PARTE A: Generale

Applicabilità

Il presente documento costituisce la versione operativa corrente della politica di conformità al GDPR in vigore dal 25 maggio 2018 e si applica alle attività di TechVersions, costituita dalla seguente entità.

TechVersions, una società di pubblicazioni tecnologiche, 8000 Towers Crescent Drive, 13th Floor Vienna, VA 22182

Introduzione

L'attività principale di TechVersions è fornire supporto ai propri clienti nella commercializzazione di prodotti B2B, generando lead efficaci dai mercati target.

La generazione di lead avviene tramite ricerche di mercato intelligenti che raccolgono dati rilevanti per identificare intenzioni di acquisto affidabili da parte delle aziende attraverso diversi canali, tra cui partner commerciali che utilizzano tecnologie pertinenti nel marketing sui social media, nel web marketing, nell'e-mail marketing e nel telemarketing.

Nell'ambito di queste attività, TechVersions funge da intermediario che aggiunge valore alla catena di marketing B2B. Le informazioni sulla campagna vengono fornite dai Clienti, perfezionate e convertite in materiali di campagna da distribuire al potenziale mercato.

La distribuzione ai clienti finali tramite il posizionamento dei materiali della campagna sui media pertinenti avviene tramite editori esterni che generano lead. Una parte dei lead è generata da attività editoriali interne e dall'utilizzo di innovativi strumenti di corporate intent marketing sviluppati dal team di ricerca e sviluppo di TechVersions.

I lead generati dagli editori vengono filtrati in modo intelligente per migliorarne la qualità e convertiti in obiettivi di marketing concreti prima di essere trasmessi ai clienti.

TechVersions ha sviluppato prodotti, processi e sistemi di generazione di informazioni proprietari, avvalendosi anche di fornitori affidabili e personale qualificato, che insieme riflettono la proposta di valore che TechVersions apporta all'ecosistema di marketing B2B in tutto il mondo. Sostenere e coltivare questa competenza e utilizzarla per cogliere opportunità commerciali rappresenta un legittimo interesse di TechVersions.

Il presente Codice di conformità al GDPR adottato da TechVersions dichiara che TechVersions si impegna a rispettare il concetto di "Privacy come diritto fondamentale del cittadino di una società democratica" in tutto il mondo e che, in buona fede, implementerà tutti i principi sulla privacy previsti dal GDPR, ove applicabili.

TechVersions dichiara tuttavia che è suo legittimo interesse svolgere un'attività commerciale legittima in tutto il mondo come intermediario del mercato B2B ed è diritto democratico di TechVersions svolgere la propria attività in buona fede senza entrare in conflitto con i diritti delle singole persone fisiche la cui privacy si desidera proteggere ai sensi del GDPR.

TechVersions rivela inoltre che il suo modello aziendale richiede la raccolta solo dei dati di entità aziendali che sono al di fuori dell'ambito del GDPR e dei dati di contatto aziendale che non sono dati personali ma possono includere in parte informazioni di identificazione personale, ma non includono dati personali di bambini e dati personali classificati come "Categorie speciali" ai sensi del GDPR.

Esposizione al GDPR

TechVersionsGroup è fondamentalmente un "intermediario di marketing B2B" che opera in tutto il mondo generando lead di marketing e fornendo servizi a clienti in molti paesi. TechVersions non opera nel mercato consumer e pertanto non raccoglie, direttamente o indirettamente, informazioni personali di interessati dell'UE. I dati raccolti da TechVersions rientrano generalmente nella categoria dei Dati di Contatto Aziendali dei dipendenti aziendali, che includono, tra l'altro, il nome, l'indirizzo e-mail e il numero di telefono aziendale.

Una parte dei lead di marketing B2B viene generata nei paesi dell'UE e nel Regno Unito. Anche alcuni clienti con sede nell'UE/Regno Unito possono usufruire dei servizi di TechVersions. Attualmente, la maggior parte delle interazioni con i clienti avviene negli Stati Uniti e la maggior parte delle interazioni con i partner commerciali che generano lead avviene in India.

L'esposizione di TechVersions al GDPR è pertanto riconosciuta quando i dati di contatto aziendali vengono raccolti da organizzazioni aziendali che operano nelle regioni UE/Regno Unito.

Approccio alla conformità al GDPR

Per consentire l'applicazione di una norma quanto più rigorosa possibile al trattamento dei dati esposti al rischio di conformità al GDPR, TechVersions adotta una politica per trattare i dati sensibili del GDPR (GSD) come "dati sensibili" che fluiscono attraverso le risorse di TechVersions, etichettando i dati in arrivo con un tag appropriato per classificarli come GSD, ove applicabile.

La tutela della privacy degli interessati e la sicurezza delle informazioni relative alla tutela della privacy in relazione ai dati contrassegnati con GSD sono presi in considerazione nella progettazione della struttura di supporto.

Sebbene i dati vengano elaborati in sedi specifiche e l'infrastruttura tecnica per l'elaborazione dei dati GSD si trovi in ​​tali sedi specifiche, è stata creata e continuerà a essere perseguita una consapevolezza del GDPR a livello aziendale, in modo che i principi di questo Codice di condotta del GDPR si diffondano nell'intera organizzazione, oltre all'elaborazione dei dati GSD, includendo le funzioni di marketing, finanziarie e gestionali che potrebbero trovarsi in sedi diverse con la propria infrastruttura tecnica e amministrativa.

Per implementare efficacemente la sicurezza dell'intera infrastruttura di elaborazione dati, la Società ha adottato una politica completa sulla sicurezza delle informazioni che include molteplici sottopolitiche riguardanti l'accesso ai dati, l'elaborazione, l'archiviazione, la trasmissione, ecc.

Impegno sulla privacy

TechVersions riconosce che la "Privacy" è un importante diritto democratico nella società civile. In qualità di entità aziendale responsabile, TechVersions si impegna a proteggere la privacy di tutte le persone fisiche i cui dati personali giungono nel repository aziendale per essere elaborati.

Considerata la presenza di Clienti nell'UE/Regno Unito e il monitoraggio delle attività dei dipendenti aziendali residenti nell'UE/Regno Unito, TechVersions ha scelto di adottare gli standard di conformità al GDPR per la protezione della privacy di tutte le persone fisiche che possono interagire con il gruppo, anche quando tale interazione avviene solo in qualità di dipendenti di diverse entità aziendali che perseguono gli obiettivi aziendali delle rispettive organizzazioni aziendali.

Interesse legittimo

L'attività principale di TechVersions riguarda l'elaborazione dei dati relativi all'acquisto di diversi prodotti per uso aziendale. Lo spettro di attività include la raccolta, l'aggregazione, l'analisi, la segmentazione e il monitoraggio degli intenti. Nel processo di tale elaborazione, TechVersions aggiunge valore ai dati grezzi raccolti dall'ambiente aziendale e li converte in informazioni a valore aggiunto a supporto delle decisioni aziendali.

I Dati Grezzi raccolti sono riconosciuti come dati di proprietà dell'interessato e a cui si applicano i diritti dell'interessato ai sensi del GDPR. Il valore aggiunto ai dati che si verifica durante il processo deriva dalle capacità di elaborazione dati proprietarie di TechVersions, su cui TechVersions vanta un certo livello di diritti di proprietà intellettuale.

Se i dati sono stati pseudonimizzati, i dati pseudonimizzati a valore aggiunto saranno considerati dati su cui TechVersions ha un legittimo interesse a utilizzare per ulteriori ricerche. I dati non pseudonimizzati, anche se a valore aggiunto, sono soggetti all'esercizio dei diritti dell'interessato, quali accesso, rettifica, limitazione, portabilità e cancellazione. I dati pseudonimizzati, se presenti, non saranno classificati come sensibili ai sensi del GDPR.

TechVersions possiede un legittimo interesse commerciale come riconosciuto dall'articolo 6(1)(f) del regolamento GDPR dell'UE, nella raccolta e nell'elaborazione di dati aziendali quali dati firmografici e dati di contatto aziendale dei funzionari decisionali nelle entità aziendali

Inoltre, l'attività di TechVersions comporta operazioni all'interno e all'esterno dei paesi dell'UE ed è quindi esposta agli obblighi statutari di diversi paesi relativi all'elaborazione dei dati, nonché ad altre leggi applicabili alle attività aziendali in generale e alle attività IT in particolare, come previsto dall'articolo 6(1)(c) del regolamento GDPR dell'UE.

Inoltre, TechVersions ha adottato pratiche commerciali per un trattamento lecito che incorporano i principi del GDPR dell'UE come enunciato nell'articolo 6, tra cui l'ottenimento del consenso esplicito informato ove richiesto e l'adesione ai requisiti degli obblighi contrattuali con gli interessati, se presenti.

Le politiche di TechVersions in materia di privacy e protezione dei dati sono pertanto strutturate con specifici controlli sulla privacy e sulla sicurezza delle informazioni che affrontano la questione dell'identificazione dei dati sensibili GDPR nella fase della loro origine e del loro inserimento nel sistema TechVersions e della loro etichettatura durante tutto il loro ciclo di vita di elaborazione.

Ampliamento dell'ambito di conformità all'ecosistema di elaborazione dei dati

Inoltre, mantenendo l'intento legislativo di proteggere il diritto fondamentale alla privacy degli individui, enunciato nel GDPR dell'UE, vengono mantenuti adeguati controlli tecnici e organizzativi/amministrativi per garantire che tutti i partner commerciali a valle che potrebbero avere accesso ai dati sensibili del GDPR per l'elaborazione per conto di TechVersions siano anch'essi conformi al GDPR.

TechVersions riconosce che, nella maggior parte delle sue attività, non è un "Titolare del trattamento dei dati", bensì un "Responsabile del trattamento dei dati" ai sensi del GDPR. Può assumere il ruolo di "Contitolare del trattamento" quando si avvale dei servizi di subappaltatori per qualsiasi parte del trattamento.

Tenendo presenti questi ruoli, le politiche e i controlli di TechVersions sono strutturati per garantire la conformità al GDPR, incluso il mantenimento di controlli tecnici e organizzativi/amministrativi adeguati per tenersi debitamente informati sulle attività di conformità al GDPR dei propri partner commerciali e condividere con loro le misure di conformità al GDPR di TechVersions, se necessario.

Limitazioni del presente documento

I paragrafi seguenti illustrano la politica generale di TechVersions per la conformità al GDPR a livello aziendale, evidenziando l'approccio di TechVersions per raggiungere un livello soddisfacente di conformità ai principi del GDPR nelle sue operazioni.

Il presente documento di policy è destinato a una condivisione limitata con le parti interessate, comprese le entità aziendali esterne a TechVersions, e pertanto esclude informazioni proprietarie sul trattamento laddove sia essenziale proteggere la proprietà intellettuale dell'organizzazione.

Qualsiasi richiesta di divulgazione di informazioni che vada oltre quanto qui indicato sarà gestita in base alla Politica di divulgazione dei dati di TechVersions e tali richieste potranno essere indirizzate al Responsabile della privacy tramite un indirizzo e-mail autenticato non attendibile.

Parte B: Linee guida specifiche per le politiche

1. Responsabilità assegnata

TechVersions ha nominato un Responsabile della Privacy che sarà il referente per la gestione di tutte le richieste e i reclami degli interessati. Considerato l'attuale livello di esposizione al rischio legato ai dati sensibili ai sensi del GDPR in TechVersions, si ritiene che l'attività principale di TechVersions non implichi un monitoraggio sistematico e su larga scala degli interessati dell'UE né l'offerta di servizi a cittadini dell'UE e, pertanto, non vi sia alcun obbligo di designare un "Responsabile della Protezione dei Dati" come previsto dal GDPR.

Un Comitato per la Governance della Sicurezza delle Informazioni (ISGC) sarà responsabile della sicurezza delle informazioni, inclusa la conformità al GDPR. Sarà l'organismo decisionale di vertice di TechVersions, responsabile della definizione di tutte le policy di sicurezza delle informazioni, inclusa la policy GDPR, e monitorerà la necessità di designare a tempo debito una persona o un consulente come Responsabile della Protezione dei Dati.

2. Classificazione dei dati

TechVersions non è coinvolta in attività di marketing rivolte a singole persone fisiche e pertanto non raccoglie normalmente dati personali identificabili soggetti alle disposizioni normative del GDPR. Tuttavia, tutti i dati personali potenzialmente identificabili, come l'indirizzo e-mail e il numero di telefono di un dipendente di un'organizzazione, sono classificati come "sensibili ai sensi del GDPR" se è noto che l'unità aziendale o il dipendente si trovano nell'UE/Regno Unito.

Di conseguenza, l'intero set di dati di contatto aziendale associato a un indirizzo di posizione fisica nell'UE/Regno Unito viene identificato come dato sensibile GDPR (GSD) e contrassegnato durante l'ulteriore elaborazione all'interno dell'organizzazione.

In assenza di informazioni sulla posizione fisica dell'interessato, sarebbe considerata rilevante la posizione fisica dell'organizzazione aziendale associata.

3. Audit dei dati

Una volta prima del 25 maggio 2018 e successivamente a intervalli mensili o come altrimenti determinato dall'ISGC, i set di dati archiviati saranno verificati per individuare qualsiasi GSD e verificare i requisiti di conformità ad esso associati, ad esempio se i dati devono essere archiviati, eliminati o altrimenti protetti in modo speciale.

Qualsiasi set di dati GSD non accompagnato da un'apposita "Nota di consenso" o "Nota di interesse legittimo" verrà raccomandato per la cancellazione.
Una volta confermata la richiesta, tali dati verranno eliminati in modo forense.

4. Valutazione dell'impatto del GDPR

È stata effettuata una valutazione delle lacune del GDPR e sono state implementate le misure correttive necessarie prima del 25 maggio 2018. Dopo il 25 maggio 2018, verrà effettuata una valutazione dell'impatto sulla protezione dei dati (DPIA) ogni volta che verrà intrapreso un nuovo progetto significativo, non appena l'ISGC ne individuerà la necessità.

5. Politica di accettazione di nuove attività

A partire dal 25 maggio 2018, tutti i nuovi impegni aziendali che comportano il trattamento dei dati saranno soggetti all'approvazione dell'ISGC con una nota specifica di valutazione dell'impatto del GDPR presentata dal DPO in consultazione con il team tecnico responsabile del trattamento.

6. Politica di archiviazione dei dati GSD

I dati GSD devono essere archiviati in sistemi accessibili solo a persone designate, sulla base di una rigorosa "need to know".

Ogni set GSD deve essere contrassegnato con l'indicazione del Titolare del trattamento dei dati da cui proviene e che è responsabile della raccolta dei dati in base al consenso o al contratto.

Eventuali restrizioni specifiche associate a tale set di dati dovranno essere contrassegnate con il set di dati.

L'archiviazione dei dati consentirà di localizzare ed elaborare i singoli set di dati per l'esecuzione di qualsiasi diritto dell'interessato, come la richiesta di rettifica dei dati, portabilità dei dati, cancellazione dei dati o accesso ai dati in qualsiasi momento durante il loro ciclo di vita.

7. Politica di accesso ai dati GSD

L'accesso ai dati GSD è consentito in base alla politica di controllo degli accessi, che garantisce che ogni set di dati GSD abbia parametri di accesso specifici, che definiscono chi può accedere ai dati e come. Solo coloro che sono designati come personale GSD potranno accedere ai dati GSD.

L'uso di parametri di accesso quali password deve essere definito con un grado di complessità e univocità a seconda delle necessità e integrato con tag di crittografia e ID macchina in modo che i dati GSD possano essere accessibili solo da hardware specifico assegnato alla forza lavoro GSD autorizzata.

Quando l'archiviazione dei dati avviene sul cloud, dovranno essere utilizzati solo servizi cloud conformi al GDPR, unitamente a controlli aggiuntivi che potrebbero essere necessari per garantire che i dati durante l'archiviazione e il transito siano protetti da accessi non autorizzati.

I dati GSD specifici per un progetto devono essere archiviati in modo tale che solo i dipendenti associati a un determinato progetto possano accedervi. L'accesso tra progetti diversi deve essere regolamentato in base alle necessità.

8. Politica di conservazione dei dati GSD

I dati GSD devono essere conservati in un ambiente di elaborazione attivo solo per il periodo minimo necessario all'elaborazione. Successivamente, i dati devono essere archiviati in modo sicuro, in conformità con i requisiti identificati nell'ambito dell'interesse legittimo, ad esempio fino al completamento del ciclo di fatturazione del progetto.

Successivamente, i dati saranno conservati in un archivio sicuro o distrutti secondo i requisiti di interesse legittimo identificati dalla Società.

Deve essere effettuata una revisione mensile dei dati archiviati per identificare i dati non più necessari, che devono essere inoltrati all'ISGC per le istruzioni sullo smaltimento.

Nella valutazione dell'interesse legittimo si terrà conto anche degli obblighi legali in materia di conservazione dei dati che potrebbero sorgere a causa di sovrapposizioni legislative.

9. Politica di divulgazione dei dati GSD

Qualsiasi richiesta di divulgazione dei dati GSD verrà normalmente ricevuta solo dal Titolare del trattamento dei dati di origine.

Si riconosce che le richieste ricevute direttamente dagli interessati sono soggette al rischio di phishing e che tali richieste, se presenti, dovranno essere inoltrate al Titolare del trattamento dei dati corrispondente che ha raccolto i dati dall'interessato in base al consenso o al contratto eventualmente in essere tra loro.

I dati oggetto di comunicazione saranno trasmessi esclusivamente al Titolare del trattamento per la successiva trasmissione all'Interessato, previa adeguata autenticazione dell'identità del rappresentante del Titolare del trattamento che ne fa richiesta.

In circostanze eccezionali in cui i dati devono essere divulgati direttamente a un interessato o a un suo rappresentante autorizzato o a un'autorità incaricata dell'applicazione della legge, deve essere garantita un'adeguata autenticazione dell'identità della persona che presenta la richiesta.

Tutte le richieste di divulgazione dei dati devono essere approvate dall'ISGC prima del rilascio dei dati e la richiesta, così come i documenti di valutazione, devono essere considerati documentazione obbligatoria per la conformità al GDPR.

10. Politica di gestione degli incidenti sui dati GSD

Un "incidente" ai sensi del presente codice è qualsiasi osservazione che abbia il potenziale di indicare che il codice di conformità GSD o qualsiasi politica o procedura in esso contenuta è stato violato, indipendentemente dal fatto che si sospetti o meno che i dati siano stati compromessi.

È possibile utilizzare una politica di segnalazione delle irregolarità per garantire che gli incidenti vengano segnalati tempestivamente da qualsiasi osservatore, sia all'interno che all'esterno dell'azienda.

Qualsiasi incidente di questo tipo di cui TechVersions venga a conoscenza verrà registrato nel registro di gestione degli incidenti GSD e segnalato al DPO per un intervento immediato.

Il DPO esaminerà il rapporto sull'incidente e adotterà misure immediate per risolverlo, nonché per segnalarlo all'ISGC.

L'ISGC convocherà tempestivamente una riunione e valuterà l'incidente per identificare se comporti una sospetta violazione dei dati. Ove necessario, l'ISGC potrà ordinare un audit tecnico-legale immediato per una valutazione del rischio dell'incidente. Sulla base della valutazione del rischio, l'ISGC deciderà la necessità di ulteriori azioni, incluso l'invio di una notifica di violazione dei dati al Titolare del trattamento dei dati associato ai dati.

Un incidente in cui un altro dipendente dell'organizzazione abbia avuto accesso ai GSD è considerato un Incidente di Sicurezza e non necessariamente una "Violazione". Tuttavia, tali incidenti devono essere indagati per accertare la causa dell'accesso non autorizzato e, qualora si tratti di un accesso accidentale involontario, possono essere risolti con un'adeguata azione disciplinare interna, in conformità con la politica delle Risorse Umane. Se i dati non sono stati trasferiti o consultati da un soggetto esterno, l'incidente può essere classificato come un incidente interno ai dati, senza costituire una violazione.

Nel caso in cui si sappia che l'accesso o i dati trasferiti sono in forma crittografata e si trovano in uno stato in cui non sono decifrabili per il destinatario, previa adeguata indagine interna sulla sicurezza della chiave di decrittazione associata, l'accesso può essere classificato come un incidente interno ai dati che non costituisce una violazione.

11. Politica di notifica delle violazioni dei dati GSD

Un incidente di "violazione dei dati" è un incidente in cui TechVersions, dopo le necessarie indagini, è giunta a conoscenza che l'accesso a un set di dati specifico in GSD è stato compromesso e un'entità esterna ha tentato di accedere o inviare un set GSD.

Tale violazione dei dati deve essere immediatamente segnalata all'ISGC, che deve senza ulteriore indugio informare il Titolare del trattamento dei dati associato al set di dati, unitamente ai dettagli rilevanti dell'incidente.

Tale relazione deve specificare la natura e l'entità della violazione, l'ora e la data della violazione, i dettagli degli interessati, le azioni intraprese dopo aver appreso della violazione, ecc. Se necessario, la violazione dei dati può essere segnalata anche a un'autorità di controllo.

12. Politica di gestione dei diritti dell'interessato GSD

Il sistema di elaborazione dati TechVersions ha incorporato "Privacy e sicurezza fin dalla progettazione" per consentire la conformità ai requisiti del GDPR, in particolare per quanto riguarda i diritti dell'interessato previsti dal GDPR.

Per soddisfare i diritti dell'interessato, quali "Accesso", "Rettifica", "Cancellazione", "Portabilità" e diritto di imporre "Restrizioni", TechVersions ha abilitato i suoi sistemi di archiviazione e accesso GSD in modo tale che un set di dati appartenente a un interessato specificato possa essere estratto separatamente ed elaborato.

Il sistema è stato quindi progettato per essere conforme ai requisiti più rigorosi del GDPR.

Ogniqualvolta venga ricevuta una richiesta di esercizio di tali diritti da parte di un Interessato, secondo la Politica di divulgazione dei dati, la richiesta viene prima convalidata e poi, nel caso in cui i dati siano stati ricevuti da un Titolare del trattamento, al Titolare del trattamento verrà richiesto di confermare la divulgazione dei dati.

Di norma, la richiesta viene elaborata in comunicazione con il titolare del trattamento dei dati e, se deve essere trasferita, viene restituita al titolare del trattamento dei dati.

In circostanze eccezionali in cui TechVersions debba gestire la richiesta di un interessato senza la collaborazione del titolare del trattamento dei dati, verranno adottate le opportune precauzioni per impedire una divulgazione illecita, poiché sarebbe nel legittimo interesse di TechVersions essere indennizzata da qualsiasi possibile divulgazione illecita.

13. Politica di trasmissione dei dati GSD

I dati GSD possono normalmente confluire nel sistema tramite un'interfaccia applicativa (API). L'accesso all'interfaccia avviene tramite un sistema di accesso sicuro tramite password, integrato da un'adeguata autenticazione a due fattori, laddove venga identificato un rischio significativo di GSD.

La trasmissione dei dati avviene tramite crittografia, soggetta alla gestione della sicurezza della trasmissione che copre le vulnerabilità note.

L'applicazione stessa, insieme ai suoi elementi di archiviazione ed elaborazione intrinseci e all'API, sono protetti contro accessi non autorizzati e attacchi dannosi da un sistema di gestione degli accessi protetto e antimalware appropriato

Quando il set GSD viene trasmesso anche al Cliente o al Subappaltatore, la trasmissione viene gestita tramite canali di comunicazione crittografati, tramite un'API o un'e-mail crittografata.

14. Politica di utilizzo del marketing GSD

Quando TechVersions utilizza GSD per qualsiasi scopo di marketing, tramite e-mail, telefonate o altro, si presta attenzione a garantire che vi sia un consenso o un contratto appropriato per consentire tale comunicazione.

TechVersions insiste inoltre affinché i suoi partner, sia i generatori di lead, sia i subappaltatori che i clienti, non utilizzino il GSD se non nei limiti delle autorizzazioni disponibili.

Qualora non sia disponibile un consenso univoco, i dati di contatto aziendali non vengono raccolti dai generatori di lead, né trasmessi ai clienti, né elaborati tramite i subappaltatori.

Tali dati vengono eliminati in prima istanza quando entrano nel sistema TechVersions e identificati come "GSD senza il dovuto consenso al trattamento".

15. Politica di consenso GSD

Tutte le informazioni classificate come GSD in quanto l'interessato si trova nell'UE/Regno Unito o il suo datore di lavoro si trova nell'UE/Regno Unito saranno accettate solo se l'interessato ha fornito un consenso esplicito in base al formato richiesto dal GDPR.

Nello scenario pre-GDPR, tali consensi venivano generalmente raccolti secondo i principi del trattamento dei dati personali, che includevano un'Informativa sulla privacy. Tale Informativa sulla privacy indicava quali informazioni venivano raccolte, lo scopo della raccolta, il periodo di conservazione, le modalità di protezione, l'accuratezza delle informazioni, l'eventuale trasferimento al di fuori dell'UE per l'elaborazione, ecc. Alcuni dei consensi si basavano sul principio di "Opt-in" come impostazione predefinita.

Ai sensi del GDPR, è essenziale che i dati personali vengano raccolti solo sulla base di un consenso esplicito, in cui "Opt-Out" è l'opzione predefinita e solo sulla base di un'azione affermativa che indica l'accettazione, il consenso verrebbe accettato.

Inoltre, l'informativa sulla privacy dovrebbe anche indicare che l'interessato ha determinati diritti, quali "Diritto di essere informato sull'identità dei responsabili del trattamento a valle", "Diritto di accesso e rettifica", "Diritto alla portabilità e alla cancellazione".

Alla luce dei nuovi requisiti, tutti i consensi ottenuti nel formato pre-GDPR saranno considerati non validi e tali dati saranno scartati da TechVersions.

Gli editori esterni che generano lead per TechVersions devono confermare nei loro contratti che forniranno solo lead generati con la nuova forma di consenso nel caso in cui l'interessato si trovi nell'UE/Regno Unito.

16. Politica di comunicazione con gli stakeholder del GSD

TechVersions opera attraverso numerose organizzazioni esterne che sono stakeholder del programma di conformità al GDPR di TechVersions. Tali organizzazioni includono i suoi clienti, i suoi lead generator, i suoi subappaltatori, ecc.

Per un'efficace conformità, nessun dato GSD deve essere scambiato in alcuna comunicazione con le parti interessate, se non tramite trasmissione sicura e solo con rappresentanti autorizzati.

Mentre la comunicazione tramite API è controllata dalla policy di accesso, qualsiasi altra comunicazione tramite e-mail deve essere controllata tramite una policy di comunicazione tramite e-mail.

In sostanza, una policy di comunicazione via e-mail deve definire che la condivisione di qualsiasi informazione sulla conformità GSD o GDPR con una parte interessata deve avvenire solo tramite un indirizzo e-mail di contatto notificato, che nella maggior parte dei casi sarà il DPO dell'altra organizzazione; ove necessario, la comunicazione via e-mail può essere crittografata e autenticata con una firma digitale.

17. Politica di identificazione degli interessi legittimi del GSD

TechVersions riconosce che alcuni diritti degli interessati, come la cancellazione o la rettifica dei dati, potrebbero essere in conflitto con i requisiti di interesse legittimo di TechVersions o con le leggi sulla conservazione dei dati che potrebbero essere altrimenti applicabili ai dati in considerazione di altri obblighi legislativi.

In tutti i casi in cui i Diritti dell'Interessato vengano attuati, TechVersions valuterà la richiesta prima di intraprendere ulteriori azioni. Nel caso in cui TechVersions ravvisi la necessità di rifiutare la richiesta o di modificarla per accettarla, le motivazioni saranno documentate e l'ISGC elaborerà una nota di interesse legittimo del GSD.

Nei casi in cui non è necessario che i dati siano attivi, possono essere archiviati in modo sicuro fino alla scadenza dell'interesse legittimo.

Le motivazioni per l'esercizio dell'interesse legittimo per l'elaborazione della richiesta dell'interessato devono essere comunicate al Titolare del trattamento che è responsabile dell'interessato per la successiva trasmissione all'interessato.

18. Politica di gestione del personale GSD

GSD sarà considerato un set di dati che richiede un'attenzione esclusiva e speciale in termini di sicurezza delle informazioni mentre è in custodia presso TechVersions.

Pertanto, i GSD verrebbero opportunamente etichettati ed elaborati in base alle necessità da un gruppo di dipendenti appositamente formati.

Questi dipendenti e i sistemi in cui i dati GSD verrebbero archiviati, consultati ed elaborati sarebbero gestiti in modo sicuro, tenendo conto del livello di rischio associato ai dati GSD.

L'assegnazione delle persone a questo trattamento GSD e la loro rimozione devono essere gestite con misure di sicurezza appropriate, tra cui un livello più elevato di verifica dei precedenti, formazione, identità di accesso fisico, politiche sanzionatorie, ecc.

Le politiche delle risorse umane devono essere opportunamente aggiornate per la forza lavoro GSD, se necessario.

19. Politica di pseudonimizzazione GSD

È riconosciuto che la pseudonimizzazione è una strategia per ridurre i rischi nel trattamento dei dati personali (GSD).

I dati personali pseudonimizzati non sono considerati "Dati personali" ai fini del regolamento GDPR, a condizione che il processo di pseudonimizzazione sia adeguatamente strutturato.

Considerato l'attuale livello di esposizione delle sue operazioni ai rischi del GDPR, TechVersions non ha ritenuto necessario al momento utilizzare la pseudonimizzazione come strategia per la mitigazione dei rischi.

20. Politica GSD DRP-BCP

TechVersions riconosce l'importanza di un piano efficace di Disaster Recovery e Business Continuity per le sue operazioni, comprese quelle che comportano l'elaborazione GSD.

TechVersions manterrà un backup adeguato dei dati GSD e una ragionevole capacità di garantire la continuità aziendale in caso di imprevisti.

21. Politica di documentazione sulla conformità GSD

Le misure di conformità al GDPR devono essere documentate in modo da poter essere consultate. La documentazione di conformità deve essere conservata per un periodo minimo di 6 anni dalla sua creazione.

Nel caso in cui un documento costituisca una potenziale prova per esigenze di applicazione della legge o per la difesa del legittimo interesse di TechVersions, tale documento verrà conservato finché persisterà tale esigenza.

22. Politica di audit GSD

Un team di audit della sicurezza interna di TechVersions verificherà le risorse informative di TechVersions almeno una volta all'anno per valutare il livello di sicurezza e la conformità al GDPR e ad altri requisiti normativi.

Gli audit esterni possono essere presi in considerazione sulla base di una valutazione dell'ISGC ogniqualvolta si verifichi un cambiamento sostanziale nel profilo aziendale.

TechVersions si riserva il diritto di effettuare un audit delle strutture di uno qualsiasi dei suoi subappaltatori per garantirne la conformità agli obblighi contrattuali.

TechVersions riconosce tuttavia che l'autorizzazione a effettuare audit sugli impianti di un subappaltatore costituisce un'abilitazione e deve essere utilizzata solo in circostanze eccezionali. Ciò non riduce la responsabilità del subappaltatore di soddisfare i requisiti di conformità previsti dalle garanzie contrattuali fornite.

23. Politica di risoluzione dei reclami GSD

TechVersions fornirà una politica di risoluzione dei reclami a più livelli per risolvere eventuali controversie con qualsiasi interessato. Tali reclami saranno gestiti dal DPO al primo livello, dall'ISGC al secondo livello e da un Comitato per la risoluzione delle controversie online istituito a tale scopo dal Consiglio di Amministrazione al terzo livello.

Eventuali richieste provenienti da un'autorità di controllo del GDPR saranno gestite dal DPO e inoltrate all'ISGC, ove necessario.

Eventuali controversie con i Clienti, gli Editori o i Subappaltatori saranno gestite secondo i rispettivi accordi contrattuali.

24. Politica di sicurezza della rete

Per garantire la sicurezza dell'infrastruttura IT utilizzata dalla Società, TechVersions adotterà una solida politica di sicurezza delle informazioni che includa firewall, sistemi di rilevamento delle intrusioni, sistemi di prevenzione del malware e patch di sistema, ecc., secondo necessità.

Un responsabile della sicurezza delle informazioni designato sarà responsabile del mantenimento della sicurezza della rete.

P.S.: Il presente Codice è soggetto a revisione periodica.