Policy per la protezione dei dati personali della società Smart srls
Premessa............................................................................................................................................... 3
Descrizione dell’impresa e titolare del trattamento.................................................................................. 3
Dati trattati, oggetto del trattamento e analisi dei rischi........................................................................... 3
Comunicazione dei dati........................................................................................................................... 4
Gestione dei data breach........................................................................................................................ 4
Diritti dell’interessato............................................................................................................................. 4
Cookie policy.......................................................................................................................................... 5
Il presente documento descrive le policy di sicurezza attraverso un’analisi dell’organizzazione delle procedure di gestione dei dati personali trattati e una conseguente analisi dei rischi, al fine di valutare la conformità di tali policy al Regolamento UE 2016/679, il Regolamento Generale per la Protezione dei Dati (RGPD).
Il documento si pone come strumento basilare di trasparenza e di affidabilità per la gestione e la protezione dei dati personali, fissando la conoscenza sviluppata in azienda e trasformando gli adempimenti dovuti per legge in valore aggiunto, attraverso una descrizione formale dei processi di protezione dei dati, favorendo così l’implementazione delle procedure future e una corretta manutenzione delle procedure nel tempo.
Il titolare del trattamento, nel seguito indicato sinteticamente come Titolare, è l’impresa:
Smart s.r.l.s. con sede legale in Via Fremantle 23 a Molfetta (Ba)
Partita IVA IT08096510725
email [email protected].
Smart è un’impresa che fornisce servizi software in modalità CLOUD.
La società Smart fornisce, attraverso licenze d’uso, un’applicazione web per la gestione delle attività specifiche di centri estetici, SPA e parrucchieri. I clienti accedono al gestionale web e inseriscono i dati personali necessari per potere erogare i servizi ai propri clienti.
Il Titolare gestisce, quale responsabile esterno del trattamento, i record di dati personali dei clienti afferenti al singolo centro estetico, SPA o parrucchiere. La strutturazione dei dati personali gestiti è la seguente:
Tabella clienti (i clienti che fanno capo al singolo cliente di Smart)
·Nome
·Cognome
·Telefono fisso
·Telefono mobile,
·Via
·CAP
·Città
·Sesso
·“come ha conosciuto il centro estetico/SPA/parrucchiere”
Tabella appuntamenti
·Dati appuntamento (data, ora)
·ID servizio
·Costo del servizio
L'elenco dei servizi è salvato in un'altra tabella non associata alla Tabella appuntamenti.
Il server e i database utilizzati per l’applicazione web afferiscono al fornitore OVH, che è di conseguenza autorizzato dal Titolare in quanto incaricato del trattamento e che adotta procedure conformi al RGPD, impegnandosi in particolare a eseguire le seguenti azioni:
·trattare i dati personali esclusivamente ai fini della corretta esecuzione dei servizi, escludendo qualsiasi altra finalità (marketing, ecc.);
·non trasferire i dati al di fuori dell'UE o al di fuori dei paesi riconosciuti dalla Commissione Europea come aventi un adeguato livello di protezione;
·informare di qualsiasi eventuale ricorso ad altri incaricati che potrebbero trattare i dati personali;
·implementare standard elevati di sicurezza al fine di garantire un alto livello di sicurezza ai servizi;
·notificare il prima possibile un’eventuale violazione dei dati.
Senza la necessità di un espresso consenso il Titolare potrà comunicare i dati personali a Organismi di vigilanza (quali IVASS), Autorità giudiziarie, a società di assicurazione per la prestazione di servizi assicurativi, nonché a quei soggetti ai quali la comunicazione sia obbligatoria per legge per l’espletamento delle finalità dette. Detti soggetti tratteranno i dati nella loro qualità di autonomi titolari del trattamento.
Il data breach giuridico, o “violazione dei dati personali”, include l’attacco a sistemi informatici, l’intrusione o il data leak, dunque non solo situazioni che prevedono l’intervento malevolo di terzi ma anche ipotesi ulteriori, anche del tutto interne, dovute per esempio all’accesso ai dati personali da parte di personale non autorizzato, sia interno che esterno.
Al fine di segnalare l’avvenuto data breach il Titolare utilizzerà il formato predisposto e le procedure previste dal Garante per la protezione dei dati personali.
L’interessato ha i diritti di cui all’art. 15 del RGPD, e precisamente i diritti di:
1. ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile;
2. ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare e dei responsabili;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati;
3. ottenere:
a) l'aggiornamento, la rettifica ovvero, quando vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli obblighi in capo al Titolare;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;
4. opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali, ancorché pertinenti allo scopo della raccolta;
5. ritirare un consenso precedentemente concesso per il trattamento di una specifica finalità.
Per far valere i suoi diritti potrà rivolgersi senza particolari formalità al Titolare del trattamento.
Ha altresì il diritto di reclamo all’Autorità Garante
Nel corso della navigazione all’interno del sito www.smartbooker.it possono essere raccolti alcuni dati attraverso dei piccoli file di testo chiamati cookie. L’interessato potrà sempre richiederne la disattivazione modificando le impostazioni del browser, ma tale disattivazione potrà rallentare o impedire l’accesso ad alcune parti del sito.
Oltre ai dati di navigazione sopraindicati, non verranno raccolti altri dati personali, fatti ovviamente salvi quelli che saranno da volontariamente forniti.