Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Introducción
La protección de los datos personales para Gamma System s.r.l. (en adelante “GAMMA” o “Sociedad”) es un compromiso importante.
La entrada en vigor del Reglamento (UE) 2016/679 "Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos" (en adelante, "RGPD") ha brindado la oportunidad de adecuar aún más las actividades llevadas a cabo por la Sociedad a los principios de transparencia y protección de datos personales, respetando los derechos y libertades fundamentales de todas las partes interesadas, ya sean empleados, colaboradores, clientes, proveedores o terceros interesados en recibir información.
GAMMA SYSTEM ha implementado un "Modelo Organizativo de Privacidad" (MOP) que se describe aquí en sus líneas generales, con el objetivo de analizar todos los tratamientos de datos, organizarlos de manera funcional y gestionarlos de forma segura y transparente. En esta sección del sitio también se proporciona información sobre los derechos del interesado y las formas de ejercerlos ante el Responsable.
Índice
1 - MODELO ORGANIZATIVO DE PRIVACIDAD RGPD1.1 - SUJETOS
1.2 - ANÁLISIS DE RIESGO Y MEDIDAS PARA PREVENIR RIESGOS DE PRIVACIDAD
2 - TRANSPARENCIA Y DERECHOS DEL INTERESADO
2.1 - DERECHOS EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES
2.2 - EJERCICIO DE DERECHOS
2.3 - FORMULARIOS E INFORMACIÓN
1 - Modelo organizativo de Privacidad RGPD
1.1 - SUJETOS
RESPONSABLE DEL TRATAMIENTO.
El Responsable del tratamiento es:
GAMMA SYSTEM SRL (en adelante también “RESPONSABLE”)
VIA Torino 24/I – 10044 PIANEZZA (TO)
Tel. +39 011-9682466
e-mail: info@gammasystem.com.
Correo Electrónico Certificado: ammin.rps@pec.it
N. de IVA y N.I.F.: 02647040233
PERSONAS AUTORIZADAS PARA EL TRATAMIENTO DE DATOS (en virtud del artículo 29 del RGPD)
El MOP prevé que cada empleado/colaborador del RESPONSABLE trate únicamente los datos necesarios para el desempeño de sus funciones, en función de la organización interna y especialmente de los fines indicados y propuestos al interesado (el denominado principio de "limitación de la finalidad y minimización de datos", art. 5, apartado 1, letra b) y c) del RGPD). Por lo tanto, se ha elaborado una segmentación de los tratamientos, por áreas homogéneas de sujetos autorizados para el tratamiento, vinculando a los empleados/colaboradores encargados de cada área a un ámbito específico de tratamiento. Cada sujeto autorizado ha recibido instrucciones específicas del RESPONSABLE con relación al tratamiento de los datos personales. Con este fin, por diseño, también el sistema de información está formado por "compartimentos estancos". El empleado/colaborador puede acceder desde su puesto de trabajo informático solamente a los datos necesarios para el desempeño de sus funciones. La designación de las áreas específicas de tratamiento se realiza tras un cuidadoso análisis de la estructura y organización de la Sociedad, así como del flujo de datos dentro y fuera de la misma. El empleado/colaborador también ha recibido un reglamento interno sobre el uso de herramientas informáticas y normas de conducta, incluyendo las éticas, sobre toda la información a la que tiene acceso en virtud de su tarea específica. Para garantizar de forma eficaz el cumplimiento de los principios sobre tratamiento de datos personales, el RESPONSABLE también ha previsto una formación adecuada en la materia para sus empleados/colaboradores que, en virtud de sus funciones, realizan tratamientos de datos personales.
ADMINISTRADORES DE SISTEMAS (INTERNOS Y EXTERNOS)
El RESPONSABLE utiliza sistemas informáticos para gestionar y organizar su actividad. Por esta razón, la atención a la construcción de software, la forma en que se utiliza y la seguridad de los datos han sido siempre la base de la actividad del RESPONSABLE. Las personas con privilegios de "administrador" dentro de la empresa son designadas y formadas específicamente. También las otras empresas externas especializadas que acceden a los datos de la empresa son designadas específicamente como Responsables Externos y/o Administradores de Sistemas Externos de conformidad con el artículo 28 del RGPD.
Los proveedores externos de servicios informáticos se eligen prestando especial atención a su profesionalidad, no solo técnica, sino también con relación al respeto y la protección de los datos, dando preferencia a las empresas certificadas.
RESPONSABLES DEL TRATAMIENTO (en virtud del artículo 28 del RGPD)
En principio, el RESPONSABLE gestiona internamente casi todas las actividades de tratamiento. Los casos de subcontratación a terceros de algunas actividades que implican el tratamiento de datos en nombre del RESPONSABLE se indican adecuadamente en la respectiva información. En estos casos, la relación con el tercero se rige por un contrato específico de designación como "Responsabile del tratamiento" de conformidad con el artículo 28 del RGPD.
El RESPONSABLE confía dichas actividades de tratamiento a terceros externos que ofrecen garantías suficientes para aplicar medidas técnicas y organizativas adecuadas para cumplir los requisitos del RGPD y garantizar la protección de los derechos de los interesados.
1.2 ANÁLISIS DE RIESGO Y MEDIDAS PARA PREVENIR RIESGOS DE PRIVACIDAD
De acuerdo con los principios de la denominada “accountability” (responsabilización) corresponde al RESPONSABLE aplicar una serie de medidas - organizativas, físicas, jurídicas, técnicas e informáticas- destinadas a prevenir el riesgo de violación de los derechos y libertades personales de los interesados. Para alcanzar este objetivo, se lleva a cabo un análisis de riesgos constante, en función de los tratamientos, de las herramientas utilizadas, del tipo y la cantidad de datos tratados.
REGISTRO DE TRATAMIENTO DE DATOS (en virtud del art. 30 del RGPD) Y ANÁLISIS DEL IMPACTO SOBRE LA PROTECCIÓN DE DATOS (en virtud del art. 35 del RGPD)
El MOP prevé un análisis cuidadoso y constante de los riesgos para el tratamiento de datos personales, identificados para cada actividad o servicio prestado a través de un Registro de Tratamiento de conformidad con el artículo 30, apartado 1, del RGPD. Una vez analizadas las actividades de tratamiento llevadas a cabo por el RESPONSABLE, se considera que, hasta la fecha, no existan actividades de riesgo que requieran una evaluación de impacto específica de conformidad con el artículo 35 del RGPD (la denominada "DPIA"). El análisis sobre los riesgos informáticos y sobre las infraestructuras de hardware y software de la empresa, así como sobre las medidas informáticas de adaptación, ha sido realizado tanto por nuestro Administrador de Sistemas, con herramientas y listas de comprobación especiales, como por una empresa externa especializada en seguridad informática, que ha realizado una auditoría exhaustiva con pruebas de seguridad. Los resultados de la investigación permitieron a los técnicos mejorar aún más las medidas de protección contra los ciberataques y las ciberamenazas, de forma gradual y proporcional al riesgo para los derechos y libertades de los interesados.
2 - Transparencia y derechos del interesado
2,1 DERECHOS EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES
El RESPONSABLE, también en este caso, considera imprescindible informar a los interesados de la existencia de determinados derechos en materia de protección de datos personales, que se enumeran a continuación.
Derecho a ser informado (transparencia en el tratamiento de datos)
El interesado tiene derecho a ser informado sobre la forma en que el RESPONSABLE procesa sus datos personales, para qué fines y sobre otra información prevista en el artículo 13 del RGPD. A tal fin, el RESPONSABLE ha establecido procesos organizativos que permiten, al adquirir o solicitar datos personales, la emisión de un modelo de Nota Informativa creado "ad hoc" en función de la categoría de interesados a la que pertenezca el interesado (empleado, cliente, proveedor, etc.). Este documento permite informar adecuadamente a todos los sujetos a los que se refieren los datos sobre la forma en que el RESPONSABLE lleva a cabo el tratamiento. El modelo de nota informativa puede solicitarse mediante solicitud dirigida al RESPONSABLE.
Derecho de revocación del consentimiento (art. 13)
Usted tiene derecho a revocar su consentimiento en cualquier momento para todos aquellos tratamientos cuyo presupuesto de legitimidad sea su manifestación de consentimiento. La revocación del consentimiento no perjudica la legalidad del tratamiento anterior.
Derecho de acceso a los datos (art. 15)
Usted podrá solicitar a) los fines del tratamiento; b) las categorías de datos personales en cuestión; c) los destinatarios o categorías de destinatarios a los que se hayan comunicado o vayan a comunicarse los datos personales, en particular si se trata de destinatarios de terceros países u organizaciones internacionales; d) cuando sea posible, el periodo de conservación de los datos personales previsto o, si no es posible, los criterios utilizados para determinar dicho periodo; e) la existencia del derecho del interesado a solicitar al responsable del tratamiento la rectificación o supresión de los datos personales o la limitación del tratamiento de los datos personales que le conciernan o a oponerse a su tratamiento; f) el derecho a presentar una reclamación ante una autoridad de control; g) cuando los datos no hayan sido recopilados directamente del interesado, toda la información disponible sobre su origen; h) la existencia de un proceso automatizado de toma de decisiones, incluida la elaboración de perfiles a que se refieren los apartados 1 y 4 del artículo 22, y, al menos en estos casos, información significativa sobre la lógica utilizada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado. Usted tiene derecho a solicitar una copia de los datos personales objeto de tratamiento.
Derecho de rectificación (art. 16)
Usted tiene derecho a solicitar la rectificación de los datos personales inexactos que le conciernan y a obtener la integración de los datos personales incompletos.
Derecho al olvido (Art. 17)
Usted tiene derecho a obtener del responsable del tratamiento la supresión de los datos personales que le conciernen si los datos ya no son necesarios con relación a los fines para los que fueron recogidos o tratados de otro modo, si retira su consentimiento, si no hay un interés legítimo predominante para continuar con el tratamiento de elaboración de perfiles, si los datos han sido tratados ilegalmente, si existe una obligación legal de suprimirlos; si los datos se refieren a servicios web prestados a menores sin el consentimiento correspondiente. La supresión puede tener lugar a menos que prevalezca el derecho a la libertad de expresión e información, que se mantengan para el cumplimiento de una obligación legal o para la ejecución de una tarea realizada en interés público o en el ejercicio de poderes públicos, por razones de interés público en el sector sanitario, para fines de archivo en interés público, investigación científica o histórica o fines estadísticos o para la comprobación, ejercicio o defensa de un derecho legal.
Derecho a la limitación del tratamiento (art. 18)
Usted tiene derecho a obtener del responsable del tratamiento la limitación del tratamiento cuando haya impugnado la exactitud de los datos personales (durante el plazo necesario para que el responsable del tratamiento verifique la exactitud de dichos datos personales) o si el tratamiento es ilícito, pero Usted se opone a la supresión de los datos personales y solicita en su lugar la limitación de su uso o si son necesarios para la comprobación, ejercicio o defensa de un derecho en un procedimiento judicial, mientras que el responsable del tratamiento ya no los necesite.
Derecho a la portabilidad (art. 20)
Usted tiene derecho a recibir en un formato estructurado, de uso común y legible por dispositivos automáticos los datos personales que le conciernen que nos haya facilitado y tiene derecho a transmitirlos a otro si el tratamiento se basa en el consentimiento, en un contrato y si el tratamiento se lleva a cabo por medios automatizados, a menos que el tratamiento sea necesario para el cumplimiento de una tarea de interés público o relacionada con el ejercicio de poderes públicos y que dicha transmisión no perjudique los derechos y libertades de terceros.
Derecho de oposición (art. 21)
Usted tiene derecho a oponerse en cualquier momento, total o parcialmente, al tratamiento de sus datos personales si el tratamiento se lleva a cabo para la satisfacción de un interés legítimo del Responsable o para fines de marketing directo.
Derecho a dirigirse a la Autoridad de Protección de datos personales (artículo 77).
Sin perjuicio de cualquier otro recurso administrativo o jurisdiccional, si considera que el tratamiento de sus datos personales viole el Reglamento de protección de datos personales, tiene derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, trabaje o en el lugar donde se haya producido la presunta violación.
2.2 EJERCICIO DE DERECHOS
Para el efectivo ejercicio de sus derechos, podrá solicitar información al RESPONSABLE, o cumplimentar adecuadamente los formularios de acceso que ponemos a su disposición a continuación.
2.3 FORMULARIOS E INFORMACIÓN
1) Formularios - A continuación se incluye un borrador de documento a imprimir y cumplimentar para el ejercicio concreto de los derechos del interesado, especificando el derecho solicitado. De este modo, el formulario podrá enviarse al RESPONSABLE, a las direcciones arriba indicadas, de acuerdo con la normativa vigente.
Formulario de ejercicio de derechos
2) Información: