POLITICHE RELATIVE AL TRATTAMENTO DEI DATI

Nei paragrafi che seguono sono elencati e descritti i precetti e le direttive cui devono attenersi coloro che trattano i dati per conto del Titolare e/o sotto l’autorità dello stesso.

Principi generali del trattamento

Tutti i destinatari devono:

  • Rispettare i principi generali del Regolamento (UE) 2016/679 (cfr. par. 3.1.3), con particolare riferimento alla liceità e correttezza del proprio agire, all’obbligo di procedere alla raccolta e alla registrazione dei dati per scopi determinati, espliciti e legittimi;
  • Rispettare l’obbligo di riservatezza e segretezza e conseguentemente il divieto di comunicazione e diffusione dei dati trattati nel corso dell’incarico svolto;
  • Utilizzare i dati, cui abbia accesso, solamente per finalità compatibili all’esecuzione delle proprie mansioni o dei compiti affidati, per cui è autorizzato ad accedere alle informazioni e ad utilizzare gli strumenti lavorativi;
  • Rispettare le misure di sicurezza idonee adottate dalla società, atte a salvaguardare la riservatezza e l’integrità dei dati;
  • Segnalare eventuali malfunzionamenti di strumenti elettronici, perdite di dati o esigenze (sia di natura organizzativa, sia tecnica), che possano migliorare lo svolgimento delle operazioni affidate;
  • Accedere ai dati strettamente necessari all’esercizio delle proprie funzioni e competenze;
  • In caso di interruzione del lavoro, anche temporanea, verificare che i dati trattati non siano accessibili a terzi non autorizzati;
  • Mantenere riservate le proprie credenziali di autenticazione;
  • Svolgere le attività previste dai trattamenti secondo le direttive del responsabile del trattamento dei dati; non modificare i trattamenti esistenti o introdurre nuovi trattamenti senza l’esplicita autorizzazione del responsabile del trattamento dei dati;
  • Rispettare e far rispettare le norme di sicurezza per la protezione dei dati personali;
  • Informare il responsabile in caso di incidente di sicurezza che coinvolga dati particolari e non;
  • Raccogliere, registrare e conservare i dati presenti negli atti e documenti contenuti nei fascicoli di studio e nei supporti informatici avendo cura che l’accesso ad essi sia possibile solo ai soggetti autorizzati;
  • Eseguire qualsiasi altra operazione di trattamento nei limiti di quanto consentito e nel rispetto delle norme di

Divieti generali

Di seguito sono riportati divieti validi per tutti i destinatari:

  • Alterare documenti informatici, pubblici o privati, aventi efficacia probatoria;
  • Accedere abusivamente al sistema informatico o telematico di soggetti pubblici o privati;
  • Accedere abusivamente al sistema informatico o telematico del Titolare al fine di alterare e /o cancellare dati e/o informazioni;
  • Detenere e utilizzare abusivamente codici, parole chiave o altri mezzi idonei all’accesso al sistema informatico o telematico del Titolare o di soggetti concorrenti, pubblici o privati al fine di acquisire informazioni riservate;
  • Svolgere attività di approvvigionamento e/o produzione e/o diffusione di apparecchiature e/o software allo scopo di danneggiare un sistema informatico o telematico di soggetti, pubblici o privati, le informazioni, i dati o i programmi in esso contenuti, ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento;
  • Svolgere attività fraudolenta di intercettazione, impedimento o interruzione di comunicazioni;
  • Svolgere attività di modifica e/o cancellazione di dati, informazioni o programmi di soggetti privati o soggetti pubblici o comunque di pubblica utilità;
  • Svolgere attività di danneggiamento di informazioni, dati e programmi informatici o telematici altrui;
  • Caricare programmi non provenienti da una fonte certa e autorizzata dal Titolare;
  • Acquistare licenze software da una fonte (rivenditore o altro) non certificata e non in grado di fornire garanzie in merito all’originalità/autenticità del software;
  • Detenere supporti di memorizzazione di programmi non originali (DVD\CD\floppy);
  • Installare un numero di copie di ciascun programma ottenuto in licenza superiore alle copie autorizzate dalla licenza stessa, al fine di evitare di ricadere in possibili situazioni di underlicensing; o utilizzare illegalmente password di computer, codici di accesso o informazioni simili per compiere una delle condotte sopra indicate;
  • Utilizzare strumenti o apparecchiature, inclusi programmi informatici, per decriptare software o altri dati informatici;
  • Distribuire i software del Titolare a soggetti terzi;
  • Realizzare codice software che violi copyright di terzi;
  • Accedere illegalmente e duplicare banche

Accessi alle aree di lavoro e gestione delle postazioni Accessi alle aree di lavoro

L’accesso agli uffici, alle aree protette, alle aree riservate ed agli archivi cartacei, è permesso ai soggetti espressamente autorizzati, in base a precise e motivate esigenze lavorative.

I visitatori e gli ospiti di vario genere (clienti, partner commerciali, fornitori e consulenti etc.) potranno avere accesso alle aree di lavoro esclusivamente previa autorizzazione.

È, pertanto, fondamentale che le aree di lavoro – ove sono custoditi i dati personali (ed in particolare quelli di natura sensibile) – siano soggette a controllo e a verifica, al fine di evitare che durante l’orario di lavoro i dati possano essere conosciuti o accessibili da parte di soggetti non autorizzati.

A livello fisico, tali controlli di sicurezza sono eseguiti tramite:

  • Procedure di identificazione e di autorizzazione all’accesso,
  • Sistema di allarme e di sorveglianza degli ambienti di lavoro, A livello logico i controlli di sicurezza sono eseguiti tramite:
  • Procedure e sistemi di identificazione e riconoscimento dell’utente, (credenziali di autenticazione, )
  • Sistema antintrusione, antivirus, con soluzioni tecnologicamente all’avanguardia.

Gli accessi fisici di terzi per le sole attività di servizio o di fornitura sono regolamentati dai contratti; mentre tutti gli accessi logici di terzi, se previsti, sono regolamentati da precisi accordi contrattuali che determinano i vincoli e le regole di accesso.

Le aree di lavoro sono protette da controlli di accesso tali da garantire che solo il personale autorizzato possa accedervi. Il personale esterno • potrà accedervi solo previa autorizzazione e, in ogni caso, accompagnato da personale autorizzato.

Per il personale interno l’accesso è tenuto sotto controllo mediante:

  • La sottoscrizione delle autorizzazioni al trattamento dei dati e eventuali accordi di riservatezza;
  • Il riconoscimento personale da parte degli altri autorizzati;

I visitatori e gli ospiti devono sostare esclusivamente nei locali individuati come “area attesa/reception’ Nei locali in cui avviene il trattamento dati possono accedere soltanto i soggetti autorizzati.

È affidato agli stessi autorizzati l’onere di controllare che nei locali non entrino altri soggetti che non abbiano l’appropriata autorizzazione.

Tutto il personale adotterà misure di identificazione a vista e deve essere esortato a chiedere il riconoscimento degli estranei non accompagnati.

Qualora dovessero accedere soggetti terzi nei locali in cui viene effettuato il trattamento dati, come ad esempio durante le operazioni di pulizia o manutenzione, è compito degli autorizzati sorvegliare l’operato dei soggetti non autorizzati, in modo che questi ultimi non possano comunque acquisire dati o informazioni, per osservazione diretta o altro metodo di cattura di dati o informazioni.

L’accesso agli archivi contenenti categorie particolari di dati (ex dati sensibili), o giudiziari, o comunque riservati, è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici, le persone che vi accedono devono essere sono preventivamente autorizzate.

Gestione delle postazioni

L’utilizzo della postazione di lavoro e il conseguente accesso ai documenti, atti e archivi è consentito nei limiti della propria funzione e dei propri incarichi.

La propria scrivania/postazione deve essere mantenuta in ordine, verificando di non lasciare documenti e atti riservati senza un proprio controllo all’accesso di terzi, in momenti di pausa, terminata la giornata di lavoro e/o in periodi di assenza.

ln caso di allontanamento dal proprio ufficio o dalla propria postazione di lavoro, ciascun soggetto autorizzato allo svolgimento delle operazioni di trattamento deve adottare tutte le accortezze e precauzioni al fine di impedire l’accesso fisico a chi non sia legittimato, soprattutto se esterno o non specificamente autorizzato.

Qualora l’autorizzato utilizzi, nello svolgimento delle proprie mansioni, atti/documenti contenenti dati personali o sensibili, questi non devono essere lasciati incustoditi e occorre siano evitati eventuali accessi o la conoscenza da parte di soggetti non autorizzati; alla fine del ciclo di lavoro, la documentazione deve essere SEMPRE riposta negli archivi ad accesso controllato.

Utilizzo delle risorse informatiche

Tutte le risorse informatiche messe a disposizione dei destinatari (di seguito anche utenti) dal Titolare devono essere utilizzate secondo le disposizioni contenute nei paragrafi seguenti.

Utilizzo dei PC

Il computer consegnato al responsabile è uno strumento di lavoro e contiene tutti i software necessari a svolgere le attività affidate. Ogni utilizzo non inerente all’attività lavorativa può contribuire ad innescare disservizi, rallentamenti del sistema, costi di manutenzione e, soprattutto, minacce alla sicurezza.

L’accesso all’elaboratore è protetto da credenziali di autenticazione (user name e password) che devono essere custodita dall’autorizzato con la massima diligenza e non divulgate.

Per necessità lavorative del Titolare, gli amministratori di sistema, utilizzando il proprio login con privilegi di amministratore e la password dell’amministratore, potranno accedere sia alle memorie di massa locali di rete (repository e backup) sia ai server del Titolare nonché, previa comunicazione al lavoratore, accedere al computer, anche in remoto.

Non è consentito all’autorizzato modificare le caratteristiche impostate sul proprio PC, salvo autorizzazione esplicita del Titolare o del Responsabile IT.

Colui che utilizza il PC:

  • Se si allontana dalla propria postazione, dovrà mettere in protezione il suo dispositivo affinché persone non autorizzate non abbiano accesso ai dati protetti;
  • Dovrà bloccare il suo dispositivo prima delle pause e, in generale, ogni qualvolta abbia bisogno di allontanarsi dalla propria postazione;
  • Dovrà chiudere la sessione (Logout) a fine giornata;
  • Dovrà spegnere il PC dopo il Logout;
  • Dovrà controllare sempre che non vi siano persone non autorizzate alle sue spalle che possano prendere visione delle schermate del suo dispositivo;
  • Dovrà mantenere sul computer esclusivamente i dispositivi di memorizzazione, comunicazione o altro (come ad esempio masterizzatori), disposti dall’organizzazione;
  • Non dovrà dare accesso al proprio computer ad altri utenti, a meno che siano altri autorizzati con cui condividono l’utilizzo dello stesso Pc o a meno di necessità stringenti e sotto il proprio costante

Deve sempre essere attivato lo screen saver e l’accesso con credenziali.

ln ogni caso lasciare un elaboratore incustodito connesso alla rete può essere causa di utilizzo da parte di terzi senza che vi sia la possibilità di provarne in seguito l’indebito uso.

Ogni utente deve prestare la massima attenzione ai supporti di origine esterna, avvertendo immediatamente il Responsabile dei sistemi informatici nel caso in cui vengano rilevati virus.

Infine, l’utente dovrà utilizzare solo ed esclusivamente le aree di memoria della rete del Titolare e ivi creare e registrare file e software o archivi dati, senza pertanto creare altri file fuori dalle unità di rete. Eventuali file, creati o elaborati o modificati sul computer per esigenze specifiche, devono essere poi sempre salvati a fine giornata sul sistema di repository documentale centralizzato. Il Titolare non effettua il backup dei dati memorizzati in locale.

Utilizzo di Notebook, Tablet, Smartphone etc.

Il computer portatile (notebook), il tablet e lo smartphone (di seguito generalizzati in

‘dispositivi mobili”) possono venire concessi in uso dal Titolare agli utenti che durante gli spostamenti necessitino di disporre di archivi elettronici, supporti di automazione e/o di connessione alla rete.

L’utente è responsabile dei dispositivi mobili assegnatigli e deve custodirli con diligenza sia durante gli spostamenti sia durante l’utilizzo nel luogo di lavoro.

Ai dispositivi mobili si applicano le regole di utilizzo previste per i computer connessi in rete, con particolare attenzione alla rimozione di eventuali file elaborati sullo stesso prima della riconsegna.

I file creati o modificati sui dispositivi mobili, devono essere trasferiti sulle memorie di massa del Titolare al primo rientro in ufficio e cancellati in modo definitivo dai dispositivi mobili (Wiping).

Sui dispositivi mobili è vietato installare applicazioni (anche gratuite) se non espressamente autorizzate. I dispositivi mobili utilizzati all’esterno (convegni, eventi, sopralluoghi ecc.…), in caso di allontanamento, devono essere custoditi in un luogo protetto.

ln caso di perdita o furto dei dispositivi mobili, deve far seguito la denuncia alle autorità competenti. Allo scopo, si deve immediatamente avvisare il Titolare che provvederà — se del caso — ad occuparsi delle procedure connesse al data breach. Anche di giorno, durante l’orario di lavoro, all’utente non è consentito lasciare incustoditi i dispositivi mobili.

All’utente è vietato lasciare i dispositivi mobili incustoditi e a vista dentro l’auto o in una stanza d’albergo o nell’atrio dell’albergo o nelle sale d’attesa delle stazioni ferroviarie e aeroportuali.

I dispositivi mobili che permettono l’attivazione di una procedura di protezione (PIN) devono sempre essere abilitabili solo con la digitazione del PIN stesso e non possono essere lasciti privi di PIN.

Laddove il dispositivo mobile sia accompagnato da un’utenza, l’utente è chiamato ad informarsi preventivamente dei vincoli ad essa associati (es. numero minuti massimo, totale gigabyte, dati) e a rispettarli. Qualora esigenze lavorative richiedessero vincoli differenti, l’utente è tenuto ad informare tempestivamente e preventivamente il Titolare.

ln relazione alle utenze mobili, salvo autorizzazione del Titolare, è espressamente vietato ogni utilizzo all’estero.

Credenziali di autenticazione

Le credenziali, composte da autorizza sono un metodo di autenticazione adottato dal Titolare per garantire l’accesso protetto ad uno strumento hardware, oppure ad un applicativo software.

Le credenziali di ingresso alla rete e di accesso ai programmi sono previste ed attribuite dal Titolare o dal Responsabile IT.

La prima caratteristica di una password è la segretezza: essa, pertanto, non deve essere svelata ad altri soggetti. La divulgazione delle proprie password o la trascuratezza nella loro conservazione può causare gravi danni al proprio lavoro, a quello dei colleghi e al Titolare nel suo complesso. Nel tempo, anche la password più sicura perde la sua segretezza. Per questo motivo è buona norma cambiarle con una certa frequenza,

A tal proposito, è necessario procedere alla modifica della password a cura dell’autorizzato del trattamento al primo utilizzo e, successivamente, almeno ogni sei mesi; nel caso di trattamento di categorie particolari di dati (ex dati sensibili) e di dati giudiziari la periodicità della variazione deve essere ridotta a tre mesi con contestuale comunicazione al Responsabile dei sistemi informatici (n.b.: in molti sistemi la comunicazione di variazione può essere “generata” dallo stesso sistema informatico all’atto della modifica, con invio di e-mail automatica all’utilizzatore; molti sistemi permettono di “temporizzare” la validità delle password e, quindi, di bloccare l’accesso al personale computer e/o al sistema, qualora non venga autonomamente variata dall’autorizzato entro i termini massimi). Al fine di favorire la corretta gestione delle password, devono essere adottate le seguenti regole:

  • Le password devono essere composte da almeno otto caratteri e contenere almeno una lettera maiuscola (ricordando che lettere maiuscole e minuscole hanno significati diversi per il sistema), un numero e un carattere speciale (es.: {} [], < >! ” £ $ % & / ( )
  • Le password sono assolutamente personali e non vanno mai comunicate ad altri;
  • Le password devono essere sostituite almeno nei tempi suindicati, a prescindere dall’esistenza di un sistema automatico di richiesta di aggiornamento
  • La password deve essere immediatamente sostituita, dandone comunicazione al Titolare o al Responsabile IT, nel caso in cui si sospetti che la stessa abbia perso la
  • Qualora l’utente venisse a conoscenza delle password di altro utente, è tenuto a darne immediata notizia al Titolare o al Responsabile

Ancora, è fatto espressamente divieto di:

  • Memorizzare password su alcun tipo di supporto, quali, ad esempio, Post-lt (sul monitor o sotto la tastiera) o agende (cartacee e posta elettronica) o telefono cellulare.
  • Comunicare a chiunque altro le proprie credenziali di accesso al sistema informatico;
  • Utilizzare password:
  • Corrispondenti a nome, cognome o loro parti;
  • Corrispondenti allo user name;
  • Corrispondenti all’indirizzo di posta elettronica (e-mail);
  • Corrispondenti a parole comuni (in Inglese e in Italiano);
  • Corrispondenti a date, mesi dell’anno e giorni della settimana, anche in lingua straniera;
  • Corrispondenti a parole banali e/o di facile intuizione (ad es. “qwerty/’, “12345678” “password”, “security” e palindromi);
  • Corrispondenti a ripetizioni di sequenze di caratteri (es. abcabcabc);
  • Corrispondenti a password già impiegata in precedenza;
  • Contenenti riferimenti agevolmente riconducibili all’utilizzatore (data di nascita, numeri di telefono, targa dell’auto, nome di mogli/mariti/partner/figli etc.).

Inoltre, è buona norma evitare di digitare la propria password in presenza di altri soggetti che possano vedere la tastiera, anche se collaboratori o dipendenti del Titolare.

Accesso o Loqin

Il “Login” è l’operazione con la quale l’utente si connette al sistema informativo o ad una parte di esso, dichiarando il proprio User name e Password, aprendo una sessione di lavoro.

ln molti casi è necessario effettuare più login, tanti quanti sono gli ambienti di lavoro (ad es. applicativi web, Intranet, etc.), ognuno dei quali richiede uno username e una password.

Il “Logout’ è l’operazione con cui viene chiusa la sessione di lavoro. Al termine della giornata lavorativa, tutte le applicazioni devono essere chiuse secondo le regole previste dall’applicazione stessa, La non corretta chiusura può provocare una perdita di dati o l’accesso agli stessi da parte di persone non autorizzate.

Il “blocco del computer” è l’operazione con cui viene impedito l’accesso alla sessione di lavoro (tastiera e schermo disattivati) senza chiuderla.

ln alcuni casi, sono implementati meccanismi che consentono all’utente un numero limitato di tentativi errati di inserimento della password, oltre ai quali il tentativo di accesso viene considerato un attacco al sistema e l’account viene bloccato per alcuni minuti. ln caso di necessità, contattare il Titolare o il Responsabile IT.

Controllo e custodia delle credenziali

Nell’ambito delle attività riguardanti la tutela della sicurezza dell’infrastruttura tecnologica, il Titolare potrebbe effettuare analisi periodiche sulle credenziali degli utenti al fine di verificarne la solidità, le policy di gestione e la durata, informandone preventivamente gli utenti stessi.

Nel caso in cui la verifica abbia, tra gli esiti possibili, la decodifica della password, questa viene bloccata e richiesto al Responsabile IT di cambiarla.

Il Titolare e/o il soggetto da lui all’uopo individuato hanno la facoltà in qualunque momento di accedere ai dati trattati da ciascuno, ivi compresi gli archivi di posta elettronica interna ed esterna. A tale scopo, detengono copia delle credenziali di autenticazione di ciascun utente.

Il Titolare e/o il soggetto da lui all’uopo individuato potranno accedere ai dati ed agli strumenti informatici esclusivamente al fine di garantire l’operatività, la sicurezza del sistema ed il normale svolgimento dell’attività lavorativa nei casi in cui si renda indispensabile ed indifferibile l’intervento (ad esempio, in caso di prolungata assenza o impedimento dell’autorizzato, informando tempestivamente l’autorizzato dell’intervento di accesso realizzato).

Perdita delle condizioni

Le password che non vengono utilizzate da parte dei responsabili per un periodo superiore ai sei mesi, verranno disattivate.

ln qualsiasi momento, il Titolare si riserva il diritto di revocare all’utente il permesso di accedere ad un sistema hardware o software a cui era precedentemente autorizzato, rimuovendo user name o modificando/cancellando la password ad esso associata.

Utilizzo dei dispositivi e supporti removibili

Nell’ambito delle attività lavorative, il personale può essere dotato di dispositivi rimovibili messi a disposizione dal Titolare (hard disk portatili, chiavette USB, DVD ecc.). Tali dispositivi devono, essere connessi o utilizzati esclusivamente su computer di lavoro.

Se non diversamente stabilito e regolamentato da apposita procedura operativa, è tassativamente vietato trasferire, anche solo temporaneamente, copie di categorie particolari di dati personali (sensibili: es. dati sanitari degli assistiti) su qualsiasi dispositivo rimovibile. Nel caso in cui vi sia la necessità di memorizzare su dispositivi rimovibili tali dati, l’utilizzo in deroga al divieto deve essere autorizzato dal Titolare e l’archiviazione deve avvenire in modo cifrato, usando algoritmi di crittografia sufficientemente robusti ed affidabili, riconosciuti come standard internazionali.

I dispositivi e i supporti contenenti categorie particolari di dati personali devono essere custoditi in archivi chiusi a chiave.

ln caso di riutilizzo/dismissione dei supporti, l’utente deve assicurarsi che si proceda, prima dello smaltimento, all’eliminazione permanente delle informazioni e dei dati memorizzati affinché questi non possano essere in alcun modo recuperati.

Utilizzo della rete

Il personale autorizzato deve utilizzare le risorse di rete a disposizione (ad esempio: Internet, intranet) in maniera responsabile e al solo scopo di espletare le proprie attività lavorative, evitando comportamenti e modalità di utilizzo che possono causare oltre che una perdita di produttività, anche rischi per l’integrità, la riservatezza e la disponibilità delle informazioni.

Un utilizzo improprio di tali risorse può portare alla sospensione dell’account ed essere soggetto ad eventuali procedimenti disciplinari e/o azioni legali.

ln particolare, il personale esterno che opera presso la struttura non può connettersi alla rete con il proprio portatile se non previa esplicita autorizzazione del Titolare.

Rete locale:

La rete locale (intranet) è utilizzata per la condivisione di informazioni strettamente legate alle attività lavorative e non deve essere utilizzata per finalità differenti.

Le unità di rete sono aree di condivisione di informazioni professionali e non possono in alcun modo essere utilizzate per scopi diversi.

Qualunque file che non sia legato all’attività lavorativa non può essere dislocato, nemmeno per brevi periodi, in queste unità.

Su queste unità, vengono svolte regolari attività di controllo, amministrazione e backup. La corretta effettuazione dei backup è verificata dal Titolare, o da un soggetto dallo stesso designato, il quale verificherà la presenza di errori nei log di backup.

Le password d’ingresso alla rete ed ai programmi sono segrete e vanno comunicate e gestite secondo le procedure impartite.

Il Responsabile IT può in qualunque momento procedere alla rimozione di ogni file o applicazione che riterrà essere pericolosi per la Sicurezza sia sui PC sia sulle unità di rete. Costituisce buona regola la

periodica (almeno ogni sei mesi) pulizia degli archivi, con cancellazione dei file obsoleti o inutili. Particolare attenzione deve essere prestata alla duplicazione dei dati. È infatti assolutamente da evitare un’archiviazione ridondante.

Rete internet:

Il Titolare fornisce al personale autorizzato l’accesso alla rete Internet, al fine di facilitare la conduzione delle proprie attività lavorative. È assolutamente proibita la navigazione in Internet per motivi diversi da quelli strettamente legati all’attività lavorativa stessa.

L’uso occasionale della rete Internet per motivi personali non deve interferire con le attività lavorative e con le direttive impartite dal Titolare per l’esecuzione delle prestazioni. Pertanto, l’uso della rete Internet è consentito per scopi leciti e professionali, e deve essere fatto in maniera responsabile. ln particolare, l’utente non deve utilizzare la rete Internet per:

  • Inviare o salvare dati o file coperti da proprietà intellettuale;
  • Utilizzare servizi di accesso remoto non autorizzati che permettono l’accesso alla rete locale del Titolare;
  • Utilizzare social network, se non espressamente autorizzati;
  • Partecipare a Forum non professionali e utilizzare chat line (esclusi gli strumenti autorizzati) anche mediante pseudonimi (o nickname);
  • Pubblicare sulle bacheche elettroniche (es: forum, blog, social network) materiale di natura oscena, blasfema, diffamatoria oltraggiosa o discriminatoria per sesso (ad es.

materiale pedopornografico, ecc..), lingua, religione, razza, origine etnica, opinione o appartenenza sindacale o politica;

  • Pubblicare su Social Network, Blog, Forum, informazioni o materiale riconducibile al Titolare che possa causare un qualsiasi danno allo stesso o a terzi;
  • Effettuare operazioni di registrazione a siti non attinenti alle attività lavorative;
  • Navigare nei siti che possono rivelare le opinioni politiche religiose, sindacali e di salute dell’utente poiché potenzialmente idonea a rivelare categorie particolari di dati;
  • Accedere a siti internet che abbiano un contenuto contrario a norme di legge e a norme a tutela dell’ordine pubblico, rilevante ai fini della realizzazione di una fattispecie di reato o che siano in qualche modo discriminatori sulla base della razza, dell’origine etnica, del colore della pelle, della fede religiosa, dell’età, del sesso, della cittadinanza, dello stato civile, degli handicap;
  • Copiare e distribuire materiale coperto da diritto d’autore;
  • Causare o tentare di violare le misure di sicurezza di altre organizzazioni;
  • Utilizzare la rete per violare le vigenti leggi dello Stato italiano o di qualunque altro Stato;
  • Memorizzare documenti informatici di natura oltraggiosa, diffamatoria e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza sindacale e/o politica; promuovere utile o guadagno personale attraverso l’uso di Internet o della posta elettronica lavorativa;
  • Creare siti web personali sui sistemi dell’organizzazione;
  • Effettuare ogni genere di transazione finanziaria ivi comprese le operazioni di remote banking, acquisti on-line e simili salvo i casi direttamente autorizzati dal Titolare e con il rispetto delle normali procedure di acquisto;

L’utente è pertanto responsabile sia disciplinarmente che giuridicamente, dei danni arrecati attraverso l’uso privato, improprio o illecito della connessione ad Internet.

Il Titolare potrà adottare idonee misure tecniche preventive volte a ridurre navigazioni a siti non correlati all’attività lavorativa attraverso filtri e black list.

Accesso da remoto (VPN – VIRTUAL PRIVATE NETWORK)

L’accesso dall’esterno alla rete del Titolare è consentito esclusivamente attraverso precise modalità di connessione sicura indicate dal Titolare stesso.

Ogni altro accesso è espressamente vietato.

Utilizzo della posta elettronica

La casella di posta, assegnata dal Titolare all’autorizzato, è uno strumento di lavoro. Le persone assegnatarie delle caselle di posta elettronica sono responsabili del corretto utilizzo delle stesse.

È fatto divieto di utilizzare le caselle di posta elettronica messa a disposizione dal Titolare per l’invio di messaggi personali o per la partecipazione a dibattiti, forum o mailing list salvo diversa ed esplicita autorizzazione.

Gli indirizzi di posta elettronica possono essere nominativi (es. “m.rossi@…”) o assegnate con natura impersonale (tipo info, amministrazione, fornitori, privacy, job, etc.) proprio per evitare ulteriormente che il destinatario delle mail possa considerare l’indirizzo assegnato all’utente come “privato”

La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili e soprattutto allegati ingombranti.

Le e-mail inviate devono necessariamente contenere il disclaimer predisposto dal Titolare.

Ogni comunicazione inviata o ricevuta che abbia contenuti rilevanti o contenga impegni contrattuali o precontrattuali deve essere visionata o autorizzata dal Titolare, o in ogni modo è opportuno fare riferimento alle procedure in essere per la corrispondenza ordinaria.

La documentazione elettronica che costituisce per il titolare “know how’ tecnico o commerciale protetto, e che, quindi, viene contraddistinta da diciture o avvertenze dirette ad evidenziarne il carattere riservato o segreto a tutela del patrimonio, non può essere comunicata all’esterno senza preventiva autorizzazione del Titolare.

È possibile utilizzare la ricevuta di ritorno per avere la conferma dell’avvenuta lettura del messaggio da parte del destinatario, ma di norma per la comunicazione ufficiale è obbligatorio avvalersi degli strumenti tradizionali (PEC, fax, raccomandate A/R).

È obbligatorio controllare i file attachments di posta elettronica prima del loro utilizzo (non eseguire download di file eseguibili o documenti da siti Web o Ftp non conosciuti).

È vietato:

  • Inviare, tramite la posta elettronica materiale a contenuto violento, sessuale o comunque offensivo dei principi di dignità personale, di libertà religiosa, di libertà sessuale o di manifestazione del pensiero, anche
  • Inviare messaggi di posta elettronica che abbiano contenuti contrari a norme di legge ed a norme di tutela dell’ordine pubblico, rilevanti ai fini della realizzazione di una fattispecie di reato, o che siano in qualche modo discriminatori della razza, dell’origine etnica, del colore della pelle, della fede religiosa, dell’età, del sesso, della cittadinanza, dello stato civile, degli
  • Utilizzare l’indirizzo di posta elettronica contenente il nome di dominio del Titolare per iscriversi in qualsivoglia sito per motivi non attinenti all’attività lavorativa, senza espressa autorizzazione scritta, nonché utilizzare tale dominio per scopi
  • Creare, archiviare o spedire messaggi pubblicitari o promozionali o comunque allegati (filmati, immagini, musica o altro) non connessi con lo svolgimento della propria attività lavorativa, nonché partecipare a richieste, petizioni, mailing di massa di qualunque contenuto, “catene di Sant’Antonio” o in genere a pubblici dibattiti utilizzando l’indirizzo lavorativo;
  • Sollecitare donazioni di beneficenza, propaganda elettorale o altre voci non legate al lavoro;
  • Utilizzare il servizio di posta elettronica per trasmettere a soggetti esterni dell’organizzazione informazioni riservate o comunque documenti lavorativi, se non nel caso in cui ciò sia necessario in ragione delle mansioni svolte;
  • Utilizzare la posta elettronica per messaggi con allegati di grandi

Posta Elettronica in caso di assenze programmate ed assenze non programmate

Nel caso di assenza prolungata sarebbe buona norma attivare il servizio di risposta automatica (Auto-reply).

ln alternativa, e in tutti i casi in cui sia necessario un presidio della casella di e-mail per ragioni di operatività lavorativa, l’utente deve nominare un collega che in caso di assenza inoltri i file necessari a chi ne abbia urgenza.

Qualora l’utente non abbia provveduto ad individuare un collega fiduciario o questi sia assente o irreperibile, il Titolare, mediante personale appositamente individuato, potrà verificare il contenuto dei messaggi di posta elettronica dell’utente, informandone lo stesso e redigendo apposito verbale.

Installazione di hardware e software

L’installazione di hardware e software, nonché la modifica dei parametri di configurazione, possono essere eseguiti solamente dalle persone del Servizio Informatico su mandato del Titolare del trattamento. Pertanto, gli utenti devono attenersi ai seguenti divieti.

  • Non installare e utilizzare sul PC dispositivi personali, o comunque non autorizzati dal Titolare (come ad esempio masterizzatori, modem, dispositivi di memorizzazione dei dati ecc.), se non con l’approvazione espressa del Titolare;
  • Non installare sistemi per connessione esterne (es: modem, wifi); tali connessioni, aggirando i sistemi preposti alla sicurezza della rete, aumentano sensibilmente i rischi di intrusioni e di attacchi dall’esterno;
  • Non installare e utilizzare programmi, anche in versione demo. ln particolare, è vietata l’installazione di giochi, programmi in prova (shareware), programmi gratuiti (freeware), programmi pirata, e in generale tutti i software non autorizzati dal Titolare;
  • Più in generale, non utilizzare programmi diversi da quelli distribuiti ed installati ufficialmente dal Titolare o del Responsabile IT;
  • Non modificare i parametri di configurazione del proprio PC senza espressa autorizzazione e senza il supporto di personale tecnico qualificato;

Si ricorda che normalmente la condivisione di aree e di risorse del proprio PC è vietata. Può essere autorizzata dal Titolare, solo in casi eccezionali e solo per il tempo strettamente necessario allo svolgimento delle attività di lavoro. ln questi casi devono essere adottate password di lettura e scrittura e la condivisione deve operare solo su singole directory del PC, e non sull’intero disco rigido.

L’inosservanza delle disposizioni su elencate, oltre al rischio di danneggiamenti del sistema per incompatibilità con hardware e software esistente, può esporre il Titolare a gravi responsabilità civili ed anche penali; in particolare, in caso di violazione della normativa a tutela dei diritti d’autore sul software che impone la presenza nel sistema di software regolarmente licenziato.

I controlli sui software operativi sono di due tipologie, quelli inerenti i sistemi operativi e quelli relativi ai tools di sviluppo o applicazioni.

Nel primo caso, sarà compito dell’amministratore di sistema dotare sia i server che i client di sistemi operativi aggiornati o utili agli scopi desiderati preoccupandosi di rintracciare le necessarie patch utili a proteggere tali sistemi da incursioni esterne.

Nel secondo caso, sarà premura del Titolare verificare che le versioni degli applicativi in uso siano compatibili con i sistemi operativi presenti ed aggiornati periodicamente.

ANTIVIRUS

I virus (malware) possono essere trasmessi tramite scambio di file via internet, via mail, scambio di supporti removibili, file sharing, chat, etc.

Per prevenire eventuali danneggiamenti al software causati dalla presenza o dall’azione di virus informatici, su ogni elaboratore messo a disposizione dal Titolare è stato installato un software antivirus che deve essere aggiornato all’ultima versione disponibile.

Gli aggiornamenti del programma forniscono miglioramenti al prodotto software installato.

Qualora non siano adottati o correttamente funzionanti sistemi automatici di aggiornamento dei sistemi antivirus, gli utenti devono procedere all’effettuazione delle operazioni di aggiornamento, di volta in volta richieste dal sistema, secondo le istruzioni visualizzate sullo schermo.

Giornalmente il sistema antivirus esegue, se lo ritiene necessario, l’update della banca dati dei virus senza richiedere l’intervento dell’utente scaricando il nuovo file delle definizioni ed aggiornamenti software attraverso il collegamento Internet.

L’antivirus installato dal Titolare non deve mai essere disattivato o sostituito con altro antivirus non ufficialmente fornito.

Nel caso il programma antivirus installato sul proprio PC riscontri la presenza di un virus, oppure si sospetti la presenza di un virus non rilevato dal programma antivirus è necessario darne immediatamente segnalazione al responsabile del Servizio Informatico o, in mancanza, direttamente al Titolare. Successivamente, si procederà immediatamente a:

  • Isolare il sistema dalla rete informatica;
  • Verificare se ci sono altri sistemi infettati con lo stesso virus informatico;
  • Identificare l’antivirus o le patch adatte a bonificare il sistema infetto;
  • Installare l’antivirus 0 1a patch adatta su tutti gli altri sistemi che ne sono sprovvisti;

Si raccomanda di non scaricare e né tantomeno aprire file provenienti via e-mail da mittenti sconosciuti. Tali file, possono essere portatori di virus e compromettere la funzionalità del PC, l’integrità dei dati in essa contenuti e soprattutto l’integrità dei sistemi collegati al PC stesso.

Il software Antivirus deve essere configurato con le seguenti caratteristiche:

  • Caricamento all’avvio del computer (funzione Auto-Protect);
  • Attivazione scansione e-mail in entrata ed in uscita;
  • Scansione intero sistema;
  • Attivazione blocco degli script;
  • Aggiornamento automatico;
  • Per i file in entrata automatica prevedere la cancellazione del file

Ogni utente deve inoltre attenersi alle seguenti regole:

  • È vietato accedere alla rete senza servizio antivirus attivo e aggiornato sulla propria
  • È vietato ostacolare l’azione dell’antivirus.
  • È vietato disattivare l’antivirus senza l’autorizzazione espressa dell’Istituto, anche e soprattutto nel caso sia richiesto per l’installazione di software sul
  • È vietato aprire allegati di mail provenienti da mittenti sconosciuti o di dubbia provenienza o allegati di mail di persone conosciute ma con testi inspiegabili o in qualche modo

Contattare i sistemi informativi prima di procedere a qualsiasi attività potenzialmente in conflitto con quanto sopra.

Amministratori di sistema

Sono individuati dal Titolare lo/gli Amministratore/i di Sistema.

All’Amministratore di Sistema è assegnata l’attività di gestione tecnica del sistema informatico finalizzata alla sicurezza del trattamento dei dati mediante strumenti elettronici.

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, sono riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte dell’Autorità Garante.

Qualora sia necessario individuare un Amministratore di sistema esterno, l’elenco dei nominativi dei soggetti preposti alle specifiche funzioni deve essere comunicato dalle Ditte esterne al Titolare, ai fini della predisposizione della documentazione necessaria alla loro individuazione in qualità di amministratori di sistema.

Sono affidati all’Amministratore di sistema i seguenti compiti:

  • Gestire le credenziali di autenticazione dei soggetti autorizzati al trattamento/addetti alla manutenzione;
  • Gestire i profili di autorizzazione degli autorizzati al trattamento dei dati/addetti alla manutenzione, su specifiche indicazioni impartite dal Titolare del trattamento;
  • Provvedere alla disattivazione/variazione delle utenze assegnate al personale cessato dal servizio o che abbia modificato il proprio ambito di trattamento, su richiesta specifica del titolare;
  • Custodire la documentazione cartacea, prodotta nello svolgimento dei propri compiti;
  • Adottare i provvedimenti necessari ad evitare la perdita o la distruzione dei dati e provvedere al loro ricovero periodico con copie di back-up secondo i criteri stabiliti;
  • Assicurarsi della qualità delle copie di back-up dei dati e della loro conservazione in luogo adatto e sicuro;
  • Prevedere procedure operative per la disattivazione delle credenziali di accesso, in caso di perdita della qualità di autorizzato all’accesso all’elaboratore, oppure nel caso di mancato utilizzo delle credenziali per un periodo superiore a 6 mesi;
  • Proteggere gli strumenti elettronici dal rischio di intrusione (violazione del sistema da parte di “hacker”) e dal rischio di programmi virus mediante idonee misure di sicurezza;
  • Mantenere un adeguato sistema di autorizzazione che, per ogni identificativo utente, riporti la data di attivazione, le funzioni del sistema alle quali l’utente è abilitato, la data di cessazione dell’identificativo stesso;
  • Provvedere al salvataggio dei dati presenti sui server e al loro ripristino in caso di necessità;
  • Conservare le copie di back-up;
  • Registrare e archiviare tutte le attività eseguite sul sistema (log);
  • Garantire che le informazioni scambiate con soggetti interni ed esterni siano opportunamente protette da rischi di

Manutenzione

  • Il Titolare, ove necessario, ricorre ad addetti alla manutenzione ai quali possono essere affidate le seguenti attività:
  • Effettuare operazioni di manutenzione e supporto per la verifica del corretto funzionamento (monitoraggio e diagnostica) su flussi dei dati;
  • Effettuare operazioni di manutenzione e supporto per la verifica del corretto funzionamento dei computer, dispositivi mobili, posta elettronica, software, etc.;
  • Gestire le credenziali di autenticazione dei soggetti autorizzati su indicazione dell’Amministratore di sistema o del Titolare;
  • Gestire i profili di autorizzazione degli autorizzati al trattamento dei dati, su specifiche impartite dal Titolare o su indicazione dell’Amministratore di sistema;
  • Provvedere alla disattivazione/variazione delle utenze, ivi compreso l’account di posta elettronica, assegnate al personale cessato dal servizio o che abbia modificato il proprio ambito di trattamento, su richiesta specifica del Titolare e su indicazione dell’Amministratore di sistema;
  • Custodire la documentazione cartacea, prodotta nello svolgimento dei propri compiti;
  • L’accesso agli addetti alla gestione e manutenzione è consentito unicamente ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere alle operazioni di manutenzione dei programmi o del sistema

A ciascun addetto alla manutenzione è pertanto consentito eseguire le operazioni strettamente necessarie a tali scopi e/o richieste dal titolare, secondo le seguenti istruzioni operative:

  • Nel caso in cui sia necessario effettuare stampe di prova per controllare il funzionamento di stampanti o per verificare il funzionamento di strumenti o programmi installati, non utilizzare file già esistenti ma creare file di prova;
  • Nel caso si renda strettamente necessario accedere a file contenenti dati (ad esempio per il recupero di un testo) limitare l’accesso ai dati per il tempo strettamente necessario all’assolvimento delle operazioni di manutenzione;
  • Per effettuare operazioni di manutenzione sui database lavorativi che prevedano la raccolta e la conservazione dei dati, tali dati dovranno essere custoditi in modo tale da non essere accessibili da soggetti non autorizzati;
  • Devono inoltre essere adottate le misure di sicurezza previste dalla normativa in materia di protezione dei dati personali;
  • È necessario informare al più presto il titolare del trattamento qualora si dovessero riscontrare malfunzionamenti o non conformità;
  • Nel caso in cui sia necessario accedere ai dati attraverso gli strumenti elettronici in dotazione agli autorizzati, attenersi alle seguenti indicazioni:
  • In presenza dell’autorizzato, far digitare la password allo stesso evitando di venirne a conoscenza;
  • In assenza dell’autorizzato, rivolgersi alla persona individuata dallo stesso quale proprio fiduciario il quale provvederà all’inserimento della password;
  • Nei casi in cui sia necessario accedere ai dati personali attraverso il server, rivolgersi all’amministratore di sistema o provvedere, in collaborazione con l’amministratore di sistema stesso, alla creazione di credenziali di autenticazione da utilizzarsi esclusivamente per l’accesso da parte degli addetti alla manutenzione/gestione dei sistemi informatici;
  • L’amministratore di sistema ha facoltà, in qualunque momento di controllare e verificare l’operato degli addetti alla manutenzione;
  • Qualora si renda necessario prelevare apparecchiature elettroniche per effettuare attività di ripristino o interventi di manutenzione che comportino il reset di password precedentemente individuate, la nuova password di accesso sarà comunicata all’incaricato il quale provvederà a cambiarla al termine delle operazioni di manutenzione;
  • L’accesso al sistema informatico da parte degli addetti alla manutenzione/gestione del sistema è consentito unicamente previo inserimento di password e

Archivi cartacei

Le politiche di utilizzo adottate dal Titolare in merito all’accesso e al trattamento degli archivi cartacei, con particolare riferimento ai documenti cartacei che riconducono a categorie particolari di dati personali, sono orientate a fornire requisiti di riservatezza, integrità e disponibilità equivalenti a quanto disposto per le informazioni trattate con strumenti informatici.

Per archivio si intende complesso organico di documenti, di fascicoli e di aggregazioni documentali di qualunque natura e formato, prodotti o comunque acquisiti da un soggetto durante lo svolgimento dell’attività.

Di seguito sono definite le regole minime che costituiscono la base di accesso ed utilizzo delle informazioni cartacee.

Accesso agli archivi cartacei

L’accesso agli archivi cartacei è permesso al solo personale autorizzato, in particolar modo per quanto riguarda l’accesso alle informazioni personali afferenti alla persona fisica. Le autorizzazioni sono da ritenersi strettamente personali e non possono essere trasferite a terzi.

Protezione degli archivi cartacei

La protezione degli archivi cartacei è affidata a idonee misure di sicurezza fisica quali: o Controllo degli accessi ai locali;

  • Sistemi di archiviazione segregati, secondo criteri di aggregazione dei supporti cartacei con analoghi livelli di sensibilità;
  • Tracciamento degli accessi

Le misure di sicurezza adottate si applicano sia ai documenti originali che alle loro copie.

Gli autorizzati sono responsabili del controllo e della custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Gli autorizzati devono attenersi alle seguenti disposizioni:

  • Evitare di effettuare copie fotostatiche o di qualsiasi altra natura, non autorizzate dal titolare, di stampe, tabulati, elenchi, rubriche e di ogni altro materiale riguardante i dati oggetto del trattamento; il numero di copie di documenti contenenti Dati Personali deve essere strettamente funzionale alle esigenze di lavoro;
  • Evitare di sottrarre, cancellare, distruggere senza l’autorizzazione del titolare stampe, tabulati, elenchi, rubriche e ogni altro materiale riguardante i dati oggetto del trattamento;
  • Evitare di consegnare a persone non autorizzate dal Titolare dei dati personali, stampe, tabulati, elenchi, rubriche e di ogni altro materiale riguardante i dati oggetto del trattamento
  • Evitare il deposito di documenti di qualsiasi genere negli ambienti di transito o pubblici (corridoi o sale riunioni)
  • In nessun caso accedere a documentazione contenente Dati Personali per motivi non dettati da esigenze di lavoro strettamente connesse ai trattamenti dichiarati, autorizzati e tutelati dal Titolare;
  • Archiviare i documenti in ambiente ad accesso controllato;
  • Fuori dall’orario di lavoro, chiudere a chiave cassetti ed armadi contenenti documentazione riservata
  • prima di lasciare la propria postazione (per esempio per la pausa pranzo o per una riunione), riporre in luogo sicuro (armadio, cassettiera, archivio, …) i dati cartacei, affinché gli stessi non possano essere visti da terzi non autorizzati (es. addetti alle pulizie) o da terzi (visitatori);
  • Archiviare i documenti contenenti categorie particolari di dati personali in cassetti ed armadi chiusi a chiave
  • Quando gli atti e i documenti contenenti dati personali, dati particolari (ex dati sensibili) o giudiziari sono affidati agli Incaricati per lo svolgimento dei relativi compiti, controllare e custodire i medesimi atti e documenti fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e restituire al termine delle operazioni affidate;
  • In nessun caso utilizzare documenti contenenti dati personali, categorie particolari di dati (ex dati sensibili) o giudiziari come carta da riciclo o da
  • Ove possibile, effettuare la scansione dei documenti cartacei ed archiviarli
  • Non lasciare incustoditi in un ambiente non controllato (ad es. a seguito della stampa dei documenti su stampante di rete) i documenti contenenti dati personali;
  • Rimuovere al termine dell’orario di lavoro la documentazione contenente Dati Personali che, per ragioni di praticità operativa, risiede sulle scrivanie.

Qualora i dati personali risiedano solo su documenti cartacei, è necessario effettuare le copie degli stessi, possibilmente in formato digitale.

Pertanto, è compito degli autorizzati:

  • Prendere tutti i provvedimenti necessari ad evitare la perdita o la distruzione dei dati e provvedere al ricovero periodico degli stessi con copie di sicurezza secondo i criteri stabiliti dal titolare del
  • Assicurarsi della qualità delle copie di sicurezza dei
  • Assicurarsi della conservazione delle copie di sicurezza in luogo adatto e sicuro e ad accesso
  • Provvedere a conservare con la massima cura e custodia i dispositivi utilizzati per le copie di sicurezza, impedendo l’accesso agli stessi dispositivi da parte di personale non
  • Segnalare tempestivamente al Titolare ogni eventuale problema dovesse verificarsi nella normale attività di

Smaltimento degli archivi cartacei

Lo smaltimento dei documenti cartacei contenenti dati personali deve avvenire nel pieno rispetto della normativa in materia di privacy.

ln particolare, i documenti contenti categorie particolari di dati e/o dati giudiziari devono essere smaltiti osservando le seguenti modalità, salvo l’applicazione di ulteriori norme restrittive stabilite dal Titolare, per particolari tipologie di informazioni e/o trattamenti:

  • Ogni ufficio disporrà di un numero congruo di trita-documenti;
  • Si procederà alla distruzione di documenti contenenti categorie particolari di dati personali attraverso tali appositi trita documenti;
  • Ove necessario, con apposto contratto di nomina di Responsabile Esterno, l’eventuale ditta incaricata del Servizio di Pulizia curerà la distruzione di documenti cartacei per i quali non si è provveduto alla distruzione con gli appositi strumenti;
  • Ove non siano disponibili strumenti per la distruzione dei documenti (trita documenti), o il volume di questi sia tale da imporre il ricorso al servizio di macero, il personale Autorizzato che avvia al macero la documentazione è tenuto a confezionare tale documentazione in modo che il pacco risulti anonimo e solido; o saranno tracciati i trasporti del materiale

cartaceo dagli archivi ai siti preposti alla distruzione e conservati i verbali di avvenuta distruzione;

  • Le modalità di esecuzione ed i requisiti di sicurezza applicabili alle procedure di smaltimento da parte di fornitori esterni devono essere definite a livello contrattuale ai sensi dell’art. 28 del Regolamento UE n. 2016/679.

Formazione e informazione

Allo scopo di adeguare le attività di trattamento svolte dal Titolare alle disposizioni di legge, viene effettuata regolare formazione in materia di privacy.

All’atto di sottoscrizione del contratto di lavoro o dell’incarico professionale, oltre a rendere note:

  • Le attività o le mansioni da assolvere,
  • Le procedure e regole di lavoro interne,
  • Gli obiettivi e l’influenza determinante che gli stessi hanno sulla qualità e sulla sicurezza delle informazioni interna ed esterna, viene sottoscritto l’accordo di riservatezza e l’incarico per il trattamento dei dati personali in riferimento a quanto disposto dal

Tutti i dipendenti e i terzi (quali collaboratori esterni), sono addestrati sulle procedure e informati sulle politiche del Titolare della sicurezza, tramite precise attività di formazione e di addestramento, così come previsto:

  • Dal Piano Annuale di formazione dai programmi specifici eseguiti in maniera straordinaria, per azioni di miglioramento o di correzione delle attività svolte, a fronte di modifiche a procedure o a politiche della

La formazione e l’addestramento possono essere realizzati per mezzo di insegnamenti diretti o per mezzo di corsi/seminari di formazione esterni.

Da un punto di vista del contenuto, si distinguono:

  • Formazione sulle tematiche generali della privacy e della Sicurezza dei dati, effettuate dal Titolare o da personale
  • Formazione specifica su privacy e sicurezza dei dati effettuata da personale esterno
  • Formazione professionale relativa agli aspetti specifici della professionalità delle singole
  • Addestramento tecnico specifico necessario, in funzione della tipologia del servizio da erogare, del processo e degli strumenti utilizzati per lo svolgimento del lavoro, effettuata internamente o dal fornitore (per software). Tale addestramento viene attuato:
  • Attraverso la spiegazione delle procedure, la discussione di argomenti specifici e la discussione con gli operatori su eventuali reclami, suggerimenti del cliente;
  • Attraverso l’affiancamento, per un periodo opportuno, ad un operatore esperto;
  • Mediante seminari tenuti da personale interno o esterno

Tutte le attività formative sono pianificate. Le attività di formazione e addestramento vanno registrate mediante apposito verbale.

Sono registrate anche le attività formative svolte all’esterno, allegando l’eventuale attestato di frequenza rilasciato. Le registrazioni delle attività di formazione e addestramento relative a ciascun soggetto devono essere effettuate solo in seguito alla verifica dell’efficacia dell’attività formativa, ossia attraverso la consegna attestato (per i corsi che già prevedono una verifica dell’apprendimento) o validazione da parte del docente che si è occupato della formazione.

Responsabilità e sanzioni

È fatto obbligo a tutti i destinatari di osservare le disposizioni portate a conoscenza con il presente Regolamento.

Ogni soggetto, sia questo un dipendente o consulente esterno, che tratta le informazioni e/o interagisca con i sistemi informativi di proprietà della Titolare, o dati in uso alla stessa, deve utilizzare le risorse in maniera responsabile e diligente, in linea con quanto stabilito dalle normative di legge (artt. 2104 e 2105 c.c.) e in adempimento alle disposizioni impartite dal Titolare del trattamento dei dati personali.

Chiunque non rispetti il presente Regolamento potrà essere soggetto all’immediata sospensione dell’accesso agli strumenti informatici.

Inoltre, il mancato rispetto o la violazione del presente Regolamento è perseguibile con provvedimenti disciplinari e risarcitori, nonché con tutte le azioni civili e penali consentite. Fermi restando i profili di responsabilità civile e penale previsti dalla normativa vigente, in relazione ai dipendenti del Titolare si precisa che il mancato rispetto del presente Regolamento costituisce un comportamento sanzionabile disciplinarmente in quanto grave violazione degli obblighi contrattualmente assunti, con conseguente applicabilità di sanzioni disciplinari (anche ai sensi del vigente C.C.N.L.).

Validità e revisione del regolamento

Il presente documento è valido a partire dalla sua adozione ed è sottoposto a revisione e aggiornamento ogniqualvolta dovesse essere necessario in virtù di variazioni organizzative e/o aggiornamenti normativi primari e secondari.

Ogni eventuale variazione sarà debitamente comunicata a tutti destinatari.

POLITICHE RELATIVE AL TRATTAMENTO DEI DATI IN RELAZIONE ALL’ E-COMMERCE

Titolare del Trattamento dei Dati

Mino Berlino – Gravinae Nativitas – Gravina in Puglia (BA), Italia.

Indirizzo email del Titolareinfo@gravinaenativitas.com

Per qualsiasi chiarimento, informazione, esercizio dei diritti elencati nella presente informativa, contattare il titolare alla seguente mail: info@gravinaenativitas.com

Definizioni e riferimenti legali Dati Personali (o Dati)

Costituisce dato personale qualunque informazione che, direttamente o indirettamente, anche in collegamento con qualsiasi altra informazione, ivi compreso un numero di identificazione personale, renda identificata o identificabile una persona fisica.

Dati di Utilizzo

Sono le informazioni raccolte automaticamente attraverso questo Sito Web (anche da applicazioni di parti terze integrate in questo Sito Web), tra cui: gli indirizzi IP o i nomi a dominio dei computer utilizzati dall’Utente che si connette con questo Sito Web, gli indirizzi in notazione URI (Uniform Resource Identifier), l’orario della richiesta, il metodo utilizzato nell’inoltrare la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta dal server (buon fine, errore, ecc.) il paese di provenienza, le caratteristiche del browser e del sistema operativo utilizzati dal visitatore, le varie connotazioni temporali della visita (ad esempio il tempo di permanenza su ciascuna pagina) e i dettagli relativi all’itinerario seguito all’interno dell’Applicazione, con particolare riferimento alla sequenza delle pagine consultate, ai parametri relativi al sistema operativo e all’ambiente informatico dell’Utente.

Utente

L’individuo che utilizza questo Sito Web che, salvo ove diversamente specificato, coincide con l’Interessato.

Interessato

La persona fisica cui si riferiscono i Dati Personali.

Responsabile del Trattamento (o Responsabile)

La persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente che tratta dati personali per conto del Titolare, secondo quanto esposto nella presente privacy policy.

Titolare del Trattamento (o Titolare)

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali e gli strumenti adottati, ivi comprese le misure di sicurezza relative al funzionamento ed alla fruizione di questo Sito Web. Il Titolare del Trattamento, salvo quanto diversamente specificato, è il titolare di questo Sito Web.

Questo Sito Web (o questa Applicazione)

Lo strumento hardware o software mediante il quale sono raccolti e trattati i Dati Personali degli Utenti.

Servizio

Il Servizio fornito da questo Sito Web così come definito nei relativi termini (se presenti) su questo sito/applicazione.

Unione Europea (o UE)

Salvo ove diversamente specificato, ogni riferimento all’Unione Europea contenuto in questo documento si intende esteso a tutti gli attuali stati membri dell’Unione Europea e dello Spazio Economico Europeo.

Cookie

Piccola porzione di dati conservata all’interno del dispositivo dell’Utente.

Riferimenti legali

La presente informativa privacy è redatta sulla base di molteplici ordinamenti legislativi, inclusi gli artt. 13 e 14 del Regolamento (UE) 2016/679.

Ove non diversamente specificato, questa informativa privacy riguarda esclusivamente questo Sito Web.

Tipologie di Dati raccolti

Fra i Dati Personali raccolti da questo Sito Web, in modo autonomo o tramite terze parti, ci sono: Cookie, Dati di utilizzo, nome, cognome, email, username e sito web.

Dettagli completi su ciascuna tipologia di dati raccolti sono forniti nelle sezioni dedicate di questa privacy policy o mediante specifici testi informativi visualizzati prima della raccolta dei dati stessi.

I Dati Personali possono essere liberamente forniti dall’Utente o, nel caso di Dati di Utilizzo, raccolti automaticamente durante l’uso di questo Sito Web.

Se non diversamente specificato, tutti i Dati richiesti da questo Sito Web sono obbligatori. Se l’Utente rifiuta di comunicarli, potrebbe essere impossibile per questo Sito Web fornire il Servizio.

Nei casi in cui questo Sito Web indichi alcuni Dati come facoltativi, gli Utenti sono liberi di astenersi dal comunicare tali Dati, senza che ciò abbia alcuna conseguenza sulla disponibilità del Servizio o sulla sua operatività.

Gli Utenti che dovessero avere dubbi su quali Dati siano obbligatori, sono incoraggiati a contattare il Titolare.

L’eventuale utilizzo di Cookie – o di altri strumenti di tracciamento – da parte di questo Sito Web o dei titolari dei servizi terzi utilizzati da questo Sito Web, ove non diversamente precisato, ha la finalità di fornire il Servizio richiesto dall’Utente, oltre alle ulteriori finalità descritte nel presente documento e nella Cookie Policy, se disponibile.

L’Utente si assume la responsabilità dei Dati Personali di terzi ottenuti, pubblicati o condivisi mediante questo Sito Web e garantisce di avere il diritto di comunicarli o diffonderli, liberando il Titolare da qualsiasi responsabilità verso terzi.

Modalità e luogo del trattamento dei Dati raccolti Modalità di trattamento

Il Titolare adotta le opportune misure di sicurezza volte ad impedire l’accesso, la divulgazione, la modifica o la distruzione non autorizzate dei Dati Personali.

Il trattamento viene effettuato mediante strumenti informatici e/o telematici, con modalità organizzative e con logiche strettamente correlate alle finalità indicate. Oltre al Titolare, in alcuni casi, potrebbero avere accesso ai Dati altri soggetti coinvolti nell’organizzazione di questo Sito Web (personale amministrativo, commerciale, marketing, legali, amministratori di sistema) ovvero soggetti esterni (come fornitori di servizi tecnici terzi, corrieri postali, hosting provider, società informatiche, agenzie di comunicazione) nominati anche, se necessario, Responsabili del Trattamento da parte del Titolare. L’elenco aggiornato dei Responsabili potrà sempre essere richiesto al Titolare del Trattamento.

Base giuridica del trattamento

Il Titolare tratta Dati Personali relativi all’Utente in caso sussista una delle seguenti condizioni:

  • l’Utente ha prestato il consenso per una o più finalità specifiche;

Nota: in alcuni ordinamenti il Titolare può essere autorizzato a trattare Dati Personali senza che debba sussistere il consenso dell’Utente o un’altra delle basi giuridiche specificate di seguito, fino a quando l’Utente non si opponga (“opt-out”) a tale trattamento. Ciò non è tuttavia applicabile qualora il trattamento di Dati Personali sia regolato dalla legislazione europea in materia di protezione dei Dati Personali;

  • Il trattamento è necessario all’esecuzione di un contratto con l’Utente e/o all’esecuzione di misure precontrattuali;
  • Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il Titolare;
  • Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il Titolare;
  • Il trattamento è necessario per il perseguimento del legittimo interesse del Titolare o di

È comunque sempre possibile richiedere al Titolare di chiarire la concreta base giuridica di ciascun trattamento ed in particolare di specificare se il trattamento sia basato sulla legge, previsto da un contratto o necessario per concludere un contratto.

Luogo

I Dati sono trattati presso le sedi operative del Titolare ed in ogni altro luogo in cui le parti coinvolte nel trattamento siano localizzate. Per ulteriori informazioni, contatta il Titolare.

I Dati Personali dell’Utente potrebbero essere trasferiti in un paese diverso da quello in cui l’Utente si trova. Per ottenere ulteriori informazioni sul luogo del trattamento l’Utente può fare riferimento alla sezione relativa ai dettagli sul trattamento dei Dati Personali.

L’Utente ha diritto a ottenere informazioni in merito alla base giuridica del trasferimento di Dati al di fuori dell’Unione Europea o ad un’organizzazione internazionale di diritto internazionale pubblico o costituita da due o più paesi, come ad esempio l’ONU, nonché in merito alle misure di sicurezza adottate dal Titolare per proteggere i Dati.

Qualora abbia luogo uno dei trasferimenti appena descritti, l’Utente può fare riferimento alle rispettive sezioni di questo documento o chiedere informazioni al Titolare contattandolo agli estremi riportati in apertura.

Periodo di conservazione

I Dati sono trattati e conservati per il tempo richiesto dalle finalità per le quali sono stati raccolti. Pertanto:

  • I Dati Personali raccolti per scopi collegati all’esecuzione di un contratto tra il Titolare e l’Utente saranno trattenuti sino a quando sia completata l’esecuzione di tale
  • I Dati Personali raccolti per finalità riconducibili all’interesse legittimo del Titolare saranno trattenuti sino al soddisfacimento di tale interesse. L’Utente può ottenere ulteriori informazioni in merito all’interesse legittimo perseguito dal Titolare nelle relative sezioni di questo documento o contattando il
  • Quando il trattamento è basato sul consenso dell’Utente, il Titolare può conservare i Dati Personali più a lungo sino a quando detto consenso non venga revocato. Inoltre il Titolare potrebbe essere obbligato a conservare i Dati Personali per un periodo più lungo in ottemperanza ad un obbligo di legge o per ordine di un’autorità.
  • Al termine del periodo di conservazioni i Dati Personali saranno cancellati. Pertanto, allo spirare di tale termine il diritto di accesso, cancellazione, rettificazione ed il diritto alla portabilità dei Dati non potranno più essere

Finalità del Trattamento dei Dati raccolti

I Dati dell’Utente sono raccolti per consentire al Titolare di fornire i propri Servizi, così come per le seguenti finalità: Statistica, Contattare l’Utente, Commento dei contenuti, Visualizzazione di contenuti da piattaforme esterne, Interazione con social network e piattaforme esterne, Protezione dallo SPAM, Gestione dei database di Utenti e Interazione con le piattaforme di live chat.

Per ottenere ulteriori informazioni dettagliate sulle finalità del trattamento e sui Dati Personali concretamente rilevanti per ciascuna finalità, l’Utente può fare riferimento alle relative sezioni di questo documento.

Dettagli sul trattamento dei Dati Personali

I Dati Personali sono raccolti per le seguenti finalità ed utilizzando i seguenti servizi:

Commento dei contenuti

I servizi di commento consentono agli Utenti di formulare e rendere pubblici propri commenti riguardanti il contenuto di questo Sito Web.

Gli Utenti, a seconda delle impostazioni decise dal Titolare, possono lasciare il commento anche in forma anonima. Nel caso tra i Dati Personali rilasciati dall’Utente ci sia l’email, questa potrebbe essere utilizzata per inviare notifiche di commenti riguardanti lo stesso contenuto. Gli Utenti sono responsabili del contenuto dei propri commenti.

Nel caso in cui sia installato un servizio di commenti fornito da soggetti terzi, è possibile che, anche nel caso in cui gli Utenti non utilizzino il servizio di commento, lo stesso raccolga dati di traffico relativi alle pagine in cui il servizio di commento è installato.

Sistema di commento gestito in modo diretto (Questo Sito Web) Questo Sito Web dispone di un proprio sistema di commento dei contenuti. Dati Personali raccolti: cognome, email, nome, sito web e username.

Contattare l’Utente

Modulo di contatto (Questo Sito Web)

L’Utente, compilando con i propri Dati il modulo di contatto, acconsente al loro utilizzo per rispondere alle richieste di informazioni, di preventivo, o di qualunque altra natura indicata dall’intestazione del modulo.

Dati Personali raccolti: nome, cognome, email, telefono.

Interazione con le piattaforme di live chat

Questo tipo di servizi permette di interagire con le piattaforme di live chat, gestite da soggetti terzi, direttamente dalle pagine di questo Sito Web. Ciò permette all’Utente di contattare il servizio di supporto di questo Sito Web o a questo Sito Web di contattare l’Utente mentre sta navigando le sue pagine.

Nel caso in cui sia installato un servizio di interazione con le piattaforme di live chat, è possibile che, anche nel caso gli Utenti non utilizzino il servizio, lo stesso raccolga Dati di Utilizzo relativi alle pagine in cui è installato. Inoltre, le conversazioni della live chat potrebbero essere registrate.

Interazione con social network e piattaforme esterne

Questo tipo di servizi permette di effettuare interazioni con i social network, o con altre piattaforme esterne, direttamente dalle pagine di questo Sito Web.

Le interazioni e le informazioni acquisite da questo Sito Web sono in ogni caso soggette alle impostazioni privacy dell’Utente relative ad ogni social network.

Nel caso in cui sia installato un servizio di interazione con i social network, è possibile che, anche nel caso gli Utenti non utilizzino il servizio, lo stesso raccolga dati di traffico relativi alle pagine in cui è installato.

Pulsante “Condividi” e widget sociali di Facebook (Facebook, Inc.)

Il pulsante “Share” e i widget sociali di Facebook sono servizi di interazione con il social network Facebook, forniti da Facebook, Inc.

Dati Personali raccolti: Cookie e Dati di utilizzo.

Luogo del trattamento: USA – Privacy Policy (https://www.facebook.com/privacy/explanation).

Pulsante “Pin it” e widget sociali di Pinterest (Pinterest)

Il pulsante “Pin it” e widget sociali di Pinterest sono servizi di interazione con la piattaforma Pinterest, forniti da Pinterest Inc.

Dati Personali raccolti: Cookie e Dati di utilizzo.

Luogo del trattamento: USA – Privacy Policy (https://policy.pinterest.com/en/privacy-policy).

Pulsante Tweet e widget sociali di Twitter (Twitter, Inc.)

Il pulsante Tweet e i widget sociali di Twitter sono servizi di interazione con il social network Twitter, forniti da Twitter, Inc.

Dati Personali raccolti: Cookie e Dati di utilizzo.

Luogo del trattamento: USA – Privacy Policy (https://twitter.com/it/privacy)

Protezione dallo SPAM

Questo tipo di servizi analizza il traffico di questo Sito Web, potenzialmente contenente Dati Personali degli Utenti, al fine di filtrarlo da parti di traffico, messaggi e contenuti riconosciuti come SPAM.

Akismet (Automattic Inc.)

Akismet è un servizio di protezione dallo SPAM fornito da Automattic Inc.

Dati Personali raccolti: varie tipologie di Dati secondo quanto specificato dalla privacy policy del servizio.

Luogo del trattamento: USA – Privacy Policy (https://automattic.com/privacy/)

Statistica

I servizi contenuti nella presente sezione permettono al Titolare del Trattamento di monitorare e analizzare i dati di traffico e servono a tener traccia del comportamento dell’Utente.

Google Analytics (Google Inc.)

Google Analytics è un servizio di analisi web fornito da Google Inc. (“Google”). Google utilizza i Dati Personali, raccolti in forma anonima su questo sito, allo scopo di tracciare ed esaminare l’utilizzo di questo Sito Web, compilare report e condividerli con gli altri servizi sviluppati da Google.

Google potrebbe utilizzare i Dati Personali, raccolti in modo anonima su questo sito, per contestualizzare e personalizzare gli annunci del proprio network pubblicitario.

Dati Personali raccolti: Cookie e Dati di utilizzo.

Luogo del trattamento: USA – Privacy Policy (https://policies.google.com/privacy?hl=it) – Opt Out (https://tools.google.com/dlpage/gaoptout?hl=it).

Visualizzazione di contenuti da piattaforme esterne

Questo tipo di servizi permette di visualizzare contenuti ospitati su piattaforme esterne direttamente dalle pagine di questo Sito Web e di interagire con essi.

Nel caso in cui sia installato un servizio di questo tipo, è possibile che, anche nel caso gli Utenti non utilizzino il servizio, lo stesso raccolga dati di traffico relativi alle pagine in cui è installato.

Google Fonts (Google Inc.)

Google Fonts è un servizio di visualizzazione di stili di carattere gestito da Google Inc. che permette a questo Sito Web di integrare tali contenuti all’interno delle proprie pagine.

Dati Personali raccolti: Dati di utilizzo e varie tipologie di Dati secondo quanto specificato dalla privacy policy del servizio.

Luogo del trattamento: USA – Privacy Policy (https://policies.google.com/privacy?hl=policies&gl=it).

Gravatar (Automattic Inc.)

Gravatar è un servizio di visualizzazione di immagini gestito da Automattic Inc. che permette a questo Sito Web di integrare tali contenuti all’interno delle proprie pagine.

Per favore nota che se le immagini Gravatar vengono utilizzate per sistemi di commento, l’indirizzo email del commentatore (o parti di esso) potrebbero essere inviate a Gravatar, anche se non è iscritto a questo servizio.

Dati Personali raccolti: Dati di utilizzo e email.

Luogo del trattamento: USA – Privacy Policy (https://automattic.com/privacy/).

Widget Video YouTube (Google Inc.)

YouTube è un servizio di visualizzazione di contenuti video gestito da Google Inc. che permette a questo Sito Web di integrare tali contenuti all’interno delle proprie pagine.

Dati Personali raccolti: Cookie e Dati di utilizzo.

Luogo del trattamento: Stati Uniti – Privacy Policy (https://policies.google.com/privacy?hl=it&gl=it).

Newsletter

All’interno del sito è presente una Newsletter dedicata esclusivamente ai nostri clienti che ricevono saltuariamente via email avvisi e/o comunicazioni di servizio.

Per l’erogazione e la gestione della Newsletter, viene utilizzato il servizio offerto da SendinBlue (SendinBlue, 55 rue d’Amsterdam, 75008 Parigi, Francia) e i dati raccolti vengono memorizzati sui server sicuri del servizio di erogazione.

Ai sensi della privacy policy di SendinBlue i dati non verranno mai utilizzati direttamente da SendinBlue o da essa venduti a terzi. SendinBlue si serve di operatori opportunamente autorizzati per il mantenimento del servizio e nell’esercizio di detta funzione essi potrebbero avere accesso ai tuoi dati.

Valgono, in ogni caso, le garanzie previste dalla privacy policy di Sendinblue.

Diritti dell’Utente

Gli Utenti possono esercitare determinati diritti con riferimento ai Dati trattati dal Titolare. In particolare, l’Utente ha il diritto di:

  • Revocare il consenso in ogni momento. L’Utente può revocare il consenso al trattamento dei propri Dati Personali precedentemente
  • Opporsi al trattamento dei propri Dati. L’Utente può opporsi al trattamento dei propri Dati quando esso avviene su una base giuridica diversa dal consenso. Ulteriori dettagli sul diritto di opposizione sono indicati nella sezione
  • Eccedere ai propri Dati. L’Utente ha diritto ad ottenere informazioni sui Dati trattati dal Titolare, su determinati aspetti del trattamento ed a ricevere una copia dei Dati trattati.
  • Verificare e chiedere la rettificazione. L’Utente può verificare la correttezza dei propri Dati e richiederne l’aggiornamento o la
  • Ottenere la limitazione del trattamento. Quando ricorrono determinate condizioni, l’Utente può richiedere la limitazione del trattamento dei propri Dati. In tal caso il Titolare non tratterà i Dati per alcun altro scopo se non la loro conservazione.
  • Ottenere la cancellazione o rimozione dei propri Dati Personali. Quando ricorrono determinate condizioni, l’Utente può richiedere la cancellazione dei propri Dati da parte del
  • Ricevere i propri Dati o farli trasferire ad altro titolare. L’Utente ha diritto di ricevere i propri Dati in formato strutturato, di uso comune e leggibile da dispositivo automatico e, ove tecnicamente fattibile, di ottenerne il trasferimento senza ostacoli a un altro titolare. Questa disposizione è applicabile quando i Dati sono trattati con strumenti automatizzati ed il trattamento è basato sul consenso dell’Utente, su un contratto di cui l’Utente è parte o su misure contrattuali ad esso
  • Proporre reclamo. L’Utente può proporre un reclamo all’autorità di controllo della protezione dei dati personali competente o agire in sede

Come esercitare i diritti

Per esercitare i diritti dell’Utente, gli Utenti possono indirizzare una richiesta agli estremi di contatto del Titolare indicati in questo documento. Le richieste sono depositate a titolo gratuito e evase dal Titolare nel più breve tempo possibile, in ogni caso entro un mese.

Ulteriori informazioni sul trattamento Difesa in giudizio

I Dati Personali dell’Utente possono essere utilizzati da parte del Titolare in giudizio o nelle fasi preparatorie alla sua eventuale instaurazione per la difesa da abusi nell’utilizzo di questo Sito Web o dei Servizi connessi da parte dell’Utente. L’Utente dichiara di essere consapevole che il Titolare potrebbe essere obbligato a rivelare i Dati per ordine delle autorità pubbliche.

Informative specifiche

Su richiesta dell’Utente, in aggiunta alle informazioni contenute in questa privacy policy, questo Sito Web potrebbe fornire all’Utente delle informative aggiuntive e contestuali riguardanti Servizi specifici, o la raccolta ed il trattamento di Dati Personali.

Log di sistema e manutenzione

Per necessità legate al funzionamento ed alla manutenzione, questo Sito Web e gli eventuali servizi terzi da essa utilizzati potrebbero raccogliere Log di sistema, ossia file che registrano le interazioni e che possono contenere anche Dati Personali, quali l’indirizzo IP Utente.

Informazioni non contenute in questa policy

Ulteriori informazioni in relazione al trattamento dei Dati Personali potranno essere richieste in qualsiasi momento al Titolare del Trattamento utilizzando gli estremi di contatto.

Modifiche a questa privacy policy

Il Titolare del Trattamento si riserva il diritto di apportare modifiche alla presente privacy policy in qualunque momento dandone informazione agli Utenti su questa pagina. Si prega dunque di consultare regolarmente questa pagina, prendendo come riferimento la data di ultima modifica indicata in fondo. Nel caso di mancata accettazione delle modifiche apportate alla presente privacy policy, l’Utente è tenuto a cessare l’utilizzo di questo Sito Web e può richiedere al Titolare del Trattamento di rimuovere i propri Dati Personali. Salvo quanto diversamente specificato, la precedente privacy policy continuerà ad applicarsi ai Dati Personali sino a quel momento raccolti.

Cookie Policy

I Cookie sono costituiti da porzioni di codice installate all’interno del browser che assistono il Titolare nell’erogazione del Servizio in base alle finalità descritte. Alcune delle finalità di installazione dei Cookie potrebbero, inoltre, necessitare del consenso dell’Utente.

Quando l’installazione di Cookies avviene sulla base del consenso, tale consenso può essere revocato liberamente in ogni momento seguendo le istruzioni contenute in questo documento.

Definizioni e riferimenti legali Dati Personali (o Dati)

Costituisce dato personale qualunque informazione che, direttamente o indirettamente, anche in collegamento con qualsiasi altra informazione, ivi compreso un numero di identificazione personale, renda identificata o identificabile una persona fisica.

Dati di Utilizzo

Sono le informazioni raccolte automaticamente attraverso questo Sito Web (anche da applicazioni di parti terze integrate in questo Sito Web), tra cui: gli indirizzi IP o i nomi a dominio dei computer utilizzati dall’Utente che si connette con questo Sito Web, gli indirizzi in notazione URI (Uniform Resource Identifier), l’orario della richiesta, il metodo utilizzato nell’inoltrare la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta dal server (buon fine, errore, ecc.) il paese di provenienza, le caratteristiche del browser e del sistema operativo utilizzati dal visitatore, le varie connotazioni temporali della visita (ad esempio il tempo di permanenza su ciascuna pagina) e i dettagli

relativi all’itinerario seguito all’interno dell’Applicazione, con particolare riferimento alla sequenza delle pagine consultate, ai parametri relativi al sistema operativo e all’ambiente informatico dell’Utente.

Utente

L’individuo che utilizza questo Sito Web che, salvo ove diversamente specificato, coincide con l’Interessato.

Interessato

La persona fisica cui si riferiscono i Dati Personali.

Responsabile del Trattamento (o Responsabile)

La persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente che tratta dati personali per conto del Titolare, secondo quanto esposto nella privacy policy.

Titolare del Trattamento (o Titolare)

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali e gli strumenti adottati, ivi comprese le misure di sicurezza relative al funzionamento ed alla fruizione di questo Sito Web. Il Titolare del Trattamento, salvo quanto diversamente specificato, è il titolare di questo Sito Web.

Questo Sito Web (o questa Applicazione)

Lo strumento hardware o software mediante il quale sono raccolti e trattati i Dati Personali degli Utenti.

Servizio

Il Servizio fornito da questo Sito Web così come definito nei relativi termini (se presenti) su questo sito/applicazione.

Unione Europea (o UE)

Salvo ove diversamente specificato, ogni riferimento all’Unione Europea contenuto in questo documento si intende esteso a tutti gli attuali stati membri dell’Unione Europea e dello Spazio Economico Europeo.

Cookie

Piccola porzione di dati conservata all’interno del dispositivo dell’Utente.

Riferimenti legali

L’informativa privacy è redatta sulla base di molteplici ordinamenti legislativi, inclusi gli artt. 13 e 14 del Regolamento (UE) 2016/679.

Ove non diversamente specificato, questa informativa privacy riguarda esclusivamente questo Sito Web.

Cookie tecnici e di statistica aggregata

Attività strettamente necessarie al funzionamento

Questo Sito Web utilizza Cookie per salvare la sessione dell’Utente e per svolgere altre attività strettamente necessarie al funzionamento di questo Sito Web, ad esempio in relazione alla distribuzione del traffico.

Attività di salvataggio delle preferenze, ottimizzazione e statistica

Questo Sito Web utilizza Cookie per salvare le preferenze di navigazione ed ottimizzare l’esperienza di navigazione dell’Utente. Fra questi Cookie rientrano, ad esempio, quelli per impostare la lingua e la valuta o per la gestione di statistiche da parte del Titolare del sito.

Altre tipologie di Cookie o strumenti terzi che potrebbero installarne

Alcuni dei servizi elencati di seguito raccolgono statistiche in forma aggregata ed anonima e potrebbero non richiedere il consenso dell’Utente o potrebbero essere gestiti direttamente dal Titolare – a seconda di quanto descritto – senza l’ausilio di terzi.

Qualora fra gli strumenti indicati in seguito fossero presenti servizi gestiti da terzi, questi potrebbero – in aggiunta a quanto specificato ed anche all’insaputa del Titolare – compiere attività di tracciamento dell’Utente. Per informazioni dettagliate in merito, si consiglia di consultare le privacy policy dei servizi elencati.

Interazione con le piattaforme di live chat

Questo tipo di servizi permette di interagire con le piattaforme di live chat, gestite da soggetti terzi, direttamente dalle pagine di questo Sito Web. Ciò permette all’Utente di contattare il servizio di supporto di questo Sito Web o a questo Sito Web di contattare l’Utente mentre sta navigando le sue pagine.

Nel caso in cui sia installato un servizio di interazione con le piattaforme di live chat, è possibile che, anche nel caso gli Utenti non utilizzino il servizio, lo stesso raccolga Dati di Utilizzo relativi alle pagine in cui è installato. Inoltre, le conversazioni della live chat potrebbero essere registrate.

Interazione con social network e piattaforme esterne

Questo tipo di servizi permette di effettuare interazioni con i social network, o con altre piattaforme esterne, direttamente dalle pagine di questo Sito Web.

Le interazioni e le informazioni acquisite da questo Sito Web sono in ogni caso soggette alle impostazioni privacy dell’Utente relative ad ogni social network.

Nel caso in cui sia installato un servizio di interazione con i social network, è possibile che, anche nel caso gli Utenti non utilizzino il servizio, lo stesso raccolga dati di traffico relativi alle pagine in cui è installato.

Pulsante Mi Piace e widget sociali di Facebook (Facebook, Inc.)

Il pulsante “Mi Piace” e i widget sociali di Facebook sono servizi di interazione con il social network Facebook, forniti da Facebook, Inc.

Dati Personali raccolti: Cookie e Dati di utilizzo.

Luogo del trattamento: USA – Privacy Policy (https://www.facebook.com/privacy/explanation).

Pulsante “Pin it” e widget sociali di Pinterest (Pinterest)

Il pulsante “Pin it” e widget sociali di Pinterest sono servizi di interazione con la piattaforma Pinterest, forniti da Pinterest Inc.

Dati Personali raccolti: Cookie e Dati di utilizzo.

Luogo del trattamento: USA – Privacy Policy (https://policy.pinterest.com/en/privacy-policy).

Pulsante Tweet e widget sociali di Twitter (Twitter, Inc.)

Il pulsante Tweet e i widget sociali di Twitter sono servizi di interazione con il social network Twitter, forniti da Twitter, Inc.

Dati Personali raccolti: Cookie e Dati di utilizzo.

Luogo del trattamento: USA – Privacy Policy (https://twitter.com/it/privacy).

Statistica

I servizi contenuti nella presente sezione permettono al Titolare del Trattamento di monitorare e analizzare i dati di traffico e servono a tener traccia del comportamento dell’Utente.

Google Analytics (Google Inc.)

Google Analytics è un servizio di analisi web fornito da Google Inc. (“Google”). Google utilizza i Dati Personali, raccolti in forma anonima su questo sito, allo scopo di tracciare ed esaminare l’utilizzo di questo Sito Web, compilare report e condividerli con gli altri servizi sviluppati da Google.

Google potrebbe utilizzare i Dati Personali, raccolti in modo anonimo su questo sito per contestualizzare e personalizzare gli annunci del proprio network pubblicitario.

Dati Personali raccolti: Cookie e Dati di utilizzo.

Luogo del trattamento: USA – Privacy Policy (https://policies.google.com/privacy?hl=it) – Opt Out (https://tools.google.com/dlpage/gaoptout?hl=it).

Visualizzazione di contenuti da piattaforme esterne

Questo tipo di servizi permette di visualizzare contenuti ospitati su piattaforme esterne direttamente dalle pagine di questo Sito Web e di interagire con essi.

Nel caso in cui sia installato un servizio di questo tipo, è possibile che, anche nel caso gli Utenti non utilizzino il servizio, lo stesso raccolga dati di traffico relativi alle pagine in cui è installato.

Widget Video YouTube (Google Inc.)

YouTube è un servizio di visualizzazione di contenuti video gestito da Google Inc. che permette a questo Sito Web di integrare tali contenuti all’interno delle proprie pagine.

Dati Personali raccolti: Cookie e Dati di utilizzo.

Luogo del trattamento: Stati Uniti – Privacy Policy(https://policies.google.com/privacy?hl=it&gl=it)

Come posso esprimere il consenso all’installazione di Cookie?

In aggiunta a quanto indicato in questo documento, l’Utente può gestire le preferenze relative ai Cookie direttamente all’interno del proprio browser ed impedire – ad esempio – che terze parti possano installarne. Tramite le preferenze del browser è inoltre possibile eliminare i Cookie installati in passato, incluso il

Cookie in cui venga eventualmente salvato il consenso all’installazione di Cookie da parte di questo sito. L’Utente può trovare informazioni su come gestire i Cookie con alcuni dei browser più diffusi ad esempio ai seguenti indirizzi: Google Chrome, Mozilla Firefox, Apple Safari Microsoft Internet Explorer.

Con riferimento a Cookie installati da terze parti, l’Utente può inoltre gestire le proprie impostazioni e revocare il consenso visitando il relativo link di opt out (qualora disponibile), utilizzando gli strumenti descritti nella privacy policy della terza parte o contattando direttamente la stessa.

Fermo restando quanto precede, l’Utente può avvalersi delle informazioni fornite da EDAA (UE), Network Advertising Initiative (USA) e Digital Advertising Alliance (USA), DAAC (Canada), DDAI (Giappone) o altri servizi analoghi. Con questi servizi è possibile gestire le preferenze di tracciamento della maggior parte degli strumenti pubblicitari. Il Titolare, pertanto, consiglia agli Utenti di utilizzare tali risorse in aggiunta alle informazioni fornite dal presente documento.

Titolare del Trattamento dei Dati

Mino Berlino – Gravinae Nativitas – Gravina in Puglia (Ba), Italia.

Indirizzo email del Titolare: info@gravinaenativitas.com

Per qualsiasi chiarimento, informazione, esercizio dei diritti elencati nella presente informativa, contattare il titolare alla seguente mail: info@gravinaenativitas.com

Dal momento che l’installazione di Cookie e di altri sistemi di tracciamento operata da terze parti tramite i servizi utilizzati all’interno di questo Sito Web non può essere tecnicamente controllata dal Titolare, ogni riferimento specifico a Cookie e sistemi di tracciamento installati da terze parti è da considerarsi indicativo. Per ottenere informazioni complete, l’Utente è invitato a consultare la privacy policy degli eventuali servizi terzi elencati in questo documento.

Vista l’oggettiva complessità di identificazione delle tecnologie basate sui Cookie l’Utente è invitato a contattare il Titolare qualora volesse ricevere qualunque approfondimento relativo all’utilizzo dei Cookie stessi tramite questo Sito Web.