Lantek

Informazioni in merito al trattamento dei dati di carattere personale

A noi di LANTEK SHEET METAL SOLUTIONS, S.L. interessano i dati di carattere personale che trattiamo e il preciso adempimento alla normativa in vigore in materia di protezione di tali dati, tra cui il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla tutela delle persone fisiche per quanto concerne il trattamento di dati personali e la libera circolazione di tali dati, tramite il quale si abroga la Direttiva 95/46/CE (di seguito, RGPD).

Senza pregiudizio di quanto sopra, si deve tener presente che il considerando 14 del RGPD sancisce che “la protezione conferita dal presente Regolamento si applica alle persone fisiche, indipendentemente dalla loro nazionalità o dal loro luogo di residenza, relativamente al trattamento dei loro dati personali. Il presente Regolamento non disciplina il trattamento di dati personali relativi a persone giuridiche e in particolare a imprese costituite come persone giuridiche, includendo il nome e la forma della persona giuridica e i suoi dati di contatto”.

Ciò implica che questa normativa e gli obblighi e i diritti in essa contemplati non si applicheranno alle persone giuridiche.

In ogni caso, Lantek desidera informare sulle questioni seguenti relative al trattamento dei dati di carattere personale:

Responsabile del trattamento: LANTEK SHEET METAL SOLUTIONS, S.L., i cui dati compaiono all’inizio del presente documento.

Dati di contatto del delegato alla protezione dei dati: per contattare il delegato alla protezione dei dati, utilizzare lo stesso indirizzo indicato all’inizio del presente documento o inviare un’e-mail all’indirizzo dpo@lantek.es.

Scopo del trattamento: gestire in modo adeguato il mantenimento, lo sviluppo, l’esecuzione e il controllo del presente rapporto contrattuale e dei servizi da esso richiesti.

Allo stesso modo, i dati identificativi e di contatto saranno utilizzati per realizzare questionari di gradimento e inviare, tramite mezzi elettronici o meno, informazioni tecniche, operative e/o commerciali, sia relative ai prodotti e ai servizi di Lantek che a quelli di altre aziende del Gruppo Lantek.

Legittimità del trattamento: la base legale o giuridica per il trattamento dei dati personali è l’esecuzione del presente contratto e la prestazione dei servizi richiesti.

Per la realizzazione di questionari di gradimento e l’invio di informazioni commerciali proprie o di altre aziende del Gruppo Lantek, la base giuridica sarà il soddisfacimento di interessi legittimi perseguiti da Lantek e/o da terzi (altre aziende del Gruppo Lantek), conformemente a quanto sancito nell’articolo 6.1. f) del RGPD. Ciò senza pregiudizio della possibilità, da parte dell’interessato, di opporsi all’invio di tali informazioni commerciali.

Destinatari dei dati: i dati personali saranno comunicati, se del caso, all’amministrazione tributaria per l’assolvimento di obblighi legali e tributari, nonché all’ente finanziario tramite il quale Lantek gestisce la riscossione dei pagamenti per i suoi prodotti e servizi.

I dati personali dell’interessato potranno essere comunicati ad altre aziende del gruppo imprenditoriale Lantek per scopi amministrativi interni. Allo stesso modo, in considerazione della legittimità basata su interessi legittimi perseguiti da Lantek e/o dalle aziende del Gruppo Lantek, i dati degli interessati potranno essere comunicati a una qualsiasi di tali aziende affinché inviino informazioni commerciali similari a prodotti o servizi per i quali l’interessato detiene un contratto.

Analogamente, si utilizzano diversi servizi (ad esempio, per la realizzazione di questionari di gradimento o l’invio di informazioni tecniche o commerciali, tra gli altri) offerti da aziende che agiscono in qualità di incaricate del trattamento e che sono ubicate al di fuori dello Spazio Economico Europeo, nello specifico negli Stati Uniti.

Ciononostante, solo in questi casi, incarichiamo aziende che, nel quadro dello Scudo per la privacy UE dell’Unione Europea, offrono le garanzie offerte da tale marchio.

Tempo di conservazione dei dati: i tempi per i quali Lantek conserverà i dati dell’interessato variano in funzione della normativa risultante dall’applicazione e sono i seguenti:

  • 5 anni: tempo corrispondente alla prescrizione degli obblighi tributari.
  • Stessi tempi per l’esercizio di azioni personali che non prevedono tempi di prescrizione particolari.
  • 6 anni: per registri contabili, corrispondenza, documentazione e documenti giustificativi inerenti all’attività.

Per quanto concerne l’invio di informazioni commerciali, i dati personali identificativi e di contatto saranno conservati fino a quando l’interessato non revochi il suo consenso per tale scopo.

Diritti relativi al trattamento dei suoi dati: l’interessato può richiedere l’accesso, la rettifica, la cancellazione, la limitazione del trattamento, l’opposizione o la portabilità dei suoi dati personali inviando una richiesta scritta a LANTEK SHEET METAL SOLUTIONS, S.L. a Parque Tecnológico de Álava, calle Ferdinand Zeppelin, nº 2, Edificio Lantek - C.P. 01510 de Miñano (Álava) o inviando un’e-mail all’indirizzo info@lantek.es, allegando in entrambi i casi una fotocopia del suo documento d’identità.

In ogni caso, laddove ritenesse che Lantek non abbia trattato in modo adeguato i suoi dati personali o non abbia debitamente tutelato l’esercizio dei suoi diritti in materia di protezione dei dati, può presentare un reclamo all’autorità di controllo competente.

Possibile intervento di Lantek come incaricato del trattamento

È possibile che, per l’esecuzione di determinati servizi rientranti nella durata o nel periodo di garanzia contemplati nel presente contratto, Lantek acceda a dati personali dei quali è responsabile il firmatario (responsabili del trattamento ai fini della presente clausola) del presente contratto (a titolo esemplificativo e non esaustivo, potrebbe trattarsi di dati di clienti, fornitori, dipendenti o contatti aziendali).

In accordo con tale persona, in questi casi Lantek agirà in qualità di incaricato del trattamento, motivo per il quale, conformemente a quanto sancito nell’articolo 28.3 del RGPD, tali situazioni saranno disciplinate dagli aspetti seguenti:

1. Oggetto dell’incarico di trattamento: tramite le presenti clausole si consente a Lantek, incaricato del trattamento, di trattare per conto del responsabile del trattamento i dati di carattere personale necessari per prestare il servizio oggetto del presente contratto.

Il trattamento consisterà, a seconda della richiesta inoltrata dal responsabile del trattamento, nel collegamento in remoto da parte di Lantek ai sistemi di quest’ultimo al fine di gestire la personalizzazione, l’impatto tecnico o, se del caso, per personalizzare il programma o determinate funzionalità.

Per fare ciò, il collegamento da parte di Lantek sarà eseguito tramite programmi di collegamento in remoto, propri, di terzi o anche del proprio responsabile del trattamento, sempre previa richiesta e autorizzazione da parte sua. In questo caso, Lantek non incorporerà i dati ai suoi sistemi o supporti, che sono differenti da quelli del responsabile del trattamento.

Ciononostante, è possibile che la corretta soluzione della personalizzazione o dell’impatto tecnico esiga un’analisi speciale, che potrebbe implicare che il responsabile del trattamento fornisca a Lantek il database d’interesse tramite l’area privata del sito Internet di Lantek; in questo caso tale database sarà incorporato ai suoi sistemi, estranei a quelli del responsabile del trattamento, registrato nel suo registro delle attività del trattamento e verranno adottate le misure di sicurezza corrispondenti a tale trattamento.

Nell’uno o nell’altro caso, i trattamenti che Lantek dovrà eseguire relativamente ai dati ai quali accede come conseguenza della prestazione del servizio contrattuale saranno: registrazione, strutturazione, consultazione, analisi e, se del caso, restituzione al responsabile del trattamento con la loro successiva distruzione.

2. Identificazione delle informazioni coinvolte: per l’esecuzione delle prestazioni derivanti dal perseguimento dell’oggetto di tale incarico, il responsabile del trattamento mette a disposizione di Lantek, incaricato del trattamento, i dati identificativi e professionali presenti nelle sezioni corrispondenti del programma oggetto del presente contratto, riferendosi principalmente ai dati dei suoi clienti, fornitori, dipendenti e contatti aziendali.

3. Durata: la durata di questo tipo di trattamento di dati sarà quella stabilita nel presente contratto o nel suo periodo di garanzia.

Una volta concluso il presente contratto, si procederà conformemente al paragrafo “r” di questa clausola.

4. Obblighi dell’incaricato del trattamento: L’incaricato del trattamento e tutto il suo personale si impegna a:

  • Utilizzare i dati personali oggetto del trattamento, o quelli raccolti ai fini della loro inclusione, solo per la finalità oggetto di tale incarico. In nessun caso potrà utilizzare i dati per fini propri né differenti da quelli contemplati nel presente contratto.
  • Trattare i dati in conformità con le istruzioni del responsabile del trattamento.
    Nel caso in cui l’incaricato del trattamento ritenga che qualche istruzione violi il RGPD o qualsiasi altra disposizione in materia di protezione dei dati dell’Unione o degli stati membri, l’incaricato dovrà informare immediatamente il responsabile.
    Nel caso in cui non si ottenga dal responsabile alcuna istruzione chiara in merito al modo in cui deve agire l’incaricato rispetto ai dati di carattere personale ai quali ha accesso, prima di eseguire qualsiasi trattamento di dati, sarà necessario mettersi in contatto con il responsabile dell’archivio e chiarire l’istruzione sovra citata.
  • Tenere un registro scritto di tutte le categorie di attività di trattamento eseguite per conto del responsabile, che contenga:
    • Il nome e i dati di contatto dell’incaricato o degli incaricati e di ogni responsabile per conto del quale agisce l’incaricato e, se del caso, del rappresentante del responsabile o dell’incaricato e del delegato alla protezione dei dati.
    • Le categorie dei trattamenti eseguiti per conto di ogni responsabile.
    • Se del caso, i trasferimenti di dati personali a un Paese terzo o a un’organizzazione internazionale, inclusa l’identificazione di tale Paese terzo od organizzazione internazionale e, nel caso dei trasferimenti specificati nell’articolo 49, comma 1, paragrafo secondo, del RGPD, la documentazione delle garanzie adeguate.
    • Una descrizione generale delle misure tecniche e organizzative di sicurezza relative a:
      • L’utilizzo di pseudonimi e la cifratura dei dati personali.
      • La capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza permanenti dei sistemi e dei servizi di trattamento.
      • La capacità di ripristinare la disponibilità e l’accesso ai dati personali in modo rapido in caso di incidente fisico o tecnico.
      • Il processo di verifica, analisi e valutazione regolari dell’efficacia delle misure tecniche e organizzative atte a garantire la sicurezza del trattamento.
        Per poter comprovare che l’incaricato del trattamento offra garanzie sufficienti per applicare misure tecniche e organizzative appropriate, in modo che il trattamento sia conforme ai requisiti del Regolamento europeo sulla protezione dei dati e garantisca la tutela dei diritti dell’interessato, il responsabile del trattamento potrà richiedere a Lantek un certificato delle misure di sicurezza implementate relativamente al trattamento dei dati per i quali è responsabile.
    • Non comunicare i dati a terze persone, tranne laddove si riceva l’esplicita autorizzazione del responsabile del trattamento, nei casi legalmente ammissibili.
      L’incaricato può comunicare i dati ad altri incaricati del trattamento dello stesso responsabile, in conformità con le istruzioni del responsabile. In questo caso, il responsabile identificherà, preventivamente e per iscritto, l’entità (denominazione sociale, numero di identificazione fiscale e indirizzo) alla quale si devono comunicare i dati, i dati da comunicare e le misure di sicurezza da applicare per procedere alla comunicazione, previa analisi del rischio della citata comunicazione e del tipo di dati di carattere personale oggetto della trasmissione.
      Nel caso in cui l’incaricato del trattamento debba trasferire dati personali a un Paese terzo o a un’organizzazione internazionale, in virtù del diritto dell’Unione o degli stati membri applicabile, dovrà informare preventivamente il responsabile del trattamento di questa esigenza legale, tranne laddove tale diritto lo vieti per importanti motivi di interesse pubblico.
      Per quanto concerne il trasferimento internazionale dei dati, l’incaricato del trattamento dovrà informare il responsabile del trattamento e comprovare per iscritto il soddisfacimento dei requisiti richiesti dalla normativa in vigore in materia di protezione dei dati prima di procedere a tale trasferimento, assicurandosi che l’entità che riceve i dati fornirà la stessa sicurezza e soddisferà tutti i requisiti richiesti dal Regolamento europeo sulla protezione dei dati.
    • Subappalto. Non è consentito subappaltare nessuna delle prestazioni, formanti parte dell’oggetto del presente contratto, che comportino il trattamento di dati personali, fatto salvo per i servizi ausiliari necessari per il normale funzionamento dei servizi dell’incaricato.
      Laddove fosse necessario subappaltare qualsiasi trattamento, tale circostanza dovrà essere comunicata preventivamente e per iscritto al responsabile, 15 giorni prima, indicando i trattamenti che si vogliono subappaltare e identificando in modo chiaro e non equivoco l’azienda subappaltatrice e i suoi dati di contatto (almeno la denominazione sociale, il numero di identificazione fiscale, l’indirizzo e l’oggetto sociale). Il subappalto potrà effettuarsi se il responsabile non manifesta alcuna opposizione entro il termine stabilito.
      Il subappaltatore, che sarà anche l’incaricato del trattamento, è allo stesso modo obbligato ad adempiere agli obblighi stabiliti in questo documento per l’incaricato del trattamento e alle istruzioni comunicate dal responsabile. Spetta all’incaricato iniziale regolare la nuova relazione affinché il nuovo incaricato sia soggetto alle stesse condizioni (istruzioni, obblighi, misure di sicurezza...) e agli stessi requisiti formali ai quali è soggetto lui, per quanto concerne l’adeguato trattamento dei dati personali e la garanzia dei diritti delle persone coinvolte. In caso di inadempimento da parte del subincaricato, l’incaricato iniziale continuerà a essere pienamente responsabile nei confronti del responsabile per quanto concerne l’adempimento degli obblighi.
    • Mantenere l’obbligo del segreto relativamente ai dati di carattere personale ai quali abbia avuto accesso in virtù del presente incarico, anche una volta perseguito il suo oggetto.
    • Garantire che le persone autorizzate a trattare dati personali si impegnino, in modo esplicito e per iscritto, a rispettare la riservatezza e a implementare le misure di sicurezza corrispondenti, che devono essere comunicate in modo adeguato.
    • Mantenere a disposizione del responsabile la documentazione comprovante l’adempimento degli obblighi specificata nel punto precedente.
    • Garantire la formazione necessaria in materia di protezione dei dati personali delle persone autorizzate a trattare tali dati.
    • Supportare il responsabile del trattamento nella risposta all’esercizio dei diritti di:
      • Accesso, rettifica, eliminazione e opposizione.
      • Limitazione del trattamento.
      • Portabilità dei dati.
      • Non essere oggetto di decisioni individualizzate automatizzate (inclusa l’elaborazione di profili).
        Nel caso in cui le persone coinvolte esercitino i diritti di accesso, rettifica, eliminazione e opposizione, limitazione del trattamento, portabilità dei dati e non essere oggetto di decisioni individualizzate automatizzate, nei confronti dell’incaricato del trattamento, queste sono tenute a comunicarlo tramite e-mail all’indirizzo indicato dal responsabile del trattamento.
        La comunicazione deve avvenire in modo immediato e in nessun caso oltre il giorno lavorativo successivo a quello di ricevimento della richiesta, congiuntamente, se del caso, ad altre informazioni eventualmente rilevanti per esaudire la richiesta.
    • Diritto di informazione. Spetta al responsabile fornire il diritto di informazione al momento della raccolta dei dati.
    • Notifica delle violazioni di sicurezza dei dati. L’incaricato del trattamento dovrà notificare al responsabile del trattamento, senza ingiustificato ritardo, e in qualsiasi caso prima del termine massimo di 24 ore e all’indirizzo di posta elettronica indicato dal responsabile del trattamento, le violazioni della sicurezza dei dati personali a suo carico delle quali venga a conoscenza, insieme a tutte le informazioni appropriate per la documentazione e la comunicazione di tale insorgenza.
      Quando è improbabile che tale violazione della sicurezza costituisca un rischio per i diritti e le libertà delle persone fisiche non sarà necessaria alcuna notifica.
      Nel caso in cui sia necessario inviarla, dovrà contenere almeno le informazioni seguenti:
      • Descrizione della natura della violazione della sicurezza dei dati personali, includendo, quando possibile, le categorie e il numero approssimativo delle persone coinvolte, nonché le categorie e il numero approssimativo dei registri dei dati personali coinvolti.
      • Il nome e i dati di contatto del delegato alla protezione dei dati o di un altro contatto dal quale sia possibile ottenere informazioni.
      • Descrizione delle possibili conseguenze della violazione della sicurezza dei dati personali.
      • Descrizione delle misure adottate o proposte per porre rimedio alla violazione della sicurezza dei dati personali, includendo, se possibile, le misure adottate per attenuare i possibili effetti negativi.
    • Nel caso in cui non sia possibile fornire le informazioni contemporaneamente, e nella misura in cui non lo sia, le informazioni dovranno essere fornite in modo graduale senza ingiustificato ritardo.
      Spetta all’incaricato del trattamento comunicare nel minor tempo possibile agli interessati le violazioni della sicurezza dei dati nel caso in cui sia probabile che la violazione presupponga un rischio elevato per i diritti e le libertà delle persone fisiche.
      La comunicazione deve contenere un linguaggio chiaro e semplice e dovrà almeno:
      • Spiegare la natura della violazione dei dati.
      • Indicare il nome e i dati di contatto del delegato alla protezione dei dati o di un altro contatto dal quale sia possibile ottenere informazioni.
      • Descrivere le possibili conseguenze della violazione della sicurezza dei dati personali.
      • Descrivere le misure adottate o proposte dal responsabile del trattamento per porre rimedio alla violazione della sicurezza dei dati personali, includendo, se possibile, le misure adottate per attenuare i possibili effetti negativi.
    • Supportare, se possibile, il responsabile del trattamento nella realizzazione delle valutazioni dell’impatto relativamente alla protezione dei dati.
    • Supportare, se possibile, il responsabile del trattamento nella realizzazione delle consultazioni preliminari con l’autorità di controllo.
    • Mettere a disposizione del responsabile tutte le informazioni necessarie per dimostrare l’adempimento ai suoi obblighi, nonché per l’esecuzione di revisioni o ispezioni da parte del responsabile o di un altro revisore da questi autorizzato.
    • Eseguire una valutazione dei rischi che, per i dati personali, implica il trattamento di dati che Lantek effettuerà per conto del responsabile del trattamento e implementare le misure di sicurezza tecniche e organizzative appropriate atte a garantire un livello di sicurezza adeguato al rischio.
      In ogni caso, sarà necessario introdurre meccanismi al fine di:
      • Garantire la riservatezza, l’integrità, la disponibilità e la resilienza permanenti dei sistemi e dei servizi di trattamento.
      • Ripristinare la disponibilità e l’accesso ai dati personali in modo rapido in caso di incidente fisico o tecnico.
      • Verificare, analizzare e valutare, in modo regolare, l’efficacia delle misure tecniche e organizzative atte a garantire la sicurezza del trattamento.
      • Utilizzare pseudonimi e cifrare i dati personali, se possibile.
    • Designare un delegato alla protezione dei dati e comunicare la sua identità e i suoi dati di contatto al responsabile.
    • Destinazione dei dati. Distruggere i dati di carattere personale e, se possibile, i supporti che li contengono, una volta fornita la prestazione.
      Ciononostante, si specifica che, nel caso in cui il responsabile del trattamento fornisca a Lantek dati personali per eseguire qualsiasi personalizzazione, risolvere qualsiasi problema tecnico o per qualsiasi altro tipo di intervento, quest’ultima dovrà restituirglieli una volta risolta la questione.
      Ciò senza pregiudizio del fatto che Lantek possa conservare una copia, con i dati debitamente bloccati, fino a quando è possibile che dall’esecuzione della prestazione derivino responsabilità.

5. Obblighi dell’incaricato del trattamento: spetta al Cliente:

  • Consegnare all’incaricato i dati ai quali si fa riferimento nel punto “2. Identificazione delle informazioni coinvolte”.
  • Realizzare una valutazione dell’impatto sulla protezione dei dati personali delle operazioni di trattamento che l’incaricato dovrà eseguire.
  • Realizzare le consultazioni preliminari necessarie.
  • Garantire, preventivamente e durante tutto il trattamento, l’adempimento al RGPD da parte dell’incaricato.
  • Supervisionare il trattamento, compresa la realizzazione di ispezioni e revisionis.