Premisa
El 25/05/2018 entró en vigor el Reglamento de la UE 679/2016 (GDPR) sobre el procesamiento de datos personales.
Por lo tanto:
• Le informamos que bajo el nuevo GDPR, GUARRACINO TRADE COMPANY S.R.L. ha adaptado sus políticas y para ello adjuntamos nuestro modelo de información.
• Que la Empresa GUARRACINO TRADE COMPANY S.R.L. se considera autorizado para procesar sus datos personales exclusivamente para los fines establecidos en la misma información;
• Lo invitamos a observar su política de privacidad interna actualizada al nuevo reglamento de la UE.
La Empresa GUARRACINO TRADE COMPANY S.R.L. se compromete a proteger la privacidad de los interesados y es responsable de la seguridad de los datos del cliente. Seremos claros y transparentes sobre la información que recopilamos y lo que haremos con esta información.
Esta información establece lo siguiente:
- Controlador de datos
- La lista de procesamiento de datos personales (Artículo 30 letra C de las Reglas GDPR)
- Indicación de los fines para los cuales se procesan los datos (Artículo 30 letra B) GDPR)
- Los métodos de tratamiento y comunicaciones.
- Áreas y herramientas con las que se realizan los tratamientos.
- El análisis de los riesgos que incumben a los datos, así como las medidas ya adoptadas y / o posiblemente a ser tomadas para garantizar la integridad y disponibilidad de los datos.
- Criterios de supervisión hacia gestores externos.
- Derechos del interesado.
- Declaración de compromiso y firma.
Administrador del tratamiento
El propietario de los tratamientos en la Empresa GUARRACINO TRADE COMPANY S.R.L. persona del Director Único o de otra persona a quien se le hayan delegado los poderes de representación.
La GUARRACINO TRADE COMPANY S.R.L a sede en la Zona Industriale ASI Aversa Nord presso Centro SINE’ -81032 Carinaro (CE), P. IVA IT06237151219.
Sus deberes y responsabilidades están definidos por el Decreto Legislativo 196/2003 (Cód.de Privacidad) y el Reglamento de la UE 679/2016.
En particular, el controlador de datos es responsable de identificar el procesamiento necesario para llevar a cabo los procesos comerciales, definiendo los propósitos, los métodos y la naturaleza de los datos procesados. El Controlador de datos también es responsable, de conformidad con el Código y el Reglamento de la UE, de la observancia de todas las regulaciones legales con respecto a los datos personales.
El administrador es responsable de definir las medidas de seguridad a implementar y monitorear la aplicación para asegurar y poder demostrar que el procesamiento se lleva a cabo de conformidad con el Código y las Regulaciones.
El administrador se encarga, eventualmente, de la designación de los Administradores de los Tratamientos, definiendo las tareas.
El administrador, además, en conformidad con las disposiciones combinadas de los artículos 33 y ss. del GDPR en caso de violación de los datos personales notifica la violación a la autoridad de control competente de conformidad con el art. 55 del mismo Reglamento Europeo sin demora justificada y, cuanto posible entre las 72 horas a partir de la fecha en que se conoció, a menos que la violación haga improbable un riesgo para los derechos y libertades de las personas física.
La lista actualizada de los eventuales responsables y encargados al tratamiento son custodiado en la sede legal del administrador del tratamiento.
Elenco de tratamiento de datos personales.
La GUARRACINO TRADE COMPANY S.R.L. Se ocupa de los datos proporcionados en el contexto de informes y relaciones comerciales. La Empresa también procesa los datos proporcionados legítimamente por agencias de información, asociaciones de protección de acreedores, fuentes de acceso público (P. Eje., Registros de Empresas, Registros de Asociaciones, Registro Catastral, Medios de Comunicación), así como, posiblemente, otras Empresas con las que mantiene una relación comercial permanente.
Los datos personales incluyen:
Los datos principales / datos de contacto, más precisamente:
• Como cliente privado: Nombre y Apellidos, dirección, datos de contacto (P. Eje., dirección de correo electrónico, número de teléfono, número de fax), fecha de nacimiento,
• Como cliente o proveedor corporativo: nombre del representante legal, empresa, número de IVA, código de la Empresa, dirección, datos de contacto del referente (dirección de correo electrónico, número de teléfono, fax), datos bancarios.
Los datos adicionales procesados son:
• Información sobre la naturaleza y el contenido de las relaciones comerciales, más precisamente información relacionada con contratos, citas, ventas y recibos, registros de clientes y proveedores, documentos de consulta,
• Datos de publicidad y ventas,
• Datos de documentación (P. Eje., protocolos de consulta), imágenes,
• Informaciones derivadas de transacciones electrónicas con GUARRACINO TRADE COMPANY S.R.L.... (P. Eje., dirección IP, datos de inicio de sesión),
• Cualquier otro dato recibido en el contexto de nuestra relación comercial (P. Eje., entrevistas con clientes),
• Los datos se generarán en función de los datos principales / datos de contacto y otros datos, analizando, P. Eje., las necesidades o el potencial del cliente.
• La documentación de su declaración de consentimiento para recibir, P. Eje., Boletines informativos.
• Datos comunes de clientes, proveedores, empleados, consultores y terceros necesarios para la relación de trabajo y la búsqueda de intereses comerciales legítimos según lo dispuesto en el art. 6 GDPR y del considerando n. 47:
• Datos confidenciales y / o judiciales del personal dependiente que resulten de la relación de trabajo y relacionados con las relaciones con las instituciones de seguridad social y bienestar, para los cuales se otorgó expresamente el consentimiento;
• Consentimiento previo, datos sensibles de clientes, proveedores y terceros.
Finalidad del tratamiento.
Los datos personales son procesados:
1) sin consentimiento expreso (Artículo 24 letra A), B), C) Cód. de privacidad y art. 6 letra. B), E) GDPR), para los siguientes fines de servicios:
- Concluir los contratos de los servicios del Administrador;
- Cumplir con las obligaciones precontractuales, contractuales y fiscales derivadas de las relaciones existentes con usted;
- Cumplir con las obligaciones establecidas por la ley, por un reglamento, por una legislación comunitaria o por una orden de la Autoridad (P. Eje., contra el lavado de dinero);
- Ejercer los derechos del Administrador, P. Eje., el derecho a la defensa en los tribunales;
2) Solo sujeto a un consentimiento específico y distinto (artículos 23 y 130 del Cód. de Privacidad y artículo 7 del GDPR), para los siguientes propósitos de mercadeo:
- Envío por correo electrónico, posta y / o SMS y / o contactos telefónicos, Boletines, comunicaciones comerciales y / o material publicitario sobre productos o servicios ofrecidos por el Administrador y detección del grado de satisfacción en la calidad de los servicios;
- Envío por correo electrónico, posta y / o SMS y / o contactos telefónicos comerciales y / o promocionales de comunicaciones de terceros (por ejemplo, socios comerciales, compañías de seguros). A los ya clientes, además, la Empresa se reserva el derecho de enviar comunicaciones comerciales relacionadas con los servicios y productos del Controlador de datos similares a los que ya se usaron, sujeto a desacuerdo (Artículo 130, párrafo 4 del Cód. de Privacidad).
- Recomendaciones de productos por correo electrónico: de conformidad con las disposiciones de la ley previstas por la legislación nacional y supranacional en vigor, GUARRACINO TRADE COMPANY S.R.L. tiene el derecho de utilizar la dirección de correo electrónico facilitada al momento de la compra de un producto o servicio como un canal de publicidad directa para artículos o servicios similares. En el caso de que, posteriormente, ya no desee recibir nuestros consejos a través de correo electrónico, puede retirar su consentimiento para utilizar su correo en cualquier momento sin incurrir en costos de transmisión distintos a los previstos de acuerdo con las tarifas básicas. Para ello, póngase en contacto con el contacto indicado en el punto 1. Por supuesto, cada correo electrónico también contiene un enlace para continuar con la cancelación.
- Boletín informativo: para enviar el boletín, la empresa utiliza el procedimiento denominado "doble opt-in", es decir, un boletín se enviará por correo electrónico solo si se confirmó previamente el deseo de activar el servicio de boletín durante procedimiento de registro. Por lo tanto, será responsabilidad de la Empresa enviar una notificación por correo electrónico, a través de la cual puede confirmar que desea recibir nuestros boletines de noticias haciendo clic en el enlace correspondiente que se encuentra en el texto de la misma. En el caso de que, posteriormente, ya no desee recibir nuestros boletines informativos por correo electrónico, puede revocar su consentimiento para utilizarlos en cualquier momento sin incurrir en costos de transmisión distintos a los proporcionados de acuerdo con las tarifas básicas. Simplemente envíe una notificación por escrito a GUARRACINO TRADE COMPANY S.R.L.
Métodos de tratamiento y comunicaciones.
Los datos serán procesados para fines relacionados con las obligaciones mutuas derivadas del contrato con la GUARRACINO TRADE COMPANY S.R.L. así como para las obligaciones exigidas por la ley y la normativa, incluso las secundarias. El tratamiento de los datos se procesará utilizando las herramientas adecuadas para garantizar la seguridad y la confidencialidad, y también se pueden realizar a través de herramientas automatizadas para almacenar, administrar y transmitir los datos de manera legal y correcta, recopilados y registrados con fines específicos, explícitos y legítimos; Exacto y, si es necesario, actualizado; Relevante, completo y no excesivo en relación con los fines del procesamiento.
También le informamos que el tratamiento de datos personales antes mencionado, relacionado y / o instrumental a la relación laboral con la GUARRACINO TRADE COMPANY S.R.L., puede ser realizado y / o comunicado por las siguientes personas:
• De / a administraciones públicas, organismos públicos y privados de seguridad social, asociaciones de sindicatos, organismos bilaterales, comisiones conjuntas y fondos de pensiones complementarios suplementarios con membresía obligatoria u opcional;
• De / a Empresas o consorcios, profesionales que brindan al escritor servicios de consultoría y / o servicios de procesamiento o actividades que son instrumentales para la Empresa y en particular por abogados y consultores en general;
• De / a compañías de seguros, corredores, expertos y compañías aéreas y ferroviarias, agencias de viajes, compañías de leasing o alquiler de automóviles, emisores de tarjetas de crédito y vales de comidas, bancos de clientes y proveedores y, en general, a terceros para quienes el tratamiento sea necesario para realizar su actividad normal de trabajo;
• De / a los sujetos a quienes el derecho de acceso a sus datos personales está reconocido por las disposiciones de la ley o la legislación comunitaria secundaria, así como la negociación colectiva y de la Empresa;
• De / a los sujetos a quienes la comunicación de sus datos personales es necesaria o, en cualquier caso, es funcional para la gestión de la relación laboral.
• Comunicación obligatoria de la delegación al Departamento de Trabajo (art. 39 y 40 del Decreto Legislativo No. 112/2008, convertido por Ley No. 133/2008 )
Los sujetos que pertenecen a las categorías a las que se pueden comunicar los datos, los tratarán como "propietarios" de acuerdo con la ley, en plena autonomía, sin relación con el tratamiento original realizado en la Empresa. También para los fines relacionados con la actividad económica de la Empresa y la relación laboral, también podría ser necesario procesar los datos personales incluidos en la lista de datos confidenciales, es decir, datos adecuados para detectar el origen racial o étnico, las convicciones religiosas y filosóficas. o de lo contrario, la adhesión a partidos, sindicatos, asociaciones y organizaciones de carácter religioso, filosófico, político o sindical, así como datos personales adecuados para detectar el estado de salud y la vida sexual o aquellos relativos a la inscripción en el registro judicial.
También le informamos que, en relación con el procesamiento antes mencionado, el interesado puede ejercer los derechos en virtud del art. 7 del Decreto Legislativo N ° 196/2003 y el art. 15 G.D.P.R.
De conformidad con el art. 13 del decreto legislativo. 196/2003 también se debe tener en cuenta que "cualquier negativa a responder", en el momento de recopilar la información, o cualquier negativa a procesar los datos podría conducir a la imposibilidad objetiva de observar parte de las obligaciones legales y / o contractuales relacionadas con la relación laboral; Relación que, por lo tanto, no se puede establecer o continuar.
El Administrador de datos procesará los datos personales durante el tiempo necesario para cumplir con los propósitos mencionados anteriormente y, en cualquier caso, durante un período no superior a 10 años a partir de la finalización de la relación para los fines del servicio y, a más tardar, 2 años a partir de la recopilación de datos con fines comerciales.
Los datos personales se almacenan en un server ubicados dentro de la Unión Europea. En cualquier caso, se entiende que el Administrador de datos, si es necesario, tendrá derecho a mover el server incluso fuera de la UE.
En este caso, el Administrador de datos garantiza que la transferencia de datos no pertenecientes a la UE se llevará a cabo de conformidad con las disposiciones legales aplicables, sujeto a la estipulación de las cláusulas contractuales estándar proporcionadas por la Comisión Europea.
Áreas y herramientas con las que se realizan los tratamientos.
La infraestructura informática de la GUARRACINO TRADE COMPANY S.R.L. Se caracteriza por un único server central.
La GUARRACINO TRADE COMPANY S.R.L. Cuenta con los siguientes sistemas de gestión:
- Mozilla Thunderbird cliente Correo electrónico
- Documento ad hoc para la detección de asistencia del personal.
- Web server
- PC cliente
- Intranet
Para las conexiones internas, se utiliza una red LAN; La conectividad externa "internet" está dedicada, utilizada la tecnología de fibra óptica / ADSL, gestionada por proveedores externos y protegida por un cortafuegos interno doble en el sitio, que cubre cualquier transferencia de datos al exterior. Los accesos por parte de proveedores y personal de mantenimiento, siempre se realizan con la autorización previa del Administrador.
La única documentación en papel está representada por las impresiones de facturación al finalizar los contratos firmados con la empresa.
Los documentos en papel generalmente se guardan en armarios (o equivalentes) equipados con una cerradura suministrada al personal a cargo de los tratamientos. Cuando son compatibles con los propósitos y la estructura de los documentos, los documentos específicos que contienen datos confidenciales se mantienen separados. En los casos en que se producen centralmente, se aplican los procedimientos de seguridad específicos definidos en este modelo.
Análisis de los riesgos que incumben a los datos.
Para implementar una política de seguridad y privacidad de acuerdo con el Reglamento de la UE 679/2016 y, a pesar de la ausencia de una obligación expresa de hacerlo, GUARRACINO TRADE COMPANY S.R.L. Ha realizado un análisis de riesgo que puede resumirse.
• Para los datos personales (datos comunes) de empleados, clientes, proveedores, consultores y posiblemente terceros: el riesgo asociado con su gestión puede definirse como bajo
• Para datos confidenciales de empleados, clientes, proveedores, consultores y posiblemente terceros para los cuales se haya otorgado expresamente su consentimiento: el riesgo asociado con su administración puede definirse como medio / bajo.
- El riesgo de acceso a la sede de la Empresa se puede definir como bajo: el acceso está controlado por el servicio de seguridad privado.
Existe un adecuado sistema antirrobo con servicio de video vigilancia adjunto.
El riesgo de manipulación y / o falla del equipo de administración de procesamiento de datos se puede definir como bajo: las estructuras están equipadas con un sistema antirrobo. El personal está sensibilizado sobre cómo usar y administrar el equipo. El Hardware utilizado es de fabricantes primarios y recientes. El parque de máquinas está gestionado internamente y cubierto por contratos de garantía.
- El riesgo de instalar software no autorizado y el acceso no autorizado a los programas de aplicación se puede definir como bajo: todos los usuarios acceden a los recursos de la Empresa con un perfil estándar, para el cual se inhiben las funciones de administración de la estación de trabajo. La instalación de programas no controlados está por lo tanto inhibida.
El acceso a los recursos de la aplicación se realiza especificando un nombre de usuario y una contraseña personales e intransferibles, a estos son perfiles de autorización vinculados que prohíben la posibilidad de acceder a áreas para las que no está autorizado.
La gestión de bloque de sesión se realiza automáticamente, en caso de uso no prolongado de la estación de trabajo.
- El riesgo relacionado con el tratamiento de datos (acceso no autorizado a archivos, modificación o cancelación de datos, pérdida (accidental o maliciosa) de datos, intercepción de transmisiones, incapacidad para restaurar datos después de un evento que los ha dañado) puede definirse como bajo: El acceso a los recursos de la Empresa se realiza a través de un perfil de autorización.
- La documentación en papel se guarda en cuartos cerrados.
- La red LAN está protegida del acceso externo por un sistema de Firewall.
Medidas de seguridad para la integridad y disponibilidad de los datos.
Para proteger los datos personales de los riesgos mencionados en el párrafo anterior, se adoptan las siguientes medidas de seguridad.
1) Medidas de seguridad física
Para garantizar la seguridad física de los locales donde se procesan los datos personales, además de las medidas previstas por la ley (P. Eje., el Decreto Legislativo 81/2008) o las normas internas de la Empresa (protección del sitio), se aplican los siguientes controles:
§ Los equipos de seguridad de información crítica (servidores de red, servidores de archivos, servidores de bases de datos, enrutadores, conmutadores y cortafuegos) se instalan en salas cerradas si no hay personas presentes para las actividades de mantenimiento y soporte.
§ El acceso a estas áreas se otorga solo al personal de mantenimiento o al personal previamente autorizado.
§ El personal externo a la Empresa puede acceder a las instalaciones y permanecer allí durante el tiempo necesario para completar la actividad solicitada (P. Eje., limpieza o mantenimiento), solo después de la aprobación explícita de los empleados y con la presencia constante de los mismos.
§ Las copias de seguridad de los datos, posiblemente incluso las confidenciales, se llevan a cabo en un disco duro físico por la parte designada, cuyo acceso se permite al persónale autorizado para su custodia, mantenimiento y quién está autorizado para procesar esos datos.
§ Las instalaciones utilizadas para los archivos, son administradas directamente por el Administrador, para datos confidenciales, estos están cerrados en armarios especiales, mientras que todos los demás datos se guardan en papel, la protección está representada por la oficina y los empleados que trabajan allí.
2) Medidas para la seguridad lógica
Para garantizar la seguridad lógica de la información, se proporcionan las siguientes comprobaciones:
§ Para usar las estaciones de trabajo (terminales y PC) y acceder a las aplicaciones para el tratamiento de datos, los empleados deben usar un usuario (user-id) y una contraseña de autenticación.
§ Las utilidades son estrictamente individuales y son creadas por el administrador del sistema,
a solicitud del Administrador. Cuando el usuario ha sido creado, el usuario debe especificar su propia contraseña de acuerdo con las reglas que se indican a continuación.
§ Los usuarios no deben ser asignados a otra persona por ningún motivo. Cuando una persona designada deja la Empresa, sus usuarios ya no pueden ser utilizados.
§ De forma regular, la Empresa verifica si hay servicios públicos que ya no se usan durante seis meses y los desactiva. Antes de eliminar un usuario, verifique con el Administrador si la necesidad que condujo a su creación persiste y tome, con su consentimiento, las acciones apropiadas (cancelación o mantenimiento).
§ Cuando se pierden las razones por las que se creó un usuario (renuncia, cambio de actividades, cambios tecnológicos), el Administrador del sistema desactiva inmediatamente al usuario. Los usuarios pueden mantenerse en su lugar (pero desactivados) hasta que se hayan completado las actividades de entrega entre la persona anterior y la nueva; Todo debe estar documentado. En este punto, se elimina, junto con todas las calificaciones del equipo.
§ Los usuarios se autentican usando una contraseña. Esto es secreto y no se debe comunicar a otros ni dejarlo desatendido, P. Eje, escribiéndolo en diarios o en hojas de notas. Sin embargo, un procesamiento ilegal que se realiza robando la contraseña a una persona a cargo es atribuible a la persona que no la guardó correctamente.
§ Cuando se olvida una contraseña, el Administrador del sistema verifica que el solicitante es la persona es el legítimo propietario y procede a establecer una nueva de acuerdo con las reglas definidas anteriormente junto con el solicitante.
§ Para superar situaciones de emergencia o responder a solicitudes legítimas de acceso a datos, el Administrador del sistema puede restablecer la contraseña de un usuario para el acceso temporal. La actividad realizada debe estar documentada y el propietario legítimo de la contraseña debe ser informado tan pronto como sea posible. En este punto, será su cuidado cambiar la contraseña utilizada para la situación de emergencia y establecer una nueva, que solo él conozca.
§ Cada persona a cargo tiene la obligación de no dejar la estación de trabajo desatendida mientras se activa una sesión de trabajo. Si fuera necesario cerrar la sesión y, en el caso de una PC, evitar el acceso a otras personas, utilizar la función de bloqueo de la PC siempre que sea posible o, alternativamente, proporcionar un programa de protección de pantalla con contraseña, si ninguno de los dos es aplicable El usuario deberá detener la sesión activa.
§ El uso y la contraseña controlan los derechos de una persona a cargo de usar una estación de trabajo y acceder a una aplicación. Los datos se procesan de acuerdo con un perfil de autorización emitido según las necesidades operativas reales de la persona a cargo y de acuerdo con las autorizaciones relativas.
§ El administrador del sistema establece el perfil de habilitación de acuerdo con las autorizaciones que le comunica el Propietario. Una copia de la solicitud de activación y la autorización se escanea y luego se registra en el sistema informático de la Empresa.
§ Una vez al año, la lista de usuarios activados y los perfiles de autorización relacionados se envía al Propietario. Esto verifica la corrección de las autorizaciones y la permanencia de la necesidad de las mismas. Luego confirme o solicite actualizaciones, la documentación sujeta a verificación debe archivarse para cualquier verificación posterior.
3) Medidas para la seguridad de las comunicaciones
Para garantizar la seguridad de las comunicaciones, se proporcionan las siguientes medidas de control:
§ Se instala un programa antivirus en todas las estaciones de trabajo conectadas a la red de Internet, gestionadas a través del componente del servidor, las actualizaciones son automáticas y se realizan al menos una vez al año para la parte del software y diariamente para la definición de los virus.
§ El acceso de "Internet" al exterior está controlado por un firewall, la administración se remite al personal interno que periódicamente verifica que las políticas de acceso y control estén siempre actualizadas y sean compatibles.
§ Cualquier transmisión de datos al exterior debe ser autorizada por el propietario y debe realizarse a través del sistema oficial identificado, este sistema debe proporcionar sistemas de cifrado de comunicaciones.
§ El servicio de correo electrónico se administra en el servicio de "Hosting" Mobile Thunderbird; Sin embargo, el uso está previamente autorizado. El intercambio de datos personales a través de este canal solo debe realizarse cuando sea estrictamente necesario, solicitado y autorizado de forma explícita, en cualquier caso, la información intercambiada no debe contener datos confidenciales. Cualquier envío de dichos datos puede implementarse siguiendo la aplicación de las herramientas apropiadas. Diseñado para realizar comunicaciones inteligibles.
4) Comunicación y transferencia de datos
Si los datos para los cuales la Empresa y el propietario son objeto de una Comunicación o transferencia a terceros, se lleva a cabo una verificación apropiada del cumplimiento de esta Comunicación con la información proporcionada a las partes interesadas. Si esta verificación falla, la Comunicación no puede tener lugar.
En el caso de comentarios positivos, la Comunicación y / o la transferencia de datos a terceros puede tener lugar con la restricción de cumplimiento con los propósitos de la Información, especificada por escrito al destinatario de la Comunicación o transferencia.
Si los destinatarios de la Comunicación se identifican en el Informativo por medio de indicaciones genéricas, el responsable de la Organización de los tratamientos posee un registro en el que los destinatarios específicos están debidamente indicados.
La comunicación de datos relacionados con los tratamientos para los cuales la Empresa es responsable externo solo se permite si el receptor de la Comunicación ha sido debidamente identificado y autorizado por el propietario de datos; En todos los demás casos la Comunicación no puede tener lugar.
5) Gestión y conservación de documentos en papel
Todos los Distribuidores autorizados a los Tratamientos que prevén el uso de documentos en papel están equipados con armarios o contenedores con cerradura para la protección y el almacenamiento adecuados de los documentos que contienen datos personales.
En caso de que sea compatible con su estructura física, los documentos que contienen datos particulares se mantienen separados de los documentos que solo contienen datos comunes y el acceso se limita a las personas a cargo que realizan tareas que requieren su uso.
Los documentos que ya no tienen valor operativo están sujetos a conservación solo si esto se debe a obligaciones legales o por razones legales, histórico y, en cualquier caso, especificado puntualmente, identificado por el Administrador de datos y documentado por el responsable de la organización. El almacenamiento se realiza habitualmente en salas de almacenamiento especiales, cuyo acceso está controlado.
6) Uso y custodia de instrumentos electrónicos
Las herramientas informáticas están protegidas contra los riesgos de intrusión y la acción de los programas conforme al art. 615 quinquies del código penal a través de la activación de instrumentos electrónicos apropiados. La actualización de estas herramientas, así como, en general, las actualizaciones periódicas de los programas destinados a prevenir la vulnerabilidad de las herramientas electrónicas y la corrección de defectos se realizan al menos una vez cada seis meses.
Los puestos de trabajo puestos a disposición de los empleados están equipados con las herramientas de protección adecuadas y las funciones de seguridad se activan de acuerdo con las especificaciones técnicas de los dispositivos individuales. Se impide a los distribuidores (o, si no es técnicamente posible, se les ordena) que cambien estos ajustes preconfigurados.
7) Relaciones con proveedores
En relación con sus proveedores, la Empresa adopta cláusulas contractuales apropiadas destinadas a salvaguardar sus derechos y responsabilidades con respecto al procesamiento de datos personales.
Con este fin, de acuerdo con los diferentes tipos de contratos estándar utilizados por la Empresa, se han desarrollado cláusulas específicas para salvaguardar y definir en detalles el rol y las obligaciones del Proveedor.
8) Restricciones de acceso a bases de datos
Por lo tanto, el uso de herramientas de extracción e información genéricas de bases de datos que contienen datos personales sensibles o confidenciales debe limitarse a unos pocos sujetos específicamente autorizados, implementando en todos los demás casos herramientas de aplicación predefinidas.
Criterios de supervisión hacia eventuales responsables externos.
La Empresa GUARRACINO TRADE COMPANY S.R.L. En los casos en que confíe a terceros el tratamiento de datos personales, de los cuales la Empresa es el Controlador de Datos (designado como Responsable Externo de los Tratamientos), regula los siguientes criterios de supervisión.
tras la designación de una persona externa al responsable, y de manera consistente con el servicio solicitado, se proporcionan instrucciones detalladas sobre los requisitos de seguridad que se deben cumplir. La supervisión realizada por la Empresa se basa en un plan organizativo, lógico y físico.
1) Supervisión organizativa
Se solicita al gerente externo una declaración específica sobre la implementación de las medidas de seguridad mínimas previstas en el Reglamento Técnico.
La Empresa se reserva el derecho de verificar tanto el nombramiento oportuno del personal que utiliza el proveedor para el desempeño de los servicios encomendados como la capacitación completa. También se solicita una copia de los procedimientos de notificación de incidentes en los casos de:
• Presencia de virus
• Recuperación de datos de copias de seguridad
• Pérdida accidental o destrucción de datos
2) supervisión lógica
Se requiere que el gerente produzca, cada seis meses, información actualizada, limitada a los Tratamientos de los que la Empresa es Propietaria, con respecto a:
• Lista completa de identificadores de usuario definidos
• Identificación de usuario no utilizada en el período
• Descripción de los casos de re inicialización de contraseñas
• Relevar Frecuencias efectivas de cambios de contraseña
Además, todos los eventos que dieron lugar a informes de incidentes relacionados con los tratamientos de la Empresa deben comunicarse y documentarse adecuadamente dentro de los 15 días posteriores a su ocurrencia.
A intervalos de no menos de un año, se le solicita al proveedor que proceda con una simulación de los procedimientos de recuperación en presencia del personal de la Empresa.
3) supervisión física
Se solicita la identificación y descripción de los lugares donde la copia de seguridad admite los datos y / o los programas informáticos confiados. Se debe proporcionar una copia completa de los archivos trimestrales a la Empresa para su custodia independiente en sus propias instalaciones.
Derechos del interesado.
La parte interesada en virtud y por efecto del art. 7 del Cód. de Privacidad y el art. 15 GDPR tiene el derecho de obtener confirmación de la existencia o no de los datos personales que les conciernen, incluso si aún no están registrados, y su comunicación en forma inteligible y precisamente los derechos de:
1) Obtener confirmación de la existencia o no de datos personales que le conciernen, incluso si todavía no están registrados y su comunicación en una forma inteligible;
2) Obtener la indicación:
a) Del origen de los datos personales;
b) De los fines y métodos del tratamiento;
c) De la lógica aplicada en caso de tratamiento realizado con ayuda de instrumentos electrónicos;
d)De los detalles de identificación del propietario, los gerentes y el representante designado de conformidad con el art. 5, párrafo 2 del Cód. de Privacidad y art. 3, párrafo 1, GDPR;
e) De sujetos o de las categorías de sujetos a quienes los datos personales pueden ser comunicados o que pueden conocerlos como un representante designado en el territorio del Estado, de gerentes o agentes;
3) Obtener:
a) Actualización, rectificación o, cuando esté interesado, integración de datos;
b) La cancelación, la transformación en forma anónima o el bloqueo de datos procesados ilegalmente, incluidos los datos cuya retención no es necesaria para los fines para los cuales los datos fueron recopilados o procesados posteriormente;
c) La declaración de que las operaciones mencionadas en las letras a) y b) han sido señaladas a la atención, también en lo que respecta a su contenido, de aquellos a quienes se les ha comunicado o difundido los datos, excepto en el caso de que se cumpla este requisito. resulta imposible o implica un uso de medios manifiestamente desproporcionados al derecho protegido;
4) Objetar, en todo o en parte:
a) por razones legítimas, el procesamiento de datos personales que le conciernen, incluso si son pertinentes para el propósito de la recopilación;
b) Al tratamiento de datos personales que le conciernen con el fin de enviar publicidad o material de ventas directas o para llevar a cabo estudios de mercado o comunicaciones comerciales, mediante el uso de sistemas automatizados de llamadas sin la intervención de un operador. por correo electrónico y / o mediante métodos de marketing tradicionales por teléfono y / o correo postal.
Cabe señalar que el derecho de oposición de la parte interesada, declarado anteriormente, para fines de mercadeo directo a través de métodos automatizados se extiende a los tradicionales y que, en cualquier caso, existe la posibilidad de que la parte interesada ejerza el derecho de oposición, incluso parcialmente. Por lo tanto, la parte interesada puede decidir recibir solo comunicaciones utilizando métodos tradicionales o solo comunicaciones automatizadas o ninguno de los dos tipos de comunicación. En su caso, también tiene los derechos mencionados en los artículos. 16-21 GDPR (Derecho de rectificación, derecho a ser olvidado, derecho de limitación del tratamiento, derecho a la portabilidad de los datos, derecho de oposición), así como el derecho de queja ante la Autoridad del Garante.
Consideraciones conclusivas, declaración de compromiso y firma.
El presente documento se deriva del análisis de los problemas relacionados con la entrada en vigor del Reglamento de la UE 679/2016 mencionado en la introducción.
La copia de este documento se adjunta a los destinatarios de las comunicaciones anteriores para proporcionar instrucciones sobre las tareas y reglas que deben observarse en la actividad llevada a cabo por la Empresa GUARRACINO TRADE COMPANY S.R.L.
El presente documento está firmado en la parte inferior por SIMONE GUARRACINO en calidad de ÚNICO ADMINISTRADOR de GUARRACINO TRADE COMPANY S.R.L
La originalità del documento se conserva en la sede de GUARRACINO TRADE COMPANY S.R.L. sede in Zona Industriale ASI Aversa Nord presso Centro SINE’ -81032 Carinaro (CE)
Para ser expuesto en caso de necesidad.
una copia será entregada:
- A cualquier persona que lo solicite en relación con el establecimiento de una relación que implique el tratamiento de datos personales.