Questo sito utilizza cookie.

Proseguendo la navigazione, accetterai di riceverne. Info

Approvo

COOKIE POLICY E WEB PRIVACY


Ai sensi del Regolamento europeo GDPR 2016/679, Studio Essepi Srl fornisce la presente informativa ai visitatori del sito internet www.studioessepi.it e ai fruitori dei servizi offerti dallo stesso, a partire dall’indirizzo www.studioessepi.it e con l’esclusione dei link esterni.

Studio Essepi Srl è proprietaria del sito, che aggiorna e gestisce tramite fornitore esterno.

Il sito ha per obiettivo la diffusione di informazioni, rapporti e aggiornamenti sui progetti e sulle iniziative aziendali intraprese.

La documentazione, le immagini, i caratteri, la grafica, il software e gli altri contenuti del sito, e tutti i codici e form on line che lo compongono, sono di proprietà di Studio Essepi Srl oppure di diritto di utilizzo esclusivo da parte della stessa.

Il materiale contenuto nel presente sito è protetto da copyright. Pertanto, è fatto divieto di copiare, modificare, caricare, scaricare, trasmettere, pubblicare, o distribuire a terzi il contenuto o i marchi del sito per scopi commerciali o per fini che possono pregiudicare l'immagine di Studio Essepi Srl. L'utente, per scopi meramente professionali o personali e mai di carattere commerciale, ha la facoltà di scaricare testi o altri contenuti del sito e di diffonderli a mezzo web o stampa, a condizione che nel farlo sia esplicitamente e chiaramente indicata la fonte degli stessi.

Nel rispetto della normativa sulla tutela dei dati personali, Studio Essepi Srl, con sede in via dell’Industria n. 1 a Lugagnano di Sona (VR), in qualità di Titolare del trattamento, informa sulle caratteristiche del trattamento dei dati e sui diritti che la legge riconosce agli interessati.

Si tratta di dati personali e/o identificativi trattati per gli scopi previsti dalla presente politica sulla privacy, cioè informazioni attraverso le quali gli interessati possono essere personalmente identificati, di seguito definiti.

1. Dati di navigazione 
In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, ed altri parametri connessi al protocollo http e relativi al sistema operativo e all’ambiente informatico dell’utente. Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull’uso del sito e per controllarne il corretto funzionamento e vengono cancellati immediatamente dopo l’elaborazione. I dati potrebbero essere utilizzati per l’accertamento di responsabilità in caso di ipotetici reati informatici ai danni del sito: salva questa eventualità, allo stato i dati sui contatti web non persistono per più di sette giorni.

2. Dati forniti volontariamente dall’utente

L’invio facoltativo, esplicito e volontario di posta elettronica agli indirizzi indicati su questo sito comporta la successiva acquisizione dell’indirizzo del mittente, necessario per rispondere alle richieste, nonché degli eventuali altri dati personali inseriti nel messaggio.

I dati saranno gestiti da Studio Essepi Srl, in relazione alle finalità indicate, e il trattamento potrà essere effettuato con l’ausilio di strumenti informatici.

I trattamenti connessi ai servizi web offerti da questo sito, in hosting presso la società Siteground Italia Srl, sono effettuati presso la sede di Studio Essepi Srl e sono curati solo da dipendenti, collaboratori interni o esterni della società e incaricati del trattamento,o da eventuali incaricati e responsabili occasionali solo per operazioni di manutenzione. I dati derivanti dai servizi web di norma non vengono comunicati o diffusi, se non in caso dei servizi di formazione, qualora richiesti da normativa vigente .

Il sito può proporre link di accesso a siti di altri enti, organizzazioni o società. Studio Essepi Srl non può ritenersi responsabile circa la loro disponibilità, il loro contenuto, i prodotti ed i servizi da questi offerti, né, tantomeno, di eventuali danni o perdite occorsi in conseguenza del loro utilizzo. Inoltre, Studio Essepi Srl non è responsabile delle modalità e delle finalità di raccolta e di trattamento dei dati personali da parte di tali soggetti terzi.

Studio Essepi Srl non si assume alcuna responsabilità per danni di qualsiasi tipo derivanti dall'accesso a, o dall'impossibilità di accedere a questo sito, o dall'utilizzo di questo sito e del suo contenuto.

1.3 Cookie 
Nessun dato personale degli utenti viene in proposito acquisito dal sito. Non viene fatto uso di cookies per la trasmissione di informazioni di carattere personale, né vengono utilizzati c.d. cookies persistenti di alcun tipo, ovvero sistemi per il tracciamento degli utenti.
Ricordiamo che l’utente, tramite configurazione del proprio browser può in qualsiasi momento disabilitare l’operatività dei cookie o essere informato nel momento in cui riceve il cookies e negare il consenso all’invio.

Fatta eccezione per i dati raccolti automaticamente (dati di navigazione), il conferimento di altre informazioni attraverso moduli predisposti o email è libero e spontaneo ed il mancato invio può comportare solo una mancata soddisfazione di eventuali richieste.

Il luogo di conservazione dei dati è il Server del provider che ospita il sito (http://www.studioessepi.it) per i soli dati di navigazione e gli elaboratori presso la sede studioessepi.it per le altre comunicazioni, ad eccezione dei cookies che sono immagazzinati nei vostri computer.

Google Analytics

Il sito utilizza Google Analytics: i cookie analytics sono considerati tecnici se utilizzati solo a fini di ottimizzazione e se gli IP degli utenti sono mantenuti anonimi.  Informiamo l’utente che questo sito utilizza il servizio gratuito di Google Analytics.  Ricordiamo che i dati vengono usati solo per avere i dati delle pagine più visitate, del numero di visitatori, i dati aggregati delle visite per sistema operativo, per browser, ecc. Questi parametri vengono archiviati nei server di Google che ne disciplina la Privacy secondo queste linee guida.

1.4 Newsletter
Compilando i campi richiesti per l’iscrizione alla newletter, previa accettazione i termini e condizioni della presente tramite spunta e cliccando sul tasto di iscrizione, l’utente permette che il Sito memorizzi i dati e li mantenga nel database per il futuro uso con le modalità e per i fini descritti nella presente policy.

1.5 Interazione con social network e piattforme esterne
Pulsante +1 e widget sociali di Google+, Pulsante Mi Piace e widget sociali di Facebook, Pulsante Tweet e widget sociali di Twitter e Pulsante di LinkedIn per la condivisione. Utilizzano: Cookie e Dati di utilizzo

Pulsante +1 e widget sociali di Google+ (Google Inc.)
Il pulsante +1 e i widget sociali di Google+ sono servizi di interazione con il social network Google+, forniti da Google Inc.

Dati personali raccolti: Cookie e Dati di utilizzo.

Luogo del trattamento : USA – Privacy Policy

Pulsante Mi Piace e widget sociali di Facebook (Facebook, Inc.)
Il pulsante “Mi Piace” e i widget sociali di Facebook sono servizi di interazione con il social network Facebook, forniti da Facebook, Inc.

Dati personali raccolti: Cookie e Dati di utilizzo.

Luogo del trattamento : USA – Privacy Policy

Pulsante Tweet e widget sociali di Twitter (Twitter, Inc.)
Il pulsante Tweet e i widget sociali di Twitter sono servizi di interazione con il social network Twitter, forniti da Twitter, Inc.

Dati personali raccolti: Cookie e Dati di utilizzo.

Luogo del trattamento : USA – Privacy Policy

Pulsante e widget sociali di Linkedin (Linkedin)

Il pulsante e i widget sociali di Linkedin sono servizi di interazione con il social network Linkedin, forniti da Linkedin Inc.

Dati personali raccolti: Cookie e Dati di navigazione ed utilizzo.

Luogo del Trattamento: USA – Privacy Policy

2. NATURA DI CONFERIMENTO DEL DATO 
Fatta eccezione per i dati di navigazione raccolti automaticamente, il conferimento di altre informazioni, attraverso moduli predisposti o email, è libero e spontaneo ed il mancato invio può comportare solo una mancata soddisfazione di eventuali richieste.

3. MODALITÀ DEL TRATTAMENTO DEI DATI
Il trattamento dei dati raccolti tramite il sito viene gestito da Studio Essepi mediante strumenti informatici e telematici, per le finalità strettamente connesse a renderLe le informazioni richieste in modo da garantire la sicurezza e la riservatezza dei dati stessi.

Il luogo di conservazione dei dati è il Server del provider che ospita il sito (http://www.studioessepi.it) per i soli dati di navigazione e i data base gestiti dai STUDI ESSEPI SRL per le altre comunicazioni, ad eccezione dei cookies che sono immagazzinati nei vostri computer.

Per l’erogazione e la gestione della Newsletter, STUDIO ESSEPI srl utilizza il servizio offerto da MailChimp (The Rocket Science Group, LLC, 512 Means St., Suite 404 – 30318 – Atlanta, Georigia) e di seguito semplicemente “MailChimp”. I dati raccolti vengono memorizzati sui server di MailChimp.

Ai sensi della privacy policy di MailChimp i tuoi dati non verranno mai utilizzati direttamente da MailChimp o da essa venduti a terzi. MailChimp si serve di operatori opportunamente autorizzati per il mantenimento del servizio e nell’esercizio di detta funzione essi potrebbero avere accesso ai tuoi dati. Valgono, in ogni caso, le garanzie previste dalla privacy policy di MailChimp.

In relazione alle finalità di seguito descritte, quando l’amministratore provvederà ad inviare la newsletter, i dati vengono recuperati mediante gli strumenti messi a disposizione da MailChimp e tramite essi le verrà inviata la newsletter.

4. DIRITTI DELL'INTERESSATO
Ai sensi dell’Art.7 del DL 196/03 che vi riproduciamo integralmente.
1. L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile

2. L’interessato ha diritto di ottenere l’indicazione:

a. dell’origine dei dati personali;

b. delle finalità e modalità del trattamento;

c. della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;

d. degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2;

e. dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

3. L’interessato ha diritto di ottenere:

a. l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;

b. la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;

c. l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

4. L’interessato ha diritto di opporsi, in tutto o in parte: a. per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b. al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

5. TITOLARE DEL TRATTAMENTO
STUDIO ESSEPI S.R.L. Via dell’Industria, 1 – 37060 Lugagnano di Sona (VR) – P. IVA: 02629680238  Telefono 0458621499
 E-mail: info@studioessepi.it 

Consulenza e formazione. Dal 1995 un punto di riferimento per aziende e professionisti.

Magazine

Data breach e GDPR: cosa prevede il Regolamento Europeo

Data breach e GDPR: cosa prevede il Regolamento Europeo

Con l’entrata in vigore del Regolamento Europeo sulla Privacy 2016/679, cui le aziende hanno dovuto adeguarsi entro il 25 maggio 2018, un’attenzione particolare è stata posta sul data breach.

L’art.4 del GDPR indica la definizione di violazione dei dati personali come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”.

Tale violazione, dunque, può avvenire in modo volontario o accidentale (basti pensare, ad esempio, allo smarrimento di un dispositivo mobile, di un hard disk esterno o di una semplice chiavetta USB con all’interno dati sensibili utilizzando ancora la definizione del D.Lgs. 196/2003).

In questo articolo vedremo, nello specifico:

  • cosa prevede il GDPR in materia di data breach;
  • come comportarsi per le procedure di notifica al Garante;
  • quali sono le sanzioni previste per chi non applica quanto previsto dalle normative.

Data breach: cos’è e quando si configura

La violazione dei dati personali è conseguenza diretta di tutte quelle situazioni che possono comportare effetti avversi significativi per i dati trattati e le persone interessate, con potenziali danni fisici, materiali o immateriali.

Il Considerando n.75 del GDPR elenca una serie di casistiche per aiutare a definire il campo di riferimento. Avviene un data breach quando la violazione ha a che fare con:

  • discriminazioni, furto o usurpazione d'identità;
  • perdite finanziarie;
  • pregiudizio alla reputazione;
  • perdita di riservatezza di dati protetti da segreto professionale;
  • decifratura non autorizzata della pseudonimizzazione;
  • privazione dei diritti e delle libertà dell’interessato;
  • impedimento nel controllo sui dati personali dell’interessato;
  • trattamento di dati personali che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, relativi alla salute o alla vita sessuale, a condanne penali, a reati o alle relative misure di sicurezza;
  • valutazione di aspetti personali, tramite analisi o previsione di aspetti che riguardano: rendimento professionale, situazione economica, salute, preferenze, interessi personali, affidabilità, comportamento, ubicazione o spostamenti, per creare o utilizzare profili personali;
  • dati personali di persone fisiche vulnerabili, in particolare minori;
  • trattamento di una gran quantità di dati personali e di un vasto numero di interessati.

Come detto, la violazione dei dati personali può avvenire sia in modo doloso che accidentale.

Quindi, ad esempio, non solo nei casi di accesso o furto da parte di soggetti non autorizzati, ma anche in quelli che riguardano la diffusione di dati senza il consenso o la loro perdita o distruzione per eventi accidentali.

Come evitare un data breach?

L’art. 32 (par. 2) del GDPR elenca alcuni tipi di rischio: 

  • distruzione o perdita di dati; 
  • modifica;
  • divulgazione non autorizzata;
  • accesso, in modo accidentale o illegale, non autorizzato. 

Per ogni rischio occorre individuare la probabilità dell'evento, nonché la gravità dello stesso. Un esempio può riguardare la dismissione delle stampanti con memoria senza aver provveduto a cancellarla, e quindi con l'astratta possibilità che un terzo possa acquisire le immagini ottiche degli ultimi documenti stampati o scansionati. 

Sempre in base all'art. 32, l’azienda dovrà dunque implementare delle misure di sicurezza (fisiche e informatiche), orientate ad evitare una qualsiasi violazione dei dati personali.

Adempimenti a seguito di un data breach: notifica al Garante per la Privacy

L’art. 33 del Regolamento UE 2016/679 stabilisce l’obbligo, per il titolare del trattamento, di comunicare il data breach al Garante per la Privacy entro 72 ore dal momento in cui è venuto a conoscenza della violazione (a meno che sia improbabile che questa possa rappresentare un rischio per i soggetti interessati).

La notifica al Garante deve includere:

  • descrizione della natura della violazione dei dati personali e, dove possibile, categorie e numero approssimativo sia degli interessati che delle registrazioni dei dati personali in questione;
  • comunicazione del nome e dei dati di contatto del responsabile della protezione dei dati (o altro punto di contatto da cui ottenere maggiori informazioni);
  • descrizione delle probabili conseguenze dovute alla violazione;
  • descrizione delle misure adottate (o proposte) dal titolare del trattamento per rimediare al data breach o attenuarne i possibili effetti negativi.

Queste informazioni, qualora non fosse possibile reperirle tutte nello stesso momento, possono essere inviate anche in fasi successive, ma comunque entro le 72 ore di tempo (eventuali ritardi nella notifica all’autorità di controllo dovranno essere giustificati con le motivazioni del caso). La notifica va inviata al Garante al seguente indirizzo: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Al tempo stesso, se il data breach comporta rischi elevati per il soggetto interessato, anch’egli dovrà essere tempestivamente avvisato della violazione dei dati che lo riguardano. Gli unici casi in cui non è necessaria questa comunicazione, come stabilito all’art.34 del GDPR, sono:

  • messa in atto, da parte del titolare del trattamento, delle misure adeguate di protezione dei dati (compresi quelli oggetto della violazione) e in particolare di quelle volte a rendere tali dati incomprensibili ai soggetti non autorizzati (ad esempio, tramite cifratura);
  • il titolare del trattamento ha adottato misure atte a scongiurare un rischio elevato per i diritti e le libertà degli interessati;
  • la comunicazione richiederebbe sforzi sproporzionati e, di conseguenza, si procede con una comunicazione pubblica (o una misura simile), per informare gli interessati con uguale efficacia.

Violazione dati personali GDPR: sanzioni

Le sanzioni previste per la violazione dei dati personali possono riguardare sia il mancato rispetto delle procedure di notifica che l'inadeguatezza delle misure di sicurezza adottate (compresa la mancata notifica stessa del data breach).

Come sancito dall'art.83, le sanzioni amministrative pecuniarie possono arrivare a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente.  

Investire in processi e attività di vigilanza efficaci, che tengano conto del potenziale di rischio, dell'impatto di un eventuale data breach e delle misure idonee da adottare, può aiutare a prevenire o comunque limitare i casi di violazione di dati personali, garantendo la Privacy dei soggetti interessati e il rispetto delle normative vigenti.

Per approfondire queste tematiche, ti consigliamo i seguenti articoli:

Se vuoi essere certo di adempiere agli obblighi di legge previsti dal Regolamento Europeo per la Protezione dei Dati Personali, contatta oggi stesso uno dei nostri esperti.


 


chiara-merci-studio-essepi  

Scritto da: Chiara Merci


Consulente e formatrice esperta in igiene alimentare, sistemi di gestione e privacy, cantante e amante di musica e viaggi.





Chiamaci

045 8621499