INFORMATIVA PRIVACY GENERALE
conforme al Regolamento UE 679/2016 (GDPR) – ultimo aggiornamento: settembre 2019
(nel caso di particolari trattamenti consultare la relativa specifica informativa)
Identità e dati di contatto del titolare
BRYNET s.r.l.
vendita e assistenza sistemi elettronici e informatici
servizi di telecomunicazioni, networking, hosting e housing
42122 Reggio nell’Emilia (RE) – via Martiri di Cervarolo, 72/a – p. iva 02079680357
tel. 0522,268319 – fax 0522,1840140 – info@brynet.it; www.brynet.it
Contatti resp. protezione dati (DPO)
dpo@brynet.it
Finalità e base giuridica dei trattamenti
Il titolare tratta dati di persone fisiche nell’ambito dell’attività di vendita e assistenza di sistemi informatici, servizi di telecomunicazioni, networking, hosting e housing.
I dati personali di clienti persone fisiche, dati anagrafici, identificativi, di recapito e contatto (cognome e nome, indirizzo, telefono, email, ecc.) e i dati su posizioni amministrative e finanziarie (codice fiscale, partita iva, riferimenti bancari, ecc.), sono raccolti per finalità di identificazione univoca e certa, di richieste, proposte, accordi e contratti relativi alle attività e ai servizi offerti dal titolare, nonché, per i conseguenti obblighi amministrativi, contabili e normativi; i dati identificativi e di contatto di referenti aziendali dei clienti (cognome e nome, posizione e ruolo, cellulare ed email aziendale), se forniti sono raccolti e trattati per finalità non personali ma esclusivamente aziendali relative a comunicazioni, invio documenti, contatti e messaggi email, eventualmente anche via sms, indirizzati alle aziende che rappresentano; la base giuridica del trattamento di tutti tali dati è costituita dalle richieste, proposte, accordi e contratti di cui gli interessati sono parte.
Il titolare, responsabile esterno di clienti committenti, nell’ambito delle attività e servizi stipulati può venire a conoscenza di dati personali di interessati di cui tali clienti sono titolari di trattamento; potrebbe trattarsi, ad es., di dati identificativi e di contatto di dipendenti e collaboratori, il cui trattamento è necessario per attivare e gestire profili di rete, sistemi hardware e soluzioni software e web, oppure per verificare funzionalità, gestioni e ottimizzazioni di sistemi e soluzioni di elaborazione dati; in molti casi, gli interventi sono presidiati dagli stessi richiedenti e nella maggioranza dei casi, l’eventuale contatto con dati personali è pressochè inesistente e del tutto occasionale. Nel caso di servizi di gestione e conservazione dei periodici backup dei dati dei clienti, il titolare esegue anche tali trattamenti, senza tuttavia alcun diretto contatto con i singoli dati degli interessati; ciascun cliente committente riconosce la propria responsabilità di rendere ai rispettivi interessati un’adeguata informativa privacy.
I dati personali di soci e associati persone fisiche, dati anagrafici, identificativi, di recapito e contatto (cognome e nome, indirizzo, telefono, email, ecc.) e i dati su posizioni amministrative e finanziarie (codice fiscale, riferimenti bancari, ecc.), sono raccolti per finalità di identificazione univoca e certa, di gestione del rapporto societario o associativo, nonché, per i conseguenti obblighi amministrativi, contabili e normativi; eventuali dati identificativi e di contatto di familiari e referenti di soci o associati (cognome e nome, rapporto, cellulare ed email personale), se forniti sono raccolti e trattati per finalità non personali ma esclusivamente di referenza verso i rispettivi rappresentati per comunicazioni, invio documenti, contatti e messaggi email, eventualmente anche via sms, indirizzati agli interessati che rappresentano; la base giuridica del trattamento di tutti tali dati è costituita dai rapporti societari o associativi di cui gli interessati sono parte.
Eventuali dati identificativi, di recapito e contatto di potenziali interessati (cognome e nome, indirizzo, telefono, email, codice fiscale, partita iva, ecc.), possono essere raccolti per finalità di identificazione univoca e certa, di promozioni e proposte relative alle attività e servizi offerti dal titolare e per le conseguenti comunicazioni e gestioni amministrative; i dati identificativi e di contatto di referenti aziendali dei potenziali clienti (cognome e nome, posizione e ruolo, cellulare ed email aziendale), se forniti possono essere raccolti e trattati per finalità non personali ma esclusivamente aziendali relative a comunicazioni, invio documenti, contatti e messaggi email, eventualmente anche via sms, indirizzati alle aziende che rappresentano; la base giuridica del trattamento di tutti tali dati è costituita dalla natura di accordo, anche tacito, delle richieste di informazioni o altro di cui gli interessati sono parte, nonché, se necessario, del loro stesso consenso.
I dati personali di fornitori persone fisiche, dati anagrafici, identificativi, di recapito e contatto (cognome e nome, indirizzo, telefono, email, ecc.) e i dati su posizioni amministrative e finanziarie (codice fiscale, partita iva, riferimenti bancari, ecc.), sono raccolti per finalità di identificazione univoca e certa, di preventivi e ordini di acquisto di loro beni e servizi, nonché, per tutti i conseguenti obblighi amministrativi, contabili e normativi; i dati identificativi e di contatto di referenti aziendali dei fornitori (cognome e nome, posizione e ruolo, cellulare ed email aziendale), se forniti sono raccolti e trattati per finalità non personali ma esclusivamente aziendali relative a comunicazioni, invio documenti, contatti e messaggi email, eventualmente anche via sms, indirizzati alle aziende che rappresentano; la base giuridica del trattamento di tutti tali dati è costituita dalla natura di accordo, anche tacito, che c’è alla base delle ns. richieste di informazioni o altro e dagli accordi e contratti di cui gli interessati sono parte.
I dati personali dei dipendenti, dati anagrafici, identificativi, di recapito e contatto (cognome e nome, indirizzo, telefono, email, ecc.) e i dati su posizioni amministrative e finanziarie (codice fiscale, riferimenti bancari, ecc.), nonché, alcuni dati personali e di eventuali disabilità e invalidità di familiari anche minori e/o di altre persone a carico dei dipendenti (cognome e nome, codice fiscale, relazione di parentela, ecc.), sono raccolti per finalità di identificazione univoca e certa, di proposte, stipulazione e gestione di accordi e contratti di collaborazione e di lavoro dipendente e anche per i conseguenti obblighi amministrativi, contabili e normativi; alcuni dati particolari ex art. 9 del GDPR (opinioni politiche, appartenenza sindacale, convinzioni religiose, dati relativi alla salute, ecc.), possono essere raccolti per finalità di gestione di eventuali occorrenze dei dipendenti nell’ambito del rapporto di collaborazione e di lavoro riguardo a posizioni politiche, sindacali e religiose, oppure per la gestione di infortuni, malattie, ecc.; eventuali dati identificativi e di contatto di familiari e referenti dei dipendenti (cognome e nome, ruolo, cellulare ed email personale), se forniti sono raccolti e trattati per finalità non personali ma esclusivamente di referenza verso i rispettivi congiunti per comunicazioni, invio documenti, contatti e messaggi email, eventualmente anche via sms, indirizzati ai dipendenti. Le basi giuridiche dei trattamenti di tali dati sono incentrate sul contratto di lavoro di cui ciascun dipendente è parte (GDPR art. 6.1-b), sulla necessità di adempiere obblighi legali a cui il titolare è soggetto, come ad es., erogazione assegni nucleo familiare, eventuali congedi e permessi, detrazioni fiscali e trattenute per familiari a carico, elaborazione certificazione unica, ecc. (GDPR art. 6.1-c), e infine, assolvere obblighi o esercitare diritti specifici del titolare o dell’interessato in materia di diritto del lavoro e di sicurezza e protezione sociale, ad es., trattenute sindacali, gestione malattie e infortuni, ecc. (GDPR art. 9.2-b). Il titolare non raccoglie e non utilizza mai dati e documenti quali certificati del casellario giudiziale, i quali possono essere trattati esclusivamente con il consenso degli interessati e sotto il controllo dell’autorità pubblica o su autorizzazione del diritto UE o di Stati membri e, comunque, nel rispetto delle previste e appropriate garanzie per i diritti e le libertà degli interessati.
I dati personali dei collaboratori, dati anagrafici, identificativi, di nascita e di recapito e contatto (cognome e nome, indirizzo, telefono e/o cellulare, email, ecc.) e i dati su posizioni amministrative e finanziarie (codice fiscale, partita iva, riferimenti bancari, ecc.), sono raccolti per finalità di identificazione univoca e certa, di proposta, stipulazione e gestione di accordi e contratti di collaborazione e anche per i conseguenti obblighi amministrativi, contabili e normativi; eventuali dati identificativi e di contatto di familiari e referenti dei collaboratori (cognome e nome, ruolo, cellulare ed email personale), se forniti sono raccolti e trattati per finalità non personali ma esclusivamente di referenza verso i rispettivi interessati per comunicazioni, invio documenti, contatti e messaggi email, eventualmente anche via sms, a loro indirizzati. Le basi giuridiche dei trattamenti di tali dati sono incentrate sul contratto di collaborazione di cui ciascun collaboratore è parte.
I curricula e i relativi dati inviati spontaneamente dagli interessati, ad es., via email o tramite form del sito web del titolare, sono trattati per valutazioni ai fini di una eventuale collaborazione di lavoro e per finalità di risposta a richieste di informazioni o degli altri scopi ivi dichiarati; la base giuridica del trattamento di tali dati è rappresentata dalla natura di accordo, anche tacito, che c’è alla base delle richieste pervenute, nonché, se necessario, al consenso stesso degli interessati.
I cookie e gli altri eventuali dati rilevati tramite il sito del titolare sono utilizzati per agevolare la navigazione tra le sue pagine web (consultare le policy di funzionamento tramite il relativo link presente in calce al sito stesso); la base giuridica del trattamento di tali dati è rappresentata dal consenso stesso degli interessati.
I legittimi interessi del titolare o di terzi nell’ambito di eventuali trattamenti quali, ad es., dati di traffico web in misura strettamente necessaria e proporzionata per prevenire o smascherare abusi o frodi a danno del sito, delle reti e delle informazioni, oppure, in determinati casi, operazioni promozionali dirette, ecc., sono esercitati solo se non prevalgono sui diritti e le libertà fondamentali degli interessati, che ne sono comunque informati e resi edotti
Categorie di destinatari dei dati
Alcuni dati personali possono essere resi disponibili a vari destinatari; trattasi, in genere, di dati identificativi e di contatto e dati contabili, amministrativi e anche particolari di interessati, che possono essere trattati oltre che da dipendenti e collaboratori interni autorizzati e vincolati con un apposito impegno di riservatezza, anche da responsabili esterni impiegati per la gestione di talune attività e servizi (ad es., dallo studio del commercialista, dal consulente del lavoro, da studi legali, da società di assicurazioni, ecc.; spesso, come ad es. nel caso di interventi informatici, l’eventuale contatto con tali dati è assente o insignificante e del tutto occasionale e, comunque, controllato e monitorato da parte del titolare).
Il trasferimento dei dati personali a selezionati destinatari di norma avviene per la necessità di impiegare strutture dotate di specifiche competenze e abilitazioni professionali nelle rispettive materie, e sulla base, comunque, di rapporti fiduciari consolidati, in ordine alla loro professionalità ed esperienza, alla adeguatezza delle loro misure tecniche ed organizzative di tutela dei diritti degli interessati e al loro rispetto dei requisiti di sicurezza indicati dal GDPR. Il trasferimento dei dati personali è regolato da un apposito contratto con cui il soggetto esterno è responsabilizzato mediante regole vincolanti ai fini della tutela dei dati trattati e delle opportune garanzie da offrire in fatto di affidabilità, risorse e misure tecniche e organizzative conformi ai requisiti del Regolamento UE sulla protezione dei dati personali. Nondimeno, se un interessato volesse opporsi a tale trasferimento dei propri dati potrebbe comunicarlo al titolare, il quale lo informerà riguardo alle eventuali implicazioni e, in caso di successiva conferma della richiesta, cesserà quel trasferimento entro un tempo il più ragionevole possibile, compatibilmente con gli adempimenti amministrativi, normativi e tecnici in corso di ultimazione.
Trasferimenti di dati all’estero
Il titolare non trasferisce dati in Paesi extra UE, neanche tramite servizi web
Periodi di conservazione dei dati
I dati personali delle persone fisiche possono essere conservati in una forma che ne consente l’identificazione solo per il tempo necessario al conseguimento delle finalità per cui sono trattati; il periodo di conservazione è determinato tenendo conto di vari fattori quali, ad es., caratteristiche dei trattamenti, finalità perseguite, eventuale condivisione di uno stesso dato per più trattamenti, particolari ed elevati rischi per i diritti e le libertà degli interessati, disposizioni, indicazioni o modi di valutazione del Garante, frequenza media di acquisto dei beni e servizi offerti, obblighi di leggi, ecc.
In relazione dunque alla conservazione dei dati personali dei propri interessati, il titolare, sulla base dei suindicati aspetti, ha determinato quanto segue: i dati contabili e amministrativi e i rispettivi dati identificativi, di contatto e di posizioni fiscali e finanziarie di clienti, fornitori e di eventuali collaboratori sono conservati nel rispetto dei termini previsti da leggi civilistiche e fiscali, in genere per almeno 10 anni; i dati contabili, amministrativi, contributivi e previdenziali, nonché, i rispettivi dati identificativi e di contatto dei dipendenti, sono conservati in osservanza delle norme civilistiche, fiscali, previdenziali e assistenziali, in genere per 10 anni o anche più, nel caso di legittime interruzioni dei termini di prescrizione da parte dei relativi enti; ove presenti, i dati personali di potenziali interessati trattati per eventuali attività promozionali, salvo specifico rinnovo del consenso al trattamento, sono conservati solo per 24 mesi, quindi sono eliminati a seguito della esecuzione della procedura di valutazione annuale dei dati da non conservare; allo stesso modo sono valutati ed eliminati anche tutti gli altri dati per i quali è cessata ogni finalità di trattamento, come ad es., le richieste di informazioni di interessati già evase e senza alcun seguito, nonché, i rispettivi dati identificativi e di contatto da loro spontaneamente forniti
Il titolare, responsabile esterno di clienti committenti, esegue ogni giorno i backup dei loro dati presenti in hosting o housing, ecc., nella propria webfarm, li conserva per 30 giorni di retention, e dopo, i dati vengono sovrascritti o eliminati; nella propria sede, poi, ogni settimana esegue un ulteriore backup in sovrascrittura su un NAS criptato; nel caso in cui i clienti committenti ne facciano formale richiesta, il titolare consegna loro una copia dei dati registrati ed elimina tutte le copie di quei dati in proprio possesso. Oltre a ciò, il titolare, in base a specifiche disposizioni di legge (attualmente l’art. 24 della L. 167 del 20/11/2017), conserva per 72 mesi i dati di traffico telematico (escluso i contenuti di comunicazione), relativi ai servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione, come nel caso dei servizi di posta elettronica.
Profilazioni dei dati
Il titolare non esegue alcun processo decisionale automatizzato sui dati trattati
Diritti degli interessati
Gli interessati persone fisiche hanno il diritto, riguardo ai propri dati, di chiederne l’accesso, la rettifica, la cancellazione o la limitazione del trattamento del titolare e dei suoi responsabili esterni, nonché, la portabilità in formato strutturato, di uso comune e leggibile presso un altro titolare. Gli interessati, inoltre, in qualsiasi momento e soprattutto nel caso di minori, hanno il diritto di opporsi ad un lecito trattamento di dati e di profilazione per importanti e giustificate ragioni di protezione dei dati personali che prevalgano rispetto a pubblico interesse del trattamento o perseguimento di un legittimo interesse suo o di terzi. In quanto alle operazioni di marketing diretto, gli interessati hanno il diritto di opporvisi in qualsiasi momento e senza obbligo di motivazione. Gli interessati, infine, possono revocare il proprio esplicito consenso al trattamento in qualsiasi momento, pur senza pregiudicare, comunque, la liceità dei trattamenti eseguiti prima della revoca. Per eventuali o possibili conseguenze derivanti dall’esercizio dei propri diritti, gli interessati possono riferirsi agli accordi e norme contrattuali delle prestazioni e dei servizi implicati. Per la violazione di propri specifici diritti, l’interessato può proporre reclamo davanti all’autorità di controllo (per l’Italia, il Garante privacy – www.garanteprivacy.it