Regole di Condotta – Oltre S.r.l.s.

PREMESSA

L’articolo 40 del Nuovo regolamento Europeo 2016/679, prevede i Codici di condotta da cui estrapoliamo il punto uno.

“1. Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese”.

In attesa che le associazioni di categoria ed il Garante approvino i codici di condotta OLTRE S.r.l.s., coerente con il nuovo regolamento ha applicato nei confronti dei dipendenti, clienti,  fornitori, collaboratori e partener, le “REGOLE di CONDOTTA” per la tutela dei dati personali e della Privacy.

Il nostro motto: ottima assistenza, privacy esemplare.
Le nostre sfide: desideri ed esigenze dei nostri clienti, accresciuta sensibilità verso i nostri clienti.

Regolamenti eterogenei sulla protezione dei dati

Protezione dei dati personali nello scambio di dati a tutti i livelli

Adeguato livello di protezione dei dati all’interno del gruppo

Immagine unitaria nella competizione

Gestione integrativa della protezione e sicurezza dei dati

Le nostre soluzioni: approccio di tipo globale, adeguato livello di protezione dei dati attraverso l’autoregolamentazione, protezione dei dati come vantaggio competitivo e qualitativo, organizzazione interna della protezione dei dati, applicazione della legge a livello interno, integrazione di protezione e sicurezza dei dati nei prodotti e nei servizi.

Gentili collaboratrici, collaboratori, clienti e fornitori,

il rispetto delle normative giuridiche sulla protezione dei dati personali rappresenta un aspetto importante sia per poter offrire un’adeguata assistenza ai nostri clienti, sia per impostare in modo efficace i nostri processi aziendali.

In qualità di azienda che opera a livello provinciale, regionale e nazionale, OLTRE S.r.l.s. ha il dovere di soddisfare i requisiti giuridici, del Novo Regolamento 2016/679, che riguardano il rilevamento e l’elaborazione dei dati personali. Per questo motivo, è necessario attenersi alle normative vigenti, in particolare durante lo scambio di dati tra i singoli soggetti giuridici e privati.

Per stabilire, un adeguato livello di protezione dei dati come presupposto fondamentale per il trasferimento dei dati personali, OLTRE S.r.l.s. ha introdotto la regolamentazione “Tutela dei dati personali e della privacy” relativa ai dati degli interessati e degli altri partner contrattuali.

La realizzazione degli obblighi derivanti dal Regolamento “Tutela dei dati personali e della privacy” ed il rispetto delle norme nazionali sulla protezione dei dati dovranno essere assicurati dal Titolare del Trattamento Dati. Al fine di consentire un efficace svolgimento di questi compiti a livello locale e di coadiuvare il Titolare del Trattamento Dati nelle sue mansioni, nei reparti operativi e amministrativi è in corso la nomina di una serie di collaboratori “Autorizzati” e “Responsabili del Trattamento Dati”. I “Responsabili del Trattamento Dati” e gli “Autorizzati” dovranno riferire al Titolare al Trattamento Dati, dal quale saranno istruiti sotto l’aspetto tecnico.

Sia i RTD, gli Autorizzati che il Titolare Trattamento Dati saranno a disposizione degli interessati per qualsiasi chiarimento in merito alla realizzazione della normativa “Tutela dei dati personali e della privacy”.

Il titolare del trattamento è OLTRE S.r.l.s., con sede in Via Menotti Garibaldi, 17 – 00049 Velletri (RM) – oltre@pec.cloud.

Il Titolare ha nominato un Responsabile della Protezione dei dati personali (Data Protection Officer – DPO) che può essere contattato per ogni informazione e richiesta all’indirizzo: privacy@oltreassicurazioni.it

I. Obiettivo delle REGOLE di CONDOTTA

L’obiettivo delle presenti Regole di Condotta consiste nello stabilire standard di protezione e sicurezza uniformi, adeguati e globali nell’azienda OLTRE S.r.l.s., allo scopo di soddisfare i requisiti fissati dalla Direttiva Europea sulla Protezione dei Dati Personali e le altre normative nazionali sullo scambio di dati. Le REGOLE creano in questo contesto un livello di protezione dei dati uniforme a livello di tutta l’Azienda, senza tuttavia sostituire la legittimazione che deve essere alla base di qualsiasi elaborazione o trasmissione di dati. Parallelamente, i collaboratori e i dirigenti devono ricevere un adeguato supporto per poter integrare le questioni relative alla tutela dei dati personali dei nostri clienti e partner contrattuali nella configurazione dei prodotti e servizi dell’Azienda. Questo paragrafo deve essere interpretato in correlazione con i seguenti paragrafi delle presenti Regole.

II. Limiti di validità

Le Regole di Condotta sono una direttiva aziendale valida sia per l’elaborazione dei dati personali dei clienti, sia per il trattamento dei dati di fornitori, consulenti dipendenti ed altri partner contrattuali che operano nell’ambito della OLTRE S.r.l.s. nel suo complesso.

III. Principi per l’elaborazione dei dati personali

1. Nell’elaborazione dei dati è necessario tutelare i diritti personali alla privacy degli interessati.

2. I dati personali possono essere elaborati esclusivamente se ciò risulta legalmente ammissibile o se il soggetto interessato ha fornito il proprio consenso. I dati personali possono essere elaborati esclusivamente ai fini per i quali sono stati originariamente raccolti, e ai quali si estende l’ammissibilità giuridica o il consenso rilasciato.

3. I dati personali devono essere memorizzati correttamente e, qualora necessario, periodicamente aggiornati. A tale scopo occorre adottare provvedimenti idonei per cancellare o rettificare i dati che risultano incorretti od incompleti.

4. Ai dati personali possono accedere soltanto i dipendenti che operano in un settore di attività connesso al trattamento di tali dati; l’autorizzazione all’accesso deve essere limitata in base al tipo e alla portata della rispettiva area di competenza.

5. I dati personali che non risultano più necessari ai fini commerciali per i quali sono stati originariamente raccolti e memorizzati, possono essere eventualmente cancellati in conformità con le norme vigenti sulla conservazione dei dati.

6. Qualora l’interessato si sia opposto all’utilizzo dei propri dati personali a scopo di marketing, i dati non potranno essere utilizzati a tal fine.

7. L’elaborazione dei dati deve essere finalizzata allo scopo di rilevare, elaborare ed utilizzare esclusivamente i dati personali necessari, ovvero la minima quantità possibile di informazioni. Le possibilità di anonimizzazione e pseudonimizzazione sono ammesse, laddove ciò sia possibile e gli oneri di queste procedure risultino adeguatamente rapportati alle finalità di protezione dei dati che si intende perseguire. Le valutazioni statistiche o le analisi effettuate sulla base di dati anonimizzati o pseudonimizzati non sono rilevanti ai fini della protezione dei dati personali, in quanto tali dati non risultano più individualizzabili.

8. Le decisioni che possono avere ripercussioni giuridiche negative o comportare notevoli danni per l’interessato, non possono essere basate esclusivamente su di un sistema automatizzato di elaborazione dei dati personali, che serve alla valutazione di singole caratteristiche della persona, come ad esempio l’idoneità per la concessione di un credito. Le tecnologie informatiche possono essere fondamentalmente utilizzate soltanto come strumento ausiliario per formulare una decisione, senza tuttavia rappresentare l’unica base su cui tale decisione si fonda. Qualora, in casi particolari, dovesse rendersi oggettivamente necessario formulare una decisione automatizzata, l’interessato deve avere la possibilità di esprimere il proprio parere, a meno che tale decisione non sia consentita da una legge che fissa le norme di garanzia per la tutela dei legittimi interessi delle persone interessate.

9. Nei progetti di elaborazione dei dati dai quali possono derivare particolari rischi per la tutela del diritto alla privacy degli interessati, il settore Protezione Dati deve essere interpellato a partire dalle prime fasi del processo di elaborazione. Quanto sopra vale in particolare per le tipologie di dati personali elencate qui di seguito.

IV. Tipologie particolari di dati personali

L’elaborazione dei dati personali relativi alla provenienza razziale ed etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, all’appartenenza a sindacati oppure sulla salute o sull’orientamento sessuale dell’interessato è generalmente vietata, salvo che la legittimità dell’elaborazione non derivi da un’autorizzazione legale o da un requisito di legge. L’elaborazione di questo genere di dati personali, inoltre, è consentita per la convalida, l’esercizio o la tutela di diritti legali anche nell’ambito di una controversia giudiziaria, qualora non sussista alcun motivo per supporre che prevalga il legittimo interesse dell’interessato all’esclusione dell’elaborazione o dell’utilizzo dei dati. In tutti gli altri casi, l’interessato deve avere fornito espressamente il proprio consenso all’elaborazione dei suddetti dati.

V. Informazione e consenso dell’interessato

1. Rapporto contrattuale

I dati personali dell’interessato possono essere rilevati ed elaborati sulla base e ai fini di esecuzione del contratto e dell’avviamento del rapporto di lavoro. In questo contesto sono consentiti anche l’elaborazione e l’utilizzo a fine di marketing, o di ricerche di mercato e sondaggi di opinione, nella misura in cui ciò risulti in accordo con lo scopo per i quali i dati sono stati originariamente rilevati.

Al momento del rilevamento dei dati, l’interessato deve essere consapevole od informato di quanto segue:

❍ identità del titolare del trattamento dati;

❍ finalità dell’elaborazione dei dati;

❍ terzi o categorie di terzi ai quali i dati possono essere eventualmente trasmessi;

❍ possibilità di partecipare volontariamente ad azioni di marketing o ricerche di mercato e sondaggi di opinione.

Questa trasparenza può essere assicurata mediante una comunicazione individuale od informazioni fornite a carattere generale. L’interessato deve essere informato dei diritti di informazione e rettifica dei suoi dati personali. In seguito, al primo invio a scopo di pubblicità diretta, egli deve essere informato del diritto di rifiutare il proprio consenso all’elaborazione di questi dati a scopo di marketing diretto.

2. Rapporto non contrattuale

Qualora non sussista un rapporto contrattuale, l’interessato deve avere acconsentito al rilevamento e all’elaborazione dei propri dati personali, a meno che l’ammissibilità del rilevamento e dell’elaborazione non sia fondata sulle norme del diritto nazionale. Quanto sopra vale anche nel caso in cui si debba procedere ad un’ulteriore elaborazione o al successivo trattamento dei dati per motivi che esulano dai fini originari del rilevamento. Prima di rilasciare il consenso, l’interessato deve essere informato come prescritto al Paragrafo V. Punto 1 del presente Regolamento. La dichiarazione di consenso, per esigenze probatorie, deve essere regolarmente rilasciata per iscritto. Qualora si tratti, ad esempio, di un consenso che viene rilasciato nell’ambito della conclusione di un contratto di compravendita, la clausola contrattuale che contiene il consenso deve essere evidenziata visivamente sul modulo del contratto di acquisto. Nella dichiarazione di consenso devono essere specificati l’entità e lo scopo della procedura di elaborazione dei dati. La OLTRE S.r.l.s., nel caso di circostanze particolari, ad esempio in caso di consulenza telefonica, eccezionalmente il consenso può essere anche verbale. Per la configurazione delle dichiarazioni di consenso fornite online, sarà però obbligatorio attenersi agli standard di protezione e qualità dei dati per le applicazioni di e-business valide in materia.

3. Scambio di dati con terzi/acquisizione di dati

Di norma, i dati personali devono essere rilevati direttamente dall’interessato. Qualora i dati vengano raccolti presso terzi o trasmessi da terzi, è necessario verificare che alla prima richiesta dei dati l’interessato sia stato o venga conformemente informato come descritto al paragrafo V. Punto 1 delle presenti Regole di Condotta. Le richieste di informazioni sulla solvibilità richiedono il rilascio di un apposito consenso. Nel caso di acquisizione di dati occorre verificare che i dati vengano rilevati legalmente nell’ambito delle norme di diritto vigenti.

VI. Diritti degli interessati

Per eventuali chiarimenti e reclami, gli interessati possono rivolgersi al Titolare del trattamento Dati. In particolare, qualora gli interessati intendano esercitare i diritti elencati qui di seguito, le richieste in tal senso devono essere immediatamente evase.

1.L’interessato può chiedere informazioni in merito al contenuto dei dati personali memorizzati sul suo conto, alla loro provenienza e allo scopo per il quale sono stati archiviati.

2. In caso di trasmissione di dati personali a terzi, è necessario fornire informazioni anche sull’identità dei destinatari o sulle categorie di destinatari dei dati.

3. Qualora, ad esempio nell’ambito dell’esercizio del diritto di informazione, si dovesse riscontrare che i dati personali risultano inesatti od incompleti, l’interessato ha il diritto di esigere una correzione. Laddove dovesse risultare che lo scopo dell’elaborazione dei dati sia venuto meno per decorrenza dei termini o per altri motivi, oppure il trattamento dei dati sia illegale e questo finora sia stato ignorato nell’ambito delle verifiche periodiche, i dati dovranno essere cancellati, tenendo eventualmente conto degli obblighi di legge sulla conservazione delle informazioni.

4. L’interessato ha il diritto di rifiutare il suo consenso all’utilizzo dei propri dati personali ai fini di pubblicità diretta, oppure di ricerche di mercato o sondaggi di opinione. L’utilizzo dei dati a tali scopi deve essere pertanto interdetto.

5. Inoltre, l’interessato ha il diritto fondamentale di rifiutare il proprio consenso all’elaborazione dei propri dati personali, del quale va tenuto conto nel caso in cui una verifica determini che il suo legittimo interesse, a causa di una particolare situazione, prevalga sull’interesse dell’ufficio responsabile. Quanto sopra non è valido nel caso in cui una norma di legge prescriva l’obbligo di elaborazione o di utilizzo dei dati.

VII. Segretezza del processo di elaborazione

Esclusivamente i dipendenti autorizzati ed espressamente vincolati all’obbligo di segretezza sul contenuto dei dati possono raccogliere, elaborare od utilizzare le informazioni personali. In particolare, è vietato sfruttare questi dati a fini privati, trasmettere le informazioni a persone non autorizzate o comunque renderle accessibili a queste ultime in altro modo. Non autorizzati, in questo senso, sono da ritenersi ad esempio anche i colleghi di lavoro, a meno che non risulti diversamente in considerazione della sfera di competenza o delle mansioni concretamente svolte da questi colleghi. Il modello della dichiarazione relativa al suddetto obbligo può essere visionato nella sede amministrativa di via del Campo, 2 –  04011, Aprilia (LT).

L’obbligo di segretezza permane anche dopo la conclusione del rapporto di lavoro.

VIII. Principi di sicurezza dei dati

Le misure tecnico-organizzative necessarie per garantire la sicurezza dei dati si riferiscono a:

  • elaboratori (server e workstation);
  • reti o connessioni per la comunicazione in rete;
  • applicazioni.

Per quanto concerne i server, sono previste misure di sicurezza fisiche ed infrastrutturali che comprendono i controlli di accesso (con livelli di autorizzazione differenziati), sistemi di chiusura e dispositivi antincendio. Tutte le workstation sono dotate di un sistema di protezione mediante password. La rete aziendale (Corporate Network) è protetta da sistemi Firewall contro i tentativi di accesso dall’esterno non autorizzati e di intromissioni da Internet. I dati personali con riferimenti a persone al di fuori della rete aziendale vengono protetti su server in cloud con doppia password. Qualora si verifichino scostamenti da questa procedura, tale anomalia deve essere motivata nei confronti del settore Protezione Dati. Al fine di proteggere i dati personali contenuti nelle banche dati, è previsto un sistema di accesso e di intervento riferito al nominativo personale e al tipo di applicazione. Le suddette misure tecnico-organizzative sono integrate in un sistema di gestione della tutela e sicurezza dei dati che presiede alle diverse responsabilità.

IX. Dati di marketing/elaborazione dati per conto terzi/coinvolgimento di terzi nelle procedure operative

Frequentemente è possibile che si verifichi un coinvolgimento di terzi esterni nelle procedure operative. Qualora, nel contesto di un rapporto contrattuale, l’azienda figuri in qualità di Committente o come Commissionario, e/o nel caso in cui altri terzi siano coinvolti nel processo di elaborazione od utilizzo di dati personali, occorre attenersi a quanto segue:

1.Si deve selezionare esclusivamente un Commissionario/terzo che sia in grado di garantire i requisiti tecnici ed organizzativi necessari per l’elaborazione, come pure le opportune precauzioni per la sicurezza dei dati.

2. Lo svolgimento dell’elaborazione (commessa) deve essere regolamentato in un contratto scritto o documentabile in un altro modo corrispondente. Le clausole contrattuali possono essere visionate presso il Titolare del Trattamento Dati, che in caso di necessità svolge la funzione di consulente al riguardo.

3. Il Titolare del Trattamento resta comunque l’interlocutore primario per i clienti, i fornitori e gli altri partner contrattuali che intendono esercitare i propri diritti.

4. I terzi esterni che vengono incaricati dello svolgimento dei compiti di elaborazione dati o di servizi vari, ad esempio nell’ambito del marketing, delle ricerche di mercato o dei sondaggi di opinione, devono essere vincolati per contratto ad elaborare od utilizzare i dati personali ricevuti dal Committente esclusivamente nell’ambito dell’ordine commissionato. L’utilizzo dei dati a proprio scopo o per finalità di terzi deve essere espressamente escluso a livello contrattuale.

5. Gli altri tipi di cooperazione con terzi, nel cui ambito i dati personali vengono trasmessi oppure resi accessibili ai suddetti terzi in vario modo, presuppongono ugualmente l’obbligo da parte di questi terzi a garantire uno standard di protezione e sicurezza dei dati corrispondente a quello delle presenti Regole di Condotta.

6. Il rifiuto dell’interessato a fornire il consenso all’utilizzo dei dati per azioni di marketing o sondaggi di opinione (cfr. paragrafo VI. Punto 4 delle presenti Regole di Condotta) deve essere rispettato anche nel caso del coinvolgimento di terzi, e se necessario trasmesso ai terzi interni ed esterni coinvolti nel processo.

X. Telecomunicazioni ed Internet

L’elaborazione dei dati personali che si verifica nell’ambito delle telecomunicazioni intrattenute con l’interessato, incluso le comunicazioni via Internet, è regolata in base alle istruzioni di lavoro vigenti a livello locale, o secondo il diritto applicabile nei singoli casi.

XI. Provvedimenti/sanzioni/responsabilità

L’azienda, in qualità di Titolare per l’elaborazione dei dati, ha l’obbligo di garantire nei confronti degli interessati il rispetto dei requisiti di protezione dei dati personali. Laddove sia necessario provvedere ad un’adeguata formazione, il settore Protezione Dati può essere interpellato per un supporto. I collaboratori che si occupano dell’elaborazione dei dati personali devono sapere che le violazioni delle norme sulla tutela della privacy vengono perseguite anche penalmente e possono dare luogo a richieste di risarcimento. Le trasgressioni per le quali possono essere considerati responsabili i singoli collaboratori comportano generalmente le sanzioni previste dal diritto del lavoro, secondo la norma nazionale. Nel caso di una violazione presunta dall’interessato l’azienda deve sostenere l’interessato, i cui dati sono stati raccolti, sia per consentire il chiarimento della fattispecie, sia per assicurare l’affermazione dei suoi diritti ai sensi del Paragrafo VI. delle presenti Regole di Condotta nei confronti dell’azienda acquisitrice dei dati.

Titolare del Trattamento Dati

OLTRE SRLS,

con sede in Via Menotti Garibaldi, 17 – 00049 Velletri (RM) – oltre@pec.cloud.

Il Titolare ha nominato un Responsabile della Protezione dei dati personali (Data Protection Officer – DPO) che può essere contattato per ogni informazione e richiesta all’indirizzo: privacy@oltreassicurazioni.it

Oltre - Assicurazioni VelletriOltre - Assicurazioni VelletriOltre - Assicurazioni VelletriOltre - Assicurazioni Velletri