Cos’è il GDPR?
Il General Data Protection Regulation (GDPR) è il Regolamento Europeo che ha armonizzato la disciplina del trattamento dei dati personali in Europa. É efficace a partire dal 25 Maggio 2018 ed obbliga qualsiasi soggetto giuridico, nell’ambito della propria attività d’impresa, ad assicurare un adeguato livello di protezione dei dati personali ed a conformarsi con le sue disposizioni.
Quando noi di Stiip forniamo servizi informatici, spesso trattiamo informazioni e dati personali anche per conto dei nostri clienti. Pertanto, mettiamo la protezione dei dati personali al centro dei nostri valori ed abbiamo adottato un modello organizzativo finalizzato all’aggiornamento ed al miglioramento continui, investendo risorse ed energie.
In questa pagina, vogliamo fornire a tutti i nostri clienti, fornitori e ai terzi interessati le informazioni necessarie a comprendere come trattiamo i dati personali, nel rispetto dei principi di chiarezza e trasparenza imposti dal GDPR.
Alcune definizioni
Per poter comprendere pienamente le informazioni che seguiranno, ti forniamo la spiegazione dei termini fondamentali utilizzati in questa pagina e dal GDPR.
É un dato personale qualsiasi informazione riferita ad una persona fisica identificata o identificabile. Ad esempio, sono dati personali il nome e il cognome, l’indirizzo, il numero di telefono, il codice fiscale, l’indirizzo di posta elettronica, le fotografie, la professione svolta, la retribuzione, i dati bancari, le condizioni di salute etc.
Non sono invece dati personali quelli riferiti alle società e alle altre persone giuridiche, come la denominazione, la sede legale, la P.IVA, i dati di bilancio, gli indirizzi e-mail aziendali come info@nomesocietà.it etc. Tuttavia, sono dati personali quelli delle persone fisiche che ci lavorano, come i legali rappresentanti, i dipendenti, i professionisti esterni etc.
Un dato è personale soltanto quando è possibile ricondurlo ad una persona fisica. Un dato completamente anonimo, invece, non è soggetto al rispetto della normativa.
I dati personali possono “essere comuni” o aventi natura particolare (i c.d. “dati sensibili”). Entrambe le tipologie di dati sono soggette al rispetto del GDPR, tuttavia, i dati sensibili richiedono un livello di attenzione superiore rispetto ai dati comuni.
Sono sensibili i dati relativi alla salute, le abitudini e l’orientamento sessuale, l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, i dati biometrici (art. 9 GDPR).
Sono considerati dati di natura particolare anche i dati relativi a condanne penali e reati (art. 10 GDPR).
Tutti gli altri dati personali vengono invece considerati dati comuni.
Si considera trattamento qualsiasi operazione effettuata su dati personali, ad esempio la conservazione, la consultazione, la cancellazione, la comunicazione, la modifica etc.
I ruoli del GDPR
In base al GDPR, un soggetto giuridico può trattare dati personali in qualità di titolare del trattamento, di responsabile del trattamento, di contitolare oppure di autorizzato al trattamento.
Titolare del trattamento è la persona fisica o giuridica che determina le finalità e i mezzi del trattamento di dati personali.
Ciascuna impresa è quindi titolare del trattamento di dati personali riferiti ai propri clienti, dipendenti e fornitori.
Quando si tratta di una società, titolare del trattamento non è il suo legale rappresentante ma la società stessa.
Sono contitolari del trattamento due o più titolari che determinano congiuntamente le finalità e i mezzi del trattamento.
È responsabile del trattamento la persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento.
Quando un’impresa affida ad un fornitore esterno delle attività che comportano il trattamento di dati personali (es. consulenti del lavoro, commercialisti, fornitori di servizi IT, hosting provider etc.), quest’ultimo assume il ruolo di responsabile del trattamento.
Ai sensi dell’art. 28 GDPR, un titolare può ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate. Il rapporto fra titolare e responsabile del trattamento deve inoltre essere regolato da un contratto (Data Processing Agreement) o da un altro atto giuridico idoneo a norma del diritto dell’Unione o degli Stati Membri.
Sono autorizzate al trattamento le persone fisiche che operano sotto la direzione del titolare o del responsabile del trattamento (ad esempio i dipendenti di una società) e che sono chiamate a trattare dati personali nello svolgimento dei loro compiti e delle loro mansioni.
L’interessato è la persona fisica a cui si riferiscono i dati personali trattati. Ad esempio, se sei cliente di una società che tratta i tuoi dati personali (cognome e nome, indirizzo, telefono, codice fiscale etc.), tu sei l’interessato del trattamento di dati personali.
Stiip come titolare del trattamento
Stiip opera in qualità di titolare del trattamento ogni volta in cui tratta dati personali per proprio conto e per finalità da essa determinate.
Ad esempio, Stiip in qualità di titolare del trattamento i dati personali dei propri clienti e dei propri fornitori per finalità contabili e per dare esecuzione ai rispettivi contratti. Inoltre, Stiip tratta in qualità di titolare del trattamento i dati personali dei propri dipendenti, con finalità legate alla corretta esecuzione dei contratti di lavoro, all’adempimento delle norme sulla sicurezza, alla formazione etc.
In qualità di titolare del trattamento, Stiip deve comunicare agli interessati come tratta i loro dati personali, mettendo a disposizione un’informativa redatta ai sensi degli artt. 13 e 14 del GDPR.
Puoi leggere la nostre informativa cliccando sul pulsante qua sotto oppure puoi scaricarla cliccando qui.
Stiip come responsabile del trattamento
Stiip opera in qualità di responsabile del trattamento quando tratta dati per conto dei propri clienti nell’ambito della fornitura di servizi di natura informatica.
In qualità di responsabile del trattamento, Stiip si impegna a garantire ai propri clienti il pieno rispetto delle normative in materia di protezione dei dati personali e a fornire elevati standard di sicurezza.
L’art. 28 GDPR richiede che i trattamenti di dati personali da parte di un responsabile del trattamento vengano regolati da un contratto (c.d. Data Processing Agreement). Per adeguarsi al disposto normativo e permetterne il rispetto anche ai propri clienti, Stiip ha predisposto il proprio Data Processing Agreement. Se sei un nostro cliente e ci hai conferito un incarico che comporta il trattamento di dati personali per tuo conto, dovresti già aver firmato questo documento come allegato al contratto di servizi. Se non lo hai ancora fatto, cliccando sul seguente pulsante puoi accedere al contratto e scaricarne una copia. Compilalo con i dati dell’impresa, firmarlo ed inviacelo all’indirizzo info@stiip.it. Noi lo firmeremo a nostra volta e te lo restituiremo.
I nostri sub-responsabili del trattamento
Per alcuni dei servizi di cui è responsabile del trattamento, Stiip ricorre a sub-fornitori, che ricoprono il ruolo di sub-responsabili del trattamento.
Puoi verificare la lista aggiornata dei nostri sub-responsabili cliccando sul seguente pulsante.
Quali sono i diritti degli interessati con riferimento ai loro dati personali?
Il GDPR (articoli 15-22) riconosce importanti diritti in materia di protezione dei dati personali, che, in qualità di interessato, puoi esercitare nei nostri confronti con riferimento ai dati che trattiamo in qualità di titolari del trattamento.
Quando invece trattiamo i tuoi dati in qualità di responsabili del trattamento per conto di un nostro cliente, non possiamo rispondere alla tua richiesta, che dovrai rivolgere al titolare del trattamento.
In particolare, hai il diritto di sapere se è in corso un trattamento di dati personali che ti riguardano e, se confermato, di ottenere una copia di tali dati ed essere informato su: l’origine dei dati; le categorie di dati personali trattate; i destinatari dei dati; le finalità del trattamento; l’esistenza di un processo decisionale automatizzato, compresa la profilazione; il periodo di conservazione dei dati.
Puoi chiedere, nei casi previsti dal GDPR, che i dati personali a te riferiti siano rettificati o cancellati, o che ne venga limitato il trattamento. Puoi inoltre chiedere che i dati che tu hai fornito a Stiip siano trasferiti ad un altro titolare (“diritto alla portabilità”), nel caso in cui il trattamento si basi sul tuo consenso o su un contratto con te stipulato e venga effettuato con mezzi automatizzati.
Puoi opporti al trattamento dei tuoi dati personali per motivi connessi alla tua situazione particolare, da specificare nella richiesta oppure senza necessità di motivare l’opposizione, quando i tuoi dati sono trattati per finalità di marketing diretto.
In ogni caso, puoi depositare un reclamo presso l’Autorità Garante per il trattamento dei dati personali in caso tu ritenga che Stiip abbia violato i tuoi diritti.
