Informativa sulla privacy ai sensi del Regolamento UE GDPR 2016/679
Il titolare del trattamento dei dati è la Croce Rossa Italiana - Comitato Regionale della Toscana con sede in
Firenze Via dei Massoni, 21
nella persona del Presidente regionale.
Ufficio preposto alla trattazione dati: Ufficio Attività Emergenze
Dati di contatto del responsabile della trattazione dati:
Tel. 055 40571 email: leardo.romanelli@cri.it
La presente informativa sulla privacy illustra quali sono i dati personali che il Titolare può raccogliere tramite l'utilizzo dei software forniti da Zerobyte Sistemi Srl. Tali dati possono essere raccolti anche dagli utenti che il Titolare riterrà opportuno far accedere al software.
Questa informativa illustra anche le modalità con cui vengono gestiti tali dati.
Zerobyte fornisce al Titolare un prodotto software con il quale egli può raccogliere dati di terzi. Nei confronti di quest’ultimi il nostro Cliente risulta essere il Titolare del trattamento dei dati, con gli obblighi previsti per tale profilo dalla vigente normativa privacy.
Il software protegge i dati secondo quanto descritto in questo documento, ai sensi della vigente normativa in materia di privacy (Regolamento UE 2016/679 , anche indicato come GDPR 2016/679).
Si ricorda al Titolare che nel caso inserisca nel software dati di terzi occorre avvisare questi soggetti tramite una informativa (art. 14 GDPR 2016/679), nonché raccogliere il consenso al trattamento ai sensi dell’art.6 e art.9 GDPR 2016/679.
Occorre inoltre che il Titolare avvisi e ricordi ai soggetti che inseriscono nel software dati di terzi, che a loro volta devono avvisare quest’ultimi tramite opportuna informativa, nonché raccogliere il consenso al trattamento.
Il software mette a disposizione un apposito strumento per informare in questo senso gli utenti che accedono al sistema.
Nel caso il Titolare necessiti di inserire nel software dati genetici, biometrici o in generale relativi alla salute o ad altre situazioni 'sensibili', deve farlo nel rispetto delle limitazioni e degli obblighi previsti dal GDPR 2016/679, in particolare si segnalano gli articoli 9,30,32,35 del Regolamento UE; deve inoltre farlo in modo che non siano riconducibili ad una persona fisica identificata o identificabile, mantenendo le informazioni separate e al di fuori del software.
E' prevista una sezione del software che consente di inserire in archivio persone/strutture in modo criptato. Questo per consentire una ulteriore protezione dei dati. L'accesso a questi dati è subordinato ad un particolare diritto ed una ulteriore password (oltre a quelle relativa alle credenziali di accesso) da inserire al momento della consultazione, questa passwordnon è memorizzata ne all'interno del software nel database, ma conservata esternamente a cura del Titolare.
Il software di Zerobyte è progettato per minimizzare i dati raccolti, per poter gestire solamente quelli necessari per ogni specifica funzione del programma.
Il software è progettato inoltre per rendere disponibili ed accessibili i dati esclusivamente agli utenti che hanno uno scopo ben definito e preimpostato dal Titolare. Il Titolare tramite le funzioni del software può in qualsiasi momento ridurre o estendere l’accessibilità dei dati.
Per proteggere i dati personali da accesso, utilizzo o divulgazione non autorizzati sono impiegate diverse tecnologie e procedure di protezione. Ad esempio, i dati sono memorizzati su sistemi computerizzati ad accesso limitato. Il database è protetto da password, gli accessi al software sono regolati da credenziali di accesso personalizzati con password protetta mediante crittografia.
Il database può risiedere su un server del Cliente al quale si raccomanda di gestirlo secondo criteri di massima protezione, oppure su un server Zerobyte. In questo caso il server è fisicamente collocato presso una delle server farm del provider Aruba ubicate nelle città di Milano oppure Arezzo. Anche i backup periodici, se a carico della nostra azienda, risiedono o su server del Titolare o di Zerobyte (ubicati come sopra indicato). I backup vengono mantenuti per 7 giorni e poi sovrascritti con i più recenti.
Al termine del rapporto col Titolare, i dati presenti sul server Aruba, sono cancellati entro un mese dal termine del rapporto contrattuale.
Prodotti software:
I seguenti prodotti/moduli software possono essere utilizzati dal Titolare o da utenti da lui autorizzati per memorizzare e gestire dati personali.
Terminologia utilizzata:
Cliente: il soggetto pubblico o privato al quale Zerobyte ha effettuato la fornitura
Credenziali di accesso: coppia di dati (nome utente e password) tramite i quali un soggetto può effettuare l'accesso al programma
Utente: soggetto abilitato dal Titolare che, tramite credenziali di accesso, può accedere al software
ZeroGis-Rubrica - Volontariato
E' un archivio nel quale possono essere registrati dati riguardanti strutture o persone. I dati da trattare concernono le seguenti informazioni personali Nome, Cognome, CF, Indirizzo, Recapiti, Specializzazioni, Formazione, altre informazioni che l'amministratore (titolare del trattamento dei dati) può implementare in autonomia. L’accesso a questo archivio, oltre che dalla password è protetto anche da diritti ulteriori stabiliti dal Titolare. Quando si elimina una voce di rubrica, esse subisce una eliminazione di tipo logico, quindi permane nell’archivio. Nel caso un interessato richieda al titolare del trattamento dei dati la cancellazione delle proprie informazioni personali (diritto all’oblio art. 17 GDPR 2016/679), il Titolare dovrà utilizzare l’apposita funzione di cancellazione.
Questa funzione provvede ad anonimizzare il dato all’interno del database. Il dato cancellato rimarrebbe comunque nei backup effettuati che in caso di ripristino porterebbero di nuovo i dati nell’archivio. Se il backup è a carico del Titolare, si consiglia di considerare questo aspetto. Se i backup sono effettuati dalla nostra azienda si ricorda che essi sono mantenuti per 7 giorni e poi distrutti, ma in questo lasso di tempo, seppur breve, potrebbe verificarsi la necessità di un ripristino. Nell’ambito dei servizi in essere col Titolare, quest’ultimo può richiedere alla nostra azienda l’effettuazione di un backup straordinario, successivo alla cancellazione del nominativo, e la cancellazione dei precedenti backup.
I dati ritenuti da proteggere devono essere catalogati dal Titolare tramite una classificazione associata ad apposita tipologia. Queste schede sono visibili e/o modificabili tramite uno speciale permesso che l'amministratore (il Titolare) può attivare o meno ai singoli utenti. Le schede di questo tipo contengono un campo “sigla” che identifica il soggetto in modo anonimo ed una scheda con dati che sono criptati all'interno del database.
La chiave di decodifica è criptata e accessibile tramite un particolare password che non è memorizzata ne all'interno del software ne nel database, ma conservata esternamente a cura del Titolare.
ZeroGis-Eventi
Nell’ambito della gestione delle emergenze è prevista l’associazione evento/soccorritore.
In questa sezione di programma sono memorizzati le date in cui gli operatori sono intervenuti ed altri dati che il Titolare ritiene opportuno memorizzare.
Il dato della persona interessata è collegato all’evento tramite un codice. L’eliminazione descritta nel modulo Rubrica garantisce che, in caso di cancellazione, in questa sezione non rimangano dati che possono essere associati e ricondotti alla persona cancellata.
ZeroGis-Corsi
Il dato della persona interessata al corso è collegata all'anagrafica tramite codice, ma per motivi di storicizzazione viene memorizzato nell'apposita tabella di database anche il nominativo. Di questo fatto ne viene tenuto conto nel caso di richiesta di cancellazione.
ZeroGis-Message
Il dato della persona interessata è collegata all'anagrafica tramite codice, ma per motivi di storicizzazione viene memorizzato nell'apposita tabella di database anche il nominativo. Di questo fatto ne viene tenuto conto nel caso di richiesta di cancellazione. Oltre al nominativo vengono memorizzati i recapiti per la spedizione in base al tipo di invio selezionato (telefoni, fax, email, PEC).
ZeroGis-Segreterie
In questa sezione sono memorizzati dati relativi agli interventi del personale sull'evento. Anche in questo caso l'associazione è per codice.
Sono memorizzati anche i dati degli ospiti dei campi di accoglienza. Alcuni dei dati di questi soggetti sono criptati e visibili esclusivamente con la password aggiuntiva già descritta per il modulo 'Rubrica'.
Credenziali di accesso:
Zerobyte consegna al Titolare il software con le seguenti impostazioni per le password:
|
Memorizzata con crittografia algoritmo MD5 |
Obbligo variazione al primo accesso |
|
Lunghezza minima 8 caratteri |
Obbligo variazione dopo sei mesi |
|
Obbligo: numeri/lettere/maiuscolo/minuscolo/caratteri speciali |
Blocco accesso contemporaneo con stesse credenziali |
|
Disattivazione per non uso di sei mesi |
Disattivazione accesso con timeout dopo 30 minuti di non utilizzo |
|
Blocco accesso dopo 3 tentativi falliti |
Obbligo uso password diversa dalle 3 precedenti |
L'amministratore del sistema (titolare del trattamento dei dati) può intervenire e modificare questi parametri.
Desideriamo inoltre metterVi a conoscenza delle modalità di trattamento applicate ai Vs. dati personali
Tutti i dati in ns. possesso o che acquisiremo successivamente, saranno trattati nel rispetto dei Vs. diritti, come previsto dalla vigente normativa.
Vi forniamo pertanto, le seguenti informazioni:
Il trattamento dei Vs. dati personali è esclusivamente finalizzato alle attività istituzionali e non saranno ceduti a terzi. I dati raccolti riguardano Nominativo, Indirizzo, CF/P.IVA, Riferimenti per comunicazioni/CF/P.IVA/Documenti di riconoscimento, formazione, tipologia di soggetto, IP di provenienza, specializzazioni ed altri dati presenti nelle apposite schede.
Il periodo di conservazione dei dati è un mese dalla cessazione del contratto/termine del servizio/disiscrizione dal servizio per finalità di tutela del credito/adempimenti di legge.
Taletrattamento è effettuato tramite supporti cartacei e strumenti informatici in modo da garantire la sicurezza e la riservatezza dei dati, secondo la vigente normativa. I dati sono ubicati fisicamente presso la server farm di Aruba di Arezzo o Milano. Tale sicurezza è adeguata al rischio della violazione della conoscenza dei dati da parte di terzi.
Ai Vs. dati personali, potrà aver accesso la società incaricata dell’assistenza/manutenzione dell'applicativo software, cioè Zerobyte Sistemi Srl .
L'interessato ha il diritto di accesso (art. 15), il diritto di rettifica (art. 16), il diritto alla cancellazione (art.17), il diritto di limitazione di trattamento (art.18), il diritto alla portabilità dei dati (art. 20), il diritto di opposizione (art. 21), il diritto di revocare il consenso dato e di proporre reclamo alla autorità di controllo (art.77) o adire le autorità giudiziarie (art. 79) .
II consenso al trattamento dei Vs. dati personali è obbligatorio per poter proseguire nell'utilizzo dello strumento informatico..
Il fornitore del software per la trattazione dati è Zerobyte Sistemi srl, con sede in Via Charta77, 10 Scandicci (FI)P.IVA/CF 04834730485 Riferimenti di contatto : Tel 055 707451 - PEC: zerobyte@legalmail.it
Il sottoscritto in qualità di interessato, con la spunta apposta alla presente pagina, attesta il proprio libero consenso affinché il titolare/ responsabile procedano al trattamento dei propri dati personali/sensibili e alla comunicazione nell'ambito dei soggetti indicati nell'informativa e per le finalità indicate.
Con la spunta apposta alla presente pagina il sottoscritto assicura, nel caso inserisse dati di terzi, di avere prima raccolto presso di sé il dovuto consenso dai terzi interessati o di trovarsi in un caso di esonero dalla raccolta del consenso, nel rispetto comunque del vigente Regolamento UE sulla privacy