Informativa al trattamento dati, Privacy e Cookie Policy

Informativa per il trattamento dei dati personali

Informativa per il trattamento dei dati personali raccolti presso l’interessato (Art. 13 del Regolamento Generale UE sulla protezione dei dati personali n. 2016 /679)

LEO COM S.r.l. (di seguito, per brevità, “LEOCOM”), con sede legale in Milano, Via Cornelio Tacito n. 6, P.IVA e C.F. 08194520964,  titolare del trattamento dei dati personali ai sensi degli articoli 4, n. 7) e 24 del Regolamento UE 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (di seguito “Regolamento” ovvero “GDPR”), La informa ai sensi degli artt. 13 del Regolamento che procederà al trattamento dei dati personali riferiti alla Società ed alle persone fisiche che ne hanno la rappresentanza legale per le finalità e con le modalità più oltre indicate.

1. DEFINIZIONI
Per trattamento di dati personali si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, anche se non registrati in una banca di dati, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'elaborazione, la selezione, il blocco, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

2. OGGETTO DEL TRATTAMENTO
Il Titolare tratta i dati personali, identificativi e non sensibili (in particolare, nome, cognome, codice fiscale, p. iva, ragione sociale, email, numero telefonico, riferimenti bancari e di pagamento, – in seguito, “dati personali” o anche “dati”) da Lei comunicati. 

3. FINALITÀ DEL TRATTAMENTO 
I Suoi dati personali sono trattati: 

A) senza il Suo consenso espresso ex art. 6 lett. b) ed e)  del GDPR, per le seguenti Finalità di Servizio:  

  • concludere i contratti per i servizi del Titolare; 
  • adempiere agli obblighi precontrattuali, contrattuali e fiscali derivanti da rapporti con Lei in essere;
  • adempiere agli obblighi previsti dalla legge, da un regolamento, dalla normativa comunitaria o da un ordine dell’Autorità (come ad esempio in materia di antiriciclaggio);
  • esercitare i diritti del Titolare, ad esempio il diritto di difesa in giudizio;
  • permetterLe l’iscrizione al servizio di newsletter fornito dal Titolare e degli ulteriori Servizi eventualmente da Lei richiesti.

B) Solo previo Suo specifico e distinto consenso (art. 7 GDPR), per le seguenti Finalità di Marketing:  

  • inviarLe via e-mail, posta e/o sms e/o contatti telefonici, newsletter, comunicazioni commerciali e/o materiale pubblicitario su prodotti o servizi offerti dal Titolare e rilevazione del grado di soddisfazione sulla qualità dei servizi; 
  • inviarLe via e-mail, posta e/o sms e/o contatti telefonici comunicazioni commerciali e/o promozionali di soggetti terzi (ad esempio, business partner).

4. MODALITÀ DI TRATTAMENTO E TEMPI DI CONSERVAZIONE 
Il trattamento dei Suoi dati personali è realizzato per mezzo delle operazioni indicate all’art. 4 n. 2) GDPR e precisamente: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati. 

I Suoi dati personali sono sottoposti a trattamento sia cartaceo che elettronico e/o automatizzato secondo i principi e le procedure descritte nella “Policy in materia di tutela della privacy” del 24 maggio 2018, disponibile al seguente link: https://www.babyguest.com/it-ww/privacy-e-cookie-policy.aspx.

Il Titolare tratterà i dati personali per il tempo necessario per adempiere alle finalità di cui sopra e, salvo che per l’adempimento ad obblighi di legge, comunque per non oltre 5 anni dalla cessazione del rapporto per le Finalità di Servizio e per non oltre 3 anni dalla raccolta dei dati per le Finalità di Marketing.

5. ACCESSO AI DATI 
I Suoi dati potranno essere resi accessibili per le finalità di cui all’art. 3.A) e 3.B): 

  • a dipendenti e collaboratori del Titolare in Italia e all’estero, nella loro qualità di incaricati e/o responsabili interni del trattamento ; 
  • a società terze o altri soggetti (a titolo indicativo, istituti di credito, studi professionali, consulenti, società di assicurazione per la prestazione di servizi assicurativi, etc.) che svolgono attività in outsourcing per conto del Titolare, nella loro qualità di responsabili esterni del trattamento.  

6. COMUNICAZIONE DEI DATI 
Senza il Suo espresso consenso (ex art. 6 lett. b) e c) GDPR), il Titolare potrà comunicare i Suoi dati per le finalità di cui all’art. 3.A) a Organismi di vigilanza, Autorità giudiziarie nonché a tutti gli altri soggetti ai quali la comunicazione sia obbligatoria per legge per l’espletamento delle finalità dette. I Suoi dati non saranno diffusi.

7. TRASFERIMENTO DATI 
La gestione e la conservazione dei dati personali avverrà su server ubicati all’interno dell’Unione Europea del Titolare e/o di società terze incaricate. 

I dati non saranno oggetto di trasferimento al di fuori dell’Unione Europea.  Ove si rendesse necessario, il Titolare avrà facoltà di spostare l’ubicazione dei server in Paesi extra-UE. In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge applicabili stipulando, se necessario, accordi che garantiscano un livello di protezione adeguato e/o adottando le clausole contrattuali standard previste dalla Commissione Europea.

8. NATURA DEL CONFERIMENTO DEI DATI E CONSEGUENZE DEL RIFIUTO DI RISPONDERE
Il conferimento dei dati per le finalità di cui all’art. 3.A) è obbligatorio. In loro assenza, non potremo garantirLe i Servizi dell’art. 3.A). Il conferimento dei dati per le finalità di cui all’art. 3.B) è invece facoltativo. Può quindi decidere di non conferire alcun dato o di negare successivamente la possibilità di trattare dati già forniti: in tal caso, non potrà ricevere comunicazioni commerciali e materiale pubblicitario inerenti ai Servizi offerti dal Titolare. In ogni caso continuerà ad avere diritto ai Servizi di cui all’art. 3.A).

La base giuridica del trattamento dei Suoi dati personali si fonda sul contratto che viene perfezionato con il Titolare.

9. DIRITTI DELL’INTERESSATO  
Nella Sua qualità di interessato, ha i diritti di cui all’art. 15 GDPR e precisamente quelli di:  

  1. ottenere la conferma dell'esistenza o meno di dati personali che La riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile;  
  2. ottenere l’indicazione: a) dell’origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'art. 5, comma 2 Codice Privacy e art. 3, comma 1, GDPR; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati; 
  3. ottenere: a) l’aggiornamento, la rettificazione ovvero, quando vi hai interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;
  4. opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che La riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che La riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante l’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore mediante email e/o mediante modalità di marketing tradizionali mediante telefono e/o posta cartacea. Si fa presente che il diritto di opposizione dell’interessato, esposto al precedente punto b), per finalità di marketing diretto mediante modalità automatizzate si estende a quelle tradizionali e che comunque resta salva la possibilità per l’interessato di esercitare il diritto di opposizione anche solo in parte. Pertanto, l’interessato può decidere di ricevere solo comunicazioni mediante modalità tradizionali ovvero solo comunicazioni automatizzate oppure nessuna delle due tipologie di comunicazione. 

Ove applicabili, ha altresì i diritti di cui agli artt. 16-21 GDPR (Diritto di rettifica, diritto all’oblio, diritto di limitazione di trattamento, diritto alla portabilità dei dati, diritto di opposizione), nonché il diritto di reclamo all’Autorità Garante. 

10. MODALITÀ DI ESERCIZIO DEI DIRITTI
Potrà in qualsiasi momento esercitare i diritti di cui sopra inviando:  

- una raccomandata a.r. a LEOCOM Srl – Via Cornelio Tacito n. 6 – 20137 Milano; 

- una e-mail all’indirizzo privacy@babyguest.com ;

- una PEC all’indirizzo leocomsrl@legalmail.it

11. TITOLARE, RESPONSABILE DEL TRATTAMENTO E DELLA PROTEZIONE DEI DATI 
Il Titolare, responsabile del trattamento è Leocom Srl, con sede legale con sede legale in Milano, Via Cornelio Tacito n. 6.   
L’elenco aggiornato degli eventuali responsabili del trattamento è custodito presso la sede legale del Titolare del trattamento. 

______________________________________________________________________________________________________________________________________________________


COS'È UN COOKIE
I cookie sono brevi file di testo che vengono scaricati sul dispositivo dell'Utente quando si visita un sito web. Ad ogni visita successiva i cookie sono reinviati al sito web che li ha originati (cookie di prime parti) o a un altro sito che li riconosce (cookie di terze parti). I cookie sono utili perché consentono a un sito web di riconoscere il dispositivo dell’Utente. Essi hanno diverse finalità come, per esempio, consentire di navigare efficientemente tra le pagine, ricordare i siti preferiti e, in generale, migliorare l'esperienza di navigazione.
In base alla funzione e alla finalità di utilizzo, i cookie possono suddividersi in cookie tecnici, cookie di profilazione, cookie di terze parti.

COOKIE TECNICI
I cookie tecnici hanno lo scopo di abilitare funzioni senza le quali non sarebbe possibile utilizzare appieno il SITO.
Questi cookie permettono il funzionamento di procedure basate su più passaggi (più pagine successive, come ad esempio una richiesta di contatto), di tenere traccia delle scelte dell'utente sui contenuti del SITO da visualizzare e le funzionalità da attivare o disattivare.
Un cookie di questo tipo viene inoltre utilizzato per memorizzare la decisione dell’utente sull’utilizzo di cookie sul nostro sito web.
I cookie essenziali non possono essere disabilitati utilizzando le funzioni del Sito.
Rientrano nell’ambito dei cookie tecnici anche quelli utilizzati per analizzare statisticamente gli accessi o le visite al sito, detti anche “analytics”, che perseguono esclusivamente scopi statistici e raccolgono informazioni in forma aggregata senza possibilità di risalire all'identificazione del singolo utente.
I cookie analytics possono essere anche cookie di terze parti (Google Analytics) per i quali si rimanda, per un ulteriore approfondimento, alla privacy del rispettivo titolare.

COOKIE DI PROFILAZIONE
I cookie di profilazione hanno lo scopo di migliorare l'esperienza utente del SITO suggerendo contenuti affini alle preferenze manifestate dall'utente durante la navigazione, in base ai contenuti visualizzati ed altri parametri di comportamento.
L'utente può decidere di disattivare l'utilizzo dei singoli cookie del SITO tramite le apposite opzioni del proprio browser.
In questo caso alcune funzionalità del SITO potrebbero non essere disponibili.

COOKIE DI TERZE PARTI
Il SITO utilizza alcune funzionalità esterne o contiene alcuni link esterni con lo scopo di migliorare l'integrazione con siti di terze parti di comune utilizzo e la socialità del SITO stesso (es. pulsanti di condivisione di Facebook, Google, ecc.).
Tali funzionalità e link potrebbero determinare l'utilizzo di cookie di terze parti per i quali si rimanda alla privacy specifica pubblicata sui singoli siti.

DISATTIVAZIONE DEI COOKIE SUI PIU' COMUNI BROWSER
E' possibile disattivare i cookie utilizzando le opzioni messe a disposizione dal proprio browser. Seguono alcuni esempi relativi ai browser più diffusi.

Internet Explorer
  • Selezionare Strumenti sulla barra dei menu
  • Fare clic su Opzioni Internet
  • Fare clic sulla scheda Generale, che si trova sotto la voce “Cronologia esplorazioni” e fare clic su “Elimina”

Firefox
  • Selezionare Strumenti sulla barra dei menu
  • Fare clic su Opzioni
  • Fare clic sulla scheda Privacy
  • Fare clic su “Cancella adesso”
  • Selezionare “Cookie”
  • Fare clic su “Elimina i dati personali adesso”

Google Chrome
  • Fare clic sull’icona della chiave inglese in alto a destra del browser
  • Fare clic su “Opzioni”
  • Fare clic su “Roba da smanettoni”
  • Fare clic sul pulsante “Impostazioni contenuti” nella sezione Privacy
  • Fare clic sul pulsante “Cancella dati di navigazione”

Safari
  • Andare al menu Safari (icona in alto a destra del browser) e selezionare Preferenze
  • Nella finestra a comparsa che si apre, selezionare l’icona Sicurezza (a forma di lucchetto)
  • Sotto la voce "Accetta cookie", selezionare il pulsante "Mai"

________________________________________________________________________________________________________________________________________________________________________

Policy in materia di Protezione e Trattamento dei Dati Personali

1. INTRODUZIONE 

Scopo
Il presente documento riassume le procedure ed i principi adottati da Leo Com S.r.l. (di seguito anche solo “Leocom”) in materia di tutela della Privacy ed in particolare in relazione al trattamento dei dati personali (“Dati”) comunicati od acquisiti da Leocom nell’esecuzione delle proprie attività aziendali. 

I Dati saranno sempre trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. 

Sulla base dell'analisi dei rischi effettuata da tecnici e consulenti esterni, nel presente documento sono riassunti:

  • i criteri e le procedure per garantire la sicurezza nel trattamento dei dati personali;
  • la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati stessi: 
  • i criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di sicurezza nonché le procedure per controllare l’accesso delle persone autorizzate ai locali medesimi; 
  • i criteri e le procedure per assicurare l’integrità e la disponibilità dei dati; 
  • i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le restrizioni di accesso per via telematica; 
  • i criteri e le procedure per il ripristino dell’accesso ai dati; 
  • l’elaborazione di un piano di formazione per rendere edotti i responsabili del trattamento dei rischi individuati e dei modi per prevenire gli eventuali danni. 

L’efficacia di tali misure di sicurezza saranno oggetto di controlli continuativi e audit periodici, da eseguirsi almeno con cadenza annuale. 

Ambito e applicabilità
La presente Policy riguarda tutti i Dati personali raccolti, elaborati, condivisi o usati da Leocom. Si applica a tutti i dipendenti, collaboratori e consulenti. La presente Policy entra in vigore il 24/05/2018.

Atteso dunque che alcuni Dati raccolti in Paesi europei potrebbero essere trattati anche da società del Gruppo aventi sede in paesi extra UE, si precisa che in tal caso il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge stipulando, se necessario, accordi che garantiscano un livello di protezione adeguato e/o adottando le clausole contrattuali standard previste dalla Commissione Europea.

Copia della presente Policy viene pubblicata sul sito internet del Gruppo nella sezione “Privacy Policy” e consegnata a ciascun dipendente, collaboratore e consulente in forma cartacea o digitale.

Le prescrizioni descritte nel presente documento si applicano a tutti i trattamenti eseguiti nell’ambito dell’intera struttura organizzativa del Gruppo, dagli eventuali Responsabili e da tutti gli incaricati, e sono da considerarsi vincolanti nei rapporti contrattuali relativi a trattamenti eseguiti da altri soggetti esterni cui sia conferito un incarico di Responsabile del trattamento di dati di cui il Gruppo sia Titolare. 

 

2. DEFINIZIONI
Nel presente documento:

  • con il termine “trattamento” (art. 4, n. 2, del Regolamento UE 2016/679) ci si riferisce ad una qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
  • con il termine “dato personale” (art. 4, n. 1, del Regolamento UE 2016/679) si fa riferimento a qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
  • con il termine “profilazione” (art. 4, n. 4, del Regolamento UE 2016/679) si fa riferimento a qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica; 
  • con il termine “pseudonimizzazione” (art. 4, n. 5, del Regolamento UE 2016/679) si fa riferimento al trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile; 
  • con il termine “titolare del trattamento” (art. 4, n. 7, del Regolamento UE 2016/679) si fa riferimento alla persona fisica o giuridica, all’autorità pubblica, al servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; 
  • con il termine “responsabile del trattamento” (art. 4, n. 8, del Regolamento UE 2016/679) si fa riferimento alla persona fisica o giuridica, all’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

 

3. FUNZIONI ORGANIZZATIVE RELATIVE ALLA PROTEZIONE DEI DATI PERSONALI
Titolare del trattamento

Il Titolare del trattamento, nella figura del legale rappresentante di ciascuna delle Società del Gruppo, avvalendosi ove necessario dei Responsabili del trattamento (art. 28 del Regolamento UE 2016/679), ove nominati:

  • individua e prende decisioni in ordine alle finalità ed alle modalità di trattamento dei dati, ivi compreso il profilo della sicurezza;
  • effettua il censimento ed aggiorna il registro delle attività di trattamento dei dati e garantisce all’interessato tutti i diritti di cui agli artt.15-21 del Regolamento UE 2016/679; 
  • individua, predispone, verifica, documenta e rende note le misure di sicurezza (minime e più ampie) necessarie per la protezione dei dati personali.

Responsabili del trattamento
Ove nominati, i Responsabili del trattamento gestiscono i trattamenti sulla base dei compiti affidati e analiticamente specificati per iscritto dal Titolare. I Responsabili si attengono alle istruzioni impartite dal Titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni in materia di trattamento previste dal Regolamento, ivi compreso il profilo relativo alla sicurezza. I Responsabili per il trattamento vigilano sul rispetto delle istruzioni impartite agli incaricati al trattamento. 

Trattamento sotto l’autorità del Titolare o del Responsabile 
A ciascun dipendente assegnato, all’atto dell’assunzione o nel caso di cambiamento di mansione, presso un’unità organizzativa ove sono trattati i dati, sono state fornite istruzioni per operare, nell’ambito dei trattamenti assegnati, con la massima diligenza ed attenzione e rispettando le misure di sicurezza predisposte dal Gruppo.

 

4. Linee guida per dipendenti, collaboratori e consulenti
Di seguito vengono descritte le norme alle quali i dipendenti e/o i consulenti devono attenersi nell’esecuzione dei compiti che implicano un trattamento di Dati personali.

Preliminarmente va evidenziato che, al fine di evitare che soggetti estranei possano venire a conoscenza dei Dati personali oggetto del trattamento, i dipendenti, i collaboratori e/o i consulenti devono osservare le seguenti regole di ordinaria diligenza, nonché tutte le altre ulteriori misure ritenute necessarie per garantire il rispetto di quanto disposto dalla normativa in ambito privacy:

  • tutte le operazioni di trattamento devono essere effettuate in modo tale da garantire il rispetto delle misure di sicurezza, la massima riservatezza delle informazioni di cui si viene in possesso considerando tutti i dati confidenziali e, di norma, soggetti al segreto d’ufficio;
  • le singole fasi di lavoro e la condotta da osservare devono consentire di evitare che i dati siano soggetti a rischi di perdita o distruzione, che vi possano accedere persone non autorizzate, che vengano svolte operazioni di trattamento non consentite o non conformi ai fini per i quali i dati stessi sono stati raccolti;
  • nell’ipotesi in cui un soggetto interessato revochi il proprio consenso al trattamento dei dati ex art. 7, comma 3, del Regolamento, il dipendente e/o consulente è tenuto a darne tempestiva comunicazione al Titolare o, se presente, al Responsabile per l’adozione di ogni necessario provvedimento del caso; 
  • in caso di allontanamento, anche temporaneo, dalla propria postazione di lavoro si devono porre in essere tutte le misure necessarie (es. blocco del pc) affinché soggetti terzi, anche se dipendenti, non possano accedere ai dati personali per i quali era in corso un qualunque tipo di trattamento;
  • devono essere svolte le sole operazioni di trattamento necessarie per il raggiungimento dei fini per i quali i dati sono stati raccolti; 
  • deve essere costantemente verificata l’esattezza dei dati trattati e la pertinenza rispetto alle finalità perseguite nei singoli casi. 

Accesso ai dati dalla postazione/strumento di lavoro
La postazione e gli strumenti di lavoro deve essere:

  • utilizzati solo per scopi legati alla propria attività lavorativa;
  • utilizzati in modo esclusivo da un solo utente;
  • protetti, evitando che terzi possano accedere ai dati che si stanno trattando.

Occorre, inoltre, precisare che è dovere di ciascun dipendente, collaboratore e/o consulente:

  • non installare alcun software e/o applicazioni mobile non preventivamente autorizzato;
  • non lasciare sulla scrivania informazioni riservate su qualunque supporto esse siano archiviate (carta, CD, periferiche, ecc.);
  • richiamare le funzioni di sicurezza del sistema operativo (sequenza dei tasti CTRL+ALT+CANC per i sistemi Windows e attivazione della funzione Lock Workstation per i sistemi Windows e sequenza ⌘-control-Q per i sistemi Mac) in caso di abbandono momentaneo del proprio PC o, in alternativa, impostare lo screen saver con password in modo che si attivi dopo massimo 5 minuti di inattività;
  • non lasciare il computer portatile incustodito sul posto di lavoro (al termine dell’orario lavorativo, durante le pause di lavoro, o durante riunioni lontane dalla propria postazione);
  • non lasciare incustoditi smartphone;
  • non utilizzare fax e/o telefono per trasmettere informazioni riservate e personali se non si è assolutamente certi dell’identità dell’interlocutore o del destinatario e se esso non è legittimato a riceverle.

Lo smartphone dato in dotazione al dipendente, collaboratore o consulente è dotato di un codice di blocco che viene verificato una volta all’anno.  

 

Gestione delle password
Per una corretta gestione delle password, ciascun dipendente, collaboratore e/o consulente deve aver cura di:

  • modificare, alla prima connessione, quella che l’Area IT ha attribuito di default;
  • cambiarla almeno ogni 90 giorni, o immediatamente nei casi in cui sia compromessa;
  • comporla utilizzando almeno 8 caratteri o, nel caso in cui lo strumento elettronico non lo consenta, con un numero di caratteri pari al massimo consentito;
  • usare sia lettere che numeri e almeno un carattere maiuscolo;
  • non basare la scelta su informazioni facilmente deducibili quali, ad esempio, il proprio nome, il nome dei propri familiari, le date di nascita, i codici fiscali, ecc.,
  • mantenerla riservata e non divulgarla a terzi;
  • non permettere ad altri utenti (es. colleghi) di operare con il proprio identificativo utente;
  • non trascriverla su supporti (es. fogli, post-it) facilmente accessibili a terzi, né lasciarla memorizzata sul proprio PC;
  • non comunicarla mai per telefono salvo gravi necessità.

Antivirus
Le attrezzature hardware in dotazione ai dipendenti, collaboratori e consulenti (personal computer desktop o laptop, tablet e smartphone)  pur protetti contro gli attacchi dei virus informatici mediante appositi programmi, rimangono potenzialmente esposti ad aggressioni di virus non conosciuti.

Per ridurre le probabilità del verificarsi di tali attacchi è necessario che vengano osservate le seguenti regole:

  • controllare che il programma antivirus installato sia aggiornato periodicamente e sia attivo non è cura del dipendente, ma di LEOCOM
  • chiudere correttamente i programmi in uso;
  • non aprire, se si lavora in rete, files sospetti e di dubbia provenienza;
  • non scaricare o installare applicazioni/software che non siano state preventivamente approvate e autorizzate;
  • non sottoscrivere abbonamenti sia gratuiti che a pagamento con servizi in Cloud che non siano state preventivamente approvate e autorizzate;
  • verificare con l’ausilio del programma antivirus in dotazione ogni supporto magnetico contenente dati (CD-Rom o USB), prima dell’'esecuzione dei file in esso contenuti;
  • non utilizzare CD-Rom, USB o altri supporti elettronici di provenienza incerta;
  • porre la necessaria attenzione sui risultati delle elaborazioni effettuate e sulle eventuali segnalazioni anomale inviate dal PC, dandone comunicazione all’Area IT;
  • usare correttamente e solo per esigenze di lavoro i servizi di posta elettronica e di Internet;
  • non modificare le configurazioni impostate sul proprio PC;
  • spegnere il PC al termine della giornata di lavoro.

Alla verifica di un malfunzionamento del PC o dello smartphone, che può far sospettare la presenza di un virus, è bene che il dipendente, collaboratore e/o consulente:

  1. sospenda ogni operazione sul PC/smartphone evitando di lavorare con il sistema infetto;
  2. contatti immediatamente l’Area IT;
  3. chiuda il sistema e le relative applicazioni.

Protezione di pc portatili, smartphone e tablet
Fatte salve tutte le disposizioni dei paragrafi precedenti, di seguito vengono illustrate le ulteriori precauzioni da adottare nell’uso dei dispositivi portatili (pc portatili, tablet e smartphone):

  • conservare lo strumento in un luogo sicuro alla fine della giornata lavorativa; 
  • non lasciare mai incustodito il pc o il smartphone in caso di utilizzo in ambito esterno all’azienda;
  • avvertire tempestivamente l’Area IT, che darà le opportune indicazioni, in caso di furto di un PC portatile o di uno smartphone;
  • essere sempre ben consapevole delle informazioni archiviate sul portatile o sul smartphone che sono  maggiormente soggetti a furto e smarrimento rispetto alla postazione fissa;
  • operare sempre nella massima riservatezza quando si utilizza il PC portatile o il smartphone in pubblico: i dati, ed in particolare le password, potrebbero essere intercettati da osservatori indiscreti.

Internet e posta elettronica
Gli strumenti di comunicazione telematica (Internet e posta elettronica) devono essere utilizzati solo ed esclusivamente per finalità lavorative. Sono vietati comportamenti che possano arrecare danno al Gruppo.

In particolare, l’utente dovrà osservare le seguenti regole:

  • è consentita la navigazione internet solo in siti attinenti e necessari per lo svolgimento delle mansioni assegnate;
  • non è consentito scaricare software gratuiti (freeware o shareware) prelevati da siti Internet; 
  • non è consentita la registrazione a siti internet o partecipare a forum di discussione se questo non è strettamente necessario per lo svolgimento della propria attività lavorativa; 
  • le uniche funzioni di Instant Messaging consentite sono quelle comunicate dall’Area IT; 
  • è assolutamente vietato accedere alla posta elettronica da sorgenti diverse da quelle aziendali;
  • è vietato aprire e-mail e file allegati di origine sconosciuta o che presentino degli aspetti anomali (quali ad esempio, un soggetto non chiaro); 
  • non è consentito rispondere a messaggi provenienti da un mittente sconosciuto o di dubbio contenuto in quanto tale atto assicura al mittente l’esistenza del destinatario; 
  • è vietato l’utilizzo della posta elettronica per comunicare informazioni riservate, dati personali o dati critici, senza garantirne l’opportuna protezione; 
  • occorre sempre accertarsi che i destinatari della corrispondenza per posta elettronica siano autorizzati ad entrare in possesso dei dati che ci si appresta ad inviare; 
  • occorre sempre essere consapevoli che posta elettronica e navigazione internet sono veicoli per l’introduzione sulla propria macchina (e quindi in azienda) di virus e altri elementi potenzialmente dannosi;
  • è consentito solo l’utilizzo dei programmi installati dall’Area IT; 
  • è vietato installare autonomamente programmi, sussistendo infatti il grave pericolo di introdurre virus informatici e/o di alterare la funzionalità delle applicazioni software esistenti, di violare la legge sul diritto d’autore non disponendo delle apposite licenze d’uso acquistate dal Gruppo; 
  • è vietato modificare le caratteristiche impostate sulle dotazioni od installare dispositivi di memorizzazione, comunicazione o altro (ad esempio masterizzatori, modem, wi-fi o connect card), collegare alla rete aziendale qualsiasi apparecchiatura (ad es. switch, hub, apparati di memorizzazione di rete, ecc), effettuare collegamenti verso l’esterno di qualsiasi tipo (ad es. tramite modem o connect card ecc.) utilizzando un pc che sia contemporaneamente collegato alla rete aziendale (creando così un collegamento tra la rete aziendale interna e la rete esterna);
  • al fine di ottimizzare le risorse a disposizione della posta elettronica aziendale e migliorare le prestazioni del sistema si evidenzia che la casella di posta deve essere “tenuta in ordine” cancellando periodicamente o comunque se sono superati i limiti di spazio concessi, documenti inutili o allegati ingombranti;
  • va sempre prestata la massima attenzione nell’utilizzo dei supporti di origine esterna (per es. chiavi USB, dischi esterni ecc.).

Reti Wi-Fi / LAN
Gli apparati potranno essere collegati alla rete Wi-Fi aziendale durante la permanenza in ufficio. In situazioni diverse il dipendente, collaboratore e/o consulente potrà decidere di collegarsi a una rete wi-fi diversa se ritenuta sicura e attendibile. L’accesso alla rete Leocom è consentito esclusivamente a dipendenti, collaboratori e consulenti, che hanno ricevuto le relative credenziali di accesso dall’Area IT.

5. Censimento dei trattamenti ed analisi dei rischi
Leocom ha effettuato ed effettuerà periodicamente il censimento e l’analisi dei rischi secondo la best practice di settore.

Vedi:

  • Tabella 2.1 DPS del 22/05/2018
  • Registro dei Trattamenti del 24 maggio 2018

 

6. Misure di sicurezza in essere
Al fine di assicurare l’integrità dei dati trattati e impedirne la comunicazione e/o diffusione non autorizzata, il Gruppo ha adottato misure di sicurezza di tipo fisico (relativamente alla conservazione dei dati su supporto cartaceo) ed informatico. Leocom s.r.l. si è dotata delle misure di protezione minime, previste e descritte nel DPS. Gli armadi e le cassettiere presenti negli uffici e nei quali vengono archiviati i documenti con dati riservati sono chiusi a chiave; la chiave è conservata dal dipendente che gestisce i documenti stessi. L’ingresso agli uffici è possibile previa disattivazione dell’allarme – attraverso apposita chiavetta – e apertura della serratura. 

 

7. Formazione
Con cadenza almeno annuale sono organizzati incontri o viene reso disponibile materiale formativo per il personale di Leocom relativamente alle norme in materia di tutela della Privacy. 

 

8. Violazione dei dati 
Ciascun dipendente e/o consulente è tenuto a comunicare tempestivamente, e comunque non oltre 24 ore o 2 ore lavorative dal momento in cui ne è venuto a conoscenza, di ogni violazione della sicurezza dei Dati personali e/o di ogni altro evento che possa comunque comprometterne la sicurezza, così da consentire al Titolare e/o, ove presente, al Responsabile di ottemperare alle previsioni di cui agli artt. 33 e 34 del Regolamento.

____________________________________________________________________________________________________________________________________________