Salta al contenuto principale

Privacy Policy

Regolamento aziendale in materia di protezione e trattamento dei dati personali

Regolamento Ue 2016/679: GDPR (General Data Protection Regulation)

Ultimo aggiornamento: 25 giugno 2020

 

1. Premessa

1.1 Oggetto

Il presente Regolamento disciplina principi generali, ruoli e responsabilità in materia di protezione e trattamento dei dati personali in conformità con la normativa in materia vigente.

 

2. Principi Generali

2.1 Modello di Governance

Il Gruppo adotta un modello di Governance per la protezione e il trattamento dei dati personali che prevede la definizione di ruoli e responsabilità, di misure organizzative e tecniche, e di meccanismi volti a garantire il rispetto dei principi di protezione e trattamento dei dati personali by design e by default commisurati alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento, in un’ottica di gestione del rischio e di tutela dei diritti e delle libertà delle persone fisiche da esso interessate.

 

3. Ruoli e Responsabilità

3.1 Titolare del trattamento dei dati personali

Titolare del trattamento dei dati personali è il Legale Rappresentante di ciascuna Società del Gruppo, senza facoltà di delega. Gli obblighi del Titolare del trattamento sono disciplinati all’art. 24 del Regolamento Ue 2016/679.

3.2 Incaricati al Trattamento dei dati

Gli Incaricati al trattamento dei dati personali dal Titolare sono i soggetti che all’interno della Società trattano, per lo svolgimento delle proprie funzioni, i predetti dati.

L’Incaricato effettua le attività di Trattamento dei dati personali nel rispetto delle misure organizzative e tecniche definite dal Titolare, attenendosi alla normativa aziendale.

3.3 Responsabile del Trattamento

Quando un trattamento debba essere effettuato per conto del Titolare del trattamento, quest’ultimo ricorre a Responsabili del trattamento (interni o esterni) che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del presente Regolamento e garantisca la tutela dei diritti dell’interessato.

La Capogruppo ha proceduto alla nomina dei Responsabili interni ed esterni. La designazione è avvenuta attraverso la sottoscrizione di apposito contratto contenente gli elementi espressamente previsti dalla normativa. Tale nomina è prevista anche per i Responsabili interni ed esterni delle altre Società del Gruppo.

I Responsabili esterni ed interni, sottoscrivendo tale atto giuridico, risultano vincolati al Titolare del trattamento e sono tenuti a garantire l’osservanza di tutti gli elementi dal medesimo individuati.

Non essendovi obbligo in tal senso, non è stato ritenuto necessario nominare un Data Protection Officer (DPO) né per Epta S.p.A., né per le altre Società del Gruppo.

3.4 Società appartenenti al Gruppo

Le diverse funzioni aziendali delle Società del Gruppo sono responsabili, ciascuna secondo le proprie competenze e nell’ambito delle rispettive realtà, della corretta applicazione del presente Regolamento e della normativa cui esso si riferisce, e di favorirne l’integrazione nell’ambito dei controlli di Gruppo.

3.5 Altri adempimenti e aspetti specifici

3.5.1 Registri delle attività di trattamento

Ogni Società del Gruppo è tenuta alla predisposizione e all’aggiornamento dei rispettivi Registri delle attività di trattamento.

3.5.2 Adempimenti in materia di videosorveglianza

Per ragioni di prevenzione, sicurezza organizzativa e tutela del patrimonio aziendale, il Titolare ha presidiato alcuni locali con un sistema di videosorveglianza.

3.6 Valutazione del rischio e Valutazione d’impatto sulla protezione dei dati personali

3.6.1 Valutazione del rischio

Il Titolare, nel valutare la congruità delle misure adottate per garantire un adeguato livello di sicurezza per la protezione dei dati personali, tiene principalmente conto dei rischi presentati dal trattamento che derivano in particolare dalla possibile distruzione, perdita, alterazione, divulgazione non autorizzata o accesso, accidentale o illegale, ai dati personali conservati, trasmessi, o comunque trattati.

3.6.2  Valutazione d’impatto del trattamento sulla protezione dei dati personali (DPIA)

Prima di procedere al trattamento il Titolare effettua, come previsto dall’articolo 35 del Regolamento Ue 2016/679, una valutazione d’impatto (DPIA) allo scopo di determinare la necessità e la proporzionalità dei trattamenti previsti, ed i rischi da questi derivanti sulle libertà e i diritti degli interessati; ed al fine di approntare misure idonee ad affrontarli.

Una DPIA può riguardare un singolo trattamento, oppure più trattamenti che presentino analogie in termini di natura, ambito, contesto, finalità e rischi.

3.7 Misure di Protezione e Sicurezza

Il Titolare adotta e coordina misure che garantiscono la sicurezza e la tutela di tutti i dati oggetto di trattamento aziendale, sia da un punto di vista logico che fisico.

3.8 Minima conservazione dei dati e cancellazione dei dati

I dati personali sono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

A tal fine, il Titolare individua specifici criteri per le tempistiche di conservazione dei dati personali, parametrati sulla base degli obblighi di legge e sulla scorta delle specifiche esigenze organizzative.

3.9 Violazione dei dati personali (Data Breach)

Il Titolare adotta misure organizzative, di protezione e sicurezza atte a garantire il processo di rilevazione e gestione di una violazione dei dati che comporti accidentalmente o in modo illecito la distruzione, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso ai dati personali dell’interessato conservati, trasmessi, o comunque trattati.

Il Titolare del trattamento notificherà tempestivamente la violazione all’Autorità di Controllo competente e, nel caso in cui si evidenzi la necessità, al/ai soggetti interessati.

Nel caso di Responsabili esterni, questi ultimi garantiscono la segnalazione al Titolare, senza ingiustificato ritardo, di ogni incidente e violazione dei dati personali.

Tutti i dipendenti sono tenuti a segnalare tempestivamente i casi di violazione dei dati personali all’indirizzo di posta elettronica compliance@eptarefrigeration.com 

3.10 Diritti degli Interessati

Le modalità per l’esercizio dei propri diritti da parte degli interessati sono stabilite, in via generale, negli artt. 11 e 12 del Regolamento Ue 2016/679.

Il Titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, così come prescritto dagli artt. 15-22 del Regolamenti Ue 2016/679, adottando ogni misura a ciò idonea; in ciò supportato dal Responsabile, come previsto dall’art. 28, par. 3, lett. e) del Regolamento Ue 2016/679.

3.11 Informative e Consensi ai Trattamenti

3.11.1 Informative

Il Titolare è tenuto a informare preventivamente per iscritto l’interessato o la persona presso la quale i dati sono raccolti circa l’identità e i dati di contatto del Titolare del trattamento e, ove applicabile, del suo Responsabile; e le finalità del trattamento cui sono destinati i dati personali, nonché la base giuridica del trattamento.

3.11.2 Consenso

Il consenso dell’interessato è acquisito nel rispetto della legge in materia di protezione e trattamento dati personali.

3.12 Attività di formazione

Il Titolare assicura l’adeguata formazione del proprio personale.

 

Informativa fornitori

Informativa clienti