Policy GDPR

Regolamento UE 2016/679 – GDPR

Politica aziendale per la protezione dei dati personali, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche fruitori del sito

 

1. SCOPO
2. DESCRIZIONE
3. AMBITO DI APPLICAZIONE
4. POLITICA PER LA SICUREZZA DELLE INFORMAZIONI
5. RESPONSABILITÀ DELLA POLITICA DI SICUREZZA DELLE INFORMAZIONI

 

1. SCOPO

Scopo del presente documento è quello di descrivere i principi generali di sicurezza ed obblighi di riservatezza delle informazioni e dei dati personali definiti dal Titolare del trattamento ed assicura a tutti i soggetti coinvolti nell’ambito del trattamento dei dati, al fine di sviluppare un efficiente e sicuro sistema di gestione delle procedure e dei processi per la sicurezza dei dati personali nel rispetto dei diritti e le libertà fondamentali delle persone, in ottemperanza al Regolamento Europeo 2016/679, d’ora in avanti GDPR

 

2. DESCRIZIONE

bluAlghero-Sardinia intende perseguire obiettivi di sicurezza delle informazioni, dei dati personali, della struttura tecnologica, fisica, logica ed organizzativa e della loro gestione. Questo significa raggiungere e mantenere un sistema di gestione sicura delle informazioni attraverso il rispetto dei principi previsti dagli articoli 5 e 6 del GDPR;

  • Liceità, correttezza, trasparenza;
  • Garanzia rispetto alla gestione e raccolta dei dati per le sole finalità contrattuali, determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità.
  • Adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (principio di “minimizzazione dei dati”);
  • Esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (“esattezza”);
  • Conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
  • Trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche ed organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali “principio di integrità e riservatezza”;
  • Salvaguardare la consistenza dell’informazione da modifiche non autorizzate
  • Garantire l’affidabilità dei canali di provenienza delle informazioni;
  • Garantire la protezione ed il controllo dei dati personali.

 

3. AMBITO DI APPLICAZIONE

La politica per la protezione dei dati personali si applica a tutti i processi e risorse coinvolte nella progettazione, realizzazione, avviamento ed erogazione continuativa nell’ ambito dei servizi.

Di seguito vengono descritti prodotti e servizi erogati ed illustrate le modalità di erogazione.

Prodotti e servizi erogati:
Piattaforma web per la promozione del territorio e offerta di servizi turistici di prenotazione e assistenza al turista. Annunci pubblicitari per strutture ricettive e aziende.

 

4. POLITICA PER LA SICUREZZA DELLE INFORMAZIONI

 

  • La verifica dei dati che saranno oggetto di trattamento con identificazione delle varie tipologie di dati e delle categorie di appartenenza. La verifica della finalità di ogni trattamento e della base giuridica sul quale ciascuno di essi si fonda, anche al fine di rendere adeguata informativa ai soggetti interessati, come previsto dagli art. 13 e 14 del GDPR;
  • La predisposizione della/delle informative (o il suo aggiornamento) che deve essere fornita agli interessati nel rispetto di tutti gli elementi indicati agli art. 13 e 14 del GDPR. In particolare gli interessati dovranno essere messi a conoscenza dei diritti che il Regolamento riconosce loro (diritto di accesso, diritto all’oblio, diritto di rettifica, diritto di limitazione e di opposizione al trattamento, diritto alla portabilità dei dati); le informative per i soggetti interessati ai trattamenti dati di cui il cliente è titolare del trattamento sono fornite dal cliente se nei software o servizi utilizzati è prevista la raccolta di dati;
  • L’instaurazione di una procedura da adottare in caso di eventuali violazioni dei dati (c.d. Data Breach di cui agli articoli 33 e 34 del GDPR), ad esempio al verificarsi di una divulgazione (intenzionale o meno), della distruzione, della perdita, della modifica o dell’accesso non autorizzato ai dati personali oggetto di trattamento. Il GDPR prevede infatti degli specifici adempimenti nel caso in cui si verifichi una violazione di tal genere, a causa di un attacco informatico, di un accesso abusivo o di un incidente. In questi casi il GDPR impone, come previsto dall’art. 33, in capo al Titolare del trattamento l’obbligo di comunicare all’autorità di controllo l’avvenuta violazione entro 72 ore (o comunque senza ritardo). Nel caso in cui la violazione verificatasi faccia presumere che vi sia anche un elevato e attuale pericolo per i diritti e le libertà degli interessati, anche questi ultimi dovranno essere direttamente informati senza ritardo di quanto successo;
  • All’art. 35 del GDPR, si configura, in capo al Titolare del trattamento (e con la possibilità di consultare il Responsabile della protezione dei dati se nominato), l’obbligo di procedere ad una valutazione d’impatto sulla protezione dei dati nel caso in cui un tipo di trattamento, anche in considerazione della natura, dell’oggetto, del contesto e delle finalità del trattamento stesso, presenti un rischio elevato per i diritti e le libertà delle persone fisiche. Si precisa che il GDPR non sancisce un vero e proprio obbligo di svolgimento della valutazione d’impatto, ma si ricorda che il Regolamento prevede un generale obbligo, in capo al Titolare del trattamento, di attuare le misure idonee al fine di gestire adeguatamente i rischi per i diritti e le libertà degli interessati che possono derivare dal trattamento dei loro dati. Sarà quindi opportuno procedere all’effettuazione della valutazione d’impatto anche quando sul Titolare non incombe l’obbligo normativo in tale senso.
  • Agli articoli 37 – 38 e 39 viene introdotto un altro adempimento richiesto al Titolare del trattamento che consiste nella designazione del Responsabile della protezione dei dati definito altresì Data Protection Officer. Tale nomina, come previsto dall’art. 37 del GDPR, è obbligatoria soltanto in una serie di ipotesi, in particolare, nel caso in cui il trattamento dei dati sia effettuato da un’autorità pubblica o da un organismo pubblico (ad eccezione per le autorità giurisdizionali quando esercitano le loro funzioni); quando le attività principali svolte del titolare o del responsabile del trattamento consistono in operazioni che, per la loro natura, l’ambito di applicazione o le finalità, richiedono un monitoraggio regolare e sistematico degli interessati su larga scala; e infine nel caso in cui le attività principali effettuate consistano nel trattamento, su larga scala, di dati sensibili o di dati relativi a condanne penali e a reati consistenti nell’illecito trattamento dei dati personali. Come suggerito anche dal Gruppo dei 29, l’organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro che ha predisposto le Linee guida dettando regolare sulla nomina del Responsabile per la protezione dei dati personali, quando il Regolamento non impone specificamente la nomina di un DPO, questa figura potrà comunque essere designata dal titolare o dal responsabile del trattamento su base volontaria.

 

5. RESPONSABILITÀ DELLA POLITICA DI SICUREZZA DELLE INFORMAZIONI

 

Il “titolare del trattamento” e il “responsabile” sono responsabili del sistema di gestione sicura delle informazioni, in coerenza con l’evoluzione del contesto aziendale e di mercato, valutando eventuali azioni da intraprendere a fronte di eventi come:

· Evoluzioni significative del business;
· Nuove minacce rispetto a quelle considerate nell’attività di analisi del rischio;
· Significativi incidenti di sicurezza;
· Evoluzione del contesto normativo o legislativo in materia di trattamento sicuro delle informazioni.

 

Gli aggiornamenti relativi all’utilizzo dei Cookie e della normativa sul trattamento dei dati personali sono consultabili alle pagine Cookie e Privacy del sito blualghero-sardinia

 

Buona navigazione!

 

Lucia Pisanu

Titolare blualghero-sardinia.com

Chi Siamo | Termini & Condizioni | Cookies & Privacy | GDPR |
Affitto Turistico | Proprietari | Pubblica la tua attività | Privacy Policy

bluAlghero-Sardinia.com Copyright © 2011-2018
P.Iva: 02385770900 - Alghero 07041 Sardinia, Italy

web design Easy Grafica