PRIVACY POLICY
POLICY GLOBALE SULLA PROTEZIONE DEI DATI PERSONALI DEL GRUPPO DEDALUS
L’impegno di Dedalus per la protezione dei dati personaliINTRODUZIONE
La Policy Globale sulla Protezione dei Dati Personali del Gruppo Dedalus (la “Politica“) stabilisce i principi seguiti da Dedalus (“Dedalus“), dalle sue unità commerciali e dai suoi dipendenti in tutto il mondo con riguardo al trattamento dei dati personali.
Questi principi sono in linea con i più elevati standard applicati nell’ambito del commercio internazionale e nella gestione delle risorse umane. Il rispetto di questi standard elevati riflette il valore attribuito da Dedalus per l’ottenimento ed il mantenimento della fiducia dei nostri dipendenti, clienti, partner commerciali e altre parti interessate i cui dati sono condivisi con noi.
Dedalus tratterà i dati personali in conformità a questa Policy e alle leggi applicabili sulla protezione dei dati personali.
Nel corso della normale attività, Dedalus raccoglie dati personali dei propri clienti, fornitori, dipendenti, utenti del sito web, candidati, collaboratori, azionisti, partner, altre terze parti ed eccezionalmente, per i prodotti utilizzati direttamente dagli utenti finali, può raccogliere dati dagli utenti finali.
Dedalus riconosce che i dati personali devono essere trattati con cautela. Dedalus si impegna a condurre l’attività in conformità con tutte le leggi sulla protezione dei dati personali dei Paesi in cui opera e in linea con i più elevati standard di condotta etica.
Per qualsiasi domanda o commento relativo alla presente Policy, è possibile contattare Dedalus all’indirizzo dpo.group@dedalus.eu
AMBITO DI APPLICABILITÀ
Questa Policy si applica a tutte le affiliate ed entità del Gruppo Dedalus. Essa definisce la condotta che ci si aspetta da ciascun dipendente, funzionario e direttore di Dedalus nel trattamento dei dati di clienti, fornitori, dipendenti, utenti del sito web, candidati, appaltatori, azionisti, partner, utenti finali dei servizi e altri terzi.
I dati personali dei singoli individui possono essere raccolti attraverso una varietà di mezzi, tra cui, ad esempio, siti web, altri canali ordinari e processi di lavoro o di servizi.
La presente Policy mira a facilitare il rispetto dei principi di privacy by design e privacy by default nella progettazione e nell’implementazione di sistemi e processi da parte di Dedalus.
Pertanto, tra gli altri scopi, la presente Policy mira a stabilire i principi da rispettare con riferimento alle policies sulla protezione dei dati personali dei clienti e dei dipendenti, e ad influenzare gli standard di implementazione dei sistemi, i libri di regole, i processi aziendali, le applicazioni, gli sviluppi del web, dei prodotti e dei servizi, e le pianificazioni tecnologiche.
Questa Policy si applica al trattamento dei dati personali da parte di Dedalus ed è concepita per garantire che i dati personali siano protetti indipendentemente dal luogo in cui vengano trattati o dalla tecnologia impiegata, quando utilizzati da una Società del Gruppo Dedalus.
Questa Policy si basa su cinque impegni chiave:
- La raccolta ed il trattamento di dati personali in modo corretto e legale.
- Il rispetto dei diritti e delle scelte individuali.
- La gestione dei dati personali in modo responsabile e sicuro.
- L’attuazione dei principi sulla protezione dei dati personali by design e by default.
- La cooperazione con le Autorità di Controllo.
Questa Policy definisce gli standard uniformi e di base adottati da Dedalus, che si applicano in assenza di regole imposte dalle leggi nazionali che prevedano requisiti più stringenti.
Per quanto legalmente richiesto o consentito dalle leggi nazionali, questa Policy si applica globalmente a tutti gli amministratori, funzionari, dirigenti, dipendenti e gli agenti delle Società del Gruppo Dedalus. Inoltre, le pratiche specifiche saranno adattate per soddisfare i requisiti legali, normativi e culturali dei paesi e delle regioni in cui Dedalus opera. In aggiunta, in tutti i casi in cui i termini negoziati in qualsiasi accordo di servizio Dedalus richiedano un livello di protezione dei dati personali trattati da o affidati a Dedalus che superi i requisiti legali minimi, tali termini negoziati prevarranno.
La formazione, le regole interne di attuazione e le linee guida sono fornite con tutta la documentazione di supporto necessaria per agire secondo questa politica.
IMPEGNI CHIAVE
Dedalus si impegna a rispettare le leggi applicabili sulla protezione dei dati personali. Dedalus è sottoposta a regolari controlli interni e da parte di terzi, mantiene le certificazioni e fornisce protezioni contrattuali standard di settore e misure tecniche ed organizzative appropriate per rafforzare la conformità alle leggi applicabili sulla protezione dei dati personali.
Dedalus tratterà i dati personali nella misura in cui le sia consentito o richiesto dalle leggi applicabili e in conformità con i seguenti principi sulla protezione dei dati personali.
RACCOLTA E TRATTAMENTO DEI DATI PERSONALI IN MODO CORRETTO E LEGALE
Dedalus informa in modo chiaro, onesto e trasparente sulla natura dei dati personali raccolti e sull’utilizzo che intende farne. L’uso dei dati personali da parte di Dedalus per una finalità diversa da quella inizialmente comunicata non è consentito, salvo che gli interessati non vengano adeguatamente informati e, ove applicabile, sia stato rilasciato il consenso a Dedalus per l’uso previsto. In generale, Dedalus è autorizzata a trattare i dati personali per scopi secondari per attuare controlli e verifiche interne e per adempiere ai propri obblighi legali e normativi.
Dedalus tratta i dati personali esclusivamente nella misura in cui sussista una base giuridica appropriata, come un consenso valido e informato, un legittimo interesse commerciale di Dedalus, e/o la necessità di stipulare o eseguire contratti e rispettare gli impegni legali o normativi.
Qualsiasi consenso dato dai soggetti interessati per la raccolta e l’uso dei loro dati personali deve essere rilasciato liberamente ed accompagnato da una chiara informativa di Dedalus sul trattamento previsto dei dati personali. Tale consenso può essere revocato in qualsiasi momento dal soggetto interessato, senza indebite complicazioni.
Quando tratti dati personali per conto di un cliente o di un’altra terza parte, Dedalus rispetterà le linee guida e le istruzioni del Titolare del trattamento dei dati personali, oltre alla presente Policy.
Dedalus adotterà misure ragionevoli per – e laddove agisca in qualità di Responsabile del trattamento fornirà ai clienti gli strumenti – garantire che i dati personali siano esatti e aggiornati, che siano conservati solo per il tempo necessario per le finalità per cui sono stati raccolti e utilizzati, e che siano cancellati o resi anonimi dopo che tali requisiti di conservazione siano stati soddisfatti.
RISPETTARE I DIRITTI E LE SCELTE DEI SOGGETTI INTERESSATI
Dedalus riconosce i diritti dei soggetti interessati di:
- Richiedere l’accesso ai dati raccolti su di loro da parte di Dedalus e la ragione per cui Dedalus possiede tali dati.
- Ottenere una copia dei dati personali in possesso di Dedalus.
- Richiedere la rettifica o la cancellazione di dati personali inesatti o incompleti
- Ritirare il consenso rilasciato a Dedalus per la raccolta dei dati personali in qualsiasi momento.
Dedalus risponderà alle richieste di esercizio dei diritti dei soggetti interessati entro un periodo ragionevole dopo la ricezione della richiesta ovvero entro qualsiasi periodo specifico che possa essere richiesto dalle leggi nazionali applicabili.
Dedalus gestirà ed esaminerà i reclami presentati dagli interessati su qualsiasi violazione delle regole o delle leggi sulla protezione dei dati personali e risponderà a tali reclami tempestivamente
Dedalus riconosce il diritto dei clienti di opporsi all’uso dei loro dati personali ovvero di opporsi alla ricezione di comunicazioni di marketing diretto. Quando utilizza i dati personali per scopi di marketing, Dedalus informerà i soggetti interessati in un linguaggio chiaro e semplice sul trattamento dei loro dati personali per tali finalità. Dedalus rispetta i diritti dei suoi clienti attuali e potenziali di:
- ricevere comunicazioni marketing da Dedalus solo se sia stato fornito un esplicito e specifico consenso preventivo, quando richiesto dalle leggi applicabili, ovvero se Dedalus possa dimostrare di inviare tali comunicazioni per i suoi legittimi scopi commerciali in maniera conforme alla disciplina applicabile sulla protezione dei dati personali.
- non ricevere più comunicazioni marketing qualora Dedalus abbia ricevuto un’impostazione di preferenza specifica, un opt-out o una opposizione all’uso di tali dati per scopi di marketing.
Dedalus tratta i dati personali sensibili solo se necessario. Dedalus riconosce che alcune categorie di dati personali sono particolarmente sensibili e richiedono un livello di protezione più elevato. Le categorie particolari di dati personali includono informazioni riguardanti lo stato di salute di una persona, dati biometrici e genetici, dati sulle convinzioni religiose e opinioni politiche, dati sull’origine razziale o etnica, dati su precedenti penali e qualsiasi altra informazione protetta specificamente dalle leggi applicabili in materia di protezione dei dati.
Dedalus adotta procedure e salvaguardie adeguate a limitare l’accesso alle categorie particolari di dati personali esclusivamente alle persone autorizzate ed impedirne l’accesso, l’uso e la diffusione non autorizzati.
GESTIONE DEI DATI IN MODO RESPONSABILE E SICURO
Dedalus è responsabile per l’adempimento dei requisiti stabiliti dalla presente Policy e dalla legislazione applicabile. Dedalus adotta le misure necessarie per osservare quanto previsto dalla presente Policy e della legislazione applicabile e dispone degli strumenti interni necessari per dimostrare tale osservanza.
Dedalus mette in atto pratiche di protezione dei dati personali progettate per supportare il rispetto della presente Policy e della legislazione applicabile e dispone controlli interni per verificare il rispetto delle leggi sulla protezione dei dati personali e delle relative politiche e procedure di Dedalus.
Dedalus si impegna a proteggere i dati con misure tecniche ed organizzative appropriate per garantirne la riservatezza, l’integrità e la disponibilità e per prevenire il rischio di accesso non autorizzato o illegale, alterazione, distruzione o divulgazione.
Nella misura in cui i dati personali siano trattati da Dedalus e la violazione della sicurezza abbia coinvolto direttamente i sistemi e i servizi erogati da Dedalus, Dedalus informerà i soggetti interessati di una violazione della sicurezza che riguarda i loro dati personali e che potrebbe comportare un rischio elevato per i loro diritti e libertà, in conformità alla legislazione applicabile.
Dedalus impone ai suoi fornitori o subappaltatori il rispetto delle politiche di protezione dei dati personali di Dedalus e qualsiasi legislazione applicabile sulla protezione dei dati personali ed il mantenimento di adeguate misure di sicurezza tecniche ed organizzative per la protezione dei dati personali.
L’accesso ai dati personali trattati è limitato da Dedalus esclusivamente ai dipendenti ovvero ai fornitori che svolgano compiti specifici in relazione a tali dati. Dedalus mette a disposizione corsi di formazione e programmi per educare e sensibilizzare i dipendenti sulle loro responsabilità, individuali e collettive, che siano previste dalla legge, da fonti normative e dai contratti, riferite al trattamento dei dati personali.
In conformità con la legislazione applicabile, Dedalus fornisce un’assistenza ragionevole ai propri clienti, laddove Dedalus sia stato nominato Responsabile del trattamento, per garantire la sicurezza del trattamento affidato ed informerà i clienti delle violazioni della sicurezza come richiesto da tali leggi.
Qualora i dati personali vengano trasferiti, Dedalus assicura l’adozione delle misure necessarie per proteggerli prima del trasferimento. Dedalus trasferisce i dati personali oltre i confini nazionali solo quando ciò è giustificato per finalità commerciali ed esistono garanzie che assicurino la protezione dei dati personali in maniera adeguata e continuativamente nella giurisdizione di destinazione.
Qualora il trattamento comporti un rischio elevato per i soggetti interessati, Dedalus condurrà una valutazione d’impatto per identificare i rischi che il trattamento possa causare ai diritti delle persone fisiche ed eliminerà o ridurrà tali rischi.
Dedalus ha istituito un ufficio globale per la protezione dei dati che è responsabile dell’attuazione di questa Policy, della promulgazione di ulteriori policies relative alla protezione dei dati personali e della fornitura di servizi e risorse strategicamente coordinati per la conformità alla protezione dei dati personali nelle unità aziendali di Dedalus.
IMPLEMENTAZIONE DEI PRINCIPI SULLA PROTEZIONE DEI DATI PERSONALI BY DESIGN E BY DEFAULT
Dal momento in cui esegue attività comprendenti il trattamento di dati personali, Dedalus adotta misure di sicurezza tecniche ed organizzative adeguate al rispetto effettivo dei principi della protezione dei dati personali, ed integra le garanzie necessarie per assicurare il rispetto dei requisiti previsti dalla legislazione applicabile sulla protezione dei dati personali nonché la tutela dei diritti delle persone fisiche, tenendo in considerazione lo stato dell’arte della tecnologia, i costi di implementazione e la natura, l’ambito, il contesto e le finalità del trattamento, nonché i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali.
Inoltre, Dedalus garantisce, per impostazione predefinita, che siano trattati esclusivamente i dati personali necessari per ciascuna delle finalità previste. Tale obbligo si applica altresì alla quantità di dati trattati, all’ambito del trattamento, al periodo di conservazione, nonché all’accessibilità ai suddetti dati.
Per attenersi a questi principi, le business units di Dedalus devono, ogniqualvolta stiano progettando ovvero portando avanti nuovi progetti, servizi, sistemi, ovvero prodotti che includano il trattamento di dati personali, assicurare che siano rispettati i requisiti previsti dai principi della data protection by design e by default. A tal fine, Dedalus richiede altresì l’adozione di specifiche salvaguardie ad hoc e funzionalità da parte di fornitori, sviluppatori di software nonché qualsiasi altra parte terza durante la progettazione delle iniziative indicate sopra. Qualora un nuovo progetto, servizio, sistema o attività implichi il trattamento di dati personali, la business unit competente nell’attività deve verificare la documentazione tecnica, le garanzie, le funzionalità, nonché le misure adottate per assicurare la minimizzazione dei dati personali trattati e dei potenziali rischi per i soggetti interessati.
COOPERAZIONE CON LE AUTORITA’ DI CONTROLLO
Dedalus collaborerà con qualsiasi autorità di controllo nazionale o regionale competente, responsabile per il controllo della conformità con la legislazione applicabile sulla protezione dei dati personali, che abbia buone ragioni per mettere in discussione qualsiasi trattamento di dati personali svolto da Dedalus, e, inoltre, si conformerà alle decisioni di tale autorità di controllo competente su qualsiasi questione relativa alla presente Policy.
VIOLAZIONI
Il mancato rispetto di questa Policy può essere considerato una grave violazione della fiducia che Dedalus deve poter riporre nel suo personale. L’inosservanza da parte di un dipendente può quindi comportare una sanzione, come la sospensione ovvero l’adozione di altre misure disciplinari o provvedimenti ai sensi del diritto del lavoro. Il mancato rispetto da parte dei membri del personale che non sono dipendenti può comportare la risoluzione del relativo contratto. Il personale non sarà penalizzato per aver segnalato questioni relative al rispetto di questa Policy.
MODIFICHE A QUESTA POLICY
Questa Policy sostituisce tutte le precedenti politiche sulla protezione dei dati personali di Dedalus nella misura in cui esse affrontino le stesse questioni e non siano coerenti con questa Policy o impongano requisiti meno restrittivi.
Dedalus si riserva il diritto di modificare questa Policy. Qualsiasi modifica sostanziale sarà notificata sul sito web di Dedalus.
DETTAGLI DI CONTATTO DEL RESPONSABILE DELLA PROTEZIONE DEI DATI
È stato nominato un responsabile della protezione dei dati personali (“DPO”), contattabile via e-mail al seguente indirizzo:
per Dedalus S.p.A dpo.group@dedalus.eu
per le società con sede in Regno Unito dpo-uk@dedalus.group.
per le società con sede in Francia dpo.france@dedalus.eu
per le società con sede in Germania/Austria datenschutz.dach@dedalus.com
per Millennium s.r.l. dpo.millennium@dedalus.eu
per le altre società con sede in Italia dpo@dedalus.eu
Versione attuale: Dedalus –Global privacy policy – v. 2
Ultimo aggiornamento: luglio 2022