Regolamento UE 2016/679 GDPR

Politica aziendale per la protezione e conservazione dei dati personali,
al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche.
• SCOPO

Lo scopo del presente documento è quello di descrivere i principi generali di sicurezza ed obblighi di riservatezza delle informazioni e dei dati personali definiti dal Titolare del trattamento, o del Responsabile che A.L & Partners garantisce ed assicura a tutti i soggetti coinvolti nell’ambito del trattamento dei dati, al fine di sviluppare un efficiente e sicuro sistema di gestione delle procedure e dei processi per la sicurezza dei dati personali nel rispetto dei diritti e le libertà fondamentali delle persone, in ottemperanza al Regolamento Europeo 2016/679, d’ora in avanti GDPR.

• DESCRIZIONE - Obiettivi perseguiti

A.L & Partners intende perseguire obiettivi di sicurezza delle informazioni, dei dati personali, della struttura tecnologica, fisica, logica ed organizzativa e della loro gestione. Questo significa raggiungere e mantenere un sistema di gestione sicura delle informazioni attraverso il rispetto dei principi previsti dagli articoli 5 e 6 del GDPR;
- Liceità, correttezza, trasparenza;
- Garanzia rispetto alla gestione e raccolta dei dati per le sole finalità contrattuali, determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità. Tali garanzie sono applicate e verificate anche nei confronti degli eventuali subfornitori;
- Adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (principio di “minimizzazione dei dati”);
- Esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
- Conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
- Trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche ed organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali “principio di integrità e riservatezza”;
- Assicurare che i dati personali siano accessibili solamente ai soggetti e/o alle categorie degli stessi debitamente autorizzati;
- Salvaguardare la consistenza dell’informazione da modifiche non autorizzate;
- Assicurare che gli utenti autorizzati abbiano accesso alle informazioni e agli elementi architetturali associati in riferimento ai ruoli e mansioni ricoperti;
- Assicurare che la gestione dei dati avvenga sempre attraverso processi e strumenti sicuri e testati;
- Garantire l’affidabilità dei canali di provenienza delle informazioni;
- Garantire la protezione ed il controllo dei dati personali.

Formazione
- Considerato che il GDPR all’articolo 29 prevede che tutte le persone, addetti, incaricati, sotto l’autorità del titolare o del responsabile debbano essere debitamente istruiti e quindi formati sui compiti, responsabilità e per l’effettuazione delle operazioni di trattamento dei dati, nonché si impegnino alla riservatezza, A.L & Partners ha redatto un piano interaziendale di formazione sulla base dell’erogazione dei servizi, dei ruoli e mansioni interne, dell’attività esercitata, degli specifici trattamenti dati ed i rischi connessi.
- La formazione è pensata e realizzata per le mansioni ed i ruoli ricoperti dal personale dipendente e ed ha le seguenti caratteristiche:
a) Specifica – corrispondente alla tipologia di mansione/ruolo svolto;
b) Appropriata – in relazione alla tipologia dei trattamenti dati realizzati;
c) Permanente – deve prevedere una programmazione temporale ed un aggiornamento periodico in particolare per eventuali nuovi assunti;
d) Documentata – il suo svolgimento ed i successivi aggiornamenti devono risultare da registri, attestati o altre forme che ne diano evidenza;
e) Efficace – deve essere verificata periodicamente la comprensione generale, specifica ed il recepimento delle procedure aziendali

Nei confronti dei nostri fornitori:
Tali principi e garanzie sono verificate al momento della scelta di ogni nostro fornitore. Viene inoltre monitorato sistematicamente lo stato di implementazione di tali garanzie.

• AMBITO DI APPLICAZIONE

La politica per la protezione dei dati personali si applica a tutto il personale interno ed alle terze parti che collaborano alla gestione delle informazioni nonché a tutti i processi e risorse coinvolte nella progettazione, realizzazione, avviamento ed erogazione continuativa nell’ambito dei servizi.
Di seguito vengono descritti prodotti e servizi erogati ed illustrate le modalità di erogazione. Prodotti e servizi erogati:
Consulenza specializzata in materia di IP. I nostri servizi includono deposito, ottenimento e mantenimento di brevetti e marchi in Italia ed all’estero, pareri di brevettabilità e libertà d’attuazione, opposizioni, supporto tecnico in contenziosi, deposito di certificati complementari di protezione.

• POLITICA PER LA SICUREZZA DELLE INFORMAZIONI

Adempimenti e procedure applicate alle aziende clienti:
La verifica dei dati che saranno oggetto di trattamento con identificazione delle varie tipologie di dati e delle categorie di appartenenza. La verifica della finalità di ogni trattamento e della base giuridica sul quale ciascuno di essi si fonda, anche al fine di rendere adeguata informativa ai soggetti interessati, come previsto dagli artt. 13 e 14 del GDPR;
La predisposizione della/delle informative (o il suo aggiornamento) che deve essere fornita agli interessati nel rispetto di tutti gli elementi indicati agli artt. 13 e 14 del GDPR. In particolare gli interessati dovranno essere messi a conoscenza dei diritti che il Regolamento riconosce loro (diritto di accesso, diritto all’oblio, diritto di rettifica, diritto di limitazione e di opposizione al trattamento, diritto alla portabilità dei dati); le informative per i soggetti interessati ai trattamenti dati di cui il cliente è titolare del trattamento sono fornite dal cliente se nei software o servizi sviluppati o configurati è prevista la raccolta di dati;
La predisposizione del registro delle attività di trattamento dei dati personali, qualora esso risulti necessario in base al disposto dell’art. 30 del GDPR, ossia nel caso in cui l’impresa o l’organizzazione che effettua il trattamento dei dati abbia più di 250 dipendenti. Tale registro dovrà essere redatto anche nel caso in cui l’impresa od organizzazione abbia meno di 250 dipendenti, ma ponga in essere un trattamento dei dati che presenta un potenziale rischio per i diritti e libertà degli interessati il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.
L’instaurazione di una procedura da adottare in caso di eventuali violazioni dei dati (c.d. Data Breach di cui agli articoli 33 e 34 del GDPR), ad esempio al verificarsi di una divulgazione (intenzionale o meno), della distruzione, della perdita, della modifica o dell’accesso non autorizzato ai dati personali oggetto di trattamento. Il GDPR prevede infatti degli specifici adempimenti nel caso in cui si verifichi una violazione di tal genere, a causa di un attacco informatico, di un accesso abusivo o di un incidente. In questi casi il GDPR impone, come previsto dall’art. 33, in capo al Titolare del trattamento l’obbligo di comunicare all’autorità di controllo l’avvenuta violazione entro 72 ore (o comunque senza ritardo). Nel caso in cui la violazione verificatasi faccia presumere che vi sia anche un elevato e attuale pericolo per i diritti e le libertà degli interessati, anche questi ultimi dovranno essere direttamente informati senza ritardo di quanto successo;
All’art. 35 del GDPR, si configura, in capo al Titolare del trattamento (e con la possibilità di consultare il Responsabile della protezione dei dati se nominato), l’obbligo di procedere ad una valutazione d’impatto sulla protezione dei dati nel caso in cui un tipo di trattamento, anche in considerazione della natura, dell’oggetto, del contesto e delle finalità del trattamento stesso, presenti un rischio elevato per i diritti e le libertà delle persone fisiche. Si precisa che il GDPR non sancisce un vero e proprio obbligo di svolgimento della valutazione d’impatto, ma si ricorda che il Regolamento prevede un generale obbligo, in capo al Titolare del trattamento, di attuare le misure idonee al fine di gestire adeguatamente i rischi per i diritti e le libertà degli interessati che possono derivare dal trattamento dei loro dati. Sarà quindi opportuno procedere all’effettuazione della valutazione d’impatto anche quando sul Titolare non incombe l’obbligo normativo in tale senso. Agli articoli 37 – 38 e 39 viene introdotto un altro adempimento richiesto al Titolare del trattamento che consiste nella designazione del Responsabile della protezione dei dati definito altresì Data Protection Officer. Tale nomina, come previsto dall’art. 37 del GDPR, è obbligatoria soltanto in una serie di ipotesi, in particolare, nel caso in cui il trattamento dei dati sia effettuato da un’autorità pubblica o da un organismo pubblico (ad eccezione per le autorità giurisdizionali quando esercitano le loro funzioni); quando le attività principali svolte del titolare o del responsabile del trattamento consistono in operazioni che, per la loro natura, l’ambito di applicazione o le finalità, richiedono un monitoraggio regolare e sistematico degli interessati su larga scala; e infine nel caso in cui le attività principali effettuate consistano nel trattamento, su larga scala, di dati sensibili o di dati relativi a condanne penali e a reati consistenti nell’illecito trattamento dei dati personali. Come suggerito anche dal Gruppo dei 29, l’organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro che ha predisposto le Linee guida dettando regolare sulla nomina del Responsabile per la protezione dei dati personali, quando il Regolamento non impone specificamente la nomina di un DPO, questa figura potrà comunque essere designata dal titolare o dal responsabile del trattamento su base volontaria.

• PERIODO DI CONSERVAZIONE DEI DATI

I dati verranno trattati per tutta la durata dei rapporti instaurati e conservati comunque per non oltre 10 anni dalla cessazione del rapporto, salvo esigenze di ulteriore conservazione se previste dalla legge. Nel caso di contenzioso giudiziale, per tutta la durata dello stesso, fino all’esaurimento dei termini di esperibilità delle azioni di impugnazione.

• ISTRUZIONI PER I SOGGETTI INTERNI E/O ESTERNI CHE SI INTERFACCIANO CON NOI

Particolare importanza viene attribuita alle procedure del Sistema di Gestione per la Protezione dei dati personali, indicate nelle istruzioni e formazione che dovranno essere fornite al personale ed alle quali vi è l’obbligo di attenersi scrupolosamente.
Vi è obbligo inoltre di prendere visione dei nominativi del personale autorizzato a trattare i dati relativi all’ambito assegnato, siano essi Titolari, responsabili o incaricati (Come definiti nell’organigramma).
Il personale è tenuto a prenderne visione ed a comunicare ai suoi referenti eventuali inesattezze. Se gli strumenti di lavoro consentissero la connessione con altre banche dati, l’autorizzazione comprenderà l’incarico di trattare anche i dati delle banche dati connesse, nei limiti in cui ciò sarà necessario all’efficiente e corretto svolgimento delle Sue mansioni e sempre in conformità al profilo di autorizzazione e alle possibilità e procedure indicate nelle istruzioni ricevute.

• RESPONSABILITÀ DELLA POLITICA DI SICUREZZA DELLE INFORMAZIONI

Il “titolare del trattamento” e il “responsabile” sono responsabili del sistema di gestione sicura delle informazioni, in coerenza con l’evoluzione del contesto aziendale e di mercato, valutando eventuali azioni da intraprendere a fronte di eventi come:
· Evoluzioni significative del business;
· Nuove minacce rispetto a quelle considerate nell’attività di analisi del rischio;
· Significativi incidenti di sicurezza;
· Evoluzione del contesto normativo o legislativo in materia di trattamento sicuro delle informazioni;
Periodicamente o all’occorrenza dovrà essere svolto un riesame per la verifica dell’efficienza e dell’efficacia, nonché dell’adeguatezza delle misure tecniche/organizzative applicate, nel rispetto ed al fine ultimo della protezione dei dati, diritti e libertà fondamentali delle persone.

Cookie Policy

La presente Cookie Policy costituisce parte integrante dell'Informativa privacy soprastante. L'utente può esprimere il proprio consenso all'utilizzo dei cookie proseguendo la navigazione sui Siti, ovvero compiendo un'azione di scorrimento, cliccando su uno dei link interni delle pagine dei Siti, oppure cliccando sul tasto di chiusura del banner dell'informativa breve visibile ad ogni primo accesso sui Siti, come previsto dal provvedimento del Garante per la protezione dei dati personali (n. 229 dell'8 maggio 2014).
I cookie sono costituiti da porzioni di codice (file informatici o dati parziali) inviate da un server al browser Internet dell'utente, da detto browser memorizzati automaticamente sul computer dell'utente e rinviati automaticamente al server ad ogni occorrenza o successivo accesso al sito. Solitamente un cookie contiene il nome del sito internet dal quale il cookie stesso proviene, la durata vitale del cookie (ovvero per quanto tempo rimarrà sul dispositivo dell'utente) ed un valore, che di regola è un numero unico generato in modo casuale. Ad ogni visita successiva i cookie sono rinviati al sito web che li ha originati (cookie di prime parti) o a un altro sito che li riconosce (cookie di terze parti). I cookie sono utili perché consentono a un sito web di riconoscere il dispositivo dell'utente e hanno diverse finalità come, per esempio, consentire di navigare efficientemente tra le pagine, ricordare i siti preferiti e, in generale, migliorare l'esperienza di navigazione. Contribuiscono anche a garantire che i contenuti pubblicitari visualizzati online siano più mirati ad un utente e ai suoi interessi.
Se l'utente decide di disabilitare i cookie, ciò potrebbe influenzare e/o limitare la sua esperienza di navigazione all'interno dei Siti, per esempio potrebbe non essere in grado di visitare determinate sezioni di un Sito o potrebbe non ricevere informazioni personalizzate quando visita i Siti.
Le modalità di funzionamento nonché le opzioni per limitare o bloccare i cookie, possono essere regolate modificando le impostazioni del proprio browser internet. La maggioranza dei browser internet sono inizialmente impostati per accettare i cookie in modo automatico, l'utente può tuttavia modificare queste impostazioni per bloccare i cookie o per essere avvertito ogniqualvolta dei cookie vengano inviati al suo dispositivo. Esistono diversi modi per gestire i cookie, a tal fine occorre fare riferimento alla schermata di aiuto del proprio browser per verificare come regolare o modificare le impostazioni dello stesso. L'utente è abilitato, infatti, a modificare la configurazione predefinita e disabilitare i cookie (cioè bloccarli in via definitiva), impostando il livello di protezione più elevato.

Qui sotto il percorso da seguire per gestire i cookie dai seguenti browser:

Chrome: https://support.google.com/chrome/answer/95647?hl=it-IT&hlrm=fr&hlrm=en
Internet Explorer: http://windows.microsoft.com/it-it/windows7/block-enable-or-allow-cookies
Safari: http://support.apple.com/kb/PH11913
Firefox: http://support.mozilla.org/it-IT/kb/enable-and-disable-cookies-website-preferences

Se l'utente usa dispositivi diversi tra loro per visualizzare e accedere ai Siti (per esempio, computer, smartphone, tablet, ecc.), deve assicurarsi che ciascun browser su ciascun dispositivo sia regolato per riflettere le proprie preferenze relative ai cookie. Per eliminare i cookie dal browser Internet del proprio smartphone/tablet è necessario fare riferimento al manuale d'uso del dispositivo. I Siti utilizzano diverse tipologie di cookie ognuna delle quali ha una specifica funzione. Il sito utilizza i cookie per rendere la navigazione più semplice e per meglio adattare sia le pagine caricate che i propri prodotti agli interessi e ai bisogni degli utenti. I cookie possono essere usati anche per velocizzare le future esperienze e le attività degli utenti sul sito. Inoltre, sono utilizzati cookie per compilare statistiche anonime aggregate che consentono di capire come gli utenti utilizzano il sito e per migliorare la struttura e i contenuti dei Siti stessi.

Di seguito un elenco esplicativo.

Cookie tecnici

I cookie "tecnici" sono essenziali per il corretto funzionamento del sito e consentono agli utenti di navigare sul sito e di sfruttarne le caratteristiche (ad esempio consentono la memorizzazione di azioni precedenti o permettono di salvare la sessione dell'utente e/o di svolgere altre attività strettamente necessarie al funzionamento del sito).
A questa categoria appartengono anche i cookie "analitici" che aiutano a capire come gli utenti interagiscono con il sito fornendo informazioni relative all'ultima pagina visitata, il numero di sezioni e pagine visitate, al tempo trascorso sul sito e ad ogni vicenda sia emersa nel corso della navigazione, come ad esempio un messaggio di errore, e aiutano a comprendere ogni difficoltà che l'utente incontra nell'utilizzo del sito. Queste informazioni potrebbero essere associate a dettagli dell'utente quali indirizzo IP, dominio o browser; tuttavia, vengono analizzate insieme a informazioni di altri utenti in modo da non identificare un determinato utente rispetto all'altro. Questi cookie vengono raccolti e aggregati in forma anonima e consentono al gestore del sito di migliorare l'usabilità del sito.
Infine, i cookie di "funzionalità" permettono al sito di ricordare le scelte dell'utente (per esempio il nome utente) per fornire a quest'ultimo una navigazione più personalizzata ed ottimizzata. I cookie funzionali non sono indispensabili al funzionamento dei Siti, ma ne migliorano la qualità e l'esperienza di navigazione. Se non si accettano questi cookie, la resa e la funzionalità del sito potrebbero risultare inferiori e l'accesso ai contenuti del sito potrebbe risultare limitato.

Cookie di profilazione

I cookie di "targeting" o di "profilazione" sono utilizzati per presentare contenuti più adatti all'utente e ai suoi interessi. Possono essere utilizzati per visualizzare pubblicità mirate, per pubblicare inserzioni pubblicitarie personalizzate in base agli interessi dell'utente o per limitare il numero di volte che l'utente visualizza una pubblicità. Inoltre, aiutano a misurare l'efficacia delle campagne pubblicitarie sul sito; il gestore del sito potrebbe usare questi cookie per ricordare i siti che l'utente ha visitato e condividere queste informazioni con terze parti, incluse agenzie e inserzionisti che potrebbero usare i loro cookie per raccogliere informazioni sulle attività che compiute dagli utenti sul sito.
I cookie di "condivisione" (o di social network) sono necessari per permettere all'utente di interagire con i Siti attraverso il proprio account social e servono, ad esempio, per esprimere un apprezzamento e per condividerlo con i relativi contatti social.
Il sito utilizza o può utilizzare, anche in combinazione tra di loro, cookie: - di "sessione" che vengono memorizzati sul computer dell'utente per mere esigenze tecnico-funzionali, per la trasmissione di identificativi di sessione necessari per consentire l'esplorazione sicura ed efficiente del sito; essi si cancellano al termine della "sessione" (da cui il nome) con la chiusura del browser; - "persistenti" che rimangono memorizzati sul disco rigido del computer fino alla loro scadenza o cancellazione da parte degli utenti. Tramite i cookie persistenti gli utenti che accedono ai siti (o eventuali altri utenti che impiegano il medesimo computer) vengono automaticamente riconosciuti a ogni visita.