Menu
Registro di attività di trattamento
(art. 30 e 32 del Regolamento UE n.679/2016)
In ottemperanza a quanto previsto dal Regolamento UE 2016/679 (in seguito anche indicato come GDPR) e nell’ambito della propria attività di produzione di sistemi per il taglio di materiali
flessibili e semirigidi, si rende necessario regolamentare il trattamento dei dati personali raccolti nell’ambito della predetta attività.
LEGITTIMATI AL TRATTAMENTO
Il titolare del trattamento è ATOM CUTTING S.P.A., con sede in Vigevano, Via Morosini n. 6 – PEC atomcutting@legalmail.it, in persona del Presidente del Consiglio di Amministrazione – legale rappresentante Dott. Pierangelo Dolera
Il titolare del trattamento individua, con contratto e/o atto di designazione allegati al presente registro, i contitolari, i responsabili nonché i soggetti autorizzati e/o incaricati del trattamento, i cui nominativi sono indicati nell’elenco allegato al presente Registro dei trattamenti.
BASE GIURIDICA DEL TRATTAMENTO
Il trattamento dei dati è svolto in conformità al disposto del GDPR e del d.lgs. 196/2003.
Il trattamento dei dati relativi ai dipendenti è legittimato dal consenso prestato al momento dell’instaurazione del rapporto di lavoro subordinato ed è necessario per la prosecuzione del medesimo rapporto di lavoro.
La raccolta dei dati di clienti e/o fornitori è necessaria per le finalità strettamente legate alla conclusione di contratti, come previsto dalle normative vigenti.
In ogni caso, il trattamento è da considerarsi lecito ai sensi del GDPR art 6, comma 1, lettere:
A l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
B il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso
C il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
D il trattamento è necessario per il perseguimento del legittimo interesse del titolare o di terzi ovvero quando è effettuato nell’ambito di una esistente relazione pertinente ed
appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento, a condizione che non
prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali.
Ogni altro soggetto che comunica i suoi dati all’azienda, senza che vi siano rapporti formalizzati, presta esplicito consenso al trattamento dei dati stessi per la specifica finalità individuata.
Con riferimento alle tipologie di dati trattati e meglio indicati nel paragrafo “TIPOLOGIA DATI TRATTATI”, la relativa raccolta viene limitata in relazione alle specifiche finalità, così da
minimizzare la gravità dei rischi per gli interessati.
INTERESSATI AL TRATTAMENTO
ATOM CUTTING S.P.A. raccoglie e tratta i dati personali delle seguenti categorie di interessati:
– dipendenti e collaboratori;
– candidati a posizioni lavorative all’interno dell’azienda;
– clienti e fornitori (ove persone giuridiche, limitatamente ai dati personali del relativo
contatto – legale rappresentante o incaricato);
– visitatori;
– tirocinanti e/o studenti durante il periodo di alternanza scuola/lavoro.
Il trattamento dei dati viene differenziato e minimizzato in relazione ad ogni categoria ed in relazione alla finalità per la quale i dati stessi vengono trattati.
TIPOLOGIA DI DATI TRATTATI
ATOM CUTTING S.P.A. tratta i seguenti DATI PERSONALI:
A dati personali dei clienti, dei fornitori o di terzi ricavati da albi, elenchi pubblici, visure camerali, banche accessibili al pubblico;
B dati personali dei dipendenti funzionali al rapporto di lavoro, alla reperibilità, alla corrispondenza con gli stessi o richiesti a fini fiscali, retributivi e previdenziali;
C dati personali dei clienti dagli stessi comunicati e necessari all’adempimento di obblighi di legge e/o all’esecuzione del rapporto di lavoro e/o all’adempimento di richieste avanzate dai medesimi interessati;
D dati personali di terzi forniti dai dipendenti in quanto necessari all’adempimento di obblighi di legge e/o all’evasione di richieste dell’interessato che comunica i dati;
E dati personali dei fornitori, da questi comunicati e relativi alla reperibilità o alla corrispondenza con gli stessi nonché inerenti a fini fiscali o di natura bancaria;
F ogni altro dato personale necessario alla corretta esecuzione del rapporto di lavoro, di obblighi di legge o di interessi legittimi del titolare del trattamento ATOM CUTTING S.P.A. tratta, previa raccolta del consenso nelle forme di cui all’art. 7 GDPR e in relazione alle categorie sopra individuate di “dipendenti e collaboratori” e di “candidati a posizioni lavorative all’interno dell’azienda”, i seguenti DATI PARTICOLARI: dati che rivelano l’appartenenza a sindacati, condanne penali e reati, orientamento sessuale, origine razziale o etnica, dati biometrici, esperienze scolastiche e lavorative, composizione e reddito famigliare.
I dati dei dipendenti sono regolarmente aggiornati, mentre quelli delle altre categorie individuate nel relativo paragrafo, vengono aggiornati a richiesta degli interessati o qualora si abbia notizia di intervenute modifiche.
I dati acquisiti non sono soggetti a diffusione né ad alcun processo decisionale interamente automatizzato, ivi compresa la profilazione.
I dati che non sono pubblici vengono acquisiti previa consegna di INFORMATIVA che viene allegata al presente Registro di attività di trattamento.
FINALITÀ DEL TRATTAMENTO
Il trattamento dei dati raccolti da ATOM CUTTING S.P.A. (eventualmente anche verso un paese terzo o un’organizzazione internazionale) è finalizzato al corretto e completo raggiungimento del proprio oggetto sociale, all’adempimento di obblighi di legge o al perseguimento degli interessi legittimi del titolare del trattamento.
L’interesse legittimo perseguibile dalla società deve essere individuato in ogni attività effettuata, ai sensi del “considerando” 47 GDPR, nell’ambito di una esistente relazione pertinente e appropriata
tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento ovvero in ogni attività che direttamente e/o indirettamente
è resa necessaria al miglior raggiungimento dell’oggetto sociale e/o adempimento di obbligo di legge, ovvero a titolo di esempio e non esaustivo:
– valutazione del rischio;
– esercizio del diritto di opposizione;
– analisi web, verifica del numero di visitatori del sito, commenti;
– comunicazione di reati all’autorità giudiziaria;
– in ambito lavorativo l’utilizzo di dati di localizzazione (smartphone, GPS).
Il trattamento può avvenire anche per le seguenti finalità:
– amministrazione del personale;
– antiriciclaggio;
– assicurazione danni a terzi;
– comunicazioni commerciali;
– contabilità;
– gestione eventuale contenziosi;
– gestione clienti e fornitori;
– gestione L. 81/2008 (sicurezza sul lavoro);
– gestione assicurazione sanitaria per dipendenti e collaboratori;
– interazione sito web e altri canali telematici;
– marketing;
– ogni altra attività necessaria e connessa all’oggetto sociale.
DESTINATARI DEL TRATTAMENTO
I destinatari del trattamento dei dati personali sono tutti i soggetti, designati contitolari, responsabili, autorizzati/incaricati del trattamento da parte del titolare del trattamento a cui i dati vengono comunicati per il perseguimento degli interessi legittimi del titolare del trattamento o per l’adempimento di obblighi di legge.
A mero titolo di esempio non tassativo e/o esaustivo, possono occasionalmente essere considerati soggetti destinatari del trattamento:
– alle società o soggetti terzi incaricati dei servizi di stampa, imbustamento, spedizione e/o
consegna di materiale informativo o promozionale;
– a corrieri o spedizionieri incaricati di servizi postali;
– a società, consulenti o professionisti eventualmente incaricati dell’installazione, della
manutenzione, dell’aggiornamento e, in generale, della gestione dei sistemi, informativi e
non, della società;
– a società, consulenti o professionisti eventualmente incaricati della prestazione di servizi
connessi o accessori rispetto a quelli prestati dalla Società (quali società assicurative, altri
intermediari e partner commerciali);
– soggetti nostri consulenti, nei limiti necessari per svolgere il loro incarico per conto della
nostra Società;
– ad ogni altro soggetto responsabile, autorizzato e/o incaricato del trattamento nominato
ai sensi dell’art. 28 del Regolamento UE 2016/679 il cui elenco è disponibile presso la
sede del titolare del trattamento
– enti pubblici (INPS, INAIL, ISTAT, direzione provinciale del lavoro, amministrazione
finanziaria, ecc.);
– fondi o casse anche private di previdenza e assistenza anche integrativa;
– studi medici in adempimento degli obblighi in materia di igiene e sicurezza del lavoro;
– altre società direttamente collegate al Titolare del trattamento;
– organizzazioni imprenditoriali cui aderisce la Società.
La comunicazione dei dati avverrà sia su territorio italiano che europeo. I dati potrebbero essere trasferiti al di fuori del territorio europeo (con esclusione delle categorie particolari di dati personali) e solo qualora strettamente necessario a garantire il regolare svolgimento del rapporto contrattuale tra il dipendente ed il Titolare del trattamento.
Non sono effettuate attività di profilazione di dati.
TABELLA RIASSUNTIVA
DESTINATARI TRATTAMENTO
destinatari interessati | Consulenti lavoro | Consulenti fiscali | Enti pubblici | assicurazioni | banche | Fondi e casse assistenza | Studi medici | Organizzazioni imprenditoriali | Società collegate |
Dipendenti | X | X | X | X | X | X | X | X | X |
Fornitori | X | X | X | X | X | ||||
Clienti | X | X | X | X | X | ||||
Collaboratori | X | X | X | X | X | X | X | X | X |
Visitatori | X | ||||||||
Tirocinanti | X | X | X | X | X | X | |||
Studenti | X | X | |||||||
Candidati | X |
FINALITÀ TRATTAMENTO
finalità interessati | Rapporto lavoro | Interessi legittimi | Amministrazio ne personale | Antiriciclag gio | Assicurazi one danni a terzi | Comunicazion i commerciali | contabilit à | contenzios i | l. 81/200 8 | Assicurazi one dipendenti | Sito web |
Dipendenti | X | X | X | X | X | X | X | X | X | ||
Fornitori | X | X | X | X | |||||||
Clienti | X | X | X | X | X | ||||||
collaboratori | X | X | X | X | X | X | X | X | |||
Visitatori | X | X | |||||||||
Tirocinanti | X | ||||||||||
Studenti | X | ||||||||||
Candidati | X | X | X |
TIPOLOGIA DATI
Dati Interessati | origine razziale/etnica | opinioni politiche | convinzioni religiose | appartenenza sindacale | dati genetici | dati biometrici | salute | vita/orientamento sessuale | Identificativo rete e mobile | ||||
Dipendenti | C | C | C | C | C | C | I | C | I | ||||
Fornitori | N | N | N | N | N | N | N | N | I | ||||
Clienti | N | N | N | N | N | I | N | N | I | ||||
Collaboratori | I | N | N | N | N | N | I | N | I | ||||
Visitatori | N | N | N | N | N | N | N | N | I | ||||
Tirocinanti | N | N | N | N | N | N | N | N | I | ||||
Studenti | I | N | N | N | N | N | C | N | I | ||||
Candidati | C | N | N | N | N | N | C | N | I | ||||
I=informativa | N=non trattati | C=consenso | |||||||||||
DIRITTI DELL’INTERESSATO
INFORMAZIONE: ogni trattamento è preceduto da specifica informativa su modulo cartaceo consegnata presso la sede della società o in formato elettronico (anche sul sito web della società) al momento del riscontro successivo al primo contatto e recante la tipologia di dati raccolti, la finalità ed i destinatari del trattamento, i diritti garantiti al singolo interessato che in qualunque forma fornisce all’azienda i propri dati.
Qualora sia necessario procedere alla raccolta ed al trattamento dei dati di cui all’art. 9 c. 1 GDPR e meglio specificati nel paragrafo “tipologia di dati trattati – dati particolari”, la Società presta informativa cartacea all’interessato il quale, mediante sottoscrizione, presta specifico consenso. PORTABILITÀ DEI DATI: l’interessato può inviare richiesta scritta al titolare del trattamento tramite raccomandata a/r presso la sede legale della società o per mezzo Posta Elettronica Certificata con richiesta sottoscritta digitalmente che sarà evasa entro 15 giorni dal ricevimento della stessa, previa istruttoria sommaria in merito alla legittimità ed alla compatibilità con il perseguimento delle finalità del trattamento.
RETTIFICA E CANCELLAZIONE: l’interessato può inviare richiesta scritta al titolare del trattamento tramite raccomandata a/r presso la sede legale della società o per mezzo Posta Elettronica Certificata con richiesta sottoscritta digitalmente e che sarà evasa entro 15 giorni dal ricevimento della stessa, previa istruttoria sommaria in merito alla veridicità dei dati oggetto di rettifica o alla compatibilità della cancellazione con il perseguimento delle finalità del trattamento.
RESTRIZIONE ED OBIEZIONE: l’interessato può inviare richiesta scritta al titolare del trattamento tramite raccomandata a/r presso la sede legale della società o per mezzo Posta Elettronica Certificata con richiesta sottoscritta digitalmente che sarà evasa entro 15 giorni dal ricevimento della stessa, previa istruttoria sommaria in merito alla legittimità o alla compatibilità con il perseguimento delle finalità del trattamento.
Qualora il titolare del trattamento rifiuti di procedere all’evasione delle richieste sopra specificate, rimangono salvi, i diritti di cui agli artt. 15 (diritto di accesso), 21 (diritto di opposizione) e 77 e ss. (reclamo e ricorso giurisdizionale ad Autorità di controllo) GDPR.
CONSERVAZIONE DEI DATI
I dati personali vengono raccolti dagli incaricati del relativo trattamento o dal responsabile esterno delegato alla ricerca e selezione delle risorse necessarie all’azienda e successivamente trattati in conformità allo scopo per il quale sono stati raccolti, anche mediante condivisione tra incaricati e responsabili esterni, sino al raggiungimento della relativa finalità.
Successivamente vengono archiviati e conservati mediante supporto cartaceo o informatico e, ove occorra per la specifica finalità, inseriti in database aziendali, per tutta la durata del rapporto e, successivamente, per il tempo in cui l’azienda sia soggetta ad obblighi di conservazione per finalità fiscali o per altre finalità, previste da norme di legge o regolamenti.
I dati relativi a rapporti esauriti o non soggetti ad obblighi di legge sono destinati alla cancellazione dopo un periodo massimo di cinque anni o inferiore su espressa richiesta.
MISURE DI SICUREZZA TECNICHE E ORGANIZZATIVE DI CUI ALL’ART. 32, PARAGRAFO 1, GDPR ACCESSO LIMITATO ALLA RETE AZIENDALE: tutti gli utenti aziendali fanno parte di un dominio Active Directory di Microsoft e sono assegnatari di credenziali nominative di accesso (cognome nome) ai dati presenti sui file server aziendali a disposizione degli utenti attraverso degli share di rete dotati di permessi per singoli o gruppi di utenti differenziati a seconda del proprio ruolo
aziendale.
GESTIONE DELLE CREDENZIALI POSTAZIONI AZIENDALI: password personale non divulgabile di lunghezza minima di 8 caratteri, con scadenza trimestrale e memorizzazione delle ultime 5 e pertanto la nuova password dovrà essere diversa da quelle memorizzate. L’errato inserimento della password per 10 tentativi consecutivi comporta il blocco dell’utenza per 30 minuti.
TRACCIABILITÀ ACCESSI INFORMATICI: saranno attivate le policy sui server aziendali per la tracciabilità e conservazione degli accessi degli Amministratori di sistema come da normativa vigente.
CONTROLLO CONNESSIONI: il controllo degli accessi è fornito da un sistema con n.2 firewall FORCEPOINT in HA (High Availability) collegati alle due connettività internet presenti: FIBRA1 (per ospiti e produzione con accesso protetto da password wifi fornita direttamente dal titolare del trattamento), FIBRA2 (per uffici e reparti).
SISTEMI DI PREVENZIONE/RILEVAMENTO MINACCE INFORMATICHE:
– presenza antivirus/malware forniti da ESET con gestione centralizzata in cloud, aggiornati quotidianamente;
– aggiornamento costante dei sistemi operativi “Windows” e “Mac” in dotazione alle singole postazioni lavorative;
– aggiornamento costante del sistema operativa presente sui server;
GESTIONE DELLA POSTA ELETTRONICA: Soluzione Microsoft 365 dotato di sistema di protezione avanzata antispam e antivirus, costantemente aggiornato per bloccare a monte eventuali minacce; Per gli utenti è attiva la MFA (Multi Factor Authentication) al di fuori della rete locale aziendale. MODALITÀ SCREEN SAVER DEI CLIENT: ogni singola postazione è impostata per entrare in modalità screen saver dopo un breve periodo di tempo e per il ripristino della funzionalità della macchina è necessario l’inserimento della password dell’utente;
POLITICHE AZIENDALI: Gli utenti sono costantemente sensibilizzati al mantenimento di un livello di attenzione alto durante l’uso degli apparati informatici ed in particolare della posta elettronica. Prossimamente sarà redatto il regolamento interno per l’utilizzo delle risorse informatiche; BACKUP ED ARCHIVIAZIONE: i file server aziendali sono soggetti a backup con soluzione VEEAM disk to disk quotidiano su unità esterne sicure (RAID5 o 10) non crittografate. MANUTENZIONE: è presente un soggetto interno designato quale incaricato al trattamento (amministratore di sistema) ed è l’unico autorizzato ad accedere e gestire l’intero sistema hardware/software aziendale. La manutenzione straordinaria dell’infrastruttura informatica è affidata a soggetti idonei che svolgono la propria attività sotto la supervisione dell’incaricato alla manutenzione o di altro soggetto eventualmente autorizzato dal titolare del trattamento. Dal 2019 tutta l’infrastruttura server è stata virtualizzata con VMware. Il locale dove sono presenti tali server è protetto con UPS e climatizzato per garantire la continuità operativa.
SICUREZZA DEI DOCUMENTI CARTACEI: la documentazione cartacea è conservata in armadio chiuso a chiave e posto in locale autonomo protetto da porta con serratura accessibile solo da soggetti incaricati ed autorizzati al trattamento dei dati ivi conservati.
SICUREZZA DEI SITI WEB: la gestione del sito web aziendale è delegata a responsabile esterno con il quale è stato formalizzato contratto contenente specifica designazione.
DESIGNAZIONE DEI RESPONSABILI DEL TRATTAMENTO: i responsabili esterni, designati come da registro dei trattamenti, forniscono per iscritto copia della loro privacy policy, ivi compreso l’elenco delle misure di sicurezza tecniche ed organizzative adottate per la protezione dei dati personali
trattati.
CONTROLLO DEGLI ACCESSI FISICI: l’accesso ai locali aziendali è gestito da apposito personale che si occupa del controllo degli ospiti e, ove necessario, procede alla relativa identificazione. L’accesso del personale avviene tramite utilizzo di badge elettronico contenente un numero identificativo idoneo ad identificare il singolo soggetto.
SORVEGLIANZA: presenza costante di personale e/o terzi incaricati che effettuano attività di vigilanza diretta e/o indiretta tramite sistema di videosorveglianza accessibile esclusivamente dai soggetti autorizzati dal titolare del trattamento ed utilizzabile al solo esclusivo fine di prevenire e/o reprimere attività illecite.
ANALISI DEI RISCHI
Per quanto concerne i dati comuni raccolti relativi ai soggetti specificati nella prima parte del presente documento i rischi legati alla gestione e al trattamento possono definirsi BASSI. Per i dati sensibili dei clienti e dei terzi, il rischio legati al loro trattamento può definirsi BASSO. Per i dati sensibili riguardanti lo stato di salute, o idonei a rivelare la vita sessuale, per le pratiche riguardanti la sfera personale e familiare (separazioni, divorzi, disconoscimenti di paternità) il rischio può definirsi BASSO.
Tali conclusioni risultano conformi sia per la presenza di idonee misure di sicurezza, siano esse inerenti alla rete aziendale od il controllo degli accessi fisici ai locali aziendali, sia per la tipologia dei dati trattati.
Nella raccolta dei dati l’azienda minimizza il trattamento a quanto necessario per il raggiungimento della specifica finalità, differenziando le informative in relazione alle singole categorie di interessati e pertanto, anche in ipotesi di fuoriuscita fraudolenta di dati personali, i danni si tradurrebbero nella divulgazione non autorizzata di dati particolari ed in ipotesi remote in furto d’identità.
I rischi relativi agli strumenti elettronici presenti in azienda possono riguardare malfunzionamenti o guasti, eventi naturali. Per ridurre i rischi al minimo sono state adottate oltre alle misure di sicurezza sopra specificate le seguenti misure di sicurezza: A) password alfanumerica di almeno otto caratteri, con sostituzione ogni tre mesi e comunicazione della stessa con modalità riservate; B) policy aziendale con la quale è divulgata informativa a tutti gli utilizzatori di non lasciare incustoditi gli strumenti elettronici e di puntuale verifica della provenienza delle e- mail, onde evitare accuratamente episodi di phishing o di infezione malware e, per il caso di dubbi, obbligo di informare il responsabile della sicurezza informatica; C) si è data disposizione di considerare internet e posta elettronica quali strumenti di lavoro e si è pertanto sconsigliata la navigazione in Internet su siti poco attendibili o non ufficiali e si è data disposizione di non aprire email provenienti da soggetti non conosciuti e di non inviare email non autorizzate dal titolare; D)
presenza di firewall aggiornati a controllo di entrambe le connettività Internet; E)sistema antivirus aggiornato unitamente ai sistemi operativi Windows e Mac costantemente aggiornati. Alla luce delle misure adottate ed in relazione ai dati personali trattati, il rischio può essere considerato BASSO in quanto le politiche ed i sistemi di sicurezza adottati sono idonei a prevenire sia accessi informatici esterni, sia accessi fisici alle singole postazioni.
Il rischio per il trattamento dei dati cartacei può essere considerato BASSO essendo l’archivio dotato di chiusura a chiave il cui uso è consentito ad un limitato numero di soggetti espressamente designati da parte del titolare del trattamento.
Durante l’attività ordinaria è stata data disposizione affinché i fascicoli contenenti i dati siano sempre riposti negli appositi schedari e/o armadi e che non vengano lasciati incustoditi sulle scrivanie.
Per quanto riguarda il rischio per la conservazione dei dati elettronici può essere considerato BASSO in quanto esiste sistema di backup giornaliero su supporto esterno dei dati condivisi presenti sul server.
Per il ripristino dei dati si è data istruzione che venga richiesto l’intervento del responsabile informatico interno che provvederà entro 24 ore, salvo tempi maggiori qualora l’entità dei danni al server non comporti la necessità di sostituzione.
Gli incaricati del trattamento sono affidabili e riservati quindi i rischi connessi ad incuria, distrazione sono BASSI.
Gli utenti autorizzati del sistema vengono formati, rispettivamente per i loro ruoli all’atto dell’ingresso nella struttura aziendale e per quanto concerne le procedure per garantire le misure di sicurezza dal titolare del trattamento.
Gli incaricati dovranno comunicare immediatamente al titolare disfunzioni dei sistemi operativi e sono autorizzati a richiedere l’intervento del tecnico incaricato in caso di interruzioni e disfunzioni. Terzi operatori tecnici interverranno sugli strumenti informatici previa autorizzazione ed invito ad effettuare gli interventi limitatamente alla prestazione da eseguire e alla presenza del titolare o delle persone autorizzate.
Il rischio di accesso all’azienda può essere considerato BASSO essendo dotato di servizio di portineria h24 oltre che da impianto di videosorveglianza e servizio di vigilanza notturna. L’azienda ha provveduto ad adottare le disposizioni della legge 626/94 e ss. è dotato di salvavita e estintori periodicamente controllati. I rischi eventuali sono inerenti ad eventi naturali e accidentali. Il rischio può essere considerato BASSO.
Il presente documento è stato redatto in duplice originale sottoscritto dal titolare del trattamento. Allegati: 1) modello informativa; 2) schema riepilogativo responsabili del trattamento; 3) schema riepilogativo incaricati/autorizzati al trattamento.
Vigevano, 1 luglio 2024.
ATOM CUTTING S.P.A.
