POLICY PRIVACY

1. Premessa

Griphone s.r.l. ha ideato e sviluppato una piattaforma tecnologica per dispositivi mobili in grado di fornire al mercato un servizio di sicurezza privata “ON DEMAND”, e quindi senza necessità di sottoscrizione di contratti periodici (la “APP”), unica nel suo genere e volta a facilitare l’incontro tra potenziali clienti (privati ed aziende) e operatori professionali della sicurezza i c.d. Istituti di Vigilanza privata), per la fornitura di servizi di vigilanza (“I Servizi”).

Per riuscirci non possiamo trascurare la tutela della riservatezza di tutti coloro che fanno parte del nostro progetto. Ciò significa che proteggeremo le informazioni personali di tutti i visitatori che accedono ai nostri siti web o servizi attraverso qualsiasi app, piattaforma o dispositivo mobile.

A tal fine Griphone s.r.l., in qualità di titolare, nel presente documento, d’ora in avanti Privacy Policy, definisce i mezzi tecnologici e organizzativi affinché i dati personali dei soggetti interessati siano adeguatamente protetti da perdita, distruzione, alterazione, diffusione, furto, appropriazione, od ogni altro evento che possa, in maniera accidentale o non, ledere i diritti e le libertà dei soggetti interessati.

 

2. Obiettivi

Obiettivo della presente policy è definire i principi guida e la struttura dei processi che Griphone s.r.l. pone in essere per garantire la conformità al Regolamento 2016/679.

Griphone s.r.l. considera la tutela dei diritti e delle libertà delle persone un elemento imprescindibile e reputa la protezione dei dati personali una condizione essenziale da garantire nello svolgimento dei compiti istituzionali.

Promuove a questo scopo ogni tipo di azione e iniziativa affinché i trattamenti siano svolti nelle condizioni di maggiore sicurezza possibile e nel rispetto dei principi di liceità, necessità e proporzionalità.

 

3. Ambito di applicazione

La presente policy sulla protezione dei dati personali si applica a tutti i trattamenti svolti da o per conto di Griphone s.r.l.

Sono quindi ricompresi tutti i trattamenti di titolarità di Griphone s.r.l., sia che siano svolti direttamente da Soci o personale interno (soggetti interni preposti al trattamento dei dati), sia che siano svolti all’esterno del perimetro organizzativo di Griphone s.r.l., da fornitori o partner che a vario titolo trattano i dati (c.d. responsabili esterni).

 

4. Destinatari

  •  Istituti di Vigilanza che collaborano con Griphone s.r.l. nell’espletamento del serivizo scelto dall’interessato
  •  Partner Logistici
  •  Società di Marketing
  • Intermediari finanziari (a titolo esemplificativo e non esaustivo Stripe)
  • Qualsiasi organo di pubblica sicurezza o di regolamentazione, ente governativo, autorità giudiziaria o altro terzo, qualora Griphone s.r.l. ritenesse necessaria una divulgazione secondo la legge Italiana o regolamenti applicabili;
  • Nuovi azionisti o entità riorganizzate in caso di ristrutturazione aziendale, cessione, acquisto o joint venture che riguardano la nostra società.

 

5. Normativa riferimento

  • Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016
  • Decreto Legislativo n. 196 del 30 giugno 2003 “Codice in materia di protezione dei dati personali” e s.m.i.
  • Linee Guida del Comitato dei Garanti sulla Notificazione delle violazioni dei dati personali secondo Il Regolamento 2016/679, WP 250 Art. 29 Data Protection Working Party)
  • Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679, WP 248 Art. 29 Data Protection Working Party

I requisiti che derivano dalla normativa nazionale ed internazionale guidano i processi di conformità indicati nella presente policy e ne costituiscono il presupposto di riferimento legale e prevalente.

Sarà cura di Griphone s.r.l. porre ogni soggetto che agisce sui dati personali o che è nelle possibilità di influenzare i processi di gestione degli strumenti a supporto dei trattamenti nelle condizioni di apprendere i contenuti della normativa di riferimento e i contenuti della presente policy.

6. Organizzazione per la privacy

Griphone s.r.l. ha determinato risorse, processi e competenze per essere in grado di far fronte alle novità ed esigenze di protezione dei dati personali, in particolare in relazione alle novità introdotte con il nuovo Regolamento Europeo.

La conformità ai requisiti di protezione dei dati personali è garantita dal lavoro sinergico tra soci e dipendenti. Entrambi, infatti, grazie al costante aggiornamento e lavoro assistito da società di consulenza, si impegnano affinché i processi interni ed esterni siano conformi alle Normative vigenti.

6.1 Ruoli e responsabilità

Soci e dipendenti interni a Griphone s.r.l., che verranno coinvolti in attività di trattamento dei dati personali, saranno tenuti a sottoscrivere un apposito accordo di riservatezza, in una fase antecedente all’inizio dell’attività in questione.

 

7. Principi Generali relativi al trattamento dei dati

 

7.1 Titolare e responsabilizzazione

Griphone s.r.l., definisce una serie di processi sistemici per la protezione dei dati personali.
Questi processi sono definiti allo scopo di garantire la conformità al Regolamento.

Elemento ispiratore della conformità, nello spirito del Regolamento, è la responsabilizzazione del titolare, anche attraverso un breve percorso di formazione. Secondo questo principio il titolare adotta comportamenti proattivi tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento.

Il titolare decide quindi autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento stesso.

Griphone s.r.l., in qualità di titolare, si impegna a tal proposito a far proprio un comportamento proattivo, attraverso il quale si venga a determinare e documentare, nella cornice dei criteri definiti all’interno del Regolamento, un sistema di controlli ed evidenze che dimostrino di aver posto in essere tutte le scelte idonee a garantire, nel pieno rispetto della vigente normativa, i diritti e le libertà personali dei soggetti interessati.

 

7.2 Documentazione dei trattamenti

Griphone s.r.l., ai sensi dell’art. 30, mantiene un registro di tutte le attività di trattamento effettuate sotto la propria Titolarità e/o Resonsabilità.
Tale registro viene aggiornato ogni qualvolta intervengano modifiche alle modalità di trattamento, o qualora venga implementata una nuova attività di trattamento di dati personali.

Il registro dei trattamenti contiene tutte le informazioni fondamentali di ogni trattamento, per poter valutare le condizioni entro le quali il trattamento stesso si svolge.

Griphone s.r.l. ha sviluppato un modello di Registro dei trattamenti esaustivo dal punto di vista delle informazioni e dei dettagli che lo compongono, convinta in questo modo di dare massima trasparenza alle sue attività di trattamento, agevolare le valutazioni di rischio e legittimare la conformità alla normativa vigente.

 

7.3 Privacy by design, by default

Per attestare la conformità al nuovo Regolamento Europeo sulla protezione dei dati personali, Griphone s.r.l., quale titolare del trattamento, si impegna ad adottare politiche interne e ad attuare misure volte a soddisfare il principio della protezione dei dati come elemento connaturato alla progettazione delle soluzioni informatiche e di default per i trattamenti.

A tal fine orienta le analisi sui trattamenti all’individuazione di soluzioni per la minimizzazione degli stessi, riducendo il più possibile i dati personali trattati, i tempi della loro conservazione negli archivi ed evitando gli accessi non strettamente necessari in relazione alle finalità.

Griphone s.r.l., in conformità con quanto stabilito dal legislatore europeo in materia di privacy by default, adotta il principio di “minimizzazione dei dati” nello svolgimento delle attività di trattamento. Questo principio si declina nelle seguenti misure tecniche ed organizzative.

Principio del minimo privilegio
Gli utenti dei sistemi avranno accesso ai dati secondo un livello autorizzativo che comporti la visibilità e la possibilità di effettuare copie e modifiche ai soli dati autorizzati e necessari per lo svolgimento delle attività preposte.

Raccogliere solo dati necessari
Griphone s.r.l. si impegna a raccogliere il minor numero di dati personali e in generale solo quelli strettamente necessari alle finalità del trattamento specifico.
Cancellazione dei dati

Tutti i dati personali e le relative copie non più necessari per le finalità del trattamento ad essi associato, verranno cancellati secondo i tempi comunicati all’interessato al momento della raccolta del consenso. Fatto salvo quanto espresso nel paragrafo precedente Griphone s.r.l. ha stabilito un periodo di conservazione massima dei dati personali secondo i seguenti parametri:

  • a)Dati personali (dati di contatto, dati identificativi etc): Fino alla cancellazione della sottoscrizione al servizio offerto da Griphone s.r.l.
    Tale indicazione temporale rimane indicativa in quanto alcune categorie di dati per alcuni determinati trattamenti potrebbero avere obblighi legislativi specifici in termini di conservazione dei dati.

 

7.4 Valutazione dei rischi privacy

Griphone s.r.l., nella piena consapevolezza che il principio di responsabilizzazione si esprime anche attraverso l’applicazione di una corretta metodologia per la valutazione dei rischi che i trattamenti svolti possono comportare nei confronti dei soggetti interessati, esegue una valutazione di impatto (DPIA).

La valutazione di impatto viene assicurata per tutti i trattamenti con rischio elevato e ha la finalità di individuare per questi le misure di protezione idonee per il livello di rischio.

Più in generale, Griphone s.r.l. si attiene a quanto il Regolamento esprime all’art. 32, cioè all’adozione per i trattamenti di misure tecniche o organizzative adeguate tenuto conto del rischio di varia probabilità e gravità per i diritti e le libertà dei soggetti interessati; il modello di miglioramento continuo prevede che tutti i trattamenti siano periodicamente sottoposti a valutazioni di rischio per adeguare le misure di protezione applicate ai rischi valutati, anche tenuto conto dell’evoluzione tecnologica e del mutevole contesto delle minacce che possono impattare i trattamenti.

Tale attività ha cadenza regolare e deve essere revisionata almeno con cadenza triennale al fine di verificare lo stato di rischio, il quadro delle minacce e la natura dei controlli a presidio delle minacce individuate da Griphone s.r.l.

 

7.5 Liceità Informativa e consenso

Griphone s.r.l. assicura la conformità al Regolamento Europeo 679/2016 anche attraverso il rispetto del principio di trasparenza, comunicando al soggetto interessato le informazioni circa il trattamento dei dati che lo riguardano con un linguaggio semplice ed inequivocabile.

Griphone s.r.l. garantisce un’esaustiva informativa per ciascun trattamento di dati, nella quale sono descritte le finalità del suddetto trattamento e il contesto specifico nel quale i dati personali sono trattati, le informazioni oggetto del trattamento dei dati personali e i diritti minimi dei soggetti interessati (diritto di accesso, diritto di rettifica, diritto all’oblio, diritto di limitazione del trattamento, diritto di opposizione, diritto alla portabilità dei dati).

Ogni aggiornamento di tutta o di una parte dell’informativa rilasciata agli interessati al trattamento dovrà essere comunicato nella maniera più opportuna e quanto prima possibile agli interessati.

Griphone s.r.l. assicura inoltre che il consenso raccolto unitamente all’informativa resa al soggetto interessato sia prestato in forma libera ed espresso in maniera comprensibile, chiara ed inequivocabile. Affinché sia possibile conservarne opportuna traccia, il consenso è raccolto in forma digitale e collocato in archivi dedicati.

Griphone s.r.l. garantisce un’informativa pertinente al singolo trattamento e un’analisi specifica sulla necessità di raccogliere un consenso in funzione della normativa di riferimento e delle finalità istituzionali applicabili, garantendo in ogni caso che nessun trattamento possa avere inizio se non dopo la verifica del rispetto delle condizioni di liceità dello stesso.

 

7.6 Diritti degli Interessati

Libertà di scelta
Griphone s.r.l. si impegna a limitare al minor numero possibile le attività di trattamento e a rispondere ad ogni richiesta legittima di fornitura di dati da parte degli interessati. Al fine di tutelare la libertà e diritti degli individui Griphone s.r.l. dispone che:

  • a) Tutte le informative riportino le modalità con le quali gli interessati possano esercitare i propri diritti
  • b) Tutte le richieste provenienti dagli interessati che riguardino l’esercizio di uno o più diritti previsti dalla normativa vigente siano verificate entro e non oltre 1 mese dalla ricezione da parte del titolare o del responsabile al trattamento

I sistemi di front-end e di back end dovranno essere strutturati in maniera tale da garantire l’esercizio dei diritti degli interessati. Di seguito l’elenco dei diritti esercitabili dagli interessati e alcune indicazioni su come i sistemi debbano poter supportare tale esercizio. Si evidenzia come i sistemi debbano poter soddisfare alle richieste degli interessati relative all’esercizio dei loro diritti entro 30 giorni, prorogabili di altri 60 giorni previa comunicazione in merito al ritardo.

Diritto di accesso e rettifica dei dati (art.15-16)
I sistemi devono pertanto poter presentare un panel riassuntivo dei dati dell’interessato in possesso di Griphone s.r.l.
L’utente laddove possibile deve poter rettificare la correttezza dei dati imputati a sistema.

Diritto alla cancellazione dei dati (art.17)
Gli interessati possono richiedere in qualsiasi momento la cancellazione dei dati personali, inviando una richiesta scritta all’indirizzo mail privacy@griphone.it.
Resta inteso che l’azienda non possa conservare ulteriori copie dei dati per i quali è stata richiesta la cancellazione.

Diritto alla limitazione al trattamento (art.18)
Gli addetti ai lavori di Griphone che processano i dati degli interessati dovranno prevedere la sospensione (anche temporanea) delle attività di trattamento sui dati.

Obbligo di notifica (art.19)
Gli addetti ai lavori dovranno inviare comunicazione all’interessato riguardo:

  •  L’avvenuta rettifica dei dati imputati da parte dell’interessato
  •  L’avvenuta cancellazione dei dati dell’interessato
  • L’avvenuta limitazione alle attività di trattamento

Diritto alla portabilità (art.20)
L’interessato ha il diritto a ricevere i propri dati in un formato di uso comune e strutturato. L’interessato potrebbe altresì richiedere che sia il titolare a dover trasmettere i dati ad altro titolare in sua vece.

 

7.7 Sicurezza dei dati

Griphone s.r.l. garantisce la riservatezza, l’integrità e la disponibilità dei dati.

La sicurezza viene ricercata attraverso una preliminare valutazione dei rischi.

Nella fase successiva sono adottate misure di protezione adeguate rispetto ai rischi, sia di natura tecnica che organizzativa, per ridurre i rischi identificati sul trattamento.

Possono essere utilizzate tecniche quali, in particolare, la cifratura, la pseudonimizzazione e/o misure per il di ripristino tempestivo della disponibilità dei dati dopo un incidente, oltre che misure di controllo degli accessi, di hardening dei sistemi, di protezione dei canali di comunicazione ed altre che possono derivare dalle valutazioni di rischio, in un’ottica di raggruppamento delle misure stesse e di aggiornamento rispetto all’evoluzione delle minacce e delle tecnologie disponibili.

Griphone s.r.l. si impegna inoltre a testare regolarmente l’efficacia delle misure di sicurezza.

 

7.8 Notifica delle violazioni

Griphone s.r.l., in qualità di titolare del trattamento, si impegna a notificare all’Autorità di controllo l’avvenuta violazione di dati personali che possono determinare un rischio per i diritti e le libertà dei soggetti interessati, nei tempi previsti dal Regolamento UE 679/2016 (72 ore), motivando un eventuale ritardo nella comunicazione.

Griphone s.r.l. inoltre assicura la notifica ai soggetti interessati a cui si rivolgono i dati personali, qualora dette violazioni di dati personali costituiscano un rischio particolarmente elevato per i diritti e le libertà delle persone fisiche interessate, comunicandole non appena ragionevolmente possibile e senza ingiustificato ritardo.
Griphone s.r.l. in conformità all’articolo 33 par. 3 comma 5 del regolamento UE 2016/679, mantiene e aggiorna un registro degli incidenti di sicurezza che coinvolge i dati personali degli interessati. Al fine di garantire le libertà individuali degli interessati, gestisce il ciclo di vita degli incidenti di sicurezza che coinvolgono dati personali
Tutti gli incidenti di sicurezza che coinvolgono i dati personali devono essere comunicati e registrati all’interno dell’apposito registro degli incidenti di Griphone s.r.l.. L’azienda deve dotarsi di idonei processi per la gestione degli incidenti tale per cui l’incidente venga analizzato, catalogato e registrato. È opportuno e raccomandabile registrare la vulnerabilità collegata all’incidente, in quanto potrebbe rivelarsi utile per future investigazioni.
Per incidente di sicurezza si intende perdita di confidenzialità, integrità e riservatezza sui dati. Ad esempio: perdita di una copia di backup, perdita di un laptop contenente dati personali, divulgazione incontrollata di informazioni.

Ciclo di vita dell’incidente
Griphone s.r.l. implementarà un processo di gestione del ciclo di vita degli incidenti. Questo presuppone che tutti gli incidenti di sicurezza e le vulnerabilità ad esso collegate vadano monitorati nel tempo, al fine di impedire che un’incidente che in un primo momento sia stato valutato come di basso rischio o impatto per gli interessati, possa rivelarsi in un tempo futuro dannoso o ad alto impatto per i diritti e le libertà degli interessati.

 

 

8. Rapporti con i fornitori

All’interno dei processi di selezione e dei successivi contratti con i fornitori sono previsti requisiti e opportune clausole individuate nel documento DPA, ovvero “Data Protection Agreement”. Il DPA dovrà essere allegato ai contratti con i fornitori ed esso equivale e sopperisce alla nomina di Responsabile del Trattamento.

Il documento garantisce l’impegno del fornitore al rispetto dei requisiti di protezione dei dati personali che derivano dall’applicazione del GDPR e della normativa nazionale di riferimento in materia. I fornitori ricevono inoltre puntuali istruzioni.

Il responsabile del trattamento esterno, nominato da Griphone s.r.l., deve comunicare ad essa l’utilizzo di società in regime di subappalto per lo svolgimento delle attività di trattamento.

Griphone s.r.l. si riserverà il diritto di recedere dal contratto a seguito di un qualsiasi cambiamento non preventivato.

Qualsiasi cambiamento da parte del responsabile del trattamento andrà notificato repentinamente ed il responsabile dovrà ricevere idonea autorizzazione da parte di Griphone s.r.l. prima di poter procedere alla nomina di un subappaltatore.

Il responsabile del trattamento deve impegnarsi a:

  • a) Trasmettere alla società in subappalto le disposizioni di sicurezza predisposte da Griphone s.r.l.
  • b) Comunicare a Griphone s.r.l. il paese nel quale la società di subappalto svolge le sue mansioni

 

 

9. Miglioramento continuo

Griphone s.r.l. implementa i processi citati in un’ottica di miglioramento continuo, monitorando costantemente la conformità al Regolamento UE 2016/679 e prevedendo, ove necessario, le azioni correttive necessarie per assicurare l’evoluzione del proprio sistema di gestione della protezione dei dati personali e l’efficacia dei sistemi di controllo su di esso.