creazione utenza, profilazione, variazione di mansione, dismissione utenza) SI
Gli accessi all’applicativo degli amministratori di sistema (logon / logoff) sono tracciati SI
Le utenze sono automaticamente disabilitate dopo 180 giorni di inattività SI
La profilatura è basata sul principio di autorizzazione minima (tutto cio che non è espressamente concesso è vietato) SI
Le attività di creazione, modifica, cancellazione dei profili e delle abilitazioni di sicurezza sono effettuate solo da personale autorizzato SI
Sono previste matrici formalizzate per l’assegnazione di profili standard sull’applicazione SI
Gli accessi all’applicativo (logon / logoff) sono tracciati NO
La sessione applicativa si blocca automaticamente a seguito di un periodo temporale di inattività SI
Il controllo accessi è basato su una politica che correla l’accesso alle informazioni alle effettive esigenze lavorative (principio need to know) SI
Il sistema di controllo accessi utilizza canali sicuri, adeguatamente protetti (es. https) SI
È presente una limitazione al numero di tentativi di accesso non andati a buon fine SI
Le credenziali per l’accesso al sistema sono archiviate in maniera adeguatamente protetta (es. cifratura delle password di dominio) SI
È attribuito ad ogni utente un codice identificativo individuale, univoco e non riassegnabile ad altre persone anche in tempi differenti SI
La lunghezza minima ammessa delle password è di almeno 8 caratteri SI
Esiste una procedura per la distribuzione sicura agli utenti delle password di accesso (es. invio delle password all’interno di buste sigillate, comunicazione delle stesse tramite un canale diverso da quello utilizzato per la comunicazione dell’utenza, ecc.) SI
L’utente è obbligato a cambiare la password temporanea fornita per il primo accesso al sistema SI
Le password sono soggette ad una scadenza almeno bimestrale SI
È prevista una procedura che impedisce l’utilizzo di password già utilizzate in precedenza SI
Sono previsti controlli atti a garantire la robustezza delle password applicative SI
I dati personali in ambiente extra produzione sono mascherati o pseudonimizzati NO
Sono promosse attività di analisi sulla correttezza dei profili applicativi al fine di assicurare che questi siano in linea con le mansioni e i ruoli previsti (design dei profili coerente) SI
Sono promosse attività di revisione periodica dei diritti di accesso ai dati (assegnazione dei profili coerente) SI
Le attività di revisione dei profili e dei diritti di accesso sono effettuate mediante strumenti automatizzati (es. sistemi IAG) NO
È presente un numero strettamente necessario di utenti aventi livelli di autorità speciali (amministratori / power users) SI
Le utenze amministrative sono rivalidate periodicamente in termini di corretta assegnazione e profilatura SI
Gli ambienti di sviluppo e test sono separati dall’ambiente di produzione SI
Sono adottate le politiche previste per lo sviluppo sicuro del software (es. secure coding guidelines, politiche e procedure, ecc.) SI
È garantito che i rilasci software e le change, prima di andare in produzione, vengano opportunamente verificati da tester diversi dagli sviluppatori. SI
Le attività di sviluppo e di change prevedono una valutazione degli impatti privacy SI
Sono effettuate con cadenza periodica attività di vulnerability assessment e/o penetration test SI
Sono adottate misure di sicurezza fisica per l’accesso agli edifici (es. accesso con chiavi, badge, tornelli, ecc.) SI
L’accesso fisico alla sala server è autorizzato sulla base di una procedura di richiesta di autorizzazione. SI
È predisposto e aggiornato periodicamente l’elenco degli Amministratori di Sistema con le relative responsabilità e i compiti assegnati SI
La nomina ad Amministratore di Sistema è individuale e reca l’elencazione analitica degli ambiti di operatività consentiti e delle responsabilità in base al profilo assegnato SI
Sono adottate procedure volte a impedire la duplicazione di supporti contenenti dati personali (es. cifratura, chiusura porte USB, ecc.) SI
I sistemi informativi interni all’organizzazione sono catalogati sulla base delle informazioni contenute negli stessi (classificazione delle dati personali) NO
Alla fine del loro ciclo di vita, gli asset IT utilizzati per l’elaborazione dei dati sono dismessi tramite clearing (sovrascrittura) NO
Alla fine del loro ciclo di vita, gli asset utilizzati per l’elaborazione dei dati sono dismessi tramite purging (cancellazione logica sicura dei dati) NO
Alla fine del loro ciclo di vita, gli asset/infrastrutture utilizzate per l’elaborazione dei dati sono dismessi tramite distruzione fisica sicura e certificata SI
Sono previste e attuate attività di formazione sui temi di sicurezza e privacy nei confronti degli Autorizzati SI
La società prevede la fornitura di istruzioni sulle modalità trattamento dei dati personali verso un fornitore esterno a cui delega il trattamento dei dati personali stessi. SI
Sono attuate procedure di monitoraggio / riesame dei fornitori nominati responsabili esterni in accordo con una pianificazione formalizzata SI
Sono state definite opportune informative adeguate e conformi (es. espresse in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, espresse in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro) per lo specifico trattamento da fornire all’interessato SI
Vi sono controlli che limitano l’installazione di software proibiiti NO
Vi è una politica che definisce i principi e le linee guida in materia di privacy. Tale politica è pubblicata nell’intranet aziendale (o in altro luogo accessibile dai dipendenti) e resa accessibile a tutti gli utenti SI
È definita e implementata una procedura per la conservazione dei dati che specifica i tempi di conservazione degli stessi per un tempo non superiore alle finalità per le quali i dati sono stati raccolti e le modalità per rendelri anonimi e non riconducibili al soggetto interessato una volt ascaduti i termini SI
È definita e implementata una procedura per la gestione dei diritti dell’interessato SI
I sistemi sono configurati in modo tale che, per impostazione predefinita, siano visibili e accessibili da parte degli incaricati al trattamento solo i dati personali necessari per ogni specifica finalità del trattamento (c.d. principio di “privacy by default”) NO
La società ha definito una procedura e dei template specifici che consentano di valutare gli impatti privacy (c.d. principio di “privacy by design”) SI
Le procedure di Change Management prevedono una valutazione degli impatti privacy (c.d. principio di “privacy by design”) SI
Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, dei dati, degli atti e dei documenti contenenti dati personali SI
È stata definita una procedura per la gestione e archiviazione della documentazione cartacea SI
I locali che contengono gli armadi e i cassetti sono regolarmente chiusi (almeno con una serratura tradizionale) SI
Gli armadi che contengono dati sensibili e/o giudiziari sono protetti con misure di sicurezza più stringenti (es. armadi ignifughi) SI
Sono presenti sistemi di rilevazione fumo nei locali che ospitano gli archivi cartacei SI
La documentazione cartacea viene codificata e inventariata al fine di rendere possibile l’identificazione univoca dei documenti SI
A livello organizzativo, sono individuate le aree responsabili della gestione degli aspetti relativi alla privacy (es. uffici / strutture preposte, personale dedicato, ecc.) SI
La società si è dotata di telecamere perimetrali che consentano di monitorare l’accesso alle sedi SI
Sono installati sistemi di allarme anti-instrusione per la protezione del perimetro nella sede contenenti archivi cartacei SI
I sistemi di allarme e di video-sorveglianza sono collegati con una centrale operativa costantemente monitorata SI
Sono previsti adeguati impianti manuali di estinzione incendio (locali tecnici) SI
La manutenzione delle apparecchiature degli impianti di sicurezza è eseguita solo dal personale autorizzato e secondo le specifiche dei fornitori SI
Il sistema di rilevazione degli incendi viene monitorato e controllato 24 ore su 24 SI
Sono valutate adeguate misure per il rischio sismico in relazione alle Mappe di rischio pubblicate dalle Autorità competenti relativamente alla sala CED SI
Le vulnerabilità delle risorse (es. sistemi, locali, dispositivi) sono identificate e valutate SI
E’ definito un processo di gestione degli incidenti che consenta di rilevare, registrare, gestire e chiudere eventuali incidenti di sicurezza informatica SI
Nel contratto sono indicati gli SLA con cui i provider informano il titolare nel caso di data breach e questi sono accettabili SI
Le attività di recupero condotte a seguito di un incidente sono comunicate alle parti interessate interne ed esterne all’organizzazione SI
La sala server è protetta da adeguate misure di sicurezza (es. è munita di porte ignifughe – antisfondamento, finestre ignifughe – antifurto, sistemi di rilevamento di fumo, sistemi di allarme, sistemi di controllo accessi e videocamere) SI
La rete utilizzata è segmentata SI
Sono previste soluzioni antivirus constantemente aggiornate SI
Sono garantite comunicazioni sicure secondo le best practices attuali, compreso l’uso di HTTPS, SSL e certificati EV (Extended Validation Certificate) SI
È prevista la cifratura dei dati contenuti nei dispositivi di archiviazione SI
È prevista la cifratura dei dati at rest (es. a livello di disco o di database) NO
L’uso dei supporti di memorizzazione removibili è governato da apposite politiche e/o procedure aziendali NO
Esiste una procedura per la configurazione specifica di sistemi e dei suoi componenti SI
È attuato un processo di monitoraggio periodico per identificare le patch da applicare SI
Le patch dei fornitori sono tempestivamente prese in carico e installate SI

L’ultima modifica alla presente Informativa sulla privacy è stata apportata in data 17.04.2019.