PARTE A: Generale
Applicabilità
Questo documento è l'attuale versione operativa della politica di conformità GDPR in vigore dal 25 maggio 2018 e si applica alle attività di TechVersions che consiste nella seguente entità.
TechVersions, una società di pubblicazioni tecnologiche, 8000 Towers Crescent Drive, 13th Floor Vienna, VA 22182
Introduzione
L'attività principale di TechVersions è fornire supporto ai propri clienti nella commercializzazione di prodotti B2B generando contatti efficaci dai mercati target.
La lead generation viene effettuata attraverso ricerche di mercato intelligenti che raccolgono dati rilevanti per identificare intenzioni di acquisto affidabili delle aziende attraverso diversi canali, anche attraverso partner commerciali che utilizzano tecnologie pertinenti nel marketing sui social media, nel web marketing, nel marketing tramite posta elettronica e nel telemarketing.
Nel processo di queste attività, TechVersions funge da intermediario che aggiunge valore alla catena di marketing B2B. Le informazioni sulla campagna vengono fornite dai clienti e vengono perfezionate e convertite in materiali della campagna per la distribuzione nel potenziale spazio di mercato.
La distribuzione ai clienti target finali mediante il posizionamento dei materiali della campagna nei media pertinenti avviene tramite editori esterni che generano contatti. Una parte dei lead è generata dall'attività editoriale interna e dall'utilizzo di strumenti innovativi di corporate intent marketing sviluppati dal team di ricerca e sviluppo di TechVersions.
I lead generati dagli editori vengono filtrati in modo intelligente per migliorarne la qualità e convertiti in obiettivi di marketing attuabili prima di essere trasmessi ai clienti.
TechVersions ha sviluppato prodotti, processi e sistemi di generazione di informazioni proprietari che includono lo sviluppo di fornitori affidabili e manodopera qualificata, che insieme riflettono la proposta di valore che TechVersions apporta all'ecosistema di marketing B2B in tutto il mondo. Sostenere e coltivare questa competenza e utilizzarla per sfruttare le opportunità commerciali rappresenta un interesse legittimo di TechVersions.
Questo Codice di conformità GDPR adottato da TechVersions dichiara che TechVersions è impegnata nel concetto di "Privacy come diritto fondamentale di un cittadino di una società democratica" in tutto il mondo e in buona fede implementerà tutti i principi sulla privacy imposti dal GDPR laddove è applicabile.
TechVersions rivela tuttavia che è suo legittimo interesse svolgere un'operazione commerciale legittima in tutto il mondo come intermediario di mercato B2B ed è diritto democratico di TechVersions svolgere la propria attività in buona fede senza essere in conflitto con i diritti del singole persone fisiche la cui privacy deve essere tutelata ai sensi del GDPR.
TechVersions rivela inoltre che il suo modello di business richiede la raccolta solo dei dati di entità aziendali che non rientrano nell'ambito del GDPR e dei dati di contatto commerciale che non sono dati personali ma possono includere informazioni di identificazione personale in parte ma non includono dati personali di bambini e Dati personali classificati come “Categorie speciali” ai sensi del GDPR.
Esposizione al GDPR
TechVersionsGroup è fondamentalmente un "intermediario di marketing B2B" che opera in tutto il mondo generando contatti di marketing e fornendo assistenza ai clienti in molti paesi. TechVersions non opera nel mercato consumer e quindi non raccoglie né direttamente né indirettamente informazioni personali degli interessati dell'UE. I dati raccolti da TechVersions rientrano generalmente nella categoria dei dati di contatto aziendale dei dipendenti aziendali che, tra l'altro, contengono il nome, l'e-mail di lavoro e il numero di telefono di lavoro.
Una parte dei lead di marketing B2B viene generata nei paesi dell’UE e nel Regno Unito. Alcuni clienti situati in UE/Regno Unito possono anche avvalersi dei servizi di TechVersions. Attualmente, la maggior parte delle interazioni con i clienti avviene negli Stati Uniti, mentre la maggior parte delle interazioni con i partner commerciali che generano lead avviene in India.
L'esposizione al GDPR di TechVersions viene quindi riconosciuta quando i dati di contatto aziendali vengono raccolti da organizzazioni aziendali che operano nelle regioni UE/Regno Unito.
Approccio alla conformità GDPR
Al fine di consentire l'applicazione di una norma quanto più rigorosa possibile al trattamento dei dati esposti al rischio di conformità al GDPR, TechVersions adotta una politica per trattare i dati sensibili al GDPR (GSD) come "Dati sensibili" che fluiscono attraverso le risorse di TechVersions taggando il dati in ingresso con un tag idoneo per classificarli come GSD ove applicabile.
La tutela della privacy degli interessati e la sicurezza delle informazioni relative alla tutela della privacy in relazione ai dati contrassegnati da GSD sono presi in considerazione nella progettazione della struttura di supporto.
Sebbene i dati vengano elaborati in luoghi specifici e l’infrastruttura tecnica per l’elaborazione dei GSD si trovi in tali luoghi specifici, è stata creata una consapevolezza del GDPR a livello aziendale e continuerà ad essere perseguita in modo che i principi di questo Codice di condotta GDPR si diffondano a tutto il mondo. organizzazione oltre il trattamento GSD per includere le funzioni Marketing, Finanziarie e Manageriali che possono essere ubicate in luoghi diversi con la propria infrastruttura tecnica e amministrativa.
Al fine di implementare efficacemente la sicurezza dell'intera infrastruttura di elaborazione dei dati, la Società ha adottato una politica completa di sicurezza delle informazioni che comprende molteplici sottopolitiche relative all'accesso ai dati, all'archiviazione del trattamento, alla trasmissione, ecc.
Impegno sulla privacy
TechVersions riconosce che la “Privacy” è un importante diritto democratico nella società civile. In quanto entità aziendale responsabile, TechVersions si impegna a proteggere la privacy di tutte le singole persone fisiche i cui dati personali entrano nell'archivio dati aziendale per l'elaborazione.
In considerazione della presenza di Clienti in UE/Regno Unito e del monitoraggio delle attività dei dipendenti aziendali residenti in UE/Regno Unito, TechVersions ha scelto di adottare standard di conformità GDPR verso la tutela della Privacy di tutte le persone fisiche che potrebbero interagire con il gruppo anche quando tale interazione avviene solo nella loro qualità di dipendenti di diverse entità aziendali che perseguono gli obiettivi aziendali delle rispettive organizzazioni imprenditoriali.
Interesse legittimo
L'attività principale di TechVersions prevede il trattamento dei dati relativi all'acquisto di diversi prodotti per uso aziendale. Lo spettro di attività comprende raccolta, aggregazione, analisi, segmentazione e monitoraggio degli intenti. Nel processo di tale elaborazione, TechVersions aggiunge valore ai dati grezzi raccolti dall'ambiente aziendale e li converte in informazioni di supporto alle decisioni aziendali a valore aggiunto.
I Dati Grezzi raccolti sono riconosciuti come dati appartenenti all'Interessato e ai quali sono applicabili i diritti dell'Interessato previsti dal GDPR. Il valore aggiunto ai dati che si verifica durante il processo deriva dalle capacità proprietarie di elaborazione dei dati di TechVersions su cui TechVersions vanta un certo livello di rivendicazione di diritti di proprietà intellettuale.
Se qualche dato è stato pseudonimizzato, i dati pseudonimizzati a valore aggiunto saranno considerati dati sui quali TechVersions ha un legittimo interesse a utilizzare per ulteriori ricerche. I dati non pseudonimizzati, anche nello stato a valore aggiunto, sono soggetti all'esercizio dei diritti dell'interessato quali accesso, rettifica, limitazione, portabilità e cancellazione. Eventuali dati pseudonimizzati non saranno classificati come sensibili al GDPR.
TechVersions possiede un legittimo interesse commerciale, come riconosciuto ai sensi dell'Articolo 6(1)(f) del regolamento GDPR dell'UE, nella raccolta e nel trattamento di dati relativi all'azienda come dati aziendali e dati di contatto aziendale dei funzionari decisionali nelle entità aziendali
Inoltre, l'attività di TechVersions comporta operazioni all'interno e all'esterno dei paesi dell'UE e quindi è esposta agli obblighi statutari di diversi paesi relativi al trattamento dei dati, nonché ad altre leggi applicabili alle attività commerciali in generale e alle attività legate all'IT in particolare, come previsto dall'Articolo 6 (1)(c) del regolamento GDPR dell'UE.
Inoltre, TechVersions ha adottato pratiche commerciali per il trattamento lecito incorporando i principi del GDPR dell'UE come enunciati all'articolo 6, tra cui l'ottenimento del consenso esplicito informato ove richiesto e il rispetto dei requisiti degli obblighi contrattuali con gli interessati, se presenti.
Le politiche di TechVersions sulla Privacy e sulla Protezione dei Dati sono quindi strutturate con specifici controlli sulla Privacy e sulla Sicurezza delle Informazioni che affrontano il problema dell'identificazione dei dati sensibili GDPR nella fase della loro origine e dell'ingresso nel sistema TechVersions e di taggarli durante tutto il loro ciclo di vita del trattamento.
Ampliare l’ambito di conformità all’ecosistema del trattamento dei dati
Inoltre, mantenendo l'intento legislativo di proteggere il diritto fondamentale alla privacy delle persone, enunciato nel GDPR dell'UE, vengono mantenuti adeguati controlli tecnici e organizzativi/amministrativi per garantire che tutti i soci commerciali a valle che potrebbero avere accesso ai dati sensibili del GDPR per l'elaborazione per conto di Le TechVersion sono anche conformi al GDPR.
TechVersions riconosce che nella maggior parte delle sue operazioni non è un "titolare del trattamento dei dati" ma è un "responsabile del trattamento dei dati" ai fini del GDPR. Può assumere il ruolo di “Contitolare del trattamento” quando si avvale dei servizi di subappaltatori per qualsiasi parte dei suoi trattamenti.
Tenendo in considerazione questi ruoli, le politiche e i controlli di TechVersions sono strutturati per garantire la conformità al GDPR, incluso il mantenimento di controlli tecnici e organizzativi/amministrativi adeguati per mantenersi debitamente informati sulle attività di conformità al GDPR dei suoi partner commerciali e anche condividere con loro la conformità al GDPR di TechVersions. misure eventualmente necessarie.
Limitazioni di questo documento
I paragrafi seguenti forniscono la politica generale di TechVersions per la conformità al GDPR a livello aziendale, evidenziando l'approccio di TechVersions nel raggiungimento di un livello soddisfacente di conformità ai principi del GDPR nelle sue operazioni.
Questo documento politico è pensato per una condivisione limitata con le parti interessate, comprese le entità aziendali esterne a TechVersions, e quindi esclude le informazioni proprietarie sul trattamento laddove sia essenziale per proteggere la proprietà intellettuale dell'organizzazione.
Qualsiasi richiesta di divulgazione di informazioni oltre a quanto qui indicato verrà affrontata in base alla Politica di divulgazione dei dati di TechVersions e tali richieste possono essere indirizzate al Responsabile della privacy tramite un'e-mail autenticata non affidabile.
Parte B: linee guida politiche specifiche
- Responsabilità assegnata
TechVersions ha designato un responsabile della privacy che sarà la persona di contatto per gestire tutte le richieste e i reclami degli interessati. Considerando l'attuale livello di esposizione al rischio relativo ai dati sensibili GDPR in TechVersions, si ritiene che l'attività principale di TechVersions non implichi un monitoraggio sistematico e su larga scala degli interessati dell'UE né l'offerta di servizi agli individui nell'UE e quindi non vi è nessun obbligo di designare un “Responsabile della Protezione dei Dati” come previsto dal GDPR.
Un comitato per la governance della sicurezza delle informazioni (ISGC) sarà complessivamente responsabile della sicurezza delle informazioni, inclusa la conformità al GDPR. Sarà l'organo decisionale apicale di TechVersions, responsabile della definizione di tutte le politiche di sicurezza delle informazioni, inclusa la politica GDPR, e monitorerà la necessità di designare qualsiasi persona o consulente come responsabile della protezione dei dati a tempo debito.
- Classificazione dei dati
TechVersions non è coinvolta nel marketing rivolto a singole persone fisiche e quindi normalmente non raccoglie dati personali che rientrano nelle disposizioni normative del GDPR. Tuttavia, tutti i dati personali potenzialmente identificabili come l'indirizzo e-mail e il numero di telefono di un dipendente di un'organizzazione sono classificati come "sensibili al GDPR" se è noto che l'unità aziendale o il dipendente si trovano nell'UE/Regno Unito.
Di conseguenza, l'intero set di dati di contatto aziendale associato a un indirizzo di sede fisica nell'UE/Regno Unito viene identificato come dati sensibili GDPR (GSD) e contrassegnato durante l'ulteriore elaborazione all'interno dell'organizzazione.
In assenza delle informazioni sull'ubicazione fisica dell'interessato, sarebbe considerata rilevante l'ubicazione fisica dell'organizzazione aziendale associata.
- Verifica dei dati
Una volta prima del 25 maggio 2018 e successivamente a intervalli mensili o come altrimenti stabilito dall'ISGC, i set di dati archiviati saranno verificati per individuare qualsiasi GSD e verificare i requisiti di conformità ad esso associati, ad esempio se i dati devono essere archiviati, cancellati o altrimenti appositamente assicurato.
Verrà consigliata la cancellazione di qualsiasi set di dati GSD non accompagnato da un apposito “Consenso” o da una “Nota di Legittimo Interesse”.
Alla conferma, tali dati verranno cancellati a livello forense.
- Valutazione di impatto del GDPR
È stata effettuata una valutazione del gap GDPR e sono state implementate le azioni correttive come richiesto prima del 25 maggio 2018. Dopo il 25 maggio 2018, una valutazione dell'impatto sulla protezione dei dati (DPIA) sarà effettuata ogni volta che viene intrapreso un nuovo progetto significativo come e quando l'ISGC identifica il necessità.
- Nuova politica di accettazione aziendale
A partire dal 25 maggio 2018 tutti i nuovi impegni aziendali che comportano il trattamento dei dati saranno soggetti all'approvazione dell'ISGC con una specifica nota di valutazione di impatto GDPR presentata dal DPO in consultazione con il team tecnico incaricato del trattamento.
- Politica di archiviazione dei dati GSD
I GSD devono essere archiviati in sistemi a cui accedono solo le persone designate in base a una rigorosa "necessità di conoscenza".
Ogni set GSD deve essere contrassegnato con il titolare del trattamento dei dati da cui ha avuto origine e che è responsabile della raccolta dei dati in base al consenso o al contratto.
Eventuali restrizioni specifiche associate a tale set di dati dovranno essere contrassegnate anche con il set di dati.
L'archiviazione dei dati consentirà l'individuazione e il trattamento dei singoli dati per l'esecuzione dei diritti di qualsiasi interessato, come la richiesta di rettifica dei dati, la portabilità dei dati, la cancellazione dei dati o l'accesso ai dati in qualsiasi momento durante il loro ciclo di vita.
- Politica di accesso ai dati GSD
Si accederà a GSD secondo la politica di controllo degli accessi che garantisce che ciascun set di dati GSD abbia parametri di accesso specifici che definiscono chi può accedere ai dati e come accede ai dati. Solo coloro che sono designati come personale GSD possono accedere al set di dati GSD.
L'uso di parametri di accesso come le password deve essere definito con il grado di complessità e unicità richiesto e integrato con crittografia e tag ID macchina in modo che i dati GSD siano accessibili solo da hardware specifico assegnato alla forza lavoro GSD autorizzata.
Laddove l'archiviazione dei dati è sul cloud, dovranno essere utilizzati solo servizi cloud conformi al GDPR insieme a controlli aggiuntivi che potrebbero essere richiesti per garantire che i dati in fase di archiviazione e transito siano protetti da accessi non autorizzati.
I GSD specifici del progetto vengono archiviati in modo tale che solo i dipendenti associati a un determinato progetto abbiano accesso ai dati. L'accesso tra progetti sarà regolato in base alle necessità.
- Politica di conservazione dei dati GSD
Il GSD deve essere conservato in un ambiente di processo attivo solo per il periodo minimo necessario per l'elaborazione. Successivamente, i dati verranno archiviati in modo sicuro secondo il requisito identificato nell'interesse legittimo, ad esempio fino al completamento del ciclo di fatturazione del progetto.
Successivamente, i dati verranno conservati in un archivio sicuro o distrutti secondo i requisiti di interesse legittimo identificati della Società.
Verrà effettuata una revisione mensile dei dati archiviati per identificare i dati che non sono più necessari e che dovranno essere riferiti all'ISGC per istruzioni sullo smaltimento.
Gli obblighi legali sulla conservazione dei dati che potrebbero sorgere a causa di eventuali sovrapposizioni di legislazioni saranno presi in considerazione nella valutazione dell’interesse legittimo.
- Politica di divulgazione dei dati GSD
Qualsiasi richiesta di divulgazione di GSD dovrà normalmente pervenire solo al Titolare del trattamento di origine.
Resta inteso che le richieste pervenute direttamente dagli interessati sono soggette al rischio di phishing e tali eventuali richieste dovranno essere indirizzate al corrispondente Titolare del trattamento che ha raccolto i dati dall'interessato in forza del consenso o del contratto eventualmente intercorrente tra loro.
I dati oggetto di comunicazione saranno comunicati esclusivamente al Titolare per poi essere trasmessi all'Interessato previa debita autenticazione dell'identità del rappresentante del Titolare che ne fa richiesta.
In circostanze eccezionali in cui i dati debbano essere comunicati direttamente all'interessato o al suo rappresentante autorizzato o alle autorità di contrasto, è garantita un'adeguata autenticazione dell'identità della persona che presenta la richiesta.
Tutte le richieste di divulgazione dei dati devono essere approvate dall'ISGC prima del rilascio dei dati e la richiesta, nonché i documenti di valutazione, saranno considerati come documentazione richiesta di conformità al GDPR.
- Politica di gestione degli incidenti relativi ai dati GSD
Un "Incidente" ai sensi del presente codice sarà qualsiasi osservazione che possa potenzialmente indicare che il codice di conformità GSD o qualsiasi politica o procedura ivi prevista sia stata violata, indipendentemente dal fatto che si sospetti o meno che i dati siano stati compromessi.
La politica di un informatore può essere utilizzata per garantire che gli incidenti siano segnalati tempestivamente da qualsiasi osservatore sia all'interno dell'Azienda che all'esterno.
Qualsiasi incidente di questo tipo che venga a conoscenza di TechVersions dovrà essere registrato in un registro di gestione degli incidenti GSD e indirizzato al DPO per un'azione immediata.
Il DPO esaminerà la segnalazione dell'incidente e adotterà misure immediate per risolvere l'incidente e anche per segnalare l'incidente all'ISGC.
L’ISGC convocherà una riunione tempestivamente e valuterà l’incidente per identificare se si tratta di una sospetta violazione dei dati. Ove necessario, l’ISGC può ordinare un immediato audit tecnico-legale per una valutazione del rischio dell’incidente. Sulla base della valutazione del rischio, l'ISGC deciderà la necessità di ulteriori azioni, incluso l'invio di una notifica di violazione dei dati al Titolare del trattamento associata ai Dati.
Un incidente in cui un altro dipendente dell'organizzazione ha avuto accesso al GSD è considerato un incidente di sicurezza e non necessariamente una "violazione". Tuttavia, tali incidenti dovranno essere indagati per quanto riguarda la causa dell'accesso non autorizzato e, se si tratta di un accesso accidentale e involontario, potrà essere risolto con un'adeguata azione disciplinare interna secondo la politica delle risorse umane. Se i dati non sono stati spostati o non vi è stato accesso da parte di un esterno, l'incidente può essere classificato come un incidente interno ai dati che non equivale a una violazione.
Nel caso in cui sia noto che l'accesso o i dati spostati erano in forma crittografata e si trovavano in uno stato in cui non erano decifrabili dal destinatario, previa adeguata indagine interna sulla sicurezza della chiave di decrittazione associata, l'accesso potrà essere classificato come un incidente interno ai dati che non costituisce una violazione.
- Politica di notifica della violazione dei dati GSD
Un incidente di "Violazione dei dati" è un incidente in cui TechVersions, dopo le necessarie indagini, è venuta a conoscenza che l'accesso a qualsiasi set di dati specifico sotto GSD è stato compromesso e un'entità esterna è arrivata ad accedere o inviare un set GSD.
Tale incidente di violazione dei dati dovrà essere immediatamente segnalato all'ISGC che, senza ulteriore ritardo, informerà il Titolare del trattamento associato al set di dati insieme ai dettagli rilevanti dell'incidente.
Tale segnalazione dovrà specificare la natura e l'entità della violazione, l'ora e la data della violazione, i dettagli degli interessati interessati, le azioni intraprese dopo la notifica della violazione, ecc. Se necessario, la violazione dei dati può essere segnalata anche a un autorità di vigilanza.
- Politica di gestione dei diritti dell'interessato di GSD
Il sistema di elaborazione dati di TechVersions ha incorporato "Privacy e sicurezza fin dalla progettazione" in modo da consentire la conformità ai requisiti GDPR, in particolare per quanto riguarda i diritti dell'interessato previsti dal GDPR.
Al fine di soddisfare questi diritti dell'interessato come "Accesso", "Rettifica", "Cancellazione", "Portabilità" e diritto di imporre "Restrizioni", TechVersions ha abilitato i suoi sistemi di archiviazione e accesso GSD in modo tale che a il set di dati appartenente a un interessato specifico può essere estratto separatamente ed elaborato.
Il sistema è stato quindi progettato per essere conforme ai più severi requisiti del GDPR.
Ogni volta che perviene una richiesta di esercizio di tali diritti da parte di un Interessato, come da Informativa sulla privacy, la richiesta viene prima convalidata e poi, nel caso in cui i dati siano stati ricevuti da un Titolare del trattamento, verrà richiesto al Titolare del trattamento di confermare l'avvenuta divulgazione dei dati.
Di norma, la richiesta è trattata in comunicazione con il titolare e, qualora debba essere portata, viene rinviata al titolare.
In circostanze eccezionali in cui TechVersions deve gestire la richiesta di un interessato senza la collaborazione del titolare del trattamento, saranno adottate adeguate precauzioni per prevenire un'errata divulgazione poiché sarebbe nel legittimo interesse di TechVersions essere indenne da ogni possibile illecita divulgazione .
- Politica di trasmissione dei dati GSD
I dati GSD possono normalmente fluire nel sistema attraverso un'interfaccia dell'applicazione (API). L'accesso all'interfaccia avviene tramite un sistema di accesso sicuro con password potenziato con un'adeguata autenticazione di secondo fattore in cui viene identificato un rischio GSD significativo.
La trasmissione dei dati avviene su base crittografata, soggetta alla gestione della sicurezza della trasmissione che copre le vulnerabilità note.
L'applicazione stessa, i suoi elementi di archiviazione ed elaborazione intrinseci e l'API sono protetti da accessi non autorizzati e attacchi dannosi da un malware appropriato e da un sistema di gestione degli accessi sicuri
Laddove il set GSD venga trasmesso anche al Cliente o al Subappaltatore, la trasmissione viene gestita attraverso canali di comunicazione crittografati tramite un'API o un'e-mail crittografata.
- Politica di utilizzo marketing di GSD
Quando TechVersions utilizza GSD per qualsiasi scopo di marketing tramite e-mail o telefonate o in altro modo, viene prestata attenzione per garantire che vi sia un consenso o un contratto appropriato per consentire tale comunicazione.
TechVersions insiste inoltre affinché i suoi partner, sia i generatori di lead, i processori subappaltatori che i clienti, non utilizzino il GSD se non in base alle autorizzazioni disponibili.
Laddove non sia disponibile un consenso inequivocabile, nessun dato di contatto commerciale viene raccolto dai generatori di lead o trasmesso ai clienti o elaborato tramite i subappaltatori.
Tali dati vengono uccisi in prima istanza quando entrano nel sistema TechVersions e identificati come "GSD senza adeguato consenso al trattamento".
- Politica di consenso GSD
Tutte le informazioni classificate come GSD in virtù del fatto che l'interessato si trova nell'UE/Regno Unito o il suo datore di lavoro si trova nell'UE/Regno Unito saranno accettate solo se l'interessato ha fornito un consenso esplicito basato sul formato richiesto dal GDPR.
Nello scenario pre-GDPR, tali consensi erano generalmente raccolti secondo i principi del trattamento dei dati personali che includevano un’Informativa sulla privacy. Tale Informativa sulla Privacy indicava quali informazioni venivano raccolte, lo scopo della raccolta, il tempo per il quale sarebbero state conservate, come sarebbero state protette, se le informazioni fossero accurate, se sarebbero state trasferite fuori dall'UE per l'elaborazione, ecc., Alcuni consensi si basavano sul principio “Opt-in” come impostazione predefinita.
Secondo il GDPR, è essenziale che i dati personali vengano raccolti solo sulla base di un consenso esplicito dove “Opt-Out” è l’opzione predefinita e solo sulla base di un’azione affermativa che indica l’accettazione, il consenso verrebbe accettato.
Inoltre, l’informativa sulla Privacy dovrebbe anche indicare che l’interessato gode di alcuni diritti quali “Diritto ad essere informato sull’identità dei responsabili a valle”, “Diritto di accesso e rettifica”, “Diritto alla portabilità e cancellazione”.
Alla luce dei nuovi requisiti, tutti i consensi ottenuti nel formato pre-GDPR saranno considerati non validi e tali dati verranno eliminati da TechVersions.
Gli editori esterni che generano lead per TechVersions dovranno confermare attraverso i loro contratti che forniranno solo lead generati con la nuova forma di consenso nel caso in cui l'interessato si trovi in UE/Regno Unito.
- Politica di comunicazione con le parti interessate di GSD
TechVersions opera attraverso molte organizzazioni esterne che sono parti interessate nel programma di conformità GDPR di TechVersions. Tali organizzazioni includono i suoi clienti, generatori di lead, subappaltatori, ecc.
Per una conformità efficace, nessun dato GSD dovrebbe essere scambiato in qualsiasi comunicazione con le parti interessate se non attraverso una trasmissione sicura e solo ai rappresentanti autorizzati.
Mentre la comunicazione tramite API è controllata dalla policy di accesso, qualsiasi altra comunicazione tramite posta elettronica deve essere controllata con una policy di comunicazione tramite posta elettronica.
In sostanza, una politica di comunicazione e-mail deve definire che la condivisione di qualsiasi informazione sulla conformità GSD o GDPR con una parte interessata deve avvenire solo tramite un indirizzo e-mail di contatto notificato che sarà nella maggior parte dei casi il DPO dell'altra organizzazione, ove necessario La comunicazione e-mail può essere crittografata e autenticata con firma digitale.
- Politica di identificazione degli interessi legittimi di GSD
TechVersions riconosce che alcuni diritti degli interessati come la cancellazione o la rettifica dei dati potrebbero essere in conflitto con i requisiti di interesse legittimo di TechVersions o potrebbero essere in conflitto con le leggi sulla conservazione dei dati che potrebbero essere altrimenti applicabili ai dati in considerazione di altri obblighi legislativi .
In tutti i casi in cui i diritti dell'interessato vengono implementati, TechVersions valuterà la richiesta prima di intraprendere ulteriori azioni. Nel caso in cui TechVersions riconosca la necessità di rifiutare la richiesta o di modificarla per accettarla, le ragioni verrebbero documentate e l'ISGC svilupperebbe una nota di interesse legittimo GSD.
Laddove non sia necessario che i dati siano attivi, possono essere archiviati in modo sicuro fino alla scadenza dell'interesse legittimo.
Le ragioni per esercitare l'interesse legittimo per elaborare la richiesta dell'interessato devono essere comunicate al Titolare del trattamento che è responsabile dell'Interessato per la successiva trasmissione all'interessato.
- Politica di gestione delle persone di GSD
GSD sarà considerato un set di dati che richiede un'attenzione esclusiva e speciale in termini di sicurezza delle informazioni mentre è custodito da TechVersions.
Pertanto, il GSD verrebbe opportunamente contrassegnato ed elaborato in base alla necessità di conoscenza da parte di un gruppo di dipendenti appositamente addestrato.
Questi dipendenti e i sistemi in cui i GSD verrebbero archiviati, consultati ed elaborati sarebbero gestiti in modo sicuro considerando il livello di rischio associato a GSD.
L'assegnazione delle persone al trattamento GSD e la loro rimozione saranno gestite con le misure di sicurezza adeguate, incluso un livello più elevato di verifica dei precedenti, formazione, identità di accesso fisico, politiche sanzionatorie, ecc.
Le politiche delle risorse umane devono essere opportunamente aggiornate per la forza lavoro GSD, come potrebbe essere necessario.
- Politica di pseudonimizzazione di GSD
È riconosciuto che la pseudonimizzazione è una strategia per ridurre i rischi nel trattamento della GSD.
I dati personali pseudonimizzati non sono considerati “Dati personali” ai fini del regolamento GDPR a condizione che il processo di pseudonimizzazione sia adeguatamente strutturato.
In considerazione dell’attuale livello di esposizione delle sue operazioni ai rischi GDPR; TechVersions non ha ritenuto necessario al momento utilizzare la pseudonimizzazione come strategia per la mitigazione del rischio.
- Politica GSD DRP-BCP
TechVersions riconosce l'importanza di un piano efficace di ripristino di emergenza e continuità operativa per le proprie operazioni, comprese le operazioni che coinvolgono l'elaborazione GSD.
TechVersions manterrà un backup adeguato dei dati GSD e una ragionevole capacità di mantenere la continuità aziendale in caso di eventualità.
- Politica sulla documentazione di conformità GSD
Le misure di conformità al GDPR devono essere documentate in modo che siano disponibili per la revisione. La documentazione di Compliance dovrà essere conservata per un periodo minimo di 6 anni dalla sua creazione.
Nel caso in cui un documento costituisca una potenziale prova per requisiti di applicazione della legge o per difendere l'interesse legittimo di TechVersions, tale documento verrà conservato finché persiste il requisito.
- Politica di audit GSD
Un team di audit della sicurezza interna di TechVersions controllerà le risorse informative di TechVersions almeno una volta all'anno per valutare il livello di sicurezza e conformità al GDPR e ad altri requisiti normativi.
Gli audit esterni possono essere presi in considerazione sulla base di una valutazione da parte dell'ISGC ogni volta che si verifica un cambiamento sostanziale nel profilo aziendale.
TechVersions si riserva il diritto di condurre un audit delle strutture di uno qualsiasi dei suoi subappaltatori per garantire il rispetto degli obblighi contrattuali.
TechVersions riconosce tuttavia che il potere di controllare le strutture di un subappaltatore è abilitativo e deve essere utilizzato solo in circostanze eccezionali. Ciò non riduce la responsabilità del subappaltatore di soddisfare i requisiti di conformità secondo le garanzie contrattuali fornite.
- Politica di riparazione dei reclami GSD
TechVersions fornirà una politica di risoluzione dei reclami multilivello per risolvere eventuali controversie con qualsiasi interessato. Tali reclami saranno affrontati dal DPO al primo livello, dall'ISGC al secondo livello e da un Comitato per la risoluzione delle controversie online istituito allo scopo dal Consiglio al terzo livello.
Qualsiasi richiesta da parte di un'autorità di controllo del GDPR sarà gestita dal DPO e inoltrata all'ISGC ove richiesto.
Eventuali controversie con Clienti, Editori o Subappaltatori saranno gestite secondo i rispettivi accordi contrattuali.
- Politica di sicurezza della rete
Al fine di garantire che l'infrastruttura IT utilizzata dalla Società sia sicura, TechVersions adotterà una solida politica di sicurezza delle informazioni comprensiva di firewall, sistemi di rilevamento delle intrusioni, sistemi di prevenzione malware e patch di sistema, ecc. come richiesto.
Un Responsabile della Sicurezza delle Informazioni designato sarà responsabile del mantenimento della sicurezza della Rete.
PS: Questo Codice è soggetto a revisione di volta in volta.