Protezione dei Dati


1. Introduzione

Il presente documento definisce gli obblighi di Gordon Brothers, the trading name of Gordon Brothers International, LLC. (“la Società”) in relazione alla protezione dei dati e ai diritti delle persone con cui opera in materia di dati personali, ai sensi del Data Protection Act 1998, un atto del Parlamento del Regno Unito di Gran Bretagna e Irlanda del Nord (“l’Atto”).

Questo Politica ha lo scopo di definire le procedure che dovranno essere seguite nel trattamento dei dati personali.  Le procedure qui definite devono essere rispettate dalla Società, dai suoi dipendenti, appaltatori, agenti, consulenti, partner o terze parti che operano per conto della Società.

La Società ritiene che una gestione corretta e conforme alla legge dei dati personali sia un fattore fondamentale per il suo successo e per le sue relazioni con terzi.  La Società assicura di trattare tutti i dati personali in maniera corretta e conforme alla legge.

2. I principi della protezione dei dati
La presente Politica mira a garantire la conformità con l’Atto.  L’Atto definisce otto principi che tutti coloro che gestistono dati personali devono rispettare.  Tutti i dati personali:
2.1 Devono essere elaborati in maniera equa e legale (e devono essere trattati solo nel caso in cui siano rispettate certe condizioni);
2.2 Devono essere ottenuti solo per scopi specifici e legittimi e non devono essere elaborati con modalità che non siano compatibili con tali scopi;
2.3 Devono essere adeguati, rilevanti e non eccessivi rispetto agli scopi per i quali sono elaborati;
2.4 Devono essere precisi e, se del caso, tenuti aggiornati;
2.5 Non devono essere conservati più a lungo del necessario alla luce degli scopi per i quali sono elaborati;
2.6 Devono essere elaborati in conformità con i diritti dei dati ai sensi dell’Atto;
2.7 Devono essere protetti da trattamenti illegittimi o non autorizzati, perdite accidentali, distruzioni o danni mediante misure tecniche od organizzative appropriate; e
2.8 Non devono essere ceduti in paesi o territori esterni allo Spazio economico europeo (SEE), salvo nel caso in cui tale paese o territorio assicuri un livello adeguato di protezione dei dati e delle libertà dei soggetti interessati in materia di elaborazione dei dati personali.

3. Diritti degli interessati
Ai sensi dell’Atto, gli interessati dispongono dei seguenti diritti:
Il diritto di essere informati del trattamento dei loro dati personali;
Il diritto di accedere a tutti i propri dati personali in possesso della Società entro 40 giorni dalla relativa richiesta;
Il diritto di impedire il trattamento dei propri dati personali in limitate circostanze; e
Il diritto di rettificare, bloccare, cancellare o eliminare dati personali errati.

4. Dati personali
I dati personali sono definiti dall’Atto come i dati che si riferiscono a un individuo che può essere identificato da tali dati o da tali dati insieme ad altre informazioni di cui il titolare del trattamento dei dati è o può entrare in possesso, e includono qualsiasi espressione di opinione riguardo all’individuo e qualsiasi indicazione delle intenzioni del titolare del trattamento dei dati o di qualsiasi altra persona in relazione all’individuo.
L’Atto definisce inoltre i “dati personali sensibili” come dati personali relativi all’origine razziale od etnica dell’interessato; alle sue opinioni politiche; al suo credo religioso (o simile); alla sua appartenenza sindacale; alle sue condizioni di salute mentale e fisica; alla sua vita sessuale; alla sua commissione o presunta commissione di reati; o a procedimenti per reati commessi o che si presume abbia commesso o alla sentenza di un tribunale in tali procedimenti.
La Società conserva esclusivamente i dati personali che si riferiscono direttamente alle sue relazioni con un dato soggetto.  Tali dati saranno conservati ed elaborati in conformità con i principi sulla protezione dei dati e con questa Politica.  I seguenti dati possono essere occasionalmente raccolti, conservati ed elaborati dalla Società:
Nome completo;
Ruolo;
Nome della Società;
Indirizzo e-mail;
Indirizzo postale;
Numero di telefono.

5. Trattamento dei dati personali
Tutti i dati personali raccolti dalla Società (compresi quelli specificati nella Sezione 4 di questa Politica) hanno lo scopo di facilitare le transazioni della Società con terze parti comprese, tra l’altro, i suoi clienti, partner, consociate e filiali, così come di gestire in maniera efficace i suoi dipendenti, appaltatori, agenti e consulenti.  I dati personali saranno altresì usati dalla Società per la conformità con tutti gli obblighi imposti dalla legge.

I dati personali possono essere divulgati all’interno della Società.  I dati personali possono essere comunicati da un dipartimento a un altro in conformità con i principi di protezione dei dati personali e con questa Politica.  In nessun caso i dati personali saranno passati a un dipartimento o a una persona all’interno della Società che non ne richieda l’accesso per motivi ragionevoli in relazione agli scopi per i quali questi sono raccolti ed elaborati.
La Società deve assicurarsi che:
Tutti i dati personali raccolti e trattati da e per conto della Società siano raccolti ed elaborati in maniera equa e a norma di legge;
Ai soggetti interessati siano spiegate chiaramente le ragioni della raccolta dei dati personali e siano dati loro i dettagli delle finalità per le quali i dati saranno utilizzati;
I dati personali siano raccolti esclusivamente nella misura necessaria a rispondere alle finalità previste;
Tutti i dati personali siano esatti al momento della raccolta e mantenuti precisi e aggiornati per tutto il tempo in cui sono conservati e / o elaborati;
Nessun dato personale sia conservato più a lungo del necessario alla luce delle finalità previste;
Tutti i dati siano conservati in maniera sicura, adottando tutte le misure tecniche e organizzative appropriate per la loro protezione;
Tutti i dati personali siano trasferiti utilizzando mezzi sicuri, per via elettronica o in altro modo;
Nessun dato personale sia ceduto al di fuori dell’UK o dello SEE (come appropriato) senza essersi prima accertata dell’attuazione delle misure di protezione appropriate nel paese o nel territorio di destinazione; e
Tutti i soggetti interessati possano esercitare i loro diritti definiti nella precedente Sezione 3 e più dettagliatamente nell’Atto.

6. Procedure per la protezione dei dati
La Società deve assicurarsi che tutti i suoi dipendenti, appaltatori, agenti, consulenti, partner o altre parti che operano per conto della Società rispettino i seguenti punti nell’elaborazione e / o trasmissione dei dati personali:
Tutte le e-mail contenenti dati personali devono essere criptate;
I dati personali possono essere trasmessi solo su reti protette – la trasmissione su reti non protette non è permessa in alcun caso;
I dati personali non possono essere trasmessi tramite una rete wireless se esiste una rete cablata alternativa ragionevolmente utilizzabile;
I dati personali contenuti nel corpo di un’e-mail, sia essa inviata o ricevuta, devono essere copiati dal corpo di tale e-mail e memorizzati in maniera sicura.  L’e-mail stessa deve essere cancellata.  Devono essere cancellati anche tutti i file temporanei ad essa associati;
Se i dati personali devono essere inviati tramite fax, il destinatario deve essere preavvisato della trasmissione e deve attendere il documento accanto al fax;
Se i dati personali devono essere trasmessi in formato cartaceo, devono essere consegnati direttamente al destinatario.  Non è consentito l’uso di un intermediario;
Tutte le copie cartacee dei dati personali devono essere conservate in maniera sicura in una cassetta, in un armadietto, in un cassetto, chiusi a chiave;
Tutte le copie elettroniche dei dati personali devono essere protette da password e da sistema di codifica appropriato, possibilmente su un drive o server a cui non sia possibile accedere tramite Internet; e
Tutte le password usate per proteggere i dati personali devono essere cambiate regolarmente e non devono usare parole o frasi che siano facilmente indovinabili o altrimenti compromesse.

7. Misure organizzative
La Società deve garantire che siano adottate le seguenti misure in relazione alla raccolta, alla conservazione e all’elaborazione dei dati personali:
Deve essere nominato un dirigente delegato (“il Dirigente Delegato”) all’interno della Società con la responsabilità specifica di vigilare sulla protezione dei dati per garantire la conformità con l’Atto.
Tutti i dipendenti, appaltatori, agenti, consulenti, partner o altre parti che operano per conto della Società devono essere pienamente consapevoli delle proprie responsabilità personali e delle responsabilità della Società ai sensi dell’Atto e deve essere fornita loro una copia di questa Politica.
Tutti i dipendenti, appaltatori, agenti, consulenti, partner o altre parti che operano per conto della Società nel trattamento dei dati personali devono ricevere un’appropriata formazione.
Tutti i dipendenti, appaltatori, agenti, consulenti, partner o altre parti che operano per conto della Società nel trattamento dei dati personali devono essere opportunamente supervisionati.
I metodi di raccolta, conservazione e trattamento dei dati personali devono essere regolarmente valutati e rivisti.
Le prestazioni dei dipendenti, appaltatori, agenti, consulenti, partner o altre parti che operano per conto della Società nel trattamento dei dati personali devono essere regolarmente esaminate e valutate.
Tutti i dipendenti, appaltatori, agenti, consulenti, partner o altre parti che operano per conto della Società nel trattamento dei dati personali sono obbligati per contratto a farlo in conformità con i principi dell’Atto e di questa Politica.  Il mancato rispetto da parte di un dipendente dei principi di questa Politica costituirà un illecito disciplinare.  Il mancato rispetto da parte di un appaltatore, agente, consulente, partner o altra parte dei principi di questa Politica costituirà una violazione del contratto.  In tutti i casi, il mancato rispetto dei principi o di questa Politica può costituire anche un reato penale ai sensi dell’Atto.
Tutti gli appaltatori, agenti, consulenti, partner o altre parti che operano per conto della Società nel trattamento dei dati personali devono garantire che tutti i loro dipendenti coinvolti nell’elaborazione dei dati personali siano vincolati alle stesse condizioni dei dipendenti della Società stabilite nella presente Politica e nell’Atto.
In caso di violazione da parte dell’appaltatore, agente, consulente, partner o altra parte operante per conto della Società nel trattamento dei dati personali ai suoi obblighi ai sensi di questa Politica, tale parte deve risarcire e mantenere indenne la Società in relazione a qualsiasi costo, responsabilità, danno, perdita, reclamo o procedimento che possa insorgere in conseguenza di tale violazione.

8. Accesso da parte dei soggetti interessati
Un soggetto interessato può effettuare in qualsiasi momento una richiesta di accesso per conoscere le informazioni che lo riguardano e che sono in possesso della Società.
Le richieste di accesso devono essere effettuate per iscritto, accompagnate dal pagamento dovuto.
La Società chiede attualmente il pagamento di £10 sterline (la tariffa massima prevista) per tutte le richieste di accesso. [Per l’accesso al file di credito è richiesto il pagamento di £2.]
Dal ricevimento della richiesta di accesso, la Società dispone di un termine massimo di 40 giorni per rispondere.  Al soggetto interessato saranno fornite le seguenti informazioni:
Se la Società detiene o meno dati personali sul soggetto interessato;
Una descrizione di tutti i dati personali posseduti riguardo al soggetto interessato;
I dettagli delle finalità d’uso dei dati personali;
I dettagli delle terze parti a cui i dati personali sono passati; e
I dettagli di eventuali codici o termini tecnici.

9. Comunicazione all’ICO (Information Commissioner’s Office)
In quanto titolare del trattamento dei dati, la Società deve comunicare il trattamento di dati personali all’ICO.  La Società è iscritta nel registro dei titolari del trattamento dei dati.
I titolari dei trattamenti dei dati devono rinnovare annualmente la comunicazione all’ICO.  La mancanza di tale comunicazione costituisce un reato penale.
Qualsiasi variazione al registro deve essere comunicata all’ICO entro 28 giorni.
Il Dirigente Delegato ha la responsabilità di dare le comunicazioni e tenere aggiornato l’ICO.

10. Attuazione della Politica
Questa Politica entra in vigore il 15 ottobre 2014.  Nessuna parte della presente Politica avrà effetto retroattivo e la stessa si applicherà pertanto esclusivamente a partire dalla suddetta data e successivamente alla stessa.