Politicadi protezione dei dati personali

Sintesi

La presente Politica di protezione dei dati personali del gruppo CPI (“Politica di protezione dei dati personali”) definisce le regole per la protezione dei dati personali nel gruppo CPI PROPERTY GROUP e rispettive società collegate (“società CPI PG”), compresi relativi obblighi delle società CPI PG. La Politica di protezione dei dati personali si rifà alle regole per la protezione dei dati personali previste dal GDPR e alle ulteriori disposizione di legge nazionali degli Stati membri in materia di protezione dei dati personali.

Le società CPI PG prendono sul serio l’aspetto della protezione dei dati personali; di conseguenza, nello svolgimento delle proprie attività, esse provvedono a trattare i dati personali con sufficiente cautela e responsabilità. L’eventuale infrazione della sicurezza dei dati personali può avere conseguenze giuridiche ed economiche anche gravi per le società CPI PG, per i loro dipendenti e per gli interessati e – al tempo stesso – può causare danni reputazionali alle stesse società CPI PG. Attraverso l’attuazione della Politica di protezione dei dati personali in seno alle società CPI PG saranno minimizzati i rischi di violazione della sicurezza dei dati personali e altri rischi da ciò derivanti.

Contenuto

La presente Politica di protezione dei dati personali è vincolante per le società CPI PG e per i loro dipendenti. Essa si applica a tutte le forme di trattamento di dati personali soggetti al GDPR e alle normative nazionali degli Stati membri.

1. Procedimenti e competenze

I seguenti paragrafi descrivono le procedure che le società CPI PG sono tenute a rispettare nell’ambito del trattamento dei dati personali. Essi riportano altresì una breve descrizione della ripartizione delle competenze e dei ruoli chiave nelle società CPI PG nel campo del trattamento dei dati personali.

1.1 Obblighi generali

Le società CPI PG hanno adottato e continueranno ad adottare idonee misure tecniche e organizzative volte ad assicurare la protezione dei dati personali conto eventuali abusi, perdite o danneggiamenti. Le società CPI PG tratteranno i dati in conformità con il GDPR e le normative nazionali degli Stati membri in materia di trattamento dei dati personali. La protezione dei dati personali si applica al trattamento dei dati personali dei partner e dei dipendenti delle società CPI PG, loro familiari, candidati a posti di lavoro, clienti e altre persone fisiche i cui dati personali vengono trattati dalle società CPI PG.

1.2 Principi fondamentali della protezione dei dati personali

Nell’ambito del trattamento dei dati personali le società CPI PG rispettano i principi fondamentali stabiliti dal GDPR. I principi fondamentali applicabili sono riportati qui di seguito:

1.3 Basi giuridiche del trattamento e finalità di trattamento dei dati personali

Il trattamento dei dati personali è sempre fondato su delle basi giuridiche per il trattamento. Tra queste figurano: il consenso al trattamento dei dati personali; l’adempimento di obblighi legali; l’adempimento di contratti; eventuali interessi legittimi; interesse pubblico; o ancora protezione di interessi degli interessati.

1.4 Trattamento di categorie particolari di dati personali e di dati personali relativi a condanne penali e reati

Le categorie particolari di dati personali e i dati personali relativi a condanne penali e reati sono aspetti particolarmente sensibili; e pertanto ad essi si applica un grado di protezione aumentato. Qualsiasi trattamento di categorie particolari di dati personali è reso oggetto di consultazione con il responsabile della protezione dei dati.

1.5 Trasferimento di dati personali

Le società CPI PG sono autorizzate a rendere accessibili i dati personali a terzi (compreso trasferimento di dati personali all’interno del gruppo), ma solo a determinate condizioni. I dati personali possono essere resi accessibili a terzi nella posizione di responsabile del trattamento sulla base di un contratto di trattamento di dati personali. Allo stesso modo, i dati personali possono essere resi accessibili ad altre parti terze nella posizione di titolare del trattamento o di contitolare del trattamento sulla base di rispettivi accordi contrattuali.

In caso di richiesta di rettifica o cancellazione dei dati personali o limitazione del trattamento, le società CPI PG informeranno – a determinate condizioni – le rispettive parti terze cui i dati sono stati resi accessibili (eccezion fatta per situazioni in cui detta attività di informazione risulterebbe impossibile o implicherebbe uno sforzo sproporzionato). Le società CPI PG informano l’interessato circa le parti terze alle quali i dati personali sono stati resi accessibili, ma soltanto se l’interessato richiede espressamente di essere informato a riguardo.

A determinate condizioni le società CPI PG possono trasferire i dati personali anche a paesi terzi al di fuori dello SEE o dell’Unione Europea o ancora ad organizzazioni internazionali. Nell’ambito della valutazione delle condizioni legali soggiacenti alla possibilità di trasferimento dei dati personali a paesi terzi o ad organizzazioni internazionali, le società CPI PG terranno consulta con il responsabile della protezione dei dati.

1.6 Diritti degli interessati

Le società CPI PG adotteranno tutte le misure necessarie affinché gli interessati possano esercitare i propri diritti come previsto dal GDPR. In relazione al trattamento dei dati personali, gli interessati godono dei seguenti diritti: diritto all’accesso ai dati personali, diritto alla rettifica, diritto alla limitazione del trattamento, diritto alla portabilità dei dati, diritto alla cancellazione dei dati, diritto di opposizione al trattamento dei dati personali, diritto a non essere sottoposti a decisioni basate unicamente sul trattamento automatizzato.

Ai fini dell’esercizio dei propri diritti gli interessati possono presentare richiesta scritta o orale. Ai fini della garanzia di una protezione sufficiente dei dati personali trattati dalle società CPI PG e nell’intento di evitare ogni abuso dei dati personali, le società CPI PG hanno adottato le regole sotto riportate per la verifica dell’identità degli interessati.

Richieste scritte

Nell’ambito della presentazione di richieste scritte di applicazione di un diritto, l’interessato è tenuto a compilare l’apposito modulo riportato in allegato alla presente Politica di protezione dei dati personali, scaricatelo qui. La firma dell’interessato sul modulo deve essere ufficialmente autenticata. A seconda dei locali ordinamenti giuridici, la firma potrà essere autenticata presso un notaio, ufficio postale, studio legale di avvocato, consolato o ufficio comunale/regionale. La firma deve essere autenticata nel paese in cui la richiesta alla data società CPI PG viene presentata personalmente all’indirizzo della sede della data società CPI PG oppure da cui la richiesta viene inviata a mezzo posta attraverso un fornitore di servizi postali o mediante strumenti elettronici certificati (per es. data box nella Repubblica Ceca). Soprattutto nel caso in cui l’interessato invii la richiesta a mezzo posta attraverso un fornitore di servizi postali da un paese al di fuori dello Spazio Economico Europeo o dell’Unione Europea, la società CPI PG competente si riserva il diritto di contattare l’interessato stesso al fine di ulteriore verifica della sua identità.

Richieste orali

Alcuni diritti possono essere esercitati dagli interessati anche mediante richiesta orale presso l’indirizzo della sede della società CPI PG competente. La vostra identità sarà verificata dall’addetto competente (per es. presso la reception) su esibizione di uno dei seguenti documenti: carta d’identità, passaporto o altro documento munito di fotografia sufficientemente idonea per rendere possibile la vostra chiara identificazione.

L’esercizio dei diritti degli interessati non può implicare ripercussioni sui diritti di terzi. Se le richieste degli interessati risultano manifestamente ingiustificate o inadeguate (specie a motivo di loro carattere reiterativo), le società CPI PG – dopo aver debitamente risposto alla richiesta – sono autorizzate ad esigere un’opportuna commissione il cui importo non ecceda i costi sostenuti per la trasmissione delle informazioni di cui sopra o per la garanzia dell’esercizio dei diritti degli interessati.

Le società CPI PG assicurano comunicazione e collaborazione sufficiente in modo tale che tutte le richieste ricevute siano trattate con tempistiche adeguate. Le società CPI PG collaborano strettamente tra loro affinché sia possibile fornire una risposta all’interessato entro la scadenza prevista.

1.7 Ruoli e obblighi

Le società CPI PG e i loro organi amministrativi sono responsabili per la garanzia del rispetto del GDPR e delle rispettive leggi applicabili degli Stati membri in materia di protezione dei dati personali.

1.8 Responsabile della protezione dei dati e rappresentante nell’Unione Europea

Le società CPI PG con sede nell’UE riportate in allegato hanno nominato un responsabile della protezione dei dati personali con responsabilità funzionale e organizzativa per la conformità alle prescrizioni legali interne delle società CPI PG in materia di protezione dei dati personali.

Il responsabile della protezione dei dati personali può essere contattato a mezzo e-mail all’indirizzo dpo@cpipg.com o a mezzo posta all’indirizzo Vladislavova 1390/17, 110 00 Praga 1, Repubblica Ceca.

Le società CPI PG con sede al di fuori dell’UE riportate in allegato, in ottemperanza all’art. 27 del GDPR, hanno nominato un rappresentante nell’UE avente responsabilità per la conformità alle prescrizioni legali in materia di protezione dei dati personali. Come rappresentante è stata nominata la società Vilanel, a.s., con sede in Vladislavova 1390/17, Praga 1, Repubblica Ceca, iscritta al registro delle imprese presso il tribunale municipale di Praga con n. B 13297, n.id.: 28211367. Il rappresentante può essere contattato all’indirizzo e-mail: representative@vilanel.cz oppure a mezzo posta all’indirizzo sopra indicato. Per ulteriori informazioni sul rappresentante fare clic qui.

1.9 Obblighi dei proprietari dei dati e di tutti i dipendenti

Tutti i proprietari dei dati nell’ambito delle società CPI PG e tutti i dipendenti hanno l’obbligo di trattare i dati personali in conformità con le prescrizioni interne delle società CPI PG, con il GDPR e con le ulteriori disposizioni di legge applicabili degli Stati membri in materia di protezione dei dati personali.

1.10 Notifica delle violazioni di dati personali

Le società CPI PG notificano immediatamente (o comunque entro e non oltre 24 ore) le sospette violazioni di dati personali al competente responsabile per la protezione dei dati personali/ rappresentante nell’UE. Se la violazione di dati personali soddisfa i requisiti per la notifica di una violazione dei dati personali all’autorità di controllo e/o agli interessati, allora il responsabile per la protezione dei dati personali/rappresentante nell’UE sarà tenuto ad adempiere a questo suo obbligo entro 72 ore dal verificarsi della violazione di dati personali.

1.11 Cancellazione di dati personali

Le società CPI PG trattano i dati personali unicamente per il tempo necessario ed indispensabile. I dati personali vengono cancellati o resi anonimi nelle seguenti circostanze:

Nell’ambito della cancellazione e anonimizzazione le società CPI PG mettono in risalto il rispetto delle misure di sicurezza necessarie.

1.12 Gestione dei documenti

Le società CPI PG trattano i documenti in conformità con il GDPR. Le regole per la ricezione, registrazione, circolazione, conservazione ed eliminazione (scarto) dei documenti nelle società CPI PG sono fissate nei validi regolamenti di eliminazione documenti delle società CPI PG.

Al termine del periodo di archiviazione i documenti vengono eliminati in conformità con il regolamento di eliminazione applicabile, con tanto di verbale comprovante (approvazione da parte del proprietario del documento; approvazione da parte del competente archivio locale statale; conferma di eliminazione).

1.13 Pubblicazione dei dati personali sui media pubblici e su intranet

Le società CPI PG possono pubblicare i dati personali su intranet, internet o qualsiasi altro mezzo unicamente con il consenso dell’interessato, a meno che – nel caso specifico – non sussista un altro fondamento giuridico per il trattamento.

1.14 Informazioni sul trattamento dei dati personali

Se le società CPI PG ottengono i dati personali degli interessati direttamente da questi ultimi, allora le informazioni sul trattamento dei dati personali saranno fornite agli interessati nel momento stesso in cui vengono conferiti i dati personali. Se le società CPI PG non ottengono i dati personali direttamente dagli interessati, allora le informazioni sul trattamento dei dati personali saranno fornite agli interessati in un secondo momento (per lo più all’atto della prima comunicazione con l’interessato).

Le informazioni sui dati personali selezionati sottoposti a trattamento, qualora non sia possibile trasmettere le informazioni sul trattamento agli interessati nel momento del conferimento dei dati, sono disponibili qui:  Informazioni sul trattamento dei dati personali.

2. Concetti basilari/abbreviazioni

Interessato

Persona fisica identificata o identificabile i cui dati personali vengono trattati; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Titolare del trattamento

La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Responsabile del trattamento

La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Dati personali

Qualsiasi informazione riguardante una persona fisica identificata o identificabile.

Categorie particolari di dati personali

Dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici e dati biometrici, ai fini di un’identificazione univoca della persona fisica, e dati relativi alla salute o i dati relativi alla vita sessuale della persona fisica.

Legislazione nazionale degli Stati membri in materia di protezione dei dati personali.

Normative legali in materia di protezione dei dati personali adottate dagli Stati membri in conformità con il GDPR.

GDPR

Regolamento del Parlamento europeo e del Consiglio (UE) 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

Trattamento dei dati personali

Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Responsabile della protezione dei dati personali

Il responsabile della protezione dei dati personali (DPO).

Rappresentante nell’UE

Persona fisica o giuridica con sede nell’UE, nominata per iscritto dal titolare del trattamento o dal responsabile del trattamento ai sensi dell’articolo 27 del GDPR, con l’incarico di rappresentare il titolare del trattamento o il responsabile del trattamento nell’adempimento dei rispettivi obblighi ai sensi del GDPR.

Informazioni anonime

Informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato.

Terzo

Qualsiasi persona fisica o giuridica che non sia dipendente della società, eccezion fatta per gli interessati.

Consenso

Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

Allegato n. 1 – Elenco delle società CPI PG che hanno nominato il responsabile della protezione dei dati personali

CZE

SVK

POL

HUN

ROU

Allegato n. 2 – Elenco delle società CPI PG con sede al di fuori dell’UE che hanno nominato il rappresentante nell’UE

Allegato n. 3 – Modello della richiesta

Richiesta di applicazione del diritto dell’interessato ai sensi del GDPR (regolamento generale sulla protezione dei dati)

Informativa per il richiedente

In caso di dubbi o domande circa le modalità di presentazione della richiesta si prega di contattarci a mezzo e-mail all’indirizzo dpo@cpipg.com (Responsabile della protezione dei dati personali) / representative@vilanel.cz (Rappresentante nell’UE). Facciamo notare che la notifica della richiesta a mezzo posta elettronica (e-mail) non costituisce una modalità garantita di comunicazione e non è possibile assicurare la sua sicurezza, origine o ricezione affidabile da parte del destinatario.