PIANO PRIVACY

di cui D.GLS 196/03 e del regolamento UE 679/2016

Lo scopo del presente documento è quello di delineare il quadro delle misure di sicurezza, organizzative, materiali e logiche da adottare nel trattamento dei dati personali all’interno della società “Emme Cento Soc. Sport. Dil. R.L.”, sita in Vigonza (PD) – Via Regia 88.

Il presente documento è stato redatto dal sig. Massa Pietro, in qualità di responsabile al trattamento dei dati, che provvede a firmarlo in calce.

  1. I) Elenco dei dati trattati.

La società “Emme Cento S.S. D. R.L.” tratta i seguenti dati:

dati personali dei collaboratori  (dati necessari per la regolamentazione del rapporto di lavoro, o per la reperibilità e per la corrispondenza; dati richiesti a fini fiscali o previdenziali; dati di natura bancaria);

dati personali dei fruitori del centro iscritti al centro sportivo (dati forniti dagli stessi  iscritti con la compilazione del modulo d’iscrizione, dati necessari a fini fiscali; dati afferenti alla reperibilità ed alla corrispondenza);

dati personali dei fornitori (dati concernenti la reperibilità e la corrispondenza; dati necessari a fini fiscali; dati di natura bancaria);

dati personali di professionisti cui la società affida incarichi (dati relativi ad avvocati, consulenti tecnici, periti ed altri professionisti, quali quelli concernenti la reperibilità e la corrispondenza; dati necessari a fini fiscali; dati di natura bancaria);

  1. II) Distribuzione dei compiti e delle responsabilità relativi al trattamento dei dati.

Titolare del trattamento è la società “EMME CENTO SOC. SPORT. DIL. R.L..”.

Responsabile del trattamento è il sig. Massa Pietro, collaboratore della “DITTA.”

Incaricato dell’assistenza e della manutenzione degli strumenti elettronici è il sig.Alberto Rotondo, libero professionista con ragione sociale “Alberto Rotondo, partita Iva  04446290282, abilitato alla Assistenza e manutenzione degli strumenti informatici.

La Emme Cento Soc. Sport. Dil. R.L. tratta solo dati comuni dei propri iscritti al centro sportivo, il cui utilizzo avviene per il solo inserimento anagrafico e di registrazione abbonamenti acquistati all’interno di un sistema gestionale elettronico il cui software “forfit” è gestito dalla società  In Crea s.r.l. I cui dati vengono automaticamente sottoposti a backup con copie criptate senza intervento operatore.

I dati personali dei clienti vengono inseriti solo nel computer; tali dati vengono registrati con il nome del cliente, attribuendo ad ogni cliente un codice numerico che viene utilizzato dagli istruttori della sala attrezzi sulle schede degli esercizi degli iscritti al centro, in questo modo anche dimenticando le schede in giro solamente il cliente e l’istruttore sono in grado di risalire al possessore della scheda.

III) Analisi dei rischi che incombono sui dati.

E’ stata compiuta l’analisi dei rischi legati alla gestione dei dati.

Per i dati personali del personale dipendente, i dati personali dei clienti, i dati personali di terzi, i dati personali dei fornitori, il rischio può definirsi basso in virtù della natura dei predetti dati e delle cautele che la società ha adottato per il trattamento di tali dati.

La società sportiva Emme Cento tratta come dato sensibile  il solo dato di idoneità alla pratica sportiva non agonistica, necessario per la normativa delle attività sportive nell’ambito di società affiliate ad enti di promozione sportiva e Coni,  e domanda di tesseramento all’Ente di promozione sportiva Asi d’iscrizione a Emme Cento s.s.d. a r.l. per la pratica delle attività sportive dilettantistiche-fitness sportivo, dati cartacei che vengono opportunamente custoditi in un armadietto in un locale il cui accesso è consentito ai sig. Massa Pietro e Savio Sandra, collaboratrice del centro, sul suddetto certificato non sono previsti altri dati e questo dato può inoltre essere gestito in seguito a sinistri, sulla domanda di tesseramento vengono richiesti oltre a quanto sopra contatti telefonici, mail ed altri dati puramente statistici quali professione, medico di base e fonte.

Per quanto riguarda gli strumenti elettronici, il rischio di possibili malfunzionamenti o di guasti può definirsi basso, trattandosi di strumenti di ottima qualità, recentemente acquistati; il rischio di errori, di introduzione abusiva dall’esterno nella rete, di contaminazione con virus, o di intercettazione dei dati può definirsi basso / medio, avendo la società adottato particolari cautele a tale specifico proposito (dispositivo antivirus; password per l’accesso ad ogni singolo file); il rischio di deterioramento dei dati può essere ritenuto basso, attesi i frequenti backup.

Per quanto riguarda i locali occupati dalla società, il rischio derivante da eventi naturali può definirsi basso, trattandosi di un edificio di recente costruzione; il rischio di accesso abusivo da parte di terzi può definirsi basso, essendo i predetti locali provvisti di impianti d’allarme con sensori di rilevamento in ogni stanza ed ambiente.

Per quanto riguarda la documentazione cartacea estremamente limitata, il rischio di abusivo accesso da parte di terzi può definirsi basso, essendo l’archivio chiuso a chiave e venendo i documenti non più in uso distrutti; il rischio di degrado può definirsi basso, posto che i telefax vengono stampati su carta normale e non su carta termica.

Per quanto riguarda gli incaricati del trattamento dei dati, il rischio di indebita divulgazione dei dati o di incuria e distrazione può definirsi basso, trattandosi di persone qualificate ed affidabili, che hanno sempre dimostrato riservatezza ed attenzione nella gestione di dati stessi; il rischio di carenza di consapevolezza può definirsi basso, venendo periodicamente posta in essere una attività di formazione volta a sensibilizzare gli incaricati.

  1. IV) Misure adottate per garantire l’integrità dei dati, nonché la protezione delle aree e dei locali.
  2. A) Locali

La società è situata all’interno di un immobile al 4° piano che chiude alle ore 22.00; la zona esterna è ben illuminata.

  1. B) Strumenti elettronici

Tutti i dati comuni vengono trattati tramite computer.

La società è, al momento, dotata di 4 computer, tra loro collegati in rete e protetti da firewall per evitare collegamenti esterni.

Tutti i computer sono in una posizione non direttamente raggiungibile da terzi estranei.

I monitor sono orientati in modo tale da non consentire la lettura da parte di coloro che transitano .

E’ possibile accedere ai dati contenuti nei computer esclusivamente digitando una password di almeno 8 caratteri.

Detta password non contiene, né conterrà, elementi facilmente collegabili all’organizzazione o all’utilizzatore, né alla società.

La stessa viene autonomamente scelta dall’interessato e dallo stesso custodita in una busta chiusa, che viene poi consegnata al responsabile del trattamento, il quale provvede a riporla in plico sigillato all’interno di un cassetto dotato di chiusura a chiave.

Ogni tre mesi l’interessato provvede a sostituire la propria password.

La password viene automaticamente disattivata dopo tre mesi di non utilizzo.

Il sistema operativo del server e dei 2 pc client è “Windows 7 Professional” sempre aggiornato con le ultime patch di sicurezza.

I programmi utilizzati dalla società sono “Open Office” e il programma specifico di gestione degli abbonamenti “ forfit” (realizzato dalla Ditta In Crea s.r.l.)

L’azienda adopera Microsoft Outlook.

Gli utilizzatori di strumenti elettronici non lasciano incustodito o accessibile lo strumento elettronico stesso.

A tale riguardo, per evitare errori e dimenticanze, è stato inserito lo screensaver automatico che si attiva dopo 5 minuti di non utilizzo e che permette l’accesso al pc solo dopo inserimento della relativa password.

Gli utilizzatori verificano sistematicamente la provenienza delle e-mail e non svolgono operazioni di sharing.

Ogni computer è dotato di dispositivo antivirus “Windows Defender” e “AntiMalwareBytes” per l’individuazione e rimozione di virus e malware. L’aggiornamento del database degli antivirus avviene giornalmente in modalità automatica. Dopo ogni aggiornamento e a cadenza settimanale viene effettuata una scansione completa del sistema.

Per ogni singolo computer è prevista la funzione di aggiornamento automatico del sistema.

Se nessun aggiornamento del sistema viene segnalato automaticamente per un periodo di sei mesi, si provvede comunque ad attivare la funzione di controllo al fine di verificare l’esistenza o meno di detti aggiornamenti automatici.

Si provvede ad un backup criptato giornaliero su HD esterno; effettuato il backup, viene verificata la leggibilità del supporto; si procede inoltre settimanalmente alla verifica a campione della leggibilità dei dati; l’HD esterno è conservato in un cassetto chiuso a chiave; è stato nominato un custode di detti backup, individuato nella persona del sig. Massa Pietro.

Una volta ogni quindici giorni, viene effettuata su tutti i computer l’operazione di deframmentazione al fine di garantire la definitiva cancellazione dei dati eliminati.

E’ stato installato un gruppo di continuità.

  1. C) Documentazione cartacea

Tutti i dati comuni, vengono trattati e conservati in fascicoli riposti in schedari dotati di chiusura a chiave.

Non vengono lasciati incustoditi sulle scrivanie o su altri ripiani atti, documenti e fascicoli.

I fascicoli vengono prelevati dagli schedari solo per il tempo necessario al trattamento, per esservi poi immediatamente riposti.

  1. V) Criteri e modalità adottate per il ripristino della disponibilità dei dati a seguito di distruzione o danneggiamento.

Nell’ipotesi di distruzione o di danneggiamento dei dati o degli strumenti elettronici, si è predisposto un apposito piano di ripristino degli stessi.

Sono state sin d’ora impartite le seguenti istruzioni per l’ipotesi di distruzione o danneggiamento dei dati:

  1. gli operatori devono reciprocamente informarsi senza ritardo con il mezzo più rapido;
  2. gli operatori devono immediatamente richiedere l’intervento del tecnico manutentore;
  3. gli operatori non debbono in alcun modo tentare di intervenire autonomamente;
  4. gli operatori, esclusivamente tramite il tecnico manutentore, devono reinstallare i programmi danneggiati o distrutti;
  5. gli operatori, esclusivamente tramite il tecnico manutentore, devono provvedere all’aggiornamento dei sistemi operativi una volta reinstallati;
  6. gli operatori devono porre in essere ogni altra misura che il tecnico manutentore suggerirà.
  7. VI) Interventi formativi dell’incaricata del trattamento.

L’attività di formazione degli incaricati è effettuata direttamente dal sig. Massa Pietro in occasione dell’entrata in vigore di eventuali modifiche normative, ovvero dell’installazione di nuovi strumenti per il trattamento dei dati.

E’ comunque prevista una sessione di formazione con frequenza semestrale.

L’attività di formazione tende a sensibilizzare gli incaricati sulla tematica della sicurezza dei dati personali e, più in particolare, sui rischi e sulle responsabilità collegate al trattamento dei predetti.

VII) Precauzioni adottate per garantire l’adozione delle misure minime di sicurezza in caso di trattamento di dati personali affidati all’esterno della struttura.

Tutti i dati non vengono affidati in nessun caso a soggetti o società esterne, salvo per fini fiscali od autorità competenti provvisti di relativa autorizzazione.

.VIII Modalità di comunicazione per espletare il diritto alla non invio di comunicazioni attraverso sms, whatsapp o e mail

All’entrata in vigore nuova normativa la segreteria ha inviato a tutti i nominativi attivi (con abbonamento valido) e non attivi (con abbonamento scaduto) un messaggio sms in cui in base alla nuova normativa si richiedeva loro il consenso al trattamento dei loro dati e all’invio delle informazioni promozionali, eventi ed orario corsi della struttura, previo loro diritto di chiedere con email ad info@emmecento.it, cancellazione del loro numero telefono o indirizzo email. Di questo invio di sms la struttura conserva prova e traccia informatica dell’avvenuta effettuazione.

Per quanto riguarda la comunicazione al momento della iscrizione alla società sportiva nel modulo iscrizione (ALL.1) è presente in maniera chiara e semplice la possibilità di negare qualsiasi forma di invio a loro di comunicazioni da parte del centro, nonché tutta la diffusione delle immagini, riprese  attraverso tutti i canali telematici internet, facebook ecc.

Stessa modalità semplice e chiara viene usata per coloro che vengono nel centro per chiedere semplicemente informazioni su modalità iscrizione e costo abbonamenti. (ALL3)

Vigonza , 01.06.2018

Cookie Policy

Questo Sito Web fa utilizzo di Cookie. Per saperne di più e per prendere visione dell’informativa dettagliata, l’Utente può consultare la Cookie Policy.

Ulteriori informazioni sul trattamento

Difesa in giudizio

I Dati Personali dell’Utente possono essere utilizzati da parte del Titolare in giudizio o nelle fasi preparatorie alla sua eventuale instaurazione per la difesa da abusi nell’utilizzo di questo Sito Web o dei Servizi connessi da parte dell’Utente.
L’Utente dichiara di essere consapevole che il Titolare potrebbe essere obbligato a rivelare i Dati per ordine delle autorità pubbliche.

Informative specifiche

Su richiesta dell’Utente, in aggiunta alle informazioni contenute in questa privacy policy, questo Sito Web potrebbe fornire all’Utente delle informative aggiuntive e contestuali riguardanti Servizi specifici, o la raccolta ed il trattamento di Dati Personali.

Log di sistema e manutenzione

Per necessità legate al funzionamento ed alla manutenzione, questo Sito Web e gli eventuali servizi terzi da essa utilizzati potrebbero raccogliere Log di sistema, ossia file che registrano le interazioni e che possono contenere anche Dati Personali, quali l’indirizzo IP Utente.

Informazioni non contenute in questa policy

Ulteriori informazioni in relazione al trattamento dei Dati Personali potranno essere richieste in qualsiasi momento al Titolare del Trattamento utilizzando gli estremi di contatto.

Risposta alle richieste „Do Not Track”

Questo Sito Web non supporta le richieste “Do Not Track”.
Per scoprire se gli eventuali servizi di terze parti utilizzati le supportino, l’Utente è invitato a consultare le rispettive privacy policy.

Modifiche a questa privacy policy

Il Titolare del Trattamento si riserva il diritto di apportare modifiche alla presente privacy policy in qualunque momento dandone informazione agli Utenti su questa pagina e, se possibile, su questo Sito Web nonché, qualora tecnicamente e legalmente fattibile, inviando una notifica agli Utenti attraverso uno degli estremi di contatto di cui è in possesso il Titolare . Si prega dunque di consultare regolarmente questa pagina, facendo riferimento alla data di ultima modifica indicata in fondo.

Qualora le modifiche interessino trattamenti la cui base giuridica è il consenso, il Titolare provvederà a raccogliere nuovamente il consenso dell’Utente, se necessario.


COOKIE POLICY

Questo sito utilizza cookie tecnici e di terze parti per migliorare l’esperienza di navigazione dell’utente e per il corretto funzionamento del sito.

I cookies utilizzati in questo sito rientrano nelle categorie descritte di seguito; in qualunque momento è possibile disabilitare i cookies presenti sul browser.

 Cosa sono i cookies

I cookies sono piccoli file di testo che vengono automaticamente posizionati sul PC del navigatore all’interno del browser. Essi contengono informazioni di base sulla navigazione in Internet e grazie al browser vengono riconosciuti ogni volta che l’utente visita il sito.

Cookie tecnici

Attività strettamente necessarie al funzionamento
Questi cookies hanno natura tecnica e permettono al sito di funzionare correttamente. Ad esempio, mantengono l’utente collegato durante la navigazione evitando che il sito richieda di collegarsi più volte per accedere alle pagine successive.

Attività di salvataggio delle preferenze
Questi cookie permettono di ricordare le preferenze selezionate dall’utente durante la navigazione, ad esempio, consentono di impostare la lingua.

Attività Statistiche e di Misurazione dell’audience
Questi cookie ci aiutano a capire, attraverso dati raccolti in forma anonima e aggregata, come gli utenti interagiscono con i nostri siti internet fornendoci informazioni relative alle sezioni visitate, il tempo trascorso sul sito, eventuali malfunzionamenti. Questo ci aiuta a migliorare la resa dei nostri siti internet.

Cookie di terze parti

Visitando un sito web si possono ricevere cookie sia dal sito visitato (“proprietari”), sia da siti gestiti da altre organizzazioni (“terze parti”). Un esempio è rappresentato dalla presenza dei “social plugin” per Facebook, Twitter, Google+ e LinkedIn. Si tratta di parti della pagina visitata generate direttamente dai suddetti siti ed integrati nella pagina del sito ospitante. L’utilizzo più comune dei social plugin è finalizzato alla condivisione dei contenuti sui social network.

La presenza di questi plugin comporta la trasmissione di cookie da e verso tutti i siti gestiti da terze parti. La gestione delle informazioni raccolte da “terze parti” è disciplinata dalle relative informative cui si prega di fare riferimento. Per garantire una maggiore trasparenza e comodità, si riportano qui di seguito gli indirizzi web delle diverse informative e delle modalità per la gestione dei cookie.

Facebook informativa: https://www.facebook.com/help/cookies/

Facebook (configurazione): accedere al proprio account. Sezione privacy.

Twitter informative: https://support.twitter.com/articles/20170514

Twitter (configurazione): https://twitter.com/settings/security

Linkedin informativa: https://www.linkedin.com/legal/cookie-policy

Linkedin (configurazione): https://www.linkedin.com/settings/

Google+ informativa: http://www.google.it/intl/it/policies/technologies/cookies/

Google+ (configurazione): http://www.google.it/intl/it/policies/technologies/managing/

Google Analytics

Questo sito utilizza Google Analytics, un servizio di analisi del traffico web fornito da Google, Inc.. Anche in questo caso si tratta di cookie di terze parti raccolti e gestiti in modo anonimo per monitorare e migliorare le prestazioni del sito ospite.

Per ulteriori informazioni, si rinvia al link di seguito indicato:

https://www.google.it/policies/privacy/partners/

L’utente può disabilitare in modo selettivo l’azione di Google Analytics installando sul proprio browser la componente di opt-out fornito da Google. Per disabilitare l’azione di Google Analytics, si rinvia al link di seguito indicato:

https://tools.google.com/dlpage/gaoptout

Come disabilitare i cookies dal browser

Se si utilizza Internet Explorer
In Internet Explorer, fare clic su “Strumenti” poi “Opzioni Internet”. Nella scheda Privacy, spostare il cursore verso l’alto per bloccare tutti i cookie o verso il basso per consentire a tutti i cookie, e quindi fare clic su OK.

Se si utilizza il browser Firefox
Vai al menu “Strumenti” del browser e selezionare il menu “Opzioni”. Fare clic sulla scheda “Privacy”, deselezionare la casella “Accetta cookie” e fare clic su OK.

Se si utilizza il browser Safari
Dal browser Safari, selezionare il menu “Modifica” e selezionare “Preferences”. Clicca su “Privacy”. Posizionare l’impostazione “cookies Block” su sempre e fare clic su OK.

Se si utilizza il browser Google Chrome
Fai clic sul menu Chrome nella barra degli strumenti del browser. Selezionare “Impostazioni”. Fare clic su “Mostra impostazioni avanzate”. Nella sezione “Privacy”, fai clic sul pulsante “Impostazioni contenuti”. Nella sezione “Cookies”, selezionare “Non consentire ai siti per memorizzare i dati” e di controllo “cookie di blocco e di terze parti i dati sito”, e quindi fare clic su OK.

Se usi un qualsiasi altro browser, cerca nelle Impostazioni del browser la modalità di gestione dei cookies.

Titolare del trattamento

Ai sensi dell’articolo 13 del Codice Privacy, La informiamo che l’impresa titolare del sito indicata in calce al sito medesimo è il titolare del trattamento (di seguito “Titolare”) dei dati. Il trattamento dei dati personali verrà effettuato nel rispetto dei requisiti di riservatezza e delle più idonee misure di sicurezza, come indicate dal Codice Privacy.

Nella Sua qualità di interessato del trattamento, Le è garantito l’esercizio dei diritti di cui all’art. 7 del D.Lgs. 196/03, tra i quali il diritto di ottenere dal Titolare del trattamento la conferma dell’esistenza dei Suoi dati personali e la loro comunicazione in forma intelligibile, di conoscere le modalità e le logiche del trattamento, di richiedere l’aggiornamento e l’integrazione dei dati stessi, la loro cancellazione o trasformazione in forma anonima, in caso di violazione di legge, nonchè, di opporsi al loro trattamento. Tali diritti potranno essere esercitati rivolgendosi in qualsiasi momento per iscritto al Titolare del trattamento, presso la sua sede indicata nel sito internet medesimo.