Il documento della Politica in materia di trattamento e protezione dei dati personali (di seguito “Policy”) viene redatto da Oikos Engineering S.r.l. (di seguito Oikos Engineering) per rappresentare l’applicazione delle regole e dei principi in ossequio a quanto stabilito dalla Normativa di riferimento (vedi Punto 2), per:

proteggere e salvaguardare i dati personali e confidenziali;
disciplinare il trattamento dei dati personali e confidenziali;
stabilire i principi di buona gestione per i dati personali e confidenziali;
garantire che tutti i trattamenti avvengano nel rispetto dei diritti, delle libertà fondamentali nonché della dignità delle persone fisiche;
assicurare la riservatezza delle informazioni riferite alla gestione del personale e dei collaboratori;
assicurare la riservatezza delle informazioni riferite ai clienti, ai fornitori e a tutti coloro che hanno rapporti con Oikos Engineering.

2. NORMATIVA DI RIFERIMENTO

Regolamento UE n. 679/2016 Regolamento Generale sulla Protezione dei dati (di seguito anche “Regolamento”);
Decreto Legislativo n. 196/2003 “Codice in materia di protezione dei dati personali” (di seguito “Codice Privacy”), dagli allegati al Codice così come modificati dalla Legge 25 ottobre 2017, n. 163 Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea - Legge di delegazione europea 2016-2017;
Decreto Legislativo 101/2018 di adeguamento della normativa nazionale
Provvedimenti, Linee Guida e Pareri emessi dall’Autorità Garante per la protezione dei dati personali (di seguito “Garante Privacy”), dal Comitato Europeo per la Protezione dei Dati e dal Garante Europeo della Protezione dei Dati (GEPD);
Norma ISO/IEC 27001:2022 - “Information security, cybersecurity and privacy protection - Information security management systems - Requirements”;
Norma ISO/IEC 27018:2019 “Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors”;
Norma UNI EN ISO 9001:2015 “Sistemi di Gestione per la Qualità – Requisiti”.

3. DEFINIZIONI

Ai fini di una agevole comprensione il documento della Policy, si riportano alcune delle definizioni contenute nell’art. 4 del GDPR:

“dato personale” anche definito come “Informazioni Personali Identificabili (PII)”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“Interessato”, anche definito come “PII Principal”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento ad un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
“trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
“limitazione di trattamento”: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro;
“profilazione”: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
“pseudonimizzazione”: il trattamento dei dati personali in modo tale che gli stessi non possano più essere attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive, purché le medesime siano conservate separatamente e soggette a misure tecniche e organizzative tali da assicurare che i dati non siano attribuiti ad una persona fisica identificata o identificabile;
“archivio”: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
“titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità ed i mezzi del trattamento dei dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri
“responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare;
“destinatario”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi (non sono considerati destinatari quelle autorità pubbliche che possono ricevere comunicazioni nell’ambito di una specifica indagine conformemente al diritto dell’Unione Europea);
“terzo”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali che operano sotto l'autorità diretta del titolare o del responsabile;
“consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
“violazione dei dati personali”: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
“autorità di controllo”: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’art. 51 GDPR;
“dati genetici”: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;
“dati biometrici”: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;
“dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

4. CAMPO DI APPLICAZIONE

La presente Policy si applica a tutti i dati personali di persone fisiche (tra cui, a titolo esemplificativo e non esaustivo, quelli afferenti a dati dei dipendenti, dei clienti, dei fornitori e dei soggetti terzi che operano in qualità di persona fisica) nonché a qualsiasi informazione di carattere personale o con le caratteristiche di dato personale ricevute da Partners Tecnici e Commerciali. Particolare riguardo viene riservato al trattamento delle informazioni personali identificabili (PII). Il documento si applica ai dati personali trattati da Oikos Engineering e ha lo scopo di garantire che il trattamento analogico, automatizzato o cartaceo di dati personali, effettuato da Oikos Engineering anche per il tramite di soggetti autorizzati ai sensi degli articoli 28 e 29 del GDPR, avvenga nel rispetto dei diritti, delle libertà fondamentali, nonché, della dignità delle persone, con particolare riferimento alla riservatezza e all’identità personale, secondo le disposizioni vigenti in materia di protezione dei dati e in materia di amministrazione digitale.

Oikos Engineering adotta tutte le misure occorrenti per facilitare l’esercizio dei diritti dell’interessato, così da assicurare il rispetto dei principi di liceità, correttezza e trasparenza nel trattamento dei dati personali e assicura l’adozione di adeguate e preventive misure di sicurezza, idonee a evitare situazioni di rischio e di non conformità o di alterazione dei dati.

5. ORGANIZZAZIONE PER LA PROTEZIONE E IL TRATTAMENTO DEI DATI PERSONALI

All’interno di Oikos Engineering sono individuati i ruoli e i compiti dei soggetti autorizzati a trattare i dati personali, attività consentita esclusivamente ai Designati, Incaricati/Soggetti autorizzati e Amministratori di Sistema.

Il trattamento effettuato da soggetti a ciò non preventivamente e formalmente autorizzati è illecito.

Oikos Engineering ha altresì nominato un Responsabile della Protezione dei Dati (Data Protection Officer - di seguito DPO) esterno, di comprovata esperienza e in possesso di competenze giuridiche e informatiche, di risk management e di analisi dei processi.

5.1 Titolare del trattamento dei dati personali

È considerato Titolare del trattamento ai sensi della presente Policy l’ente giuridico nel suo complesso, stante la sua autonomia decisionale in merito alle finalità e ai mezzi del trattamento dei dati personali degli Interessati. Il Titolare del trattamento è Oikos Engineering in persona del Legale Rappresentante. Oikos Engineering adotta tutte le misure tecniche e organizzative atte a garantire che il trattamento dei dati personali sia effettuato conformemente alla normativa vigente.

Oikos Engineering, tramite il supporto del DPO e del RSGI, nei casi previsti dalla legge, provvede a:

assolvere ogni obbligo di comunicazione, interpello o notificazione all’Autorità Garante per la Privacy;
cooperare, su richiesta, con l’Autorità Garante per la Privacy nell’esecuzione dei suoi compiti ai sensi dell’art. 31 GDPR;
richiedere a tale Autorità ogni necessaria autorizzazione al trattamento dei dati personali, ove necessaria;
adottare, per quanto di competenza, le misure necessarie a garantire la protezione dei dati personali, anche per quanto riguarda il processo di digitalizzazione;
mantenere aggiornato il Registro delle attività di trattamento effettuate all’interno di Oikos Engineering - in formato cartaceo o elettronico - svolte sotto la propria responsabilità, conformemente a quanto prescritto dall’art. 30 n. 1 del GDPR;
assicurare l’informazione e la formazione del personale sul tema della tutela della protezione dei dati personali;
nominare i Designati o gli Incaricati autorizzati impartendo loro le necessarie istruzioni per la corretta gestione e protezione dei dati personali.

Il Titolare del trattamento è tenuto a effettuare, nei confronti di tutti coloro che svolgono per suo conto attività di trattamento, le verifiche e i controlli atti a garantire il rispetto degli obblighi previsti dalle disposizioni vigenti in materia.

5.2 Incaricati/Soggetti autorizzati al trattamento

Ai sensi dell’art. 29 GDPR, il Titolare individua - con apposite nomine e quali persone autorizzate al trattamento medesimo - tutti i dipendenti, collaboratori e consulenti, che intervengono, in relazione all’esercizio delle rispettive mansioni e competenze, nell’esecuzione dei trattamenti.

Le persone “autorizzate al trattamento” dei dati personali agiscono, dunque, sotto l’autorità del Responsabile o del Titolare del trattamento. Pertanto, al fine della corretta gestione dei dati in trattamento, l’Incaricato Autorizzato dovrà:

trattare i dati in modo lecito e secondo correttezza e secondo le prescrizioni nel Regolamento UE 679/16 e nella normativa nazionale;
verificare che siano pertinenti, completi e non eccedenti le finalità per le quali sono stati raccolti o successivamente trattati, secondo le indicazioni ricevute dal Titolare; attenersi alle procedure operative e alle istruzioni di lavoro impartite dal Titolare.
non modificare i trattamenti esistenti o introdurre nuovi trattamenti senza esplicita autorizzazione del Titolare;
mantenere la massima riservatezza sui dati oggetto di trattamento;
osservare ai sensi dell'art. 32 del Regolamento UE 679/16 che il trattamento dei dati avvenga mediante l'adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio;
informare tempestivamente il Titolare in caso di incidenti o problematiche relative alla sicurezza dei dati trattati.

5.3 Responsabile esterno del trattamento

Per Responsabili esterni si intendono tutti i soggetti “non dipendenti” da Oikos Engineering, che effettuano trattamenti sulle banche dati dello stesso, per suo conto e nel suo interesse. I trattamenti effettuati da parte del Responsabile esterno del trattamento sono disciplinati, ai sensi dell’art. 28 GDPR, da un contratto o altro atto giuridico che individui la durata, la natura, la finalità del trattamento, il tipo di dati personali e le categorie degli interessati, le responsabilità affidate al Responsabile, gli obblighi e i diritti del Titolare. In particolare, il Responsabile, sebbene non in via esaustiva, avrà questi compiti e attribuzioni:

garantire che il trattamento dei dati personali di cui è Titolare del Trattamento la Società e di cui venga a conoscenza con l’attività svolta avvenga in conformità a quanto previsto dalla vigente normativa e dalle presenti istruzioni;
aggiornare periodicamente l’elenco dei trattamenti dei dati personali;
tenere il Registro delle attività di trattamento dei dati, come previsto da art. 30 del GDPR, in formato elettronico, di tutte le categorie di attività relative al trattamento svolte per conto della Società;
mettere in atto, ai sensi dell’art. 32 del GDPR, tutte le misure tecniche e organizzative necessarie a garantire un livello di sicurezza adeguato al rischio, tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento effettuato in esecuzione del Contratto;
provvedere affinché vengano rigorosamente adottate tutte le misure idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati trattati con l’attività di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità per le quali i dati sono stati raccolti;
verificare periodicamente lo stato di applicazione del Regolamento Europeo 2016/679, nonché la corretta applicazione, il buon funzionamento dei sistemi e, ai sensi dell’art.32 del GDPR, delle adeguate misure tecniche e organizzative adottate per la tutela dei dati personali e la conformità alle indicazioni dell’Autorità Garante e del Titolare del Trattamento;
tenere i dati personali, trattati in esecuzione del Contratto, separati rispetto a quelli eventualmente trattati per conto di altre terze parti applicando una segregazione fisica e logica, ove possibile;
garantire la stretta osservanza dell’incarico ricevuto, escludendo qualsiasi trattamento o utilizzo dei dati personali di titolarità della Società non coerente con gli specifici trattamenti svolti in adempimento del Contratto e le relative suddette finalità;
garantire la portabilità dei dati personali trattati in esecuzione del Contratto, ai sensi dell’art. 20 del GDPR, assicurando che gli stessi possano essere trasmessi in un formato strutturato, di uso comune e leggibile da qualsiasi dispositivo automatico;
assistere il Titolare del Trattamento per quanto concerne gli obblighi di notifica e ogni altra comunicazione verso il Garante, ove dovute;
tenendo conto della natura del trattamento, assistere il Titolare del Trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del Titolare del Trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III del Regolamento Europeo 2016/679;
mettere a disposizione del Titolare del Trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dalla normativa vigente in particolare l'adozione delle adeguate misure organizzative e di sicurezza ai sensi art. 32 del GDPR;
comunicare al Titolare del Trattamento qualsiasi variazione della situazione oggettiva o delle sue proprie caratteristiche soggettive, tali da compromettere il corretto espletamento dei compiti descritti nella presente;
provvedere alla nomina del/i proprio/i amministratore/i di sistema, in adempimento a quanto previsto dal provvedimento del Garante della Privacy del 27/11/2008, pubblicato in G.U. n. 300 del 24/12/2008, ove ne ricorrano i presupposti, curando, altresì, l’applicazione di tutte le ulteriori prescrizioni contenute nel suddetto provvedimento;
Informare il Titolare del Trattamento senza ingiustificato ritardo e comunque non oltre le 24 ore dal momento in cui ne è venuto a conoscenza (art. 33 del GDPR), eventuali violazioni dei dati personali (data breach) adottando, di concerto con lo stesso, nuove adeguate misure di sicurezza atte a circoscrivere gli effetti negativi dell’evento e a ripristinare la situazione precedente;
Predisporre e aggiornare un registro che dettagli, in caso di eventuali data breach, la natura delle violazioni, gli interessati coinvolti, le possibili conseguenze e le nuove misure di sicurezza implementate;
supportare il Titolare del Trattamento durante la stesura della valutazione dell'impatto (ove prevista) dei trattamenti stabiliti sulla protezione dei dati personali, nei casi in cui un tipo di trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
supportare il Titolare del Trattamento durante le fasi di consultazione con l'autorità di controllo, qualora la valutazione d'impatto sulla protezione dei dati indichi che il trattamento possa presentare un rischio elevato in assenza di misure adottate dal Titolare del Trattamento per attenuare il rischio;
ottemperare tempestivamente alle eventuali richieste inoltrate dal Titolare del Trattamento al fine di rendere conforme il trattamento dei dati posto in essere in esecuzione del Contratto, agli eventuali provvedimenti emessi dal Garante Privacy in materia di trattamento di dati personali;
avvertire prontamente la Oikos Engineering, entro tre (3) giorni lavorativi, in merito alle eventuali richieste degli interessati che dovessero pervenire al Titolare, inviando copia delle istanze ricevute all’indirizzo PEC: [email protected] e collaborare al fine di garantire il pieno esercizio da parte degli interessati di tutti i diritti previsti dagli articoli 12-21 del GDPR;
avvisare immediatamente, e comunque entro tre (3) giorni lavorativi, il Titolare del Trattamento di qualsiasi richiesta o comunicazione da parte dell’Autorità Garante o di quella Giudiziaria o di Pubblica Sicurezza eventualmente ricevuta, inviando copia delle istanze all’indirizzo PEC: [email protected] per concordare congiuntamente il riscontro.

5.4 Amministratori di Sistema

Oikos Engineering designa, tra gli autorizzati al trattamento dei dati personali, i propri Amministratori di sistema, con un apposito atto corredato di specifiche istruzioni operative, la cui copia viene conservata dal Titolare.

L'Amministratore di Sistema ha il compito di:

porre in atto le adeguate misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio con riferimento all'adeguatezza della sicurezza informatica dei sistemi informativi e informatici nel trattamento dei dati.
sovrintendere al sistema operativo e agli elaboratori e sistemi di base dati e di consentirne l'utilizzo.
classificare le banche dati e impostare/organizzare un sistema complessivo di trattamento dei dati delle operazioni richiamate dall'art. 4 comma 2 del Regolamento UE 679/16 che riguardi esclusivamente la sola registrazione (intesa come memorizzazione su dispositivi hardware) e la cancellazione;
attenersi alle Procedure / Istruzioni (previste nei sistemi di gestione certificati) per la tutela dei dati e del loro trattamento come stabilito dall'art. 22, 24, 25 e 32 del Regolamento UE 679/16 e dal Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008;
operare in stretta sinergia con il Titolare del trattamento;
predisporre sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte Sua (nella sua qualità di “amministratore di sistema”); tali registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni dovranno comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e dovranno essere conservate per un congruo periodo, non inferiore a sei mesi;
segnalare tempestivamente al Titolare del Trattamento eventuali violazioni o presunte irregolarità per la successiva segnalazione al Garante entro 72 ore (data breach);
stilare periodicamente, almeno su base annuale, una Relazione in merito alla sicurezza del trattamento informatico dei dati, segnalando eventuali punti di miglioramento con riguardo all'adeguatezza delle misure tecniche e organizzative ai sensi dell'art. 32 del GDPR.

5.5 Responsabile della Protezione dei Dati (DPO)

Il Responsabile della Protezione dei Dati (DPO) è un organo di Staff che opera in stretta collaborazione con il Titolare coordinando le attività volte a garantire la corretta osservanza della normativa vigente, nonché il documento della Policy. La sua responsabilità principale è quella di valutare e organizzare la gestione del trattamento di dati personali in azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. Secondo l’art. 39 del Regolamento europeo sulla protezione dei dati personali, i principali compiti del DPO sono:

informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
cooperare con l’autorità di controllo;
fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;
fungere da punto di contatto per entità esterne all’azienda (ad es. DPO di Clienti/fornitori, ecc.) per qualsiasi consultazione in merito al trattamento dei dati e alla privacy di Oikos Engineering.

Il DPO è anche l’Organo di Oikos Engineering designato a ricevere e gestire le segnalazioni di violazione o presunta violazione dei dati personali ed eventualmente a notificare la violazione al Garante (nel caso in cui Oikos Engineering sia Titolare del trattamento) o al Cliente Titolare del Trattamento (nel caso in cui Oikos Engineering sia stato nominato Responsabile esterno del trattamento) entro i termini stabiliti dal GDPR. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

6. POLITICA PER LA PROTEZIONE DEI DATI PERSONALI

6.1 Raccolta e trattamento delle informazioni

Oikos Engineering adotta le misure e le precauzioni per verificare che le informazioni contenenti dati personali siano pertinenti, accurate, complete e attuali come è necessario per gli scopi per i quali devono essere utilizzate.

I trattamenti di dati personali effettuati si conformano al principio di minimizzazione dei dati ai sensi dell’art. art. 5, co. 1, lett. c), del Regolamento in base al quale la raccolta e il successivo trattamento di dati personali avvengono in maniera da ridurre al minimo indispensabile l’utilizzo di dati personali identificativi degli Interessati.

Il trattamento deve essere attuato in modo da assicurare il rispetto dei diritti e della dignità dell’interessato.

Qualora alcune operazioni di trattamento, ovvero processi o fasi di processo, non necessitino la visualizzazione in chiaro di dati personali e identificativi degli Interessati, le medesime operazioni di trattamento devono essere effettuate mediante dati resi anonimi o, quantomeno, codificati.

Non possono essere utilizzati quei dati che, anche a seguito di verifica, risultino eccedenti o non pertinenti o non necessari, salvo che per l’eventuale conservazione, a norma di legge, dell’atto che li contiene.

I soggetti autorizzati delegati al trattamento sono tenuti a verificare periodicamente l’esattezza e l’aggiornamento dei dati personali, nonché la loro pertinenza, completezza, non eccedenza e necessità rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l’Interessato fornisce di propria iniziativa.

6.2 Registro dei trattamenti

Oikos Engineering individua, come elementi fondamentali delle politiche di protezione dei dati personali, l’analisi dei trattamenti e la distribuzione dei compiti e delle responsabilità attribuite a coloro che sono incaricati di trattare dati personali. Oikos Engineering tiene un Registro delle attività di trattamento dei dati personali di riferimento, costantemente aggiornato, che evidenzia i diversi livelli di responsabilità attribuiti nell’ambito del trattamento. In particolare, Oikos Engineering ha predisposto e mantiene aggiornato:

un Registro delle “attività di trattamento” svolte in quanto Titolare del trattamento
un Registro delle “categorie delle attività di trattamento” svolte in quanto Responsabile esterno del trattamento, formalmente incaricato dai Clienti Titolari del trattamento.

I Registri sono tenuti dal Titolare, dal DPO e dal RGSI, con uno specifico programma software, disponibile on-line e accessibile mediante credenziali di autenticazione, in possesso unicamente dal Titolare del trattamento, dal DPO e dal RGSI.

6.3 Informative

Oikos Engineering si adopera affinché tutte le operazioni di trattamento avvengano conformemente a quanto richiesto dall’art. 13 del Regolamento.

L’Informativa deve essere sempre resa agli interessati all’atto della raccolta dei dati, anche quando non è necessario richiedere il loro consenso al trattamento.

Per il rispetto di quanto indicato nell’Informativa devono essere adottati i seguenti principi:

non è consentito effettuare trattamenti di dati personali senza aver fornito preventivamente l’Informativa;
non è consentito effettuare trattamenti di dati personali per finalità diverse da quelle indicate nell’Informativa già resa agli interessati; ulteriori finalità possono essere integrate nell’Informativa previa condivisione con il Titolare;
non è consentita la comunicazione dei dati alle categorie dei soggetti terzi diverse da quelle indicate nell’Informativa. Eventuali ulteriori categorie di soggetti ritenute necessarie ai fini del trattamento dei dati possono essere inserite nell’Informativa previa condivisione con il Titolare.

Oikos Engineering si impegna affinché sia previsto un aggiornamento periodico e/o una review delle varie informative sia cartacee (i.e. informativa dipendenti, informativi clienti, informativi fornitori, etc.) sia elettroniche (i.e. informative siti web).

6.4 Scelta e consenso

Oikos Engineering s’impegna a rispettare l’obbligo di raccolta del consenso come stabilito dagli artt. 6 e 7 del Regolamento.

6.5 Trasferimento di dati personali

Oikos Engineering s’impegna ad adottare le misure necessarie per garantire che i trasferimenti di dati personali siano conformi con la normativa applicabile anche nel caso in cui questo dovesse avvenire da parte di soggetti terzi che agiscono in qualità di sub-appaltatori.

6.6 Integrità dei dati

Oikos Engineering, ai sensi dell’art. 5 del Regolamento, effettua i trattamenti di dati personali adeguando il loro operato ai seguenti criteri generali:

ciascun trattamento deve avvenire in modo lecito, trasparente e secondo correttezza;
i dati trattatati devono essere raccolti e registrati per scopi determinati, espliciti e legittimi, e utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;
i dati trattati devono essere esatti e, se necessario, aggiornati;
i dati trattati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
i dati trattati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
i dati devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («disponibilità, integrità e riservatezza»).

6.7 Sicurezza dei dati

Oikos Engineering s’impegna ad adottare, nei limiti del possibile, le misure di sicurezza necessarie e adeguate affinché i dati e le informazioni personali siano protetti da perdita, uso improprio, accesso non autorizzato, divulgazione, alterazione o distruzione oltre che le ragionevoli verifiche affinché tali misure risultino costantemente aggiornate.

In base a quanto disposto dagli articoli 24 e 32 del Regolamento, Oikos Engineering ha adottato un programma di sicurezza che prevede l’adozione di misure in linea con i seguenti principi:

garantire che siano trattati i dati personali per impostazione predefinita necessari per ogni specifica finalità del trattamento (Security e Privacy by Default - art. 25 GDPR);
attuare in modo efficace i principi di protezione dei dati e integrare nel trattamento fin dalla progettazione le necessarie garanzie al fine di tutelare i diritti degli interessati (Security e Privacy by Design - art. 25 GDPR);
assicurare, in caso di violazione dei dati personali, la comunicazione verso gli interessati e il Garante Privacy nei modi e nei tempi del Regolamento;
effettuare per quei trattamenti che presentano rischi elevati per i diritti e la libertà degli interessati la valutazione d’impatto nei modi e nei tempi previsti dal Regolamento;
garantire adeguata formazione specialistica sulle tematiche di sicurezza IT;
adottare misure tecniche, organizzative e di sicurezza adeguate, nonché adeguati meccanismi di controllo della costante conformità di tali misure nel tempo e ne dispone il costante aggiornamento (Accountability - Art. 5 GDPR);
documenta le attività svolte per garantire che i trattamenti siano effettuati in conformità alla normativa applicabile e tiene tale documentazione a disposizione per eventuali accessi del Garante (Accountability - Art. 5 GDPR).

Ciò premesso, e in aggiunta a quanto precede, Oikos Engineering si impegna a trattare i dati personali solo qualora siano implementati i presidi di seguito descritti, gestiti con il Sistema di Gestione per la Sicurezza delle Informazioni di Oikos Engineering, secondo quanto previsto dalla Norma ISO/IEC 27001:2022.

6.7.1 Sistemi di autenticazione informatica

Oikos Engineering adotta credenziali di autenticazione che consistono in un codice per l’identificazione dell’utente (UserID) associato a una parola chiave riservata conosciuta solamente dal medesimo (password). A ogni utente sono assegnate e associate individualmente una o più credenziali per l’autenticazione.

6.7.2 Segretezza e custodia delle credenziali di autenticazione

Oikos Engineering invita gli utenti a conservare con la massima riservatezza le proprie credenziali di autenticazione e a non condividerle con altri utenti. Tutti gli utenti sono responsabili del corretto e lecito utilizzo delle di credenziali di autenticazione assegnate.

6.7.3 Password

Oikos Engineering utilizza password composte almeno da un numero di caratteri non inferiore da quello richiesto, volta per volta, per legge e con caratteristiche tali da rendere difficoltoso l’eventuale tentativo di individuazione.

La password è modificata con cadenza periodica in funzione della tipologia di dati trattati (i.e. dati particolari: sensibili, giudiziari, etc.), al fine di ridurre il rischio che utenti non autorizzati o malintenzionati riescano a individuarla.

6.7.4 Disattivazione delle credenziali di autenticazione

Oikos Engineering assicura che le credenziali di autenticazione sono disattivate in caso di mancato utilizzo per un periodo temporale di almeno 6 mesi. La disattivazione delle credenziali avviene anche nel caso in cui il possessore non abbia più necessità di utilizzarle a causa del cambiamento delle proprie mansioni lavorative ovvero dell’interruzione del rapporto di lavoro.

6.7.5 Sospensione delle sessioni di lavoro

Oikos Engineering obbliga gli utenti ad attivare il blocco del proprio computer quando si allontanano dalla propria postazione di lavoro anche per periodi di tempo limitati. Il blocco avviene comunque in maniera automatica dopo un lasso temporale di inattività prestabilito.

6.7.6 Firewalling e software antivirus

Il sistema informativo di Oikos Engineering e le Procedure Software messe a disposizione dei propri clienti e Partners come servizio (Cloud Computing in modalità SaaS) sono protetti contro gli accessi abusivi provenienti da reti pubbliche di comunicazioni.

Tutti gli elaboratori sono dotati di software antivirus aggiornato allo scopo di limitare il rischio di intrusione di virus e di programmi dannosi.

6.7.7 Aggiornamento dei programmi per elaboratore

Oikos Engineering provvede periodicamente all’installazione degli aggiornamenti (release) per risolvere le problematiche emerse nel rispetto delle indicazioni e delle politiche in uso.

6.7.8 Backup e ripristino dei dati

Oikos Engineering attua azioni in grado di garantire la disponibilità delle informazioni in linea con le prescrizioni di legge, nonché verifiche periodiche dell’effettiva leggibilità e integrità delle informazioni salvate.

6.7.9 Disaster Recovery

Oikos Engineering garantisce un servizio di Disaster Recovery completamente automatizzato in tutti i suoi processi e monitorato da personale tecnico specializzato 24 ore su 24, 7 giorni su 7, 365 giorni all'anno. Attività di verifica e test di funzionamento dei sistemi sono svolte regolarmente per la massima sicurezza di dati e sistemi.

6.7.10 Strumenti elettronici per la protezione da accessi abusivi

La rete informatica utilizzata da Oikos Engineering, sia internamente che per il collegamento al Data Center ove risiedono gli strumenti elettronici di trattamento dei dati, sia di Oikos Engineering stessa che dei propri clienti, è protetta da specifici strumenti quali firewall, sistemi di Intrusion prevention e detection, in grado di ridurre il rischio di accessi abusivi.

6.7.11 Supporti removibili

Oikos Engineering adotta specifici protocolli per la custodia, cancellazione e distruzione sicura sia dei supporti removibili utilizzati per il salvataggio o il trasferimento di dati personali sia degli elaboratori, fissi e portatili, dismessi o non più utilizzati.

6.7.12 Controllo e custodia degli atti e dei documenti

Oikos Engineering impartisce indicazioni affinché gli atti e i documenti cartacei contenenti dati personali siano controllati e custoditi dagli utenti durante tutte le operazioni di trattamento.

Tutto il personale di Oikos Engineering è, in ogni caso, sempre responsabile dell’utilizzo e della custodia degli atti e dei documenti contenti dati personali. Al termine delle operazioni di trattamento, gli atti e i documenti cartacei devono essere archiviati in armadi/cassetti muniti di serratura. Ove possibile, analoghe misure vanno adottate nel caso in cui l’utente si allontani temporaneamente dalla propria postazione.

6.7.13 Controllo e custodia degli atti e dei documenti contenenti dati particolari

Oikos Engineering impartisce indicazioni, affinché gli atti e i documenti cartacei contenenti dati particolari siano utilizzati esclusivamente da personale espressamente incaricato al loro trattamento. Tali incaricati sono responsabili dell’utilizzo e della custodia degli atti e dei documenti che contengono tali categorie di dati, in particolare, devono garantire che altri Incaricati non autorizzati non abbiano accesso a informazioni che esulino dal proprio ambito di trattamento. Al termine delle operazioni di trattamento, gli atti e i documenti cartacei devono essere archiviati in armadi muniti di serratura.

6.7.14 Controllo degli accessi agli archivi contenenti dati particolari

Solamente gli incaricati a ciò autorizzati hanno la possibilità di accedere agli archivi per lo svolgimento delle proprie mansioni lavorative. Al termine della giornata lavorativa e dopo l’orario di chiusura degli uffici, l’accesso agli archivi deve avvenire previa identificazione, anche mediante strumenti elettronici (ad es. badge).

6.7.15 Controllo degli accessi alle sedi della Società

L’accesso alle sedi di Oikos Engineering è consentito al solo personale dipendente/collaboratori o a personale esterno autorizzato.

L’accesso alle Sedi da parte dei dipendenti è possibile solo mediante strumenti elettronici (ad es. badge) di identificazione, ovvero attraverso identificazione da parte degli addetti alla sorveglianza, o del personale preposto alla reception.

6.7.16 Controllo degli accessi ai Data Center

Solamente gli utenti autorizzati dalla Direzione di Oikos Engineering possono accedere ai Data Center ove risiedono gli strumenti elettronici di trattamento e le banche dati contenenti dati personali, di cui Oikos Engineering è Titolare e/o Responsabile del trattamento.

6.8 Analisi dei rischi

L’adeguatezza delle misure di sicurezza adottate e riportate al paragrafo precedente è stata valutata mediante una specifica procedura di analisi dei rischi, la quale prevede di fare una valutazione del livello di rischio al quale ogni trattamento incluso nel Registro dei trattamenti, è soggetto, sulla base delle possibili minacce e dei relativi impatti.

L’analisi dei rischi è stata implementata con uno specifico applicativo software, prodotto da una Società riconosciuta sul mercato, che ha scelto, come modello per l’implementazione, le linee guida rivolte alle Piccole e Medie Imprese, in materia di sicurezza per il trattamento dati personali, emesse da parte di ENISA - Agenzia Europea per la sicurezza delle reti e delle informazioni.

6.9 Conservazione dei dati

Oikos Engineering adotta le misure per conservare le informazioni personali solo ed esclusivamente per il tempo necessario a soddisfare gli scopi per cui sono stati raccolti e comunque in maniera non eccedente rispetto a quanto richiesto da obblighi di legge. I dati personali pertanto possono essere oggetto di conservazione, sia analogica che digitale, solo ed esclusivamente per il tempo previsto dalla normativa vigente e successivamente sottoposti a scarto d’archivio e distruzione, secondo quanto definito dalla specifica istruzione di lavoro aziendale in materia.

I tempi di conservazione saranno regolati da idonee procedure operative e comunicati agli Interessati da apposite informative e secondo le indicazioni contenute in Provvedimenti del Garante ovvero indicate dalla normativa in vigore.

6.10 Violazione dati personali

Oikos Engineering, qualora ritenga che sia avvenuta una violazione di dati personali e che sia probabile che da tale violazione possano derivare rischi per i diritti e le libertà degli interessati, seguendo quanto disciplinato dalla Procedura Operativa Interna “Procedura per Data Breach”, provvede alla notifica della violazione:

al Garante Privacy, nel caso in cui Oikos Engineering sia Titolare del trattamento
al Titolare del trattamento, nel caso in cui Oikos Engineering sia stata quest’ultimo nominata Responsabile del trattamento dati.

La notifica avviene senza ingiustificato ritardo, entro i tempi previsti dal Regolamento e secondo una specifica procedura operativa interna.

Per violazione dei dati personali si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso non autorizzato ai dati personali trasmessi, conservati o comunque trattati dalla società.

7. DIRITTI DEGLI INTERESSATI

I diritti attribuiti dal GDPR agli interessati si dividono in due categorie: (1) i diritti che necessitano di una richiesta espressa dell’interessato; (2) i diritti ai quali la normativa collega un obbligo del titolare in modo autonomo dalla ricezione di una previa richiesta dell’interessato.

7.1 Esercizio dei diritti dell’Interessato e tempi di riscontro

L’Interessato ha la facoltà di esercitare i propri diritti secondo le modalità e nei limiti previsti dal GDPR. Oikos Engineering si impegna a fornire all'Interessato le informazioni relative all'azione intrapresa riguardo a una richiesta senza ingiustificato ritardo e, comunque, al più tardi entro 30 giorni dal ricevimento della richiesta stessa. Se la richiesta dell’Interessato sarà presentata mediante mezzi elettronici, le informazioni saranno fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’Interessato.

Tali diritti possono essere esercitati dall’Interessato attraverso l’invio di mail/PEC all’indirizzo [email protected] oppure tramite comunicazione scritta, specificando l’oggetto della richiesta, all’attenzione del DPO, domiciliato presso la sede della Società sita in Duccio Galimberti 7 - 12051 Alba (Cuneo) oppure utilizzando i meccanismi previsti dai sistemi di mail.

Una volta ricevuta la richiesta, Il Titolare del trattamento dati non può rifiutarsi di soddisfare la richiesta dell’Interessato, salvo che dimostri di non essere in grado di identificare l’interessato.

8. CONTROLLO E CONFORMITÀ

Oikos Engineering ha stabilito procedure per controllare il rispetto dei principi previsti dal Regolamento.

È responsabilità di tutto il personale di Oikos Engineering conoscere, comprendere e rispettare questa Politica e i suoi contenuti.

La mancata osservanza potrebbe comportare rischi significativi per Oikos Engineering e può subordinare ciascun individuo ad azioni disciplinari, fino al licenziamento o all’interruzione del rapporto professionale.

9. DATI DI CONTATTO

Domande o dubbi sull’interpretazione o sulle modalità di applicazione della presente Policy possono essere rivolti scrivendo al DPO al seguente indirizzo PEC: [email protected]. Più in generale, i dati di contatto di Oikos Engineering sono riportati sul sito www.oikosweb.com/privacy. In merito al Responsabile della protezione dei dati (DPO), quest’ultimo potrà essere contattato ai seguenti indirizzi:

e-mail: [email protected]

PEC: [email protected]

Oikos Engineering S.r.l. – Autore Oikos Engineering – È fatto divieto la copia, la riproduzione e qualsiasi uso di questo documento che non sia stato espressamente autorizzato - Oikos Engineering non sarà pertanto ritenuta responsabile di eventuali imprecisioni, errori od omissioni contenute all'interno del presente documento.

Pagina 1 di 18

Convertito in HTML con WordToHTML.net

oikos-policy-gdpr

1. OBIETTIVO