AJAX GDPR FAQ
Informazioni di base
Che cos'è il GDPR?
Il Regolamento generale sulla protezione dei dati (noto anche come Regolamento 2016/679 o "GDPR") è un regolamento del diritto dell'UE sulla protezione dei dati e della privacy nell'UE e nello Spazio economico europeo (SEE). Sebbene sia stato redatto e approvato dall'Unione Europea (UE), impone obblighi di protezione dei dati alle organizzazioni di qualsiasi luogo, purché si rivolgano o raccolgano dati relativi a persone nell'UE.
Che cosa sono i dati personali?
I dati personali sono tutte le informazioni relative a un individuo che può essere identificato direttamente o indirettamente. Diverse informazioni, raccolte insieme, possono portare all'identificazione di una determinata persona e costituiscono quindi dati personali.
I dati personali che sono stati de-identificati, criptati o pseudonimizzati ma che possono essere utilizzati per identificare nuovamente una persona rimangono dati personali e rientrano nell'ambito di applicazione della legge.
Vi sono alcuni esempi di dati personali:
- un nome e un cognome;
- un indirizzo;
- un indirizzo e-mail;
- un numero di carta d'identità;
- dati di località;
- un indirizzo IP;
- identificatori di cookie;
- l'identificatore pubblicitario del telefono.
Cosa significa trattare i dati?
La definizione di trattamento dei dati copre un'ampia gamma di operazioni eseguite sui dati personali, anche con mezzi manuali o automatizzati. Comprende la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, il l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione dei dati personali. Fare qualcosa con i dati nel modo sopra menzionato significa trattare i dati.
Qual è la differenza tra un Responsabile del trattamento e un Titolare del trattamento?
Per titolare del trattamento dei dati si intende un'organizzazione, un'istituzione o un individuo che stabilisce gli standard e le regole per il trattamento dei dati personali. In pratica, ciò significa che il titolare del trattamento dei dati è responsabile di determinare come e perché i dati saranno utilizzati da un'organizzazione. Nella maggior parte dei casi, il titolare del trattamento dei dati è una persona o un'organizzazione che raccoglie i dati e poi ne stabilisce l'utilizzo.
Ciò è in contrasto con un responsabile del trattamento. Secondo il GDPR, un responsabile del trattamento dei dati è un'organizzazione, un'istituzione o un individuo che implementa gli standard per il trattamento dei dati stabiliti dal titolare del trattamento. In genere, un responsabile del trattamento dei dati è un soggetto che tratta i dati su indicazione e a discrezione di un titolare del trattamento. Un responsabile del trattamento non è proprietario dei dati che tratta e non ne ha il controllo. Ciò significa che il responsabile del trattamento non può modificare il significato dei dati, né dirigere le modalità di utilizzo dei dati, ed è vincolato dalle istruzioni.
Ci sono alcune domande di verifica per capire la differenza tra le funzioni del titolare del trattamento e del responsabile del trattamento:
Il Titolare del trattamento decide quanto segue:
- l'organizzazione che raccoglie i dati in prima istanza e che ha la base legale per farlo;
- l'utilizzo dei dati personali;
- se divulgare i dati e, in caso affermativo, a chi;
- se si applicano i diritti di accesso dei soggetti e altri diritti individuali o se esistono esenzioni;
- per quanto tempo conservare i dati o se modificarli in un modo che non sia di routine.
Il Responsabile del trattamento decide quanto segue:
- i metodi utilizzati per la raccolta e la conservazione dei dati personali;
- come vengono protetti i dati;
- i mezzi utilizzati per trasferire i dati personali da un'organizzazione a un'altra;
- come vengono recuperati i dati personali;
- il metodo per garantire il rispetto di un piano di conservazione;
- come vengono cancellati i dati personali.
Quali sono le condizioni del GDPR per il trattamento dei dati personali?
L'articolo 6 del GDPR elenca le diverse condizioni (dette anche basi) in base alle quali è legale trattare i dati personali:
- Consenso. Il consenso significa che l'interessato ha dato il suo esplicito consenso a un'attività di trattamento dei dati personali per una o più finalità specifiche. La nozione di finalità è fondamentale. Se l'interessato, noto anche come persona fisica, dà il consenso al trattamento senza conoscere le finalità specifiche in modo completo e facilmente comprensibile, il consenso non è un motivo legale per il trattamento, in quanto deve essere dato liberamente, in modo specifico, informato e inequivocabile. Inoltre, il consenso non può essere raggruppato. Pertanto, per ogni attività di trattamento dei dati nell'ambito di un'operazione più ampia, la regola generale è che è necessario un consenso separato per ogni attività.
- Il trattamento è necessario per eseguire o preparare la stipula di un contratto di cui l'interessato è parte. Un'organizzazione può fare affidamento su questa base giuridica se ha bisogno di trattare i dati personali di qualcuno per fornire un servizio contrattuale o perché questi hanno chiesto all'organizzazione di fare qualcosa prima di stipulare un contratto (ad esempio, fornire un preventivo).
- È necessario trattare dati per adempiere a un obbligo di legge. Se il titolare del trattamento ha un obbligo legale per il quale è necessario trattare determinati dati personali, il trattamento è consentito. Anche l'adempimento di un obbligo legale per il quale è necessario il trattamento e al quale il titolare del trattamento è soggetto non è una novità.
- È necessario trattare i dati per salvare la vita di qualcuno. Questa base è nota anche come "interesse vitale". In questo caso, la persona fisica non deve necessariamente essere un interessato; può anche essere un'altra persona fisica. Questo, ovviamente, non spetta al titolare del trattamento definire cosa sia un interesse vitale. Questa base è più relativa a circostanze di pericolo di vita in cui non esiste un altro motivo legale per il trattamento, ma in cui il mancato trattamento dei dati personali significherebbe essenzialmente che qualcuno morirebbe se il responsabile del trattamento non agisse e quindi ha bisogno di sapere alcune cose sulla persona fisica che è in pericolo.
- Il trattamento è necessario per eseguire un compito in interesse pubblico o per svolgere una funzione ufficiale. Un'organizzazione può fare affidamento su questa base giuridica se ha bisogno di trattare i dati personali "nell'esercizio dei pubblici poteri". Si tratta di funzioni e poteri pubblici stabiliti dalla legge, o di svolgere un compito specifico di interesse pubblico stabilito dalla legge.
- Il titolare del trattamento ha un interesse legittimo a trattare i dati personali di qualcuno. Il trattamento dei dati personali in questo contesto può non essere necessariamente giustificato da un obbligo legale o effettuato per eseguire i termini di un contratto con un individuo. In questi casi, il trattamento dei dati personali può essere giustificato dai motivi di legittimo interesse. Per esempio, un responsabile del trattamento ha un interesse legittimo quando il trattamento avviene nell'ambito di un rapporto con un cliente, per scopi di marketing diretto, per prevenire frodi o per garantire la sicurezza della rete e delle informazioni dei sistemi informatici.
Come funziona il consenso ai sensi del GDPR?
Esistono regole rigorose per quanto riguarda il consenso di una persona interessata al trattamento dei suoi dati:
- Il consenso deve essere "liberamente dato, specifico, informato e non ambiguo".
- Le richieste di consenso devono essere "chiaramente distinguibili dalle altre questioni" e presentate in un "linguaggio chiaro e semplice".
- Gli interessati possono ritirare il consenso precedentemente dato quando vogliono e si deve rispettare la loro decisione. Non è possibile cambiare semplicemente la base giuridica del trattamento in una delle altre giustificazioni.
- Devono conservare la prova documentale del consenso.
Quali sono i diritti individuali previsti dal GDPR?
Il GDPR prevede i seguenti diritti per gli individui:
- Diritto di essere informati (gli individui hanno il diritto di essere informati su come le aziende raccolgono e utilizzano i loro dati personali, su quanto tempo intendono conservarli e con chi li condivideranno);
- Diritto di accesso (gli individui hanno il diritto di sapere esattamente quali informazioni le aziende hanno raccolto, come le conservano e le elaborano e cosa ne faranno);
- Diritto di rettifica (gli individui hanno il diritto di ottenere il completamento di dati incompleti e la correzione di quelli errati);
- Diritto alla cancellazione (gli individui hanno il diritto di ottenere la cancellazione definitiva dei dati personali. Questo è anche noto come "diritto all'oblio");
- Diritto alla cancellazione (gli individui hanno il diritto di ottenere la cancellazione definitiva dei dati personali. Questo è anche noto come "diritto all'oblio");
- Diritto alla portabilità dei dati (gli individui hanno il diritto di ottenere e riutilizzare i propri dati personali per i propri scopi tra diversi servizi);
- Diritto di opporsi (gli individui hanno il diritto di opporsi al trattamento dei loro dati personali in determinate circostanze);
- Diritti in relazione al processo decisionale automatizzato-e alla profilazione (gli individui hanno il diritto di richiedere l'intervento umano, piuttosto che far prendere decisioni importanti da algoritmi).
Quali sono i sette principi del GDPR?
Il GDPR prevede sette principi chiave per la protezione dei dati e la responsabilità:
- Liceità, correttezza e trasparenza: il trattamento deve essere lecito, corretto e trasparente nei confronti dell'interessato.
- Limitazione delle finalità: trattamento dei dati deve essere eseguito per le finalità legittime specificate esplicitamente all'interessato al momento della raccolta.
- Minimizzazione dei dati: si può raccogliere ed elaborare solo i dati assolutamente necessari per le finalità specificate.
- Precisione: i dati personali devono essere accurati e aggiornati.
- Limitazione della stoccaggio: i dati di identificazione personale possono essere conservati solo per il tempo necessario e per lo scopo per cui sono stati raccolti.
- Integrità e riservatezza: il trattamento deve essere effettuato in modo da garantire sicurezza, integrità e riservatezza adeguate (ad esempio, utilizzando la crittografia).
- Responsabilità: il titolare del trattamento è responsabile di poter dimostrare la conformità al GDPR di tutti questi principi.
Il GDPR prevede che i dati personali dei residenti nell'UE rimangano nell'UE?
Il GDPR non prevede una restrizione diretta alla permanenza dei dati personali dei residenti nell'UE. Tuttavia, la protezione dei dati dell'UE si basa sul principio "il GDPR rimane con i dati", il che significa che le norme che proteggono i dati personali continuano a essere applicate indipendentemente dal luogo in cui i dati finiscono. Questo principio si applica anche quando i dati personali vengono trasferiti in un Paese che non è membro dell'UE.
Trattamento dei dati da Ajax
Ajax tratta i miei dati personali?
Sì, Ajax potrebbe trattare i tuoi dati personali. Ci sono 4 scenari principali in cui possiamo trattare i tuoi dati:
- tramite i dispositivi di sicurezza installati in casa (come Hub o altri);
- tramite le nostre app mobili (come Ajax Security System e Ajax PRO: Tool for Engineers) e le app desktop (che chiamiamo i nostri Prodotti o Servizi);
- se si visita il sito https://ajax.systems/
- nell'ambito della collaborazione commerciale tra te e Ajax (se sei un Partner o un Subappaltatore diretto o indiretto di Ajax)
Quali tipi di dati possono essere trattati da Ajax?
Ajax può trattare diversi tipi di dati, a seconda dello scenario dell'interazione con te.
Tramite i nostri dispositivi di sicurezza, possiamo trattare:
- Informazioni relative al tuo Hub (modello, numero di serie, informazioni sulla rete tra cui indirizzo IP, registro delle attività del dispositivo, configurazioni del dispositivo attuali e passate, luogo dove si è installato il dispositivo).
- Dati relativi all’ambiente esterno raccolti dai dispositivi Ajax, quali temperatura, livello del rumore o dati relativi al movimento.
Durante l'utilizzo dei nostri Prodotti o Servizi, possono essere trattati:
- Informazioni personali (il tuo nome, cognome, e-mail, numero di telefono e foto).
- Informazioni che tu condividi con noi dalla rubrica del tuo dispositivo quando tu inviti gli utenti a utilizzare il Prodotto (come l'e-mail o il numero di telefono di una persona).
- Identificatori univoci per i nostri Servizi (come il tuo nome utente e password).
- Identificatori univoci degli utenti che hai collegato al Prodotto, come il nome utente, il ruolo dell'utente nel Prodotto e il suo indirizzo e-mail; le informazioni sui tuoi dispositivi mobili e desktop, come il tipo di dispositivo, il sistema operativo e la lingua del sistema.
- Dati sulla tua posizione per inviare promemoria per inserire/disinserire il sistema se attivata la funzione Geofence nella nostra app.
- Per gli utenti di Android e iOS, SMS con il codice di autorizzazione richiesto per la registrazione di un nuovo account o per effettuare modifiche.
- Informazioni relative a come usi i nostri Prodotti e Servizi (richieste inviate dall’app al nostro server).
Se visiti il nostro sito web, possiamo trattare:
- Le informazioni fornite durante la compilazione di moduli, che possono contenere dati personali e contatti.
- Gli identificatori di cookie (tramite strumento conforme al GDPR).
- Il tuo indirizzo IP per identificare il Paese in cui ti trovi.
In caso di collaborazione commerciale, possiamo trattare:
- I dati personali e di contatto dei rappresentanti aziendali (nome, ruolo, e-mail e numero di telefono).
Qual è la finalità e la base giuridica del trattamento?
- Tutti i dati che riceviamo tramite i nostri dispositivi di sicurezza o mentre l'utente utilizza i nostri Prodotti o Servizi vengono elaborati solo per fornirgli i servizi di sicurezza richiesti. Facciamo uso di tali dati per dare esecuzione al contratto che abbiamo stipulato con te in quanto utente. Inoltre non raccogliamo dati che non siano strettamente necessari a fornire a te i servizi richiesti.
- Se decidi di iscriverti alla nostra newsletter, ti invieremo e-mail con le informazioni sulla nostra azienda e con gli ultimi aggiornamenti. Il tuo consenso è fondamentale e viene richiesto al momento della conferma dell’iscrizione. Inoltre ti invieremo delle e-mail personalizzate in base alle informazioni personali che hai condiviso con noi, così da rendere le nostre comunicazioni più interessanti e utili.
- Se hai riscontrato un problema e hai condiviso il registro delle operazioni tramite l'app, utilizzeremo questi dati per risolvere il problema tecnico riscontrato e migliorare i nostri Prodotti e Servizi. L’uso di tali dati trova fondamento nel nostro legittimo interesse a rendere le nostre offerte sul mercato più competitive.
- Utilizziamo i dati che condividi con noi dalla rubrica del tuo dispositivo quando inviti gli utenti a utilizzare il Prodotto (come un e-mail o un numero di telefono di una persona inviata a utilizzare il Prodotto) per inviare l'invito solo a quelle persone.
Dove vengono archiviate le informazioni?
Tutti i tipi di dati che Ajax può raccogliere dall'utente sono memorizzati sull'archivio cloud situato in Irlanda e Germania e Francia (all'interno del SEE); la scelta del luogo di memorizzazione dei dati (in Irlanda o in Germania e Francia) è soggetta alla disponibilità dell'infrastruttura AWS.
Per quanto tempo vengono archiviate le informazioni?
Tutti i dati vengono memorizzati per l'intera durata del rapporto con il cliente, a eccezione della memoria delle notifiche push, limitata a 500 transazioni. Per il registro degli eventi dell'account PRO Desktop, la durata dell'archiviazione delle notifiche degli eventi è di 2 anni. Tuttavia, alcuni tipi di dati (come il nome dei rappresentanti, il ruolo e le informazioni di contatto menzionate nei contratti) possono essere archiviati più a lungo del periodo di collaborazione per adempiere ai nostri obblighi legali.
Tipo di dati | Finalità del trattamento | Base giuridica | Periodo di archiviazione |
Informazioni relative al tuo Hub (modello, numero di serie, informazioni sulla rete tra cui registro delle attività, configurazioni del dispositivo attuali e passate, luogo dove si è installato il dispositivo) | Per garantire il corretto funzionamento di Hub, dispositivi e app | Contratto, in caso di assistenza: interesse legittimo | Per tutta la durata del rapporto con il cliente o fino alla cancellazione richiesta/eseguita dall'utente. Backup dei dati fino a 12 mesi |
Identificatori univoci (nome utente e password) | Pre-autorizzazione dell'utente | Contratto | Per tutta la durata del rapporto con il cliente o fino alla cancellazione richiesta/eseguita dall'utente. Backup dei dati fino a 12 mesi |
Dati sulla posizione | Per garantire il corretto funzionamento di Hub, dispositivi e app | Contratto e/o interesse legittimo | Per tutta la durata del rapporto con il cliente o fino alla cancellazione richiesta/eseguita dall'utente. Backup dei dati fino a 12 mesi |
Informazioni relative a come usi i nostri Prodotti e Servizi (quali richieste inviate dall’app al nostro server) | Per garantire il corretto funzionamento di Hub, dispositivi e app | Contratto | Per tutta la durata del rapporto con il cliente o fino alla cancellazione richiesta/eseguita dall'utente. Backup dei dati fino a 12 mesi |
Le informazioni fornite durante la compilazione di moduli, che possono contenere dati personali e contatti | Comunicazione, servizio di consegna dei prodotti, promozioni di marketing | Consenso | Per tutta la durata del rapporto con il cliente o fino alla cancellazione richiesta/eseguita dall'utente. Backup dei dati fino a 12 mesi |
Indirizzo IP | Per garantire il corretto funzionamento di Hub, dispositivi e app | Contratto o Сonsenso | Per tutta la durata del rapporto con il cliente o fino alla cancellazione richiesta/eseguita dall'utente. Backup dei dati fino a 12 mesi |
Nome, cognome e informazioni di contatto | Per garantire il corretto funzionamento di Hub, dispositivi e app | Consenso | Per tutta la durata del rapporto con il cliente o fino alla cancellazione richiesta/eseguita dall'utente. Backup dei dati fino a 12 mesi |
Immagini scattate tramite dispositivi Ajax | Per garantire il corretto funzionamento di Hub, dispositivi e app | Contratto | -App mobile. Il periodo di conservazione dei file multimediali per gli account Utente e PRO è di 2 anni. Le foto potrebbero essere eliminate prima insieme agli eventi associati se viene raggiunto il limite di eventi nell'app mobile (500 eventi). -Ajax PRO Desktop (Account aziendale). -Dipende dalle impostazioni (da 7 giorni a 2 anni). -Ajax Translator non memorizza le immagini; tuttavia, i link sono attivi per 7 giorni dal momento della loro generazione |
Chi ha accesso al sistema e alle informazioni da parte di Ajax?
Ajax segue i principi di minimizzazione della disponibilità e di minimizzazione dei privilegi nell'accesso ai dati. Pertanto, l'accesso ai dati potrà essere consentito solo ai dipendenti di Ajax incaricati di supportare il processo di erogazione dei servizi e dei progetti. Quando il personale Ajax accede ai dati, le sue apparecchiature sono protette da crittografia e altri strumenti come richiesto dai più elevati standard tecnici di mercato. Tutti i dipendenti hanno firmato un Accordo di non divulgazione ed effettuano annualmente una valutazione della protezione dei dati. Tutte le azioni del personale vengono registrate e i registri vengono controllati automaticamente in tempo reale. In caso di sospetto di accesso eccessivo, limitiamo l'accesso e avviamo immediatamente le indagini sul caso. Ciononostante, desideriamo sottolineare che Ajax non accede mai ai dati senza una valida base legale per tale accesso. In alcuni casi, Ajax può essere indirizzato da un utente (a suo rischio e pericolo) a concedere l'accesso ai dati dell'utente a fornitori terzi assegnati dall'utente (l'istituto di vigilanza, installatori) tramite le app mobili o desktop. In questi casi, anche le aziende scelte dall'utente avranno accesso ai dati che l'utente desidera trasferire.
Cosa sta facendo Ajax per conformarsi alle leggi internazionali sulla protezione dei dati? In che modo Ajax dimostra la conformità al GDPR?
Per rispettare le leggi internazionali sulla protezione dei dati, Ajax impiega un numero significativo di misure, meccanismi e procedure. Ad esempio, Ajax applica i principi di limitazione del trattamento dei dati (privacy by design & by default), minimizzazione dei dati, controllo degli accessi, politiche di trattamento dei dati (politiche di archiviazione, trattamento, cancellazione, ecc.). Nell'ambito del trasferimento dei dati, Ajax utilizza diverse misure, tra cui misure organizzative e tecniche e Clausole contrattuali standard. Per ulteriori informazioni al riguardo, consultare la sezione Trasferimento dei dati.
Come posso esercitare i miei diritti alla privacy?
Per esercitare i propri diritti alla privacy (cancellare, opporsi o essere informati sui tuoi dati personali, limitare il trattamento, ecc.) puoi contattarci all'indirizzo e-mail: support@ajax.systems.
Trasferimento dei dati
Con chi Ajax può condividere i miei dati? Quali tipi di dati possono essere condivisi e in quali casi?
In generale, condividiamo i tuoi dati personali solo quando è necessario a garantire la fornitura dei servizi da te richiesti. È possibile che tali dati vengano condivisi con i nostri fornitori di prodotti e di servizi, che garantiscono il funzionamento di alcuni dei nostri Prodotti e Servizi. Questo include l'hosting dei dati, il supporto tecnico, la comunicazione, ecc. Ci assicureremo che i fornitori usino la stessa sicurezza che usiamo noi.
Possiamo condividere le tue informazioni di contatto (come il numero di cellulare, il nickname e l'e-mail) con i fornitori di servizi di sicurezza fisica se ci richiedi di farlo selezionando un tale fornitore nella nostra app. Si prega di notare che tali fornitori di servizi divengono a loro volta Titolari del trattamento dei dati e sono responsabili dei tuoi dati personali. Scegliamo sempre partner affidabili per i servizi offerti tramite la nostra app. Raccomandiamo comunque di leggere attentamente le relative informative sulla privacy prima di richiedere un qualsiasi trasferimento di dati ad altre aziende.
Per determinate esigenze, Ajax può avvalersi dei servizi di subprocessori terzi al di fuori del SEE. Tali esigenze possono includere l'hosting dei dati, la comunicazione tecnica per la registrazione, l'installazione e altre attività organizzative via e-mail o cellulare.
Ajax si impegna al massimo per garantire che tali trasferimenti avvengano nel rispetto di tutte le leggi applicabili in materia di protezione dei dati. Pertanto, Ajax ha sottoscritto accordo sul trattamento dei dati (DPA) con tutti i subprocessori (comprese le Clausole contrattuali standard (SCC) in caso di trasferimenti transfrontalieri di dati), nonché ulteriori misure integrative in caso di trasferimenti ed elaborazioni di dati. Tutti i subprocessori di Ajax dispongono di proprie politiche sulla privacy e di altri documenti relativi alla privacy, che vengono regolarmente esaminati dai professionisti di Ajax per garantirne la conformità.
Elenco dei subprocessori approvati da Ajax:
Servizio | Fornitore | Scopo dell'utilizzo | Link all'Informativa sulla privacy e al DPA |
AWS | Amazon | Hosting e backup dei dati | https://aws.amazon.com/privacy/ https://docs.aws.amazon.com/whitepapers/latest/navigating-gdpr-compliance/aws-data-processing-addendum-dpa.html |
Twilio | Twilio Group | SMS programmabili | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
SendGrid | Twilio Group | Comunicazione via e-mail programmabile | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
Mailgun | Sinch Email | Servizio di e-mail transazionale | https://www.mailgun.com/legal/privacy-policy/ https://www.mailgun.com/legal/dpa/ |
MongoDB | MongoDB Inc | Fornitore di servizi di database | https://www.mongodb.com/legal/privacy-policy https://www.mongodb.com/legal/dpa |
Google BigQuery | Google LLC | Analisi, miglioramento del servizio | https://policies.google.com/privacy |
Cosa sono le Clausole contrattuali standard?
Le Clausole contrattuali standard (SCC) sono modelli di clausole di protezione dei dati standardizzati e pre-approvati che consentono ai titolari del trattamento e ai responsabili del trattamento di adempiere agli obblighi previsti dalla normativa UE sulla protezione dei dati. Possono essere incorporati dai titolari del trattamento e dai responsabili del trattamento nei loro accordi contrattuali con altre parti, come i partner commerciali. Le clausole possono essere utilizzate su base volontaria per dimostrare la conformità ai requisiti di protezione dei dati, richiedendo un impegno contrattuale vincolante a rispettarle. La Commissione europea ha il potere di adottare le SCC (1) per quanto riguarda il rapporto esistente tra il titolare e responsabile del trattamento dei dati e (2) per il trasferimento di dati personali a paesi al di fuori dello spazio SEE.
Cosa sono le misure supplementari?
Le misure supplementari sono procedure tecniche e organizzative appositamente implementate che vengono utilizzate per raggiungere un livello efficace di garanzia sui dati trasferiti equivalente al trattamento dei dati all'interno del SEE.
Ajax ha implementato, incluso ma non limitato a, le seguenti misure organizzative:
- formazione periodica ed esame dei dipendenti Ajax;
- sistema automatizzato per il monitoraggio in tempo reale di violazioni e vulnerabilità;
- registrazione continua di tutti i processi;
- ispezione e convalida periodica personalizzata del sistema Ajax per quanto riguarda le vulnerabilità.
Ajax ha implementato, incluso ma non limitato a, le seguenti misure tecniche:
- Misure per impedire a persone non autorizzate di accedere ai sistemi di elaborazione dei dati disponibili nei locali e impianti (compresi i database, i server delle app e il relativo hardware), in cui vengono elaborati i dati personali, tra cui la creazione di aree di sicurezza, la limitazione dei percorsi di accesso, la creazione di autorizzazioni di accesso per i dipendenti e i terzi, la chiusura delle porte (apriporta elettrici, ecc.).
- Misure per impedire che i sistemi di elaborazione dei dati vengano utilizzati da persone non autorizzate, comprese le procedure di identificazione e autenticazione degli utenti, le procedure di sicurezza ID/password, la crittografia dei supporti di dati archiviati.
- Misure per garantire che le persone autorizzate a utilizzare un sistema di elaborazione dati accedano solo a tali dati personali in conformità con i loro diritti di accesso e che i dati personali non possano essere letti, copiati, modificati o cancellati senza autorizzazione, tra cui politiche e procedure interne, schemi di autorizzazione di controllo, diritti di accesso differenziati (profili, ruoli, transazioni e oggetti), monitoraggio e registrazione degli accessi, azioni disciplinari contro i dipendenti che accedono ai dati personali senza autorizzazione.
- Misure per garantire che i dati personali non possano essere letti, copiati, modificati o cancellati senza autorizzazione durante la trasmissione elettronica, il trasporto o l'archiviazione su supporti di memorizzazione (manuali o elettronici), e che sia possibile verificare a quali aziende o altre entità legali vengono divulgati i dati personali, tra cui la crittografia, la registrazione, la sicurezza della trasmissione. Tutti i dati personali sono criptati con algoritmo SHA256 e sono soggetti a trasferimento tramite HTTPS con SHA128 e crittografia TLS 1.2 .
- Misure per monitorare se i dati sono stati inseriti, modificati o rimossi (cancellati), e da chi, dai sistemi di elaborazione dati, compresi i sistemi di registrazione e reporting, i percorsi di verifica e la documentazione.
- Misure per garantire la protezione dei dati personali contro la distruzione o la perdita accidentale (fisica/logica), tra cui procedure di backup, gruppi di continuità (UPS), archiviazione remota, sistemi antivirus/firewall, piano di ripristino in caso di disastro, piano di sostenibilità aziendale.
- Misure per garantire che i dati personali raccolti per scopi diversi possano essere trattati separatamente, compresa la separazione di database, la limitazione dell'uso, la separazione delle funzioni (produzione/test).
Che cos'è una valutazione dell'impatto del trasferimento?
La valutazione dell'impatto del trasferimento (TIA) è un'analisi effettuata da un titolare del trattamento dei dati o da un responsabile del trattamento dei dati sulle implicazioni per la sicurezza di un trasferimento di dati personali verso Paesi al di fuori dell'UE/SEE o che beneficiano di una decisione di adeguatezza.