GDPR: aggiornamenti e modifiche al trattamento dei dati personali di Clienti ed Utenti dei nostri servizi di comunicazione elettronica

Gentile Cliente/Utente,

come probabilmente saprà, la definitiva entrata in vigore del nuovo Regolamento Generale sulla Protezione dei Dati CE/679/16 (GDPR), 25 maggio 2018 in Europa – a tutela delle persone fisiche – ha introdotto importanti e significativi cambiamenti nella disciplina del trattamento dei dati personali. In ottemperanza al nuovo regolamento anche la nostra Informativa è stata aggiornata in modo da recepire queste innovazioni e cambiamenti. Il nuovo testo relativo al trattamento dei dati personali ha assunto validità per gli attuali Clienti ed Utenti (anche indiretti, cioè provenienti da ns. rivenditori e/o da accordi, commerciali o meno, con altre società ) a far data dal 25 maggio 2018.

Cos’è il GDPR

Il GDPR sancisce le nuove norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati valide globalmente a livello Europeo. Allo stesso tempo, impone degli obblighi alle aziende che si occupano del trattamento dei dati personali, per i quali è ora prevista maggiore protezione. La nostra Informativa Privacy è stata aggiornata coerentemente con i requisiti del GDPR.

Trasparenza

E importante, per noi, che Lei comprenda come e perché usiamo i Suoi dati, in tal modo potrà controllarne efficacemente l’utilizzo. Desideriamo inoltre che Lei sia  al corrente dei diritti che Le vengono riconosciuti dalla nuova normativa relativamente ai Suoi dati.

La nuova informativa, che riportiamo di seguito, si articola nelle sezioni:

  • Basi giuridiche

  • Finalità del trattamento

  • Tipologie di trattamenti eseguite sui dati personali

  • Localizzazione dei dati

  • Ambito di comunicazione e diffusione

  • Misure di sicurezza

  • Esercizio dei diritti dell’interessato

Cordialmente,

Albedo S.r.l.

INFORMATIVA AI SENSI DEGLI ARTT. DA 13 A 22 DEL REG. CE 679/16 SULLA
EROGAZIONE DEI SERVIZI DI COMUNICAZIONE ELETTRONICA

GPDR e Basi Giuridiche del Trattamento

Con questo atto, e ai sensi degli artt. da 13 a 22 del Reg. CE 679/2016, Albedo S.r.l.. quale Titolare del trattamento, desidera informare del modo in cui tratta i dati personali dei propri Clienti ed Utenti in relazione ai servizi di comunicazione elettronica oggetto di rapporto contrattuale (anche gratuito). Il Responsabile della Protezione dei Dati è Rosa Grande, raggiungibile all’indirizzo dpo@albedo.it. I trattamenti vengono eseguiti ai sensi dell’art. 6 comma I lettere b), e), f) Reg. CE 679/2016 allo scopo di fornire al Cliente/Utente i servizi sottoscritti e per rispondere ad obblighi di legge relativamente ed esclusivamente basati sulle  basi giuridiche qui sotto elencate:

  • Reg. CE 679/16 – Regolamento generale sulla protezione dei dati personali
  • L. 48/08 – Recepimento della Convenzione europea sul crimine informatico
  • D.lgs. 68/03 – Attuazione della DIR 29/01/EU
  • D.lgs. 70/03 – Attuazione della DIR 31/00/EU
  • Codice civile
  • Codice di procedura civile
  • Codice penale
  • Codice di procedura penale
  • L. 633/41 – Legge sul diritto d’autore
  • D.lgs. 196/03 – Codice dei dati personali
  • D.lgs 259/03 – Codice delle comunicazioni elettroniche
  • D.lgs. 206/05 – Codice del consumo
  • D.lgs. 30/05 – Codice della proprietà industriale
  • D.lgs. 82/05 – Codice dell’amministrazione digitale
  • L. 40/2007 – Misure urgenti per la tutela dei consumatori (Legge Bersani)
  • Provvedimenti dell’Autorità giudiziaria ordinaria e amministrativa
  • Provvedimenti dell’Azienda Autonoma Monopoli di Stato
  • Provvedimenti dell’Autorità per le garanzie nelle comunicazioni
  • Provvedimenti dell’Autorità garante per la concorrenza e il mercato
  • Provvedimenti dell’Autorità garante per la protezione dei dati personali.

1 – Tipologia di dati trattati e periodo di conservazione

1.1 Le tipologie di dati trattati sono:

  • Nome, cognome
  • Luogo e data di nascita
  • Codice fiscale/P.IVA
  • Residenza/Sede legale
  • Codice cliente
  • E-mail
  • Codici di migrazione
  • Credenziali di autenticazione per l’accesso a pannello di gestione
  • Credenziali di autenticazione per l’accesso ad apparati in comodato d’uso
  • Numeri IP
  • Nomi a dominio
  • Dati di traffico telematico
  • Dati di traffico telefonico.

1.2- Periodo di conservazione

Albedo S.r.l. conserva i dati personali del Cliente/Utente, indicati in precedenza, per un lasso di tempo determinato da:

  • codice penale
  • codice civile
  • leggi od altri atti, relative a materie quali  responsabilità, prescrizione e cooperazione con l’Autorità Giudiziaria.

Decorso questo termine i dati vengono distrutti.

2 – Finalità del trattamento

2.1 – Le Finalità sono esclusivamente quelle obbligatorie per legge, indispensabili per l’adempimento agli obblighi contrattuali, alla tutela dei diritti dell’azienda in relazione a Clienti e Utenti

  • Adempimento ad ordini dell’Autorità Giudiziaria e/o delle Autorità indipendenti (Quali ad es. il Garante della Privacy od il Garante delle Telecomunicazioni) .
  • Gestione dei rapporti in fase pre-contratto
  • Adempimento agli obblighi derivanti dal contratto
  • Adempimento agli obblighi derivanti da normative
  • Tutela dei diritti aziendali

3 – Tipologie di trattamenti eseguite sui dati personali

  • Raccolta tramite compilazione di moduli contrattuali cartacei
  • Raccolta tramite compilazione di moduli elettronici (Form)
  • Caricamento su sistemi informativi interni  per la gestione contrattuale, amministrativa e tecnologica
  • Comunicazione al gestore di anagrafiche IP – Reseaux IP Europèens Network Coordination Centre (RIPE NCC EU o Registro Europeo per l’assegnazione degli IP)per l’assegnazione di blocchi di indirizzi superiori ad uno
  • Comunicazione ad Enti e Autorità pubbliche dei dati di traffico, previa elaborazione caratterizzabile da selezione, ricerca, estrazione. (Esempio: Richiesta di  Accertamenti da parte della  Autorità Giudiziaria)
  • Conservazione separata dei dati personali che dovessero essere conservati su richiesta specifica della Autorità Giudiziaria inoltrando tali dati a sistemi di memorizzazione separata con misure di sicurezza innalzate (strong-authentication) e quindi distinti dai normali sistemi di log utilizzati per attività ordinarie.
  • Filtraggio selettivo e automatizzato del traffico tramite sistemi di intrusion detection, antispam ed antivirus
  • Blocco selettivo della raggiungibilità di  risorse di rete (indirizzi IP, domini, Host) su ordine delle Autorità pubbliche (ad esempio siti di commercio elettronico indicati come fraudolenti dalle Autorità Competenti o siti di giochi on line non autorizzati)
  • Comunicazione ad aziende prestatrici di servizi di logistica, trasporti e spedizione (per la consegna di apparati)
  • Messa a disposizione a società terze per la gestione dell’assistenza Clienti
  • Elaborazione delle informazioni relative al numero di chiamante telefoniche (data, ora e durata) per consentire al Cliente di verificare la correttezza dei costi attribuiti ,
  • La  durata dei collegamenti dati (IP e protocolli TCP/IP, SMTP ecc.) per verificare l’impiego del servizio e l’efficienza e la qualità dei servizi offerti.
  • Memorizzazione automatica dei contenuti (ad esempio caselle vocali, di cui comunque l’utente mantiene il completo controllo potendo eliminare autonomamente i contenuti registrati)
  • Invio e ricezione di posta elettronica
  • Cancellazione su richiesta dell’interessato od a seguito di cessazione della base giuridica su cui si fonda il trattamento.

4 – Localizzazione dei dati

I dati sono conservati presso strutture, anche data-centre, localizzati all’interno dell’Unione Europea.

5 – Ambito di comunicazione e diffusione

Il Cliente è informato che:

  • Data la natura del protocollo TCP/IP su cui si fondano le comunicazioni attraverso la rete Internet  e per la struttura tecnica e organizzativa della stessa dati  che il Cliente spedisce e riceve sotto forma di “pacchetti IP” possono transitare anche al di fuori della Comunità Europea, ad esempio a causa dell’instradamento (routing) dei pacchetti di informazione che è definito dai gestori delle reti che compongono, la “grande Internet” e quindi non sotto il totale controllo della Albedo S.r.l.
  • i dati che vengono inseriti quando si registra un nome a dominio europei (ad es. .it,.eu, etc) possono essere resi disponibili tramite i servizi Whois del Registro competente pur essendo esso europeo anche al di fuori della UE, o tramite i servizi Whois di altri fornitori di servizi di registrazione di nomi a dominio localizzati al di fuori della UE. Albedo  è estranea a questi trattamenti e il Cliente dovrà rivolgersi direttamente ai singoli Titolari del trattamento se interessato ad attivare ove previsto opportune funzioni di oscuramento delle informazioni di contatto
  • i dati che si inseriscono quando viene richiesta l’assegnazione di blocchi di indirizzi IP possono essere pubblicati da entità europee (particolarmente il già citato RIPE, il Registro Europeo delle assegnazioni delle numerazioni di rete)
  • il CERT (Computer Emergency Response Team) Nazionale Italia del Ministero dello sviluppo economico svolge di continuo e in totale autonomia attività di Info Sharing con gli altri CERT dell’Unione Europea che coinvolgono gli IP pubblici della rete italiana, e dunque anche quelli del Cliente. I risultati delle attività su IP dei Clienti vengono comunicate a Albedo ma non ci sono informazioni su chi altri abbia accesso ai dati in questione. Albedo è del tutto estranea a queste attività, ai risultati prodotti, nonchè ai tempi e modi delle stesse
  • I server della Albedo S.r.l che gestiscono servizi DNS atti a realizzare la conversione tra nome a dominio in indirizzi IP per dar corso alle richieste di connessione originate dal cliente, sono sistemi standard ed automatizzati. Il Cliente non è obbligato ad utilizzare esclusivamente i DNS forniti in sede di configurazione del servizio e liberamente può utilizzare altri DNS (anche propri). Nel caso utilizzi i DNS di Albedo S.r.l. essi possono essere oggetto di monitoraggio ed eventualmente bloccare l’accesso ad alcuni siti in esecuzione di provvedimenti della magistratura e/o delle Autorità indipendenti
  • Parte dei dati relativi alla navigazione sono gestiti localmente in sede cliente, dai suoi computer e dai software utilizzati per la navigazione (Browser). Sarà quindi compito del Cliente gestire la sicurezza di questi dati e la loro cancellazione
  • i sistemi antispam offerti sui sistemi di posta elettronica gestiti da Albedo S.r.l.(anche per conto cliente) si appoggiano sull’utilizzo l’utilizzo di blacklist gestite da soggetti terzi. Il dominio o l’indirizzo IP del mittente o del destinatario potrebbero essere inclusi, per regioni non controllabili da Albedo S.r.l., in una di queste liste impedendo l’invio o la ricezione di messaggi.  Albedo S.r.l. non ha alcun titolo giuridico per intervenire sui gestori delle blacklist che possono essere anche localizzati al di fuori della UE, a parte la eventuale richiesta di rimozione  che comunque non è obbligatoria da parte del gestore della blacklist e può avvenire in temi non certi
  • i servizi di hosting e di trasporto della posta elettronica non impediscono al Cliente che lo desideri la crittazione dei messaggi né viene richiesta nel caso la consegna delle chiavi di decrittazione. Su richiesta Autorità competenti di accesso ai dati memorizzati dal Cliente presso i nostri server gli stessi, comunque, potranno essere consegnati anche se cifrati
  • i servizi di terze parti – come per esempio servizio di backup in cloud – anche se commercializzati da Albedo sono soggetti esclusivamente alla specifica regolamentazione definita autonomamente dal fornitore stesso. Il Cliente è pertanto tenuto a verificare le politiche di comunicazione e diffusione – e in generale di trattamento – dei dati personali adottate. In particolare, il Cliente è informato che i servizi Microsoft implicano la possibilità, per Microsoft e/o suoi incaricati, di eseguire controlli diretti sui servizi acquistati tramite Albedo. Relativamente ai  servizi di backup in cloud i servizi offerti da Albedo S.r.l. prevedono che i dati vengano registrati in data-centre interni alla comunità europea e vengano criptati attraverso l’uso di algoritmi non invertibili su base di una “passphrase” nota la cliente (che quindi sarà l’unico in grado di procedere alla decrittazione)
  • le attività per fini di giustizia – intercettazioni, accesso a dati di traffico e altri interventi tecnici – sono coperti da segreto istruttorio e, senza ordine specifico dell’Autorità Giudiziaria non possono essere oggetto di informazione al Cliente
  • i log generati dai sistemi del Cliente sono di sua titolarità e pertanto il Cliente ha diritto di ottenerne copia
  • gli apparati concessi in comodato al Cliente sono sotto il controllo di Albedo che ha la possibilità – tramite amministratori di sistema appositamente nominati – di accedervi per necessità di assistenza tecnica
  • i servizi di sicurezza informatica che utilizzano specifici apparati dedicati (detti appliance, eventualmente anche tramite server virtuali) se richiesti dal Cliente vengono erogati utilizzando apparati e software di terze parti. La natura e la granularità dei dati generati dagli apparati così come la loro diffusione e registrazione sono decise direttamente dal produttore dell’apparato o software utilizzato e la Albedo S.r.l. non ha alcun titolo giuridico per modificare le scelte tecnologiche effettuate da quest’ultimo. In particolare, il Cliente è cosciente che l’uso di appliance (hardware o software) di sicurezza potrebbe implicare, da parte del produttore, l’attivazione di servizi di monitoraggio, telemetria o di altro tipo diretti ad ottenere l’accesso all’apparato stesso

6 – Misure di sicurezza


6.1 – Misure tecniche

  • I software e i database utilizzati sono oggetto di audit di conformità ai principi di data-protection by design e data-protection by default. In particolare l’accesso agli stessi è possibile esclusivamente attraverso la rete privata interna di Albedo S.r.l. dopo essersi autenticati tramite password complessa sulla stessa e previa una seconda autenticazione sul software di gestione.
  • Eventuali dati  di traffico telematico trattati per finalità di giustizia verranno gestiti tramite server isolati e fisicamente separati, con accesso mediante doppia autenticazione (password e pincode a generazione casuale, validità temporale limitata ad un minuto e singolo utilizzo. sono gestiti tramite server separati, isolati fisicamente), con log di accesso registrati.
  • La rete aziendale è protetta da firewall e sistemi di anti-intrusione. I singoli Computer, siano essi PC o Server, indipendentemente dal sistema operativo, sono dotati di antivirus ed antimalware NON freeware.
  • E’ presente un sistema antispam e antivirus sul sistema che gestisce la posta elettronica interna.
  • Nei limiti della possibilità tecnica di verifica le connessioni VPN realizzate direttamente da Albedo per il cliente sono prive di  backdoor o altre forme di registrazione occulta del traffico.

6.1 – Misure tecniche

  • E’ nominato un Responsabile della Protezione dei Dati (RPD o DPO, Data Protection Officer)
  • I trattamenti e le scelte organizzative/tecniche incidenti sulla sicurezza dati personali coinvolgono il Responsabile della protezione dei dati
  • Sono individuati gli amministratori di sistema
  • Sono individuati gli autorizzati al trattamento
  • Sono eseguiti e pianificati test di vulnerabilità dei sistemi informativi e dell’infrastruttura di rete con cadenza almeno annuale.
  • E’ presente una procedura di gestione delle emergenze informatiche
  • I sistemi di gestione interni sono protetti dalla perdita di dati attraverso backup con cadenza giornaliera o settimanale a seconda dei dati trattati
  • E’ presente una procedura di gestione del Data-Breach.

7 – Esercizio dei diritti di cui agli articoli 13-25 Reg. CE 679/2016

Il Reg. CE 679/16, agli articoli da 13 a 22 garantisce all’interessato svariati diritti inclusi quelli di ottenere la rettifica dei dati trattati da Albedo S.r.l. e la cancellazione degli stessi o il blocco dei trattamenti.
Gli stessi diritti possono essere esercitati nei confronti di Albedo S.r.l. anche a seguito della cessazione, per qualsiasi titolo, del rapporto contrattuale.

I diritti possono essere esercitati rivolgendo le richieste all’ufficio competente tramite e-mail all’indirizzo gdpr@albedo.it segnalando esattamente il dato personale interessato dalla richiesta e la ragione della richiesta di modifica, aggiornamento, cancellazione, blocco e portabilità.
In caso di particolari necessità e/o controversiste è anche possibile rivolgendosi direttamente al Responsabile per la protezione dei dati, raggiungibile all’indirizzo dpo@albedo.it

La richiesta in ogni caso dovrà essere indirizzata a Albedo S.r.l. – Titolare del trattamento, presso la sede legale dell’azienda insieme a un documento di identità del richiedente, nel caso si tratti di un delegato è anche necessario inviare copia della delega specifica di attribuzione potere.

Entro trenta giorni dalla ricezione della richiesta, Albedo S.r.l. comunicherà l’accoglimento della richiesta o il suo diniego (nel caso con motivazione chiaramente dettaligate).

E’ sempre possibile per il Cliente/Utente o suo delegato far valere i diritti garantiti dal Regolamento oggetto della presente all’Autorità garante per la protezione dei dati personali o all’Autorità Giudiziaria ordinaria.