PRIVACY POLICY

1. Obiettivo della Politica Aziendale sulla protezione dei dati

I dati dei Clienti e Partner Commerciali rappresentano un importante fattore concorrenziale e contribuiscono in larga misura alla creazione del valore di CRE s.r.l. (in seguito anche“La Società”); La Società intende per tanto proteggere tali dati dai rischi di un accesso nonautorizzato. Oltre a questa protezione, Clienti e Partner Commerciali si aspettano in generale anche un trattamento prudente dei loro dati. CRE s.r.l., con la presente politica aziendale, sulla base delle norme principalmente di diritto europeo, si impone uno standard uniforme e universalmente valido, per la protezione e la sicurezza del trattamento dei dati personali di Clienti e Partner Commerciali. La Politica Aziendale garantisce un livello adeguato di protezione dei dati come richiesto dalla Direttiva Europea sulla Protezione dei Dati Personali e altre leggi nazionali.

2. Definizioni

-Con soggetti interessati ai sensi della presente Politica, si intende ogni persona fisica sulla quale vengono elaborati i dati. Alcune legislazioni nazionali consentono anche il trattamento dati delle persone giuridiche.

-Il consenso è una dichiarazione di accettazione volontaria e giuridicamente vincolante.

-La Commissione dell’Unione Europea riconosce un livello adeguato di protezione dei dati da parte di Paesi terzi quando la sfera privata delle persone risulta fondamentalmente protetta.

– Quando non è possibile stabilire un riferimento personale in modo duraturo o dove il riferimento personale sia riconducibile solo in modo alquanto macchinoso, i dati sono da ritenersi anonimi.

-I dati sensibili sono informazioni su origini razziali, etniche, opinioni politiche, convinzioni religiose o filosofiche, sull’appartenenza ad organizzazioni sindacali o sulla salute o vita sessuale dell’interessato. Anche altre categorie di dati possono essere classificate come sensibili in base a specifiche norme di legge. I dati di carattere giudiziario ad esempio possono essere trattati solo a particolari condizioni stabilite dalle norme di diritto pubblico.

-Con terzi si intende chiunque, escluso il soggetto interessato, il Responsabile Trattamento Dati e gli addetti all’elaborazione dei dati legalmente subordinati al detto responsabile.

-L’elaborazione di dati personali si ritiene obbligatoria laddove un fine consentito dalla legge o un interesse giustificato non sia raggiungibile, senza poter disporre dei relativi dati personali.

-Con Paesi terzi ai sensi della direttiva si intendono tutti gli Stati al di fuori dell’Unione Europea/ SEE. Sono esclusi gli Stati con un livello di protezione dei dati riconosciuto come adeguato dalla Commissione UE.

-I dati personali sono tutte le informazioni su una persona fisica determinata o determinabile e la dove previsto in base a quanto detto sopra, una persona giuridica determinata o determinabile.

-Con trasmissione si intende qualsiasi divulgazione di dati personali protetti da parte del responsabile del trattamento dati a terzi.

-Con la sigla SEE (Spazio Economico Europeo) si indica un’area economica associata all’Unione Europea a cui appartengono anche l’Islanda, la Norvegia, e il Liechtenstein.

-Il trattamento dei dati personali è qualsiasi processo eseguito con o senza l’ausilio di processi automatizzati ai fini di rilevamento, memorizzazione, organizzazione, archiviazione, modifica, interrogazione, utilizzo, riproduzione, trasmissione, diffusione o combinazione e confronto di dati. Quanto sopra include anche lo smaltimento, la cancellazione e il blocco di dati e supporti dati.

-Con Responsabile Trattamento Dati si intende CRE s.r.l. qualora l’attività aziendale della medesima richieda la rispettiva misura di trattamento dei dati.

3. Validità e modifica della Direttiva

La presente Politica Aziendale è valida per la CRE s.r.l. e tutte le società ad essa dipendenti e collegate, inclusi i rispettivi Collaboratori. La Politica Aziendale si estende a qualsiasi trattamento dei dati personali dei Clienti e Partner Commerciali. Ciò comprende anche i dati di potenziali clienti, fornitori e soci. La presente Politica vale anche per le persone giuridiche, se il diritto pubblico dello Stato di appartenenza includa le persone giuridiche nella sfera di tutela del diritto alla protezione dati. Qualsiasi modifica alla Policy dovrà essere effettuata esclusivamente a cura del Responsabile Trattamento Dati di CRE s.r.l. Solo nel caso in cui che ciò dovesse comportare un peggioramento della posizione dell’interessato, si applica la versione valida al momento del trattamento dei suoi dati.

4. Validità del diritto pubblico

La presente Politica Aziendale sulla protezione dati comprende i principi di tutela dei dati personali accettati a livello internazionale, senza sostituirsi al diritto pubblico esistente erimarrà in vigore per la società in tutti i casi salvo che contrasti con la disciplina vigente di uno Stato dove viene applicata, nel qual caso la Politica verrà disapplicata in favore delle norme di quello stato. Gli obblighi di dichiarazione derivanti dal diritto pubblico per il trattamento dei dati personali devono essere osservati.

5. Sicurezza del trattamento dei dati

Per garantire la sicurezza dei dati vengono implementate idonee misure tecniche ed organizzative che garantiscono anche la protezione dei dati personali da accessi non autorizzati, trattamento o diffusione illegale, come pure perdita, modifica o distruzione per errore. Esse si riferiscono alla sicurezza dei dati sensibili sia nelle elaborazioni elettroniche se in forma cartacea. Tali misure tecniche vengono via, via aggiornate con il miglioramento delle tecnologie esistenti compatibilmente al rapporto costo/risultato.

6. Principi di trattamento dei dati personali

1. Trasparenza

Il Soggetto interessato deve essere informato del trattamento dei suoi dati. Durante il rilevamento dei dati, il Soggetto interessato deve poter identificare o essere informato su quanto segue:

-la finalità del trattamento;

-l’identità del Responsabile Trattamento Dati;

-terzi (o le loro categorie) ai quali i dati vengono eventualmente trasmessi.

Il Soggetto interessato deve essere informato in merito alla facoltatività della fornitura dei dati a scopo di marketing. Oltre alle disposizioni negli standard aziendali, in seguito alla vigente normativa del singolo stato è possibile l’applicazione di ulteriori o diversi requisiti in merito al contenuto e alla quantità di informazioni da fornire ai Soggetti interessati.

2. Vincolo alle finalità

Il trattamento dei dati personali deve esclusivamente perseguire le finalità stabilite prima del rilevamento dei dati. Eventuali modifiche a posteriori sono consentite in misura limitata e possono avere luogo con il consenso dell’interessato o in base a norme di diritto pubblico a seguito di accordi contrattuali con il Soggetto interessato.

3. Correttezza e legalità

I dati del Soggetto interessato devono essere trattati secondo le vigenti norme di legge. Nel trattamento dei dati personali bisogna tutelare il diritto alla privacy.

4. Correttezza oggettiva ed attualità dei dati I dati personali devono essere archiviati ed aggiornati correttamente. A tale proposito bisogna adottare misure adeguate per assicurare che tutti i dati per qualunque ragione non corretti, vengano in alternativa cancellati, rettificati o integrati.

5. Economia dei dati

Prima del trattamento di dati personali occorre verificare se e in quale misura questi siano necessari per ottenere il fine prefissato con l’elaborazione. Se ciò è possibile per il raggiungimento dell’obiettivo e la mole di lavoro è adeguatamente rapportata al fine prefissato, è preferibile utilizzare dati anonimi o statistici. Salvo contraria previsione normativa, i dati personali non possono essere archiviati a titolo di riserva per potenziali finalità future. I dati non più necessari devono essere cancellati in ottemperanza alle norme di archiviazione vigenti.

6. Dati sensibili

I dati sensibili possono essere trattati solo a determinate condizioni. Il trattamento di tali dati deve essere espressamente consentito o prescritto dalla legislazione dello Stato.

7. Principio della necessità

I Collaboratori devono aver accesso ai dati personali solo secondo il principio della necessità. Intendendosi che il Collaboratore potrà avere accesso ai dati solamente ove necessario per le sue specifiche funzioni

8. Decisioni individuali automatizzate

Il trattamento automatizzato di dati personali, attraverso i quali vengono valutate singole caratteristiche del Soggetto interessato di natura sensibile o che possano avere conseguenze dannose per il medesimo (quali ad esempio l’affidabilità del cliente ecc.), devono soddisfare particolari requisiti: essi non possono costituire la base esclusiva di decisioni con conseguenze negative per il detto Soggetto interessato. Al fine di evitare errori bisogna garantire un controllo e da parte di un Collaboratore. Inoltre, al Soggetto interessato deve essere comunicata la circostanza e il risultato della decisione individuale automatizzata e la possibilità di una presa di posizione. Il tutto salvo diverse e più restrittive norme di legge.

7. Trasmissione di dati personali

Per alcuni processi aziendali è necessario che i dati personali di Clienti o Partner Commerciali vengano trasmessi a terzi. Se questo non avviene sulla base di un obbligo di legge, bisogna verificare di volta in volta se ciò contrasta con un interesse sensibile del Soggetto interessato. Per la trasmissione di dati personali ad un ente al di fuori di CRE s.r.l. devono essere soddisfatti i requisiti di cui meglio sopra.

La trasmissione a enti o autorità statali, qualora necessaria, deve avvenire sulla base di norme di legge di volta in volta pertinenti.

8. Telecomunicazioni e Internet

L’elaborazione di dati personali che vengono rilevati durante le telecomunicazioni con il Soggetto interessato, deve essere conforme alla presente Politica Aziendale ed alla disciplina di legge vigente.

9. Segretezza dei dati

I dati personali di Clienti e Partner Commerciali devono essere trattati in modo confidenziale; ai Collaboratori si vieta il rilevamento, trattamento o utilizzo non autorizzato di questi dati ed in modo particolare se tale utilizzo, rilevamento o trattamento non sono attinenti alle funzioni del detto Collaboratore.

10. Diritti del Soggetto interessato

Ogni Soggetto interessato può far valere i seguenti diritti, la cui rivendicazione deve essere affidata senza indugio al settore responsabile.

1. Il Soggetto interessato può esigere informazioni su quali dei suoi dati personali, e con quale provenienza e a quale scopo, siano stati archiviati.

2. Nel caso in cui i dati personali vengano trasmessi a terzi, devono essere fornite informazioni sull’identità del destinatario o sulle categorie di destinatari.

3. Nel caso in cui i dati personali dovessero risultare inesatti o incompleti, il Soggetto interessato può richiederne la correzione o integrazione.

4. Il Soggetto interessato è autorizzato a richiedere la cancellazione dei suoi dati se lo scopo dell’elaborazione dei dati non è più attuale o siano trascorsi i relativi termini oppure le basi giuridiche per l’elaborazione dei dati risultano assenti o non più valide.

5. Il Soggetto interessato può opporsi al trattamento dei suoi dati personali a fini di pubblicità diretta o ricerche di mercato e di opinione conseguentemente, i relativi dati devono essere resi inaccessibili per tali scopi.

6. Il Soggetto interessato possiede in generale il diritto di opporsi all’elaborazione dei propri dati che deve essere preso in considerazione qualora il suo interesse sensibile, a causa di una particolare situazione personale, prevalga sull’interesse del ResponsabileTrattamento Dati. Quanto sopra non vale se una norma di legge obbliga in ogni caso a procedere all’elaborazione dei dati.

11. Trattamento dei dati per conto terzi

Nel caso di trattamento di dati per conto terzi, un fornitore di servizi viene incaricato dell’elaborazione dati, senza che vi sia trasferimento di responsabilità per il relativo processo aziendale. In caso di trasmissione di dati personali nell’ambito di un processo di elaborazione affidato a terzi, il Committente rimane il Responsabile Trattamento Dati. Tutti i diritti dei Soggetti interessati devono essere fatti valere nei suoi confronti. Inoltre, nell’assegnazione dell’ordine si devono osservare le seguenti regole:

1. Nella scelta del Commissionario bisogna accertarsi che egli possa garantire i requisiti tecnici ed organizzativi necessari, come pure misure di sicurezza idonee. Nella selezione occorre inoltre attenersi ai criteri del Responsabile Trattamento di CRE s.r.l.

2. Lo svolgimento dell’elaborazione dei dati per conto terzi deve essere regolamentato in un contratto scritto nel quale siano stati concordati i requisiti di protezione dei dati esicurezza delle informazioni, tale contratto deve essere redatto di modo che vengano rispettati dal Concessionario i requisiti e le direttive di CRE s.r.l.

12. Ammissibilità del trattamento dei dati

1. Trattamento dei dati raccolti ai fini di un rapporto contrattuale

I dati personali del Soggetto interessato possono essere elaborati ai fini dell’esecuzione, preparazione o soddisfazione di richieste necessarie alla futura stipula di un contratto. Le misure di fidelizzazione o pubblicitarie non sono contemplate in questo ambito. Le limitazioni espresse dai Soggetti interessati devono essere prese in considerazione qualora questi dovessero essere contattati nella fase precontrattuale.

2. Elaborazione di dati a fini pubblicitari

L’elaborazione di dati personali a fini pubblicitari è ammessa, a condizione che quest’ultima sia conciliabile con lo scopo per il quale i dati sono stati originariamente  rilevati e con il consenso del Soggetto interessato ai fini pubblicitari.

Qualora l’interessato si rivolga con una richiesta di informazioni a CRE s.r.l., il trattamento dei dati per la soddisfazione di questa richiesta è da ritenersi comunque ammissibile. Nel caso in cui il Soggetto interessato dovesse opporsi all’utilizzo dei suoi dati a fini pubblicitari, il trattamento di queste informazioni a tale scopo non è ammesso. Il tutto salvo il maggior rigore imposto da vigenti norme di legge.

3. Consenso al trattamento dei dati personali Il trattamento dei dati personali può essere autorizzato mediante consenso del Soggetto interessato. Anche le eventuali modifiche dello scopo del trattamento possono essere autorizzate sulla base del consenso del Soggetto interessato. Prima di rilasciare il consenso, l’interessato deve essere informato secondo quanto previsto dalla presente Politica Aziendale. La dichiarazione di consenso deve essere fornita di norma per iscritto o elettronicamente. Se il rilascio avviene verbalmente, questo deve comunque essere documentato secondo le vigenti norme di legge.

4. Trattamento dei dati sulla base di autorizzazioni legali

Il trattamento di dati personali è consentito anche quando le norme di legge del rispettivo Stato richiedono, presuppongono o ammettono l’elaborazione dei suddetti dati.

5. Trattamento dei dati sulla base di interessi giustificati Il trattamento di dati personali è ammesso anche nel caso in cui ciò sia necessario ai fini della realizzazione di un interesse giustificato del Responsabile Trattamento Dati o di terzi. Intendendosi con tale termini di norma interessi di carattere legale. L’elaborazione dei dati personali sulla base di un interesse giustificato non può avvenire se nel singolo caso esiste il dubbio che gli interessi sensibili del Soggetto interessato prevalgano sull’interesse al trattamento dei dati.

13. Responsabilità e sanzioni

Il rappresentante legale, in qualità di responsabile del trattamento dei dati, ha l’obbligo di assicurare il rispetto dei requisiti di legge e dei criteri formulati nelle direttive sulla  protezione dei dati. Eventuali abusi nell’elaborazione dei dati personali o altre violazioni contro il diritto alla protezione dei dati vengono perseguiti in molti Stati anche penalmente e possono comportare richieste di risarcimento di danni. Eventuali infrazioni, per le quali possono essere ritenuti responsabili singoli Collaboratori, comportano generalmente sanzioni lavorative secondo il diritto nazionale vigente.

14. Il Responsabile Sicurezza Dati della società

Il Responsabile Sicurezza dei Dati della Società, controlla il rispetto delle norme nazionali ed internazionali di protezione dei dati. Egli è responsabile per le direttive nel campo della protezione dei dati e ne controlla l’osservanza, eseguendo controlli e audit sui relativi processi. Il Responsabile Sicurezza Dati della Società viene nominato dal Titolare del Trattamento della CRE s.r.l.

In caso di progetti di elaborazione dati che possono comportare particolari rischi per la tutela della privacy degli interessati, il Responsabile Sicurezza Dati della Società deve essere coinvolto già da prima dell’inizio del processo di trattamento delle informazioni. Quanto sopra vale in particolare per i dati sensibili. Inoltre, qualunque Soggetto interessato può rivolgersi in qualsiasi momento al Responsabile Sicurezza Dati della Società per suggerimenti, richieste, domande di informazioni o reclami relativi al tema della protezione dati. Tali richieste e reclami potranno essere trattati come confidenziali su richiesta del Soggetto interessato. Il Responsabile Sicurezza Dati della C-R-E può essere contattato al seguente recapito:

Violi Gabriele gvioli@c-r-e.it