Politique de Confidentialité
La protection des données à caractère personnel revêt une importance capitale pour Italtower S.r.l. (ci-après dénommée « Italtower » ou « la Société »).
L’entrée en vigueur du règlement (UE) 2016/679 « Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » (ci-après « GDPR ») a été l’occasion d’adapter davantage les activités menées par la Société aux principes de transparence et de protection des données à caractère personnel, dans le respect des droits et libertés fondamentaux de toutes les personnes concernées, qu’il s’agisse d’employés, de collaborateurs, de clients, de fournisseurs ou de tiers souhaitant recevoir des informations.
Italtower a ainsi mis en place un « Modèle organisationnel de protection de la vie privée » (MOP), dont les grandes lignes sont décrites ici, visant à analyser tous les traitements de données, à les organiser de manière fonctionnelle et à les gérer en toute sécurité et transparence. Cette section du site contient également des informations sur les droits de la personne concernée et les modalités d’exercice de ces droits auprès du responsable du traitement.
TABLE DES MATIÈRES
1 - MODÈLE D'ORGANISATION EN MATIÈRE DE PROTECTION DES DONNÉES GDPR
1.1 - SUJETS
1.2 - ANALYSE DES RISQUES ET MESURES DE PRÉVENTION DES RISQUES LIÉS À LA PROTECTION DE LA VIE PRIVÉE
2 - TRANSPARENCE ET DROITS DE LA PERSONNE CONCERNÉE
2.1 - DROITS EN MATIÈRE DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
2.2 - EXERCICE DES DROITS
2.3 - FORMULAIRES ET NOTICES D'INFORMATION
1 - MODÈLE D'ORGANISATION EN MATIÈRE DE PROTECTION DES DONNÉES GDPR
1.1 - SUJETS
Responsable du traitement
Le responsable du traitement est :
Italtower S.r.l. (ci-après également dénommé « le Responsable »)
Piove di Sacco (PD) Via A. Meucci n. 5/11
Numéro de TVA et numéro d'identification fiscale: 04725890281
Tel. +39 0495840542
e-mail: info@italtower.com
Courrier électronique certifié: semtrade@lamiapec.it
SUBJETS AUTORISÉS À TRAITER LES DONNÉES (ex art. 29 GDPR)
La politique de protection des données prévoit que chaque employé/collaborateur du responsable du traitement ne traite que les données indispensables à l'exercice de ses fonctions, en fonction de l'organisation interne et surtout des finalités indiquées et proposées à la personne concernée (principe dit de « limitation de la finalité et de minimisation des données », art. 5, paragraphe 1, lettres b) et c) du GDPR). Chaque personne autorisée à traiter des données à caractère personnel a reçu des instructions spécifiques du Responsable du traitement concernant ledit traitement.
Le système d'information est conçu, dès sa conception, en « compartiments étanches ». L'employé/collaborateur ne pourra accéder, depuis son poste de travail, qu'aux données indispensables à l'exercice de ses fonctions. L'affectation à des domaines de traitement spécifiques est effectuée après une analyse minutieuse de la structure et de l'organisation de l'entreprise ainsi que des flux de données internes et externes à la Société.
L'employé/collaborateur a également reçu un règlement interne sur l'utilisation des outils informatiques et les règles de conduite concernant toutes les informations auxquelles il accède en vertu de ses fonctions spécifiques.
ADMINISTRATEURS SYSTÈME
Le Responsable du traitement utilise des systèmes informatiques pour gérer et organiser ses activités. C'est pourquoi, depuis toujours, l'attention portée au développement des logiciels, à leurs modalités d'utilisation et à la sécurité des données est au cœur des activités du Responsable du traitement. Les personnes disposant de privilèges d'« administrateur » au sein de l'entreprise sont spécifiquement désignées et formées. Les sociétés externes spécialisées qui accèdent aux données de l'entreprise sont également spécifiquement désignées comme sous-traitants externes et/ou administrateurs de système externes au sens de l'article 28 du GDPR.
Les prestataires de services informatiques externes sont sélectionnés en accordant une attention particulière à leur professionnalisme, non seulement sur le plan technique, mais aussi en matière de respect et de protection des données, en privilégiant les sociétés certifiées.
RESPONSABLES DU TRAITEMENT (ex art. 28 GDPR)
En principe, le Responsable du traitement gère en interne la quasi-totalité des activités de traitement. Les cas d'externalisation à des tiers de certaines activités impliquant un traitement de données pour le compte du Responsable du traitement sont dûment indiqués dans les différentes notes d'information. Dans ces cas, la relation avec le tiers est régie par un contrat spécifique de désignation en tant que « sous-traitant » au sens de l'article 28 du GDPR.
Le Responsable du traitement confie ces activités de traitement à des tiers qui offrent des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées afin de satisfaire aux exigences prévues par le GDPR et de garantir la protection des droits des personnes concernées.
1.2 ANALYSE DES RISQUES ET MESURES DE PRÉVENTION DES RISQUES LIÉS À LA PROTECTION DE LA VIE PRIVÉE
Conformément aux principes de la « responsabilité » (accountability), il incombe au responsable du traitement de mettre en œuvre une série de mesures organisationnelles, physiques, juridiques, techniques et informatiques visant à prévenir le risque d'atteinte aux droits et libertés individuelles des personnes concernées. Pour atteindre cet objectif, une analyse constante des risques est effectuée, en fonction des traitements, des outils utilisés, ainsi que de la nature et du volume des données traitées.
REGISTRE DES TRAITEMENTS (ex art. 30 GDPR) ET ANALYSE D'IMPACT SUR LA PROTECTION DES DONNÉES (ex art. 35 GDPR)
Le MOP prévoit une analyse minutieuse et continue des risques liés au traitement des données à caractère personnel, identifiés pour chaque activité ou service fourni au moyen d'un registre des traitements, conformément à l'article 30, paragraphe 1, du GDPR.
Le responsable du traitement vérifie périodiquement s'il existe des activités à risque nécessitant une analyse d'impact spécifique, conformément à l'article 35 du GDPR (dite « DPIA »).
2 - TRANSPARENCE ET DROITS DE LA PERSONNE CONCERNÉE
2.1 DROITS EN MATIÈRE DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
Le responsable du traitement tient à rappeler ici qu'il est essentiel d'informer les personnes concernées de l'existence de certains droits en matière de protection des données à caractère personnel, énumérés ci-dessous.
Droit d'être informé (transparence dans le traitement des données)
La personne concernée a le droit d'être informée de la manière dont le responsable du traitement traite ses données à caractère personnel, des finalités de ce traitement et de toute autre information prévue par l'article 13 du GDPR. À cette fin, le Responsable du traitement a mis en place des processus organisationnels qui permettent, lors de la collecte ou de la demande de données à caractère personnel, la délivrance d’un modèle de note d’information créé « ad hoc » en fonction de la catégorie de personnes concernées à laquelle appartient la personne concernée (salarié, client, fournisseur, etc.). Ce document permet d'informer de manière adéquate toutes les personnes concernées par les données sur la manière dont le traitement est effectué par le Responsable du traitement. Le modèle de note d'information peut être demandé au moyen d'une demande spécifique adressée au Responsable du traitement.
Droit de révocation du consentement (art. 13)
Vous avez le droit de retirer votre consentement à tout moment pour tous les traitements dont le fondement légal est votre consentement. Le retrait du consentement n’affecte pas la licéité du traitement effectué avant le retrait.
Droit d’accès aux données (art. 15)
Vous pouvez demander a) les finalités du traitement; b) les catégories de données personnelles concernées; c) les destinataires ou catégories de destinataires auxquels les données personnelles ont été ou seront communiquées, en particulier les destinataires dans des pays tiers ou les organisations internationales; d) lorsque cela est possible, la durée de conservation des données personnelles envisagée ou, lorsque cela n’est pas possible, les critères utilisés pour déterminer cette durée; e) l’existence du droit de l’intéressé de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel le concernant, ou la limitation du traitement des données personnelles le concernant, ou de s’opposer à ce traitement; f) le droit de déposer une réclamation auprès d’une autorité de contrôle; g) lorsque les données ne sont pas collectées auprès de l’intéressé, toutes les informations disponibles sur leur origine; h) l’existence d’une prise de décision automatisée, y compris le profilage visé à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour l’intéressé. Vous avez le droit de demander une copie des données personnelles faisant l’objet d’un traitement.
Droit de rectification (art. 16)
Vous avez le droit de demander la rectification des données à caractère personnel inexactes vous concernant et d’obtenir l’intégration des données à caractère personnel incomplètes.
Droit à l’oubli (art. 17)
Vous avez le droit d’obtenir du responsable du traitement l’effacement des données à caractère personnel vous concernant lorsque les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées, lorsque vous retirez votre consentement, lorsque le traitement est illicite, lorsque l’effacement est nécessaire pour respecter une obligation légale ou lorsque les données à caractère personnel ont été traitées dans le cadre de la fourniture de services de la société de l’information à un mineur sans son consentement. L’effacement peut être effectué à moins que le droit à la liberté d’expression et d’information ne prévale, que les données soient conservées pour l’exécution d’une obligation légale ou pour l’exercice ou la défense d’un droit en justice, pour des motifs d’intérêt public dans le domaine de la santé publique, à des fins de recherche scientifique ou historique ou à des fins statistiques ou pour la constatation, l’exercice ou la défense de droits en justice.
Droit à la limitation du traitement (art. 18)
Vous avez le droit d’obtenir du responsable du traitement la limitation du traitement lorsque vous avez contesté l’exactitude des données à caractère personnel (pendant la durée nécessaire au responsable du traitement pour vérifier l’exactitude de ces données à caractère personnel) ou lorsque le traitement est illicite, mais que vous vous opposez à l’effacement des données à caractère personnel et demandez à la place la limitation de leur utilisation ou lorsque les données à caractère personnel vous sont encore nécessaires pour la constatation, l’exercice ou la défense de droits en justice, mais que le responsable du traitement n’en a plus besoin.
Droit à la portabilité (art. 20)
Vous avez le droit de recevoir les données à caractère personnel vous concernant que vous avez fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et vous avez le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été fournies y fasse obstacle, lorsque le traitement est fondé sur le consentement, sur un contrat et lorsque le traitement est effectué par des moyens automatisés, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique et que la transmission soit nécessaire à l’exercice de cette mission ou de cet exercice.
Droit d’opposition (art. 21)
Vous avez le droit de vous opposer à tout moment, en tout ou en partie, au traitement de vos données personnelles lorsque le traitement est effectué dans le cadre d’un intérêt légitime du Titulaire ou à des fins de marketing direct.
Droit de s’adresser à l’autorité Garante de la protection des données personnelles (art. 77).
Sans préjudice de tout autre recours administratif ou juridictionnel, si vous estimez que le traitement des données à caractère personnel vous concernant constitue une violation du règlement sur la protection des données, vous avez le droit de déposer une plainte auprès d’une autorité de contrôle, notamment dans l’État membre dans lequel vous résidez, travaillez ou dans lequel la violation présumée a eu lieu.
2.2 EXERCICE DES DROITS
Pour l’exercice effectif de vos droits, vous pouvez envoyer un e-mail à l’adresse info@italtower.com, en joignant, le cas échéant, les formulaires d’accès que nous mettons à votre disposition ci-dessous.
2.3 FORMULAIRES ET INFORMATIONS
1) Vous trouverez ci-dessous un modèle de document à remplir pour l’exercice concret des droits de l’intéressé. Le formulaire peut être envoyé au Titulaire, aux adresses indiquées ci-dessus, conformément à la réglementation en vigueur.
Modèle à imprimer et à remplir en précisant le droit demandé
Formulaire exercice des droits
Informations :