Orari Apertura: 8:30am-18pm Dal Lunerdì al Venerdì(030) 6864140

CODICE ETICO E DI CONDOTTA IRON SRL


Gentili Dipendenti e Collaboratori,
il rispetto delle normative giuridiche sulla protezione dei dati personali rappresenta un aspetto molto importante sia per poter offrire un’adeguata offerta ai nostri clienti e ai nostri fornitori, sia per impostare in modo efficace i nostri processi interni. Le moderne tecnologie di informazione e comunicazione rappresentano una parte integrante e fondamentale dei processi aziendali. Un utilizzo inadeguato e improprio di queste tecnologie può comportare una lesione dei diritti personali alla privacy.
Pertanto la nostra Società ha il dovere di mettere in primo piano la tutela dei diritti personali e soddisfare un livello adeguato di protezione, rilevamento e trattamento di dati dei clienti, degli studenti e della loro famiglie, dei partner contrattuali nonché dei dipendenti.
Consapevoli dell’importanza di questo obiettivo, la Società e il suo personale si impegna ad attenersi al seguente Codice di Condotta.

1. OBIETTIVO DEL CODICE DI CONDOTTA

L’obiettivo del presente Codice consiste nello stabilire standard di protezione e sicurezza uniformi, adeguati e globali nell’interesse di IRON SRL allo scopo di soddisfare i requisiti fissati dal D.lgs. n. 196/2003 (Codice in materia di protezione dei dati personali), della Direttiva (UE) n. 680/2016 e s.m.i. che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini e del Regolamento (UE) n. 679/2016 e s.m.i. in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali e di libera circolazione di tali dati (di seguito “Reg. n. 679/2016”). Il Codice di Condotta crea un livello di protezione dei dati uniforme in tutta la Società, coadiuvato da un contestuale supporto documentale che consolida l’attività di informativa sulla protezione dei dati personali, nonché la predisposizione di nomine dei soggetti coinvolti nel trattamento dei dati personali.

2. LIMITI DI VALIDITÀ

Il Codice di Condotta è valido per il trattamento dei dati personali dei clienti, fornitori e dei dipendenti, consulenti, collaboratori ed altri partner contrattuali che si interfacciano con la nostra realtà aziendale.
L’ammissibilità della raccolta e delle finalità del trattamento dei dati deve essere valutata sulla base delle norme nazionali, comunitarie e internazionali in materia privacy.

3. PRINCIPI AI QUALI ATTENERSI PER L’ELABORAZIONE DEI DATI PERSONALI

1. Nel trattamento dei dati è necessario tutelare i diritti personali alla privacy degli interessati.
2. I dati personali possono essere trattati esclusivamente se ciò risulta legalmente ammissibile o se il soggetto interessato ha fornito il proprio consenso. I dati personali possono essere elaborati esclusivamente ai fini per i quali sono stati originariamente raccolti.
3. I dati personali devono essere memorizzati correttamente e, qualora necessario, periodicamente aggiornati. A tale scopo occorre adottare provvedimenti idonei per cancellare o rettificare i dati che risultano incorretti o incompleti.
4. Ai dati personali possono accedere solo i dipendenti o i collaboratori che operano in un settore di attività connesso a trattamento di tali dati; l’autorizzazione all’accesso deve essere limitata in base al tipo e alla portata della rispettiva area di competenza.
5. I dati personali che non risultano più necessari ai fini commerciali per i quali sono stati originariamente raccolti e memorizzati, possono essere eventualmente cancellati in conformità con le norme vigenti sulla conservazione dei dati.
6. Qualora l’interessato si sia opposto all’utilizzo dei propri dati personali a scopo di marketing e/o profilazione, i dati non potranno essere utilizzati a tal fine.
7. Il trattamento dei dati deve essere finalizzato allo scopo di ottenere la minima quantità possibile di informazioni. Le possibilità di anonimizzazione e pseudonimizzazione sono ammesse, laddove ciò sia possibile e gli oneri di queste procedure risultino adeguatamente rapportati alle finalità di protezione dei dati che si intende perseguire.
8. Nei processi di trattamento dei dati dai quali possono derivare particolari rischi per la tutela del diritto alla privacy degli interessati, il settore Protezione Dati deve essere interpellato a partire dalle prime fasi del processo di trattamento.

4. TIPOLOGIE PARTICOLARI DI DATI PERSONALI

Il trattamento dei dati personali relativi alla provenienza razziale ed etnica, alle opinioni politiche, alle convinzioni religiose o filosofiche, all’appartenenza a sindacati oppure sulla salute o sull’orientamento sessuale dell’interessato è generalmente vietata, salvo che la legittimità dell’elaborazione non derivi da un’autorizzazione legale o da un requisito di legge.
In tutti gli altri casi, l’interessato deve avere fornito espressamente il proprio consenso al trattamento dei suddetti dati.

5. INFORMAZIONE E CONSENSO DELL’INTERESSATO

Il titolare del trattamento, al momento della raccolta dei dati personali, è tenuto a fornire all’interessato, avvalendosi del personale incaricato, l’informativa prevista dall’art 13-14 del Reg. n. 679/2016.
L’informativa è fornita per iscritto mediante appositi strumenti:
a. attraverso appositi moduli da consegnare agli interessati. Nel modulo sono indicati i soggetti a cui l’utente può rivolgersi per ottenere maggiori informazioni ed esercitare i propri diritti, anche al fine di consultare l’elenco aggiornato dei responsabili;
b. avvisi agevolmente visibili dal pubblico, posti nelle bacheche aziendali o sul sito della Società;
c. apposita avvertenza inserita nei contratti o nelle lettere di affidamento al servizio del personale dipendente, del personale medico convenzionato, dei fornitori di beni o di servizi, dei soggetti con i quali vengono instaurati rapporti di collaborazione o libero-professionisti, ecc.
L’informativa deve contenere:
a. l’indicazione dei soggetti Titolari, Responsabili e incaricati del trattamento;
b. le finalità e le modalità del trattamento;
c. la base giuridica del trattamento;
d. l’indicazione della natura facoltativa del conferimento dei dati e le conseguenze dell’eventuale rifiuto al conferimento dati;
e. il trattamento dei dati in casi particolari;
f. l’indicazione dei diritti dell’utente;
g. l’ambito di comunicazione e diffusione dei dati
h. ogni altra informazione prevista dall’art. 7 del reg. UE 679/16.

- Rapporto contrattuale: i dati personali dell’interessato possono essere rilevati ed elaborati sulla base e ai fini di esecuzione del contratto e dell’avviamento del rapporto di lavoro. In questo contesto è consentito anche l’utilizzo a fine di marketing, o di ricerche di mercato e sondaggi di opinione, nella misura in cui ciò risulti in accordo con lo scopo per i quali i dati sono stati originariamente rilevati. L’interessato deve essere consapevole od informato dell’identità del responsabile del trattamento, delle finalità del trattamento dei dati, dei terzi o categorie di terzi ai quali i dati possono essere eventualmente trasmessi e della possibilità di partecipare volontariamente ad azioni di marketing o ricerche di mercato e sondaggi di opinione.
L’interessato deve essere informato dei Suoi diritti.
- Rapporto non contrattuale: qualora non sussista un rapporto contrattuale, l’interessato deve avere acconsentito al trattamento dei propri dati personali.
Prima di rilasciare il consenso, l’interessato deve essere informato.
La dichiarazione di consenso deve essere regolarmente rilasciata per iscritto. Qualora si tratti, ad esempio, di un consenso che viene rilasciato nell’ambito della conclusione di un contratto di compravendita, la clausola contrattuale che contiene il consenso deve essere evidenziata visivamente sul modulo del contratto di acquisto. Nella dichiarazione di consenso devono essere specificate le modalità e le finalità del trattamento dei dati.
- Scambio di dati con terzi/acquisizione di dati: qualora i dati vengano raccolti presso terzi o trasmessi da terzi, è necessario verificare che alla prima richiesta dei dati l’interessato sia stato o venga conformemente informato del presente Codice di Condotta.
- Scambio di dati all’interno del Gruppo (qualora presente): qualora una società del Gruppo giuridicamente autonoma trasmetta dati personali ad un’altra società del Gruppo, si tratta comunque di un trasferimento a terzi, e pertanto si richiedono le opportune cautele.

6. CONSENSO AL TRATTAMENTO DEI DATI

Il consenso è definito come “qualsiasi manifestazione di volontà libera, specifica e informata, con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento”.
L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento, con la stessa facilità con cui è accordato. La revoca de consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.

7. DIRITTI DEGLI INTERESSATI

L’interessato è il soggetto, persona fisica, alla quale si riferiscono i dati oggetto del trattamento.
La Società attua tutte le misure necessarie a facilitare l’esercizio dei diritti dell’interessato ai sensi dell’art. 7 del Codice della privacy e degli artt. 12-22 del Reg. n. 679/2016.
L’interessato ha il diritto di ottenere dal Titolare del trattamento:
a. conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e di ottenere l’accesso ai dati personali con riguardo alle seguenti informazioni:
o origine dei dati;
o finalità e modalità del trattamento:
o la logica applicata e i criteri utilizzati nell’elaborazione elettronica dei dati;
o gli estremi identificativi del Titolare e del Responsabile del trattamento;
o i soggetti e le categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza;
o periodo di conservazione dei dati personali e i criteri utilizzati per la determinazione di tale periodo.
b. ottenere una comunicazione dei dati, oggetto del trattamento, che sia concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate ai minori;
c. richiedere la rettifica/aggiornamento dei dati personali inesatti che lo riguardano; l’interessato ha diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa;
d. ottenere la cancellazione (diritto all’oblio) dei dati personali che lo riguardano qualora sussista una delle ipotesi tassativamente previste dall’art. 17, par. 1, lett. a) - f), Reg. n. 679/2016, salvo quanto previsto dall’art. 17, par. 2 Reg. n. 679/2016;
e. ottenere la trasformazione in forma anonima o il blocco se trattati in violazione di legge;
f. ottenere la limitazione del trattamento dei dati qualora sussista una delle ipotesi tassativamente previste dall’art. 18, par. 1, lett. a) - d), Reg. n. 679/2016, affinché i dati personali siano trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro;
g. ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento (diritto alla portabilità dei dati) senza impedimenti da parte del titolare del trattamento cui li ha forniti, purché ciò non leda i diritti e le libertà altrui;
h. proporre opposizione in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano da parte dei quali si dovranno pertanto astenere dal successivo trattamento salvi i casi tassativamente previsti dalla legge;
i. revocare il consenso al trattamento dei dati in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca, qualora il trattamento sia basato sul disposto dell’art. 6, par. 1, lett. a), o dell’art. 9, par. 2, lett. a) Reg. n. 679/2016;
j. proporre reclamo a un’autorità di controllo;
k. avere informazione circa la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico, qualora i dati non siano stati ottenuti presso l’interessato ai sensi dell’art. 14 Reg. n. 679/2016.

8. SISTEMI INFORMATICI DI SICUREZZA DEI DATI

I server, i personal computers, i tablet, gli smartphone, e ogni altro strumento informatico di proprietà di IRON SRL e in possesso dei dipendenti e collaboratori, costituiscono il “Sistema Informatico Aziendale” (di seguito “SIA”; ciascuno strumento informatico di seguito “Strumento Elettronico”).
Gli utenti del SIA devono servirsi degli strumenti informatici con diligenza, preservandone l’integrità ed il funzionamento.
Gli “Strumenti” e i relativi programmi e/o applicazioni affidati al dipendente sono strumenti di lavoro e pertanto:
o possono essere utilizzati solo per fini professionali ed aziendali (in relazione, ovviamente, alle mansioni assegnate) e non anche per scopi personali, tantomeno per scopi illeciti;
o vanno custoditi in modo appropriato, ponendo particolare attenzione anche alla loro sicurezza fisica sia all’interno della società (lasciandoli in ufficio chiuso a chiave, dove possibile, o riposti in cassetti o armadi dotati di serratura) che all’esterno (ad esempio evitando di lasciarli incustoditi in autovettura o sui mezzi pubblici);
o il loro furto, danneggiamento o smarrimento deve essere prontamente segnalato a IRON SRL;
Ai fini sopra esposti sono, quindi, da evitare atti o comportamenti contrastanti con le predette indicazioni.
Sarà cura della società adottare idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento del SIA, in tempi certi compatibili con i diritti degli interessati e non superiori a 72 ore.

9. PROVVEDIMENTI, SANZIONI E REPSONSABILITÀ

La Società, in qualità di Titolare del trattamento dei dati, ha l’obbligo di garantire nei confronti degli interessati il rispetto dei requisiti di protezione dei dati personali, predisponendo, laddove sia necessario anche dei corsi di formazione.
I Responsabili e gli incaricati del trattamento devono essere a conoscenza del fatto che per la violazione delle disposizioni in materia di trattamento dei dati personali sono previste sanzioni amministrative pecuniarie e penali per eventuale uso non corretto dei dati oggetto di tutela.

In merito alla responsabilità civile l’operatore è tenuto a fornire la prova di avere applicato le misure tecniche di sicurezza più idonee a garantire appunto la sicurezza dei dati detenuti.