INFORMATIVA SULLA PRIVACY AZIENDALE
1 Obiettivo
Il presente documento costituisce l’informativa sulla privacy attuata da Herstal Group, di seguito denominata “la società”, nell’ambito delle sue attività. La società è composta dalle seguenti entità giuridiche:
- HERSTAL SA
- FN HERSTAL
- BROWNING International
- BROWNING SA
- HERSTAL Group Services
La protezione della vostra privacy e dei vostri dati personali è di fondamentale importanza per la società.
La presente informativa sulla privacy è scritta per garantire il rispetto del Regolamento europeo 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE (Regolamento Europeo in materia di Protezione dei Dati Personali, o GDPR).
Lo scopo di questa informativa sulla privacy è di informarvi su come la società raccoglie, utilizza e conserva i vostri dati personali.
2 Qual è la portata di questa informativa?
Cosa significa ” trattamento dei vostri dati” e chi ne è responsabile?
Raccogliamo e utilizziamo solo i dati personali che sono necessari nell’ambito delle nostre attività e che ci permettono di fornire servizi di qualità.
Siamo quindi il vostro interlocutore così come quello delle autorità di controllo (ad esempio l'”Il Garante per la Protezione dei Dati”), per qualsiasi domanda riguardante l’uso dei vostri dati.
Per alcuni servizi, ricorriamo a terzi specializzati che, in alcuni casi, agiscono come responsabili del trattamento. Devono seguire le nostre direttive e rispettare la nostra informativa sulla privacy. In altri casi, queste terze parti sono anche (co-) responsabili del trattamento e devono, a loro volta, rispettare i loro obblighi legali in materia.
Ci assicuriamo che questi responsabili del trattamento ricevano solo i dati rigorosamente necessari per l’esecuzione della loro parte del contratto.
Siamo inoltre suscettibili di intervenire in qualità di responsabili del trattamento per altre entità giuridiche. In questo caso, queste entità sono i Titolari del trattamento dei dati personali. Seguiamo allora le loro istruzioni.
Quali dati sono contemplati dalla nostra informativa?
I dati contemplati da questa informativa sono i dati personali delle persone fisiche, vale a dire i dati che direttamente o indirettamente permettono di identificare una persona.
Nell’ambito della vostre relazioni ed interazioni con la società, potremmo avere bisogno di raccogliere diversi dati personali come ad esempio:
- dati di identificazione e di contatto (ad esempio: titolo, cognome, indirizzo, data e luogo di nascita, numero di registro nazionale, numero di conto, numero di telefono, indirizzo e-mail, indirizzo IP, occupazione);
- situazione familiare (ad esempio: stato civile, numero di figli);
- dati bancari, finanziari e transazionali (ad esempio: dati bancari, numeri di conto, dati relativi ai bonifici, comprese le comunicazioni, e in generale, tutti i dati registrati durante i vostri bonifici bancari;
- dati relativi ai vostri comportamenti e abitudini in relazione all’uso dei nostri canali (ad esempio il nostro sito web) e dei nostri prodotti;
- dati relativi alle vostre preferenze e centri di interesse, che ci comunicherete direttamente o indirettamente, ad esempio tramite la partecipazione ai nostri eventi o sondaggi, … ;
- dati provenienti dalle vostre interazioni sulle nostre pagine dedicate sui social network (ad esempio Facebook e LinkedIn);
Non trattiamo mai dati relativi alle vostre origini razziali o etniche, alle vostre opinioni politiche, alla vostra religione, alle vostre convinzioni filosofiche o all’appartenenza a un sindacato, ai vostri dati genetici, alla vostra vita sessuale o al vostro orientamento sessuale, a meno che non ci sia richiesto dalla legge o in seguito al vostro utilizzo dei nostri prodotti e servizi.
3 Principi guida per il trattamento dei dati personali
Ci atteniamo ai seguenti principi, tra gli altri, quando trattiamo i dati personali nell’ambito della gestione e dell’adempimento dei nostri obblighi:
- Trattamento legittimo dei dati: trattiamo i dati personali in modo legittimo nell’ambito delle nostre attività;
- Finalità identificate e limitazione delle finalità: raccogliamo e trattiamo i dati personali per le finalità legittime specificate in appresso;
- Minimizzazione del trattamento dei dati: limitiamo il trattamento dei dati personali a quanto necessario nell’ambito delle nostre attività;
- Accuratezza dei dati personali: adottiamo tutte le misure ragionevoli per garantire che i dati personali siano esatti e siano rettificati e/o cancellati senza indugio se non risultano più essere esatti;
- Limitazione del trattamento e della conservazione: non tratteremo e non conserveremo i dati personali più a lungo di quanto sia necessario per lo svolgimento della nostra attività;
- Misure di sicurezza: adottiamo le misure tecniche e/o organizzative necessarie e appropriate per la sicurezza dei dati personali.
4 Quando vengono raccolti i vostri dati personali?
I dati che utilizziamo per verificare o arricchire i nostri database possono essere raccolti direttamente da voi o ottenuti dalle seguenti fonti:
- pubblicazioni/database messi a disposizione dalle autorità ufficiali (ad esempio: il Moniteur Belge);
- le nostre aziende clienti o i nostri fornitori di servizi;
- siti web/pagine di social network contenenti informazioni che avete reso pubbliche (ad esempio il vostro sito web o social network);
- database resi pubblici da terzi.
- quando si diventa clienti o fornitori;
- quando visitate i nostri edifici o richiedete una visita;
- quando ci si registra per utilizzare i nostri servizi online (ogni volta che si accede o si utilizzano);
- quando si compilano i moduli e i contratti che vi sottoponiamo;
- quando si utilizzano i nostri servizi e prodotti dopo aver firmato un contratto;
- quando ci si iscrive alla nostra newsletter;
- quando ci contattate attraverso i vari canali a vostra disposizione;
- quando i vostri dati sono pubblicati o trasmessi da terzi autorizzati o da fornitori di dati professionali;
- quando siete ripresi dalle nostre telecamere di sorveglianza situate all’interno e nei pressi dei nostri locali/immobili.
Le immagini sono registrate unicamente al fine di preservare la sicurezza dei beni e delle persone e di prevenire abusi, frodi e altri reati nei confronti dei nostri clienti e/o del personale (la loro presenza è indicata da adesivi muniti dei nostri dati di contatto).
5 Su quale base e perché utilizziamo i vostri dati personali?
Trattiamo i vostri dati personali per vari scopi. Per ogni trattamento vengono trattati solo i dati rilevanti per lo scopo in questione.
In generale, utilizziamo i vostri dati personali:
- nell’ambito dell’esecuzione del contratto o per l’adozione di misure precontrattuali;
- al fine di rispettare i requisiti legali e normativi a cui siamo soggetti;
- per motivi che rientrano nel legittimo interesse della società (vedi le figure qui sotto). Quando effettuiamo questo tipo di trattamento, ci assicuriamo di mantenere un equilibrio proporzionato tra questo legittimo interesse e il rispetto della vostra privacy;
- una volta ottenuto il vostro consenso.
I dati personali sono trattati dalla società per scopi che includono, ma non sono limitati a:
- fornire informazioni sui nostri nuovi prodotti e servizi;
- assistervi e rispondere alle vostre domande;
- permettere la buona esecuzione delle convenzioni concluse;
- assicurare la gestione finanziaria e contabile della società;
- assicurare una corretta gestione della clientela, del materiale, dei servizi di assistenza e dei fornitori;
- creare profili di utenti, purché abbiate dato il vostro consenso; realizzare operazioni informative e/o promozionali sui prodotti e servizi, su quelli delle società del suo gruppo e/o dei suoi partner commerciali;
- migliorare i servizi esistenti (o quelli in fase di sviluppo) attraverso sondaggi presso clienti o potenziali clienti, statistiche, test, commenti che ci inviate direttamente o che pubblicate sui nostri siti web;
- adempiere agli obblighi di legge e regolamentari tra i quali le risposte alle domande ufficiali da parte di autorità pubbliche o giuridiche debitamente autorizzate;individuazione e prevenzione degli abusi e delle frodi: trattiamo ed amministriamo i dati di contatto e di sicurezza (lettore di carte, password …) al fine di validare, tracciare e garantire la sicurezza delle transazioni e delle comunicazioni attraverso i nostri canali remoti;
- assicurare la fornitura di servizi ricorrendo a subappaltatori;
- assicurare il follow-up delle nostre attività di ricerca e di sviluppo;
- migliorare la qualità del servizio individuale ai nostri clienti e partner;
- svolgere attività di prospecting relative a servizi della società;
- assicurare la messa in sicurezza dei nostri locali ed infrastrutture e delle persone che vi si trovano.
6 Chi ha accesso ai vostri dati e a chi vengono trasferiti?
Solo gli utenti autorizzati hanno accesso ai vostri dati personali al fine di adempiere alle finalità di cui sopra. Per utenti autorizzati si intendono le persone che, nell’ambito delle loro funzioni all’interno della società, sono autorizzate, nell’ambito delle attività realizzate, a trattare i dati personali sulla base delle direttive della società.
Al fine di adempiere alle finalità di cui sopra, la società comunica i suoi dati personali a/alle:
- revisore esterno;
- commissario autorizzato;
- consulente legale;
- consulente finanziario;
- altro professionista e/o fornitore di servizi/consulente;
- istituti bancari, assicuratori/fondi;
- Aziende IT o fornitori di servizi per programmi software e archiviazione elettronica dei dati (server, ecc.);
- autorità giudiziarie, amministrative o servizi di polizia.
7 Per quanto tempo conserviamo i vostri dati personali?
Conserviamo i vostri dati personali per la durata massima necessaria al fine di rispettare le disposizioni legali e regolamentari applicabili o per un altro periodo che tenga conto dei vincoli operativi come la corretta tenuta della contabilità, la gestione efficace delle relazioni con i clienti e i partner e le risposte alle richieste dei tribunali o delle autorità.
Alcuni dati vengono archiviati per periodi più lunghi al fine di soddisfare i nostri obblighi di legge e a fini probatori, in particolare per tutelare i vostri diritti. Questi dati archiviati sono accessibili solo a fini di prova in tribunale, di controllo da parte di un’autorità autorizzata (ad esempio dall’autorità fiscale), per motivi di produzione di documenti davanti alle autorità giudiziarie, amministrative o di polizia.
8 Sicurezza e riservatezza
La società si impegna ad adottare le misure tecniche, fisiche ed organizzative necessarie e appropriate per proteggere i dati personali contro l’accesso non autorizzato, il trattamento illegale e non autorizzato, la perdita o il danno accidentale e la distruzione non autorizzata. Queste misure sono valutate regolarmente e, se necessario, aggiornate al fine di garantire la massima protezione dei dati personali degli interessati.
In caso di violazione o fuga informatica di dati, come descritto di seguito, prenderemo le misure necessarie/appropriate per accertare la portata e le conseguenze della violazione o della fuga, per porvi fine il più rapidamente possibile e, se necessario, per limitarne l’impatto sugli interessati.
9 Quali sono i vostri diritti?
In conformità con i regolamenti applicabili, avete diversi diritti:
- il diritto di chiedere l’accesso ai dati personali (A)
- il diritto alla rettifica (A)
- il diritto alla cancellazione dei dati (A)
- il diritto di opporsi al trattamento (B)
- il diritto di ritirare il consenso (B)
- il diritto di chiedere la limitazione del trattamento (B)
- il diritto alla portabilità dei dati (C)
A. Diritto di accesso, rettifica e cancellazione
Qualsiasi interessato ha il diritto di fare una domanda di accesso. Se un interessato esercita tale diritto, la società è tenuta a fornirgli informazioni al riguardo, tra cui:
- fornire una descrizione e una copia dei dati personali;
- informare l’interessato delle finalità per le quali la società sta trattando tali dati.
Se i dati sono inesatti o incompleti, l’interessato può chiedere di rettificarli.
In determinate circostanze, l’interessato può, in conformità con i regolamenti sulla protezione dei dati, richiedere la cancellazione di un dato personale che la riguarda, tra l’altro, se il dato personale non è più necessario per gli scopi per cui è stato raccolto o trattato. La società può, tuttavia, rifiutarsi di cancellare tali dati, ad esempio allo scopo di presentare, attuare o dimostrare un diritto in sede giudiziaria.
Al fine di mantenere aggiornati i vostri dati, vi chiediamo di informarci di qualsiasi cambiamento (ad esempio, cambiamento di stato civile, cambiamento di indirizzo).
B. Diritto di opporsi e limitare il trattamento dei vostri dati e diritto di ritirare il vostro consenso?
Avete il diritto di opporvi a certi trattamenti dei vostri dati personali che potremmo voler effettuare. In particolare, avete il diritto di opporvi, senza giustificazione, all’uso dei vostri dati per scopi di prospezione. Potete anche chiedere che il trattamento dei vostri dati sia limitato.
Tuttavia, questo diritto può essere esercitato solo a certe condizioni:
- la vostra richiesta deve essere datata e firmata;
- per i casi diversi dall’opposizione per scopi di prospezione, dovete avere motivi seri e legittimi connessi alla vostra situazione particolare per opporvi al trattamento in corso. Qualora l’opposizione si riveli fondata, tali dati non possono più essere oggetto del trattamento.
Tuttavia, non potete opporvi al trattamento che è necessario per l’esecuzione di un contratto stipulato con voi o per l’esecuzione di misure precontrattuali adottate su vostra richiesta; né potete opporvi al rispetto di qualsiasi disposizione legale o regolamentare a cui siamo soggetti.
Se avete dato il vostro consenso al trattamento dei vostri dati personali, avete il diritto di ritirare tale consenso in qualsiasi momento.
C. Il diritto alla portabilità dei dati?
Se necessario e nella misura in cui è applicabile, l’interessato può chiedere di ricevere alcuni dati personali che ha fornito alla società nell’ambito della gestione e dello svolgimento delle sue attività, e di trasferire tali dati a un altro Titolare del trattamento. Se tecnicamente possibile, l’interessato può chiedere alla società di trasferire tali dati direttamente a un altro Titolare del trattamento.
Conformemente alla normativa, avete il diritto di proporre reclamo a un’autorità di controllo competente.
10 Trasferimento di dati al di fuori del SEE
Nel caso di trasferimenti internazionali provenienti dal SEE verso un paese terzo per il quale la Commissione europea ha emesso una decisione di adeguatezza che riconosce a tale paese un livello di protezione dei dati personali equivalente a quello stabilito dalla legislazione del SEE, i vostri dati personali saranno trasferiti su tale base.
Per i trasferimenti verso paesi al di fuori del SEE per i quali la Commissione Europea non ha emesso una decisione di adeguatezza, ci basiamo sia su una deroga applicabile alla situazione (ad esempio, in caso di pagamento internazionale, il trasferimento è necessario per l’esecuzione del contratto) che sul fatto che il destinatario dei dati ha accettato di trattare i dati personali in conformità con le ” Clausole Contrattuali Tipo” stabilite dalla Commissione Europea per i Titolari del trattamento o i Responsabili del trattamento.
Per ottenere una copia di questi testi o sapere come accedervi, potete rivolgere una richiesta scritta come indicato all’articolo 13.
11 Violazione dei dati personali
A. Comunicazione delle violazioni dei dati personali
Gli utenti autorizzati devono essere attenti, nell’esercizio delle loro funzioni, ad evitare incidenti (intenzionali o non intenzionali) che possono comportare pericoli significativi per la privacy degli interessati.
In caso di violazione dei dati personali, vengono adottate il più rapidamente possibile misure appropriate per ridurre al minimo il rischio di danni agli interessati e per la società (danni alla reputazione, sanzioni imposte, ecc.).
In ogni caso, tutti gli utenti autorizzati, così come tutte le altre persone che consultano, utilizzano o gestiscono informazioni aziendali, devono immediatamente segnalare qualsiasi violazione della sicurezza e incidenti connessi alla sicurezza delle informazioni al “Responsabile della Privacy” in modo da poter effettuare immediatamente un’analisi, prendere le misure necessarie e scoprire se la violazione deve essere segnalata al Garante per la protezione dei dati personali e/o agli interessati.
Quando la segnalazione viene fatta via e-mail, è importante che sia inviata al “Responsabile della Privacy” (vedi Sezione 10.2) e che sia espressamente indicato nell’oggetto dell’e-mail che si tratta di un messaggio con un alto grado di urgenza su una possibile violazione relativa ai dati personali.
Le informazioni devono contenere una descrizione completa e dettagliata dell’incidente, compresa l’identità della persona che segnala (nome, cognome, indirizzo, e-mail (se applicabile) e numero di telefono), di che tipo di incidente si tratta e quante persone sono interessate.
B. Indagine e analisi dei rischi
In linea di principio, entro 24 ore dall’identificazione dell’incidente o della violazione da parte della società o dalla segnalazione da parte di un responsabile del trattamento, un utente autorizzato, un destinatario, un soggetto interessato o una terza parte, la società avvierà un’indagine.
L’indagine indicherà la natura dell’incidente, il tipo di dati coinvolti, e se, nello specifico, sono interessati alcuni dati personali (e se sì, chi sono gli interessati e quanti dati personali sono interessati). L’indagine determinerà se si tratta o meno di una violazione dei dati personali.
Se si tratta di una violazione, sarà effettuata un’analisi dei rischi per scoprire quali sono (possono essere) le possibili conseguenze della violazione, e in particolare gli (eventuali) impatti sugli interessati.
La società deciderà poi, in base alla natura della violazione, se c’è o meno l’obbligo di notifica al Garante per la protezione dei dati e/o all’interessato.
C. Documentazione delle violazioni
Tutte le violazioni saranno documentate in un registro. Il registro dettaglierà la causa principale dell’incidente e i fattori che vi hanno contribuito, la cronologia degli eventi, le azioni di risposta, le raccomandazioni e le lezioni apprese per identificare le aree di miglioramento. I cambiamenti consigliati da apportare ai sistemi e alle procedure saranno documentati e implementati il più rapidamente possibile.
Esamineremo il seguito dato al trattamento della violazione registrata nel verbale.
12 Come si può venire a conoscenza di questa informativa e delle sue modifiche?
Din un mondo in costante evoluzione tecnologica, aggiorneremo regolarmente la presente Informativa sulla privacy.
Vi invitiamo a consultare l’ultima versione di questo documento sui nostri siti web e vi informeremo di qualsiasi modifica sostanziale attraverso i nostri siti web o attraverso i nostri consueti canali di comunicazione.
13 Come contattarci?
Potete contattare il Responsabile della Privacy all’indirizzo rgpd@herstalgroup.com o gdpr@herstalgroup.com, o inviando una lettera all’indirizzo postale Herstal Group – Voie de Liège, 33 a 4040 Herstal Belgio.
I membri del nostro personale, così come i candidati a posizioni vacanti e gli ex dipendenti della società possono altresì consultare l'”Informativa sulla privacy delle risorse umane” sull’intranet del Gruppo Herstal.
La presente Informativa sulla privacy è in vigore dal 25 maggio 2018.