Consegna gratuita per ordini superiori a 60€

Dichiarazione GDPR (Regolamento Generale sulla Protezione dei Dati)

Introduzione

Il Regolamento Europeo Generale sulla Protezione dei Dati è entrato in azione nell’Unione Europea a partire dal 25 Maggio 2018, ed ha portato con sé cambiamenti importanti riguardo agli ultimi vent’anni di leggi in materia della protezione dei dati. Basandosi sul concetto di “privacy by design” ed approcciando la questione con uno sguardo rivolto ai possibili rischi della materia, il GDPR è stato progettato per venire incontro ai requisiti dell’era digitale.

Il ventunesimo secolo ha portato con se un incremento dell’uso degli strumenti tecnologici, nuove definizioni riguardo a ciò che costituisce un dato personale, ed un grande aumento dei trattamenti transfrontalieri. La nuova Regolamentazione mira a standardizzare le leggi sulla protezione dei dati ed il loro trattamento attraverso l’UE, conferendo così diritti più forti ed efficaci che diano modo alle persone fisiche di accedere alle proprie informazioni personali e controllarle.

 

Il Nostro Impegno

Dance Direct (“noi” o “nostro”) si impegna per assicurare la sicurezza e la protezione delle informazioni professionali che processa, e per fornire un approccio conforme ed efficace alla protezione dei dati. Abbiamo sempre attuato un programma forte ed efficace di protezione dei dati sul posto, che risulta conforme alle leggi esistenti e rispetta i principi di protezione dei dati. Tuttavia, siamo consapevoli degli obblighi che dobbiamo rispettare, secondo il GDPR e lo “UK’s Data Protection Bill” (Disegno di Protezione dei Dati del Regno Unito), ed abbiamo quindi aggiornato ed espanso il nostro programma per venire incontro ai nuovi obblighi.

Dance Direct si dedica alla salvaguardia delle informazioni personali di nostra competenza, ed allo sviluppare un regime di protezione dati che sia efficace, adatto ai nostri scopi e che dimostri la piena comprensione e l’apprezzamento della nuova Regolamentazione. La nostra preparazione ed i nostri obiettivi riguardo al rispetto del GDPR sono stati riassunti in questa dichiarazione ed includono lo sviluppo e l’implementazione dei nuovi ruoli, politiche, procedure, controlli e misure di protezione dati, per assicurare la conformità massima e continua alla normativa.

 

Come Ci Siamo Preparati per il GDPR

La nostra preparazione ha incluso

Ispezione delle Informazioni – abbiamo condotto un’ispezione generale delle informazioni che comprendesse la totalità della nostra azienda, per identificare e constatare quali informazioni personali possedessimo, da dove arrivassero, come e perché fossero state trattate, ed anche in quale caso ed a quali persone fossero state divulgate.

Politiche e Procedure – abbiamo revisionato le politiche di revisione dei dati e le procedure per venire incontro ai requisiti ed agli standard del GDPR ed a qualsiasi legge rilevante in merito alla protezione dei dati, incluse: -

Fondamento Giuridico per il Trattamento – abbiamo revisionato tutte le attività di processamento per identificare i fondamenti giuridici per il trattamento dei dati, assicurandoci che ogni fondamento fosse appropriato in base all’attività cui si riferisse. Dove possibile, abbiamo inoltre conservato gli archivi delle nostre attività di processamento, assicurandoci di sottostare agli obblighi dell’Articolo 30 del GDPR ed al Programma 1 del Disegno sulla Protezione dei Dati.

Informativa/Politica Sulla Privacy – abbiamo revisionato la (le) nostra (e) Informativa (e) sulla Privacy per rispettare il GDPR,  assicurandoci che tutti gli individui dei quali abbiamo trattato delle informazioni personali, fossero informati sul motivo per cui tali dati ci servono, come vengono usati, quali sono i loro diritti, a chi vengono divulgate le informazioni e quali misure di sicurezza vengono messe in atto per proteggere le loro informazioni.

Ottenere il Consenso – abbiamo revisionato i nostri meccanismi di consenso per ottenere dati personali, assicurandoci che gli individui capiscano cosa ci stanno fornendo, perché e come usiamo tali dati e conferendogli così dei metodi chiari e definiti per consentirgli di trattare le proprie informazioni. Abbiamo sviluppato dei metodi di processamento molto severi per registrare i consensi, assicurandoci di poter provare un opt-in affermativo, assieme ai registri degli orari e delle date; ed un metodo semplice per visualizzare ed accedere ai mezzi per revocare tale consenso, in qualsiasi momento.

Marketing Diretto – abbiamo revisionato la formulazione ed i processi per il marketing diretto, includendo meccanismi limpidi di opt-in per le iscrizioni riguardanti il marketing, assieme ad una notifica chiara e ad un metodo per revocare il consenso e fornire strumenti per l’annullamento dell’iscrizione riguardo tutti i materiali di marketing successivi.

Accordo con Terzi – quando utilizziamo una terza parte per processare le informazioni personali in nostra vece (ad esempio: Payroll, Recruitment, Hosting, ecc.) abbiamo redatto un Accordo con Terzi conforme alle norme e procedure di dovuta diligenza per assicurarci che loro (così come noi), rispettino e capiscono i loro/nostri obblighi verso il GDPR. Queste misure includono controlli iniziali e continui dei servizi forniti, la necessità dell’attività di processamento, le misure tecniche ed organizzative del caso ed il rispetto del GDPR.

Valutazione d’Impatto della Protezione Dati – per quando processiamo informazioni personali considerabili ad alto rischio, che coinvolgono trattamenti su vasta scala oppure includono dati speciali riguardanti una categoria o una condanna penale, abbiamo sviluppato procedure severe e modelli di stima per l’esecuzione di valutazioni d’impatto che soddisfino pienamente i requisiti dell’articolo 35 del GDPR. Abbiamo inoltre implementato dei processi di documentazione che registrano ogni valutazione, permettendoci così di classificare il rischio rappresentato dalle attività di processamento ed implementando misure correttive per ridurre il rischio a cui i diritti dell’interessato sono stati esposti.

Protezione dei Dati – la nostra normativa principale e la documentazione della procedura per la protezione dei dati sono state riformate per conformarsi agli standard ed ai requisiti del GDPR. Misure di responsabilità e di governance sono state attuate per assicurarci di capire, divulgare adeguatamente ed evidenziare i nostri obblighi e le nostre responsabilità; con un’attenzione particolare al modello di “privacy by design” ed ai diritti degli individui.

Conservazione e Cancellazione dei Dati – abbiamo aggiornato la nostra politica di conservazione, così come la calendarizzazione, per assicurarci di incontrare i principi di “minimizzazione dei dati” e di “limitazione di archiviazione” e per far sì che le informazioni personali vengano conservate, archiviate e distrutte a regola di legge ed eticamente. Abbiamo avviato procedure di cancellazione per allinearci al nuovo obbligo al “Diritto alla Cancellazione” e siamo consapevoli di quando questi ed altri diritti dell’interessato si applicano; assieme ad ogni deroga, tempo di risposta e responsabilità di notifica.

Violazione di Dati – le nostre procedure riguardo alle violazioni ci assicurano di salvaguardare e di mettere in atto misure per identificare, valutare, investigare e segnalare qualsiasi violazione di dati personali, nel minor tempo possibile. Le nostre procedure sono solide e vengono divulgate a tutti i nostri impiegati, rendendoli così coscienti delle linee di responsabilità necessarie e dei passi da seguire.

Trasferimenti Internazionali di Dati e Divulgazione verso Terze Parti – quando Dance Direct conserva o trasferisce informazioni personali al di fuori dell’UE, mette in atto solide procedure e misure di salvaguardia sul posto per mettere al sicuro, crittare e conservare l’integrità dei dati. Le nostre procedure includono un controllo continuo dei Paesi che rispondono al requisito minimo di decisioni di adeguatezza, così come le disposizioni per le norme vincolanti d’impresa; clausole di protezione standard dei dati personali o codici di condotta appropriati per i Paesi che non possiedono tutto ciò. Eseguiamo controlli di diligence su tutti le parti che ricevono dati personali, per valutare e verificare che possiedano misure di salvaguardia appropriate per proteggere tali informazioni, per assicurarci che i diritti dell’interessato vengano applicati e per intraprendere rimedi giuridici effettivi per i diritti degli interessati, ove applicabile.

Richiesta di Accesso ai Dati – abbiamo rivisto le nostre procedure per soddisfare il nuovo termine di 30 giorni per fornire le informazioni richieste e per rendere questo servizio gratuito. Le nostre nuove procedure mostrano in dettaglio come eseguiamo verifiche sui diritti degli interessati, quali sono i passi da effettuare per processare una richiesta di accesso, quali esenzioni si applicano ed anche una suite di modelli per la risposta, in modo da assicurarci che le comunicazioni riguardo i diritti degli interessati siano conformi, effettive e adeguate.

Dati che ricadono in Categorie Speciali – quando otteniamo e trattiamo una qualsiasi informazione di categoria speciale, lo facciamo in maniera conforme ai requisiti dettati dall’Articolo 9, e possediamo livelli elevati di criptaggio e protezione di tali dati. I dati appartenenti a categorie speciali vengono processati solamente ove necessario, e solamente previa identificazione del fondamento appropriato dell’Articolo 9(2) o della condizione soddisfatta dal Programma 1 del Disegno di Protezione dei Dati. Quando ci affidiamo al consenso per il trattamento dei dati, lo esplicitiamo in maniera verificata tramite firma, ed il diritto di modificare o rimuovere il consenso è opportunamente segnalato.

 

Diritti della Persona Interessata

In aggiunta alle normative ed alle procedure menzionate più sopra, le quali assicurano che ogni individuo possa esercitare i propri diritti per la protezione dei dati, forniamo inoltre un accesso facilitato a queste informazioni via sito web. Gli individui potranno esercitare il proprio diritto di accedere a qualsiasi informazione personale Dance Direct abbia in possesso su di loro, e di richiedere informazioni riguardo a: -

Quali dati personali possediamo su di loro

Gli scopi del trattamento dati

Le categorie di dati personali coinvolte

Verso chi sono stati divulgati i dati personali

Per quanto tempo intendiamo conservare i loro dati personali

Nel caso in cui non avessimo raccolto i dati direttamente da loro: informazioni sulla fonte, se disponibili

Il diritto a correggere o completare dati incompleti o inaccurati su di loro, e come fare per richiedere queste modifiche

Il diritto a richiedere la cancellazione dei dati personali (ove applicabile) o di restringerne il trattamento, in conformità con le leggi sulla protezione dei dati, così come a poter obiettare contro qualsiasi forma di marketing diretto da parte nostra, e di essere informati riguardo a qualsiasi decisione automatizzata di cui ci serviamo

Il diritto a sporgere reclamo o ad intraprendere un ricorso giurisdizionale, e chi contattare in questi casi

 

 

Sicurezza delle Informazioni e Misure Tecniche ed Organizzative

Dance Direct prende molto seriamente la privacy e la sicurezza degli individui e delle loro informazioni personali, quindi intraprende ogni misura precauzionale ragionevole per proteggere e mettere in sicurezza i dati personali che processa. Attuiamo normative molto rigide riguardo alla sicurezza delle informazioni ed alle procedure da intraprendere per proteggere le informazioni personali dagli accessi non autorizzati, dall’alterazione, dalla divulgazione e dalla distruzione. Ci serviamo di diversi livelli di misure di sicurezza.

 

Ruoli GDPR ed Impiegati

Dance Direct ha designato Jan Chope come Responsabile della Protezione Dati, ed ha nominato un team per la privacy dei dati che sia in grado di sviluppare ed implementare i nostri progetti, in modo che osservino la nuova Regolamentazione sulla protezione dei dati. Questo team ha il compito di sensibilizzare tutta l’organizzazione riguardo al GDPR, a valutare la nostra prontezza di risposta nei confronti dei requisiti GDPR, ad identificare qualsiasi lacuna a riguardo ed implementare quindi nuove normative, procedure e misure.

Dance Direct comprende che la sensibilizzazione continua dei suoi impiegati e la comprensione delle normative è vitale per la conformità continuativa al GDPR, ed ha coinvolto i propri impiegati in degli specifici programmi di preparazione. Abbiamo implementato un programma di aggiornamento per impiegati, al quale tutti i nostri impiegati hanno presto parte prima del 25 Maggio 2018, e ad oggi è parte integrante dei nostri programmi di assunzione e aggiornamento annuali.

 

Per qualsiasi domanda riguardante la nostra preparazione alle regole del GDPR, si prega di contattare il nostro Responsabile della Protezione Dati, Jan Chope.

 

Jan Chope – Responsabile della Protezione Dati

Email: jan@ids.co.uk

Phone: +44(0)1626 882 206

Telefono: +44(0)1626 882 206