Privacy Policy

1. Introduzione

1.1Riferimenti normativi

L’entrata in vigore (24 maggio 2016) e la successiva applicabilità (25 maggio 2018) del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE, ha comportato per PERFORMA GROUP S.r.l. la necessità di operare un generalizzato adeguamento della propria Privacy Policy alla luce dei nuovi principi ed adempimenti introdotti dalla normativa citata.

In particolare, la nuova disciplina ha operato una complessiva revisione dei ruoli dei soggetti coinvolti nel trattamento di dati personali, contemplando le figure del Titolare del Trattamento, del Responsabile del Trattamento e del Responsabile della Protezione dei Dati, cui sono attributi, secondo un criterio sostanziale, oltre che formale, diversi compiti e responsabilità.

Analizzando la propria attività di fornitore di servizi informatici, PERFORMA GROUP ha rilevato di rivestire nell’erogazione degli stessi in maniera preponderante il ruolo di Responsabile del Trattamento ed ha, pertanto, provveduto all’elaborazione del presente documento quale informativa rivolta ai propri Clienti per rendere gli stessi edotti della politica in materia di protezione dei dati personali attuata da PERFORMA GROUP per quanto di pertinenza ai dati personali da essi trattati in qualità di Titolari del Trattamento ed implicati nell’esecuzione del contratto di fornitura di servizi informatici.

Mediante la presente Privacy Policy del Responsabile del Trattamento è possibile al Titolare del Trattamento conoscere il grado di adeguamento dell’organizzazione del fornitore al GDPR, l’appropriatezza delle misure da questi adottate per la tutela dei diritti e delle libertà degli Interessati rispetto ai dati personali trattati e, nel complesso, la sua affidabilità al riguardo.

Il documento risponde, inoltre, all’esigenza del Titolare del Trattamento di avere conferma dell’osservanza da parte del Responsabile del Trattamento degli specifici obblighi sullo stesso gravanti ai sensi dell’art. 28 del GDPR, compresa l’esistenza di procedure per l’assistenza del Titolare del Trattamento nel riscontro alle richieste di esercizio dei diritti da parte degli interessati, in occasione di violazioni dei dati personali (cd. Data Breach), di effettuazione di Valutazioni di Impatto e di audit.

A tutela del know how aziendale di PERFORMA GROUP, nonché per garantirne l’efficacia stessa, è essenziale che il presente documento rimanga strettamente riservato tra le parti, anche in ottemperanza agli obblighi di riservatezza e segretezza in tal senso espressamente sottoscritti dalle parti in sede contrattuale.

A tutela del know how aziendale di PERFORMA GROUP ed altri aventi causa, nonché per garantirne l’efficacia stessa, è essenziale che il presente documento rimanga strettamente riservato tra le parti, anche in ottemperanza agli obblighi di riservatezza e segretezza in tal senso eventualmente sottoscritti dalle parti in sede contrattuale.

1.2Definizioni

Ai fini del presente documento si intende per:

PERFORMA GROUP: PERFORMA GROUP S.r.l., l’estensore del presente documento che ne disciplina la privacy policy per quanto concerne il suo ruolo di Responsabile di Trattamento, nell’ambito del contratto per la fornitura di servizi informatici intercorrente tra lo stesso, Fornitore, ed il Cliente, Titolare del Trattamento.

GDPR: Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;

dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

dati particolari o sensibili: dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona;

trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

Interessato: la persona fisica identificata o identificabile cui i dati personali si riferiscono direttamente o indirettamente;

Titolare del Trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;

Responsabile del Trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;7

Sub-responsabile del Trattamento: la persona fisica o giuridica, l’autorità pubblica; il servizio o altro organismo che tratta dati personali per conto del responsabile del trattamento;

Amministratore di Sistema: la persona fisica dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, tenuta agli adempimenti di cui al Provvedimento dell’Autorità Garante per la Protezione dei Dati Personali del 27 novembre 2008 e ss. mm.

Responsabile della Protezione dei Dati – Data Protection Officer (DPO): la persona fisica o giuridica che, se designata, offre al Titolare del Trattamento informazione consulenza riguardo gli obblighi normativi in materia di privacy, vigila sulla conformità della sua organizzazione alla disciplina di tutela dei dati personali e funge da punto di contatto tra questi e l’Autorità Garante per la Protezione dei Dati Personali.

Responsabile della Protezione dei Dati – Data Protection Officer (DPO): la persona fisica o giuridica che, se designata, offre al Titolare del Trattamento informazione consulenza riguardo gli obblighi normativi in materia di privacy, vigila sulla conformità della sua organizzazione alla disciplina di tutela dei dati personali e funge da punto di contatto tra questi e l’Autorità Garante per la Protezione dei Dati Personali.

Contratto: il contratto di fornitura di servizi informatici intercorrente tra PERFORMA GROUP, Fornitore, ed il Cliente, a mezzo del quale essi disciplinano anche l’attribuzione dei rispettivi ruoli di Responsabile e Titolare del trattamento e i correlati obblighi.

Istruzioni del Titolare del Trattamento: il documento a mezzo del quale il Titolare del Trattamento indica al Responsabile del Trattamento le modalità con le quali effettuare il trattamento dei dati personali e le misure di sicurezza da adottare al riguardo;

violazione dei dati personali: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

Modello Organizzativo Privacy: il documento interno elaborato da PERFORMA GROUP per sintetizzare compiutamente la propria privacy policy complessiva, denominato “Trattamento dei dati Personali – Applicazione del Regolamento europeo in materia di protezione dei dati personali” del 20 maggio 2018:

Informativa privacy: l’informativa ai sensi degli articoli 13 o 14 del GDPR che PERFORMA GROUP rivolge agli Interessati per renderli edotti delle principali indicazioni di contenuto, scopo e modo riguardo il trattamento dei dati che li riguardano.

2Analisi dei trattamenti

In qualità di Responsabile del Trattamento, PERFORMA GROUP tratta, per conto del Titolare del Trattamento dati, anche particolari, dei clienti di quest’ultimo e delle aziende da lui assistite.

Il trattamento avviene in modo automatizzato mediante l’uso del prodotto PERFORMA GROUP HRM.

Il trattamento effettuato comprende la visualizzazione, la raccolta, la registrazione, l’archiviazione e l’elaborazione dei dati.

Il trattamento è sempre realizzato per perseguire il fine esclusivo di eseguire correttamente e diligentemente il Contratto, ovvero di fornire i servizi informatici richiesti, di implementarli, di assicurarne la continuità mediante la manutenzione e di fornire al Cliente assistenza in relazione all’operatività degli stessi.

I dati così trattati non sono soggetti a comunicazione a terzi, se non su richiesta del Titolare del Trattamento, al di fuori delle autorità competenti cui la comunicazione o trasmissione dei dati sia dovuta per legge.

3Misure di sicurezza adottate

3.1Misure organizzative

3.1.1Ruoli

Il Responsabile del trattamento è:

PERFORMA GROUP Group Srl

con sede legale in Vimercate, Via Torri Bianche, 9 Palazzo Quercia – 20871 Vimercate

P.iva e C.F.: 10749880968

L’azienda si occupa di realizzare, mantenere e commercializzare prodotti software per professionisti ed imprese per la gestione dei Curriculum Vitae del personale e dei candidati delle aziende stesse; tali prodotti software possono anche essere forniti ai clienti in modalità ASP o Cloud.

Ricorrendone i presupposti sostanziali, PERFORMA GROUP riveste il ruolo di Responsabile del Trattamento, in forza del contratto sottoscritto con Titolare del Trattamento e relativa nomina.

Il contratto e/o l’accordo (o nomina a Responsabile) contengono sinteticamente tutti gli obblighi reciproci intercorrenti tra Titolare e Responsabile del Trattamento, illustrati in dettaglio ed integrati dagli allegati al Contratto stesso e, in particolare, dal presente documento di Privacy Policy del Responsabile del Trattamento.

Sub-responsabili del Trattamento

Di norma a mezzo dell’accordo contrattuale di definizione del ruolo di Responsabile del Trattamento (nomina), PERFORMA GROUP ed il Cliente concordano di autorizzare il Responsabile del Trattamento alla nomina, a sua volta, di ulteriori Sub-Responsabili esterni del Trattamento, coincidenti con i fornitori di servizi informatici ulteriori, strumentali all’erogazione dei servizi pattuiti al Titolare del Trattamento.

In particolare, la nomina a Sub-responsabile del Trattamento è rivolta da PERFORMA GROUP all’hosting provider dei servizi di cloud (Amazon Web Services EMEA SARL.), previa verifica della conformità della sua organizzazione alla disciplina comunitaria in materia di privacy e accertamento del grado di protezione dei dati personali offerto dalle misure di sicurezza dallo stesso implementate.

Per la fornitura di servizi cloud PERFORMA GROUP ha stabilito di avvalersi solo di host provider i cui server siano collocati nel territorio dell’Unione Europea, con ciò escludendo l’eventualità di trasferimenti di dati verso paesi terzi.

Una ulteriore nomina a Sub-responsabili del Trattamento è rivolta alle aziende che si occupano per conto di PERFORMA GROUP dei servizi di assistenza informatica remota e/o presso il cliente, previa verifica della conformità della loro organizzazione alla disciplina comunitaria in materia di privacy e accertamento del grado di protezione dei dati personali offerto dalle misure di sicurezza dalle stesse implementate.

Amministratore di sistema

Onde mantenere, compatibilmente con la nuova normativa introdotta dal GDPR, l’osservanza al Provvedimento dell’Autorità Garante per la Protezione dei Dati Personali del 27 novembre 2008 e ss.mm., PERFORMA GROUP individua al suo interno uno o più Amministratori di sistema, in ragione delle mansioni effettivamente svolte dagli stessi.

L’individuazione avviene con nomina in forma scritta, sottoscritta per accettazione dai soggetti nominati Amministratori di Sistema.

I Titolari del Trattamento possono conoscere l’identità degli Amministratori di Sistema facendone richiesta al Responsabile del Trattamento, il quale rimane per essi, in conformità al GDPR, l’esclusivo responsabile civile ed amministrativo per l’adempimento degli obblighi di protezione dei dati, compresi quelli gravanti sull’Amministratore di Sistema ai sensi del citato Provvedimento dell’Autorità Garante per la Protezione dei Dati Personali del 27 novembre 2008 e ss.mm., con eventuale azione di regresso, a sua volta, nei confronti della persona fisica nominata Amministratore di Sistema.

Incaricati interni

PERFORMA GROUP si avvale per il trattamento dei dati di suoi dipendenti e collaboratori, previa individuazione personale degli stessi a mezzo di nomina scritta ed istruzione specifica riguardo i trattamenti da effettuare, le categorie di dati personali da trattare e i limiti nell’uso degli stessi secondo i principi di necessità e minimizzazione, in ragione delle specifiche mansioni svolte.

Gli incaricati interni trattano i dati personali sotto la direzione e la responsabilità del Titolare del Trattamento e sono tenuti alla riservatezza su quanto in tal modo appreso, in forza di obbligo contrattuale in tal senso assunto in sede di assunzione, di conclusione del contratto di collaborazione e, in ogni caso, di sottoscrizione della nomina ad incaricato interno.

Responsabile della Protezione dei Dati (DPO)

PERFORMA GROUP ha ritenuto di procedere alla nomina di proprio Responsabile della Protezione dei Dati, in tal senso designando un professionista esterno alla propria struttura, dotato delle qualifiche e competenze necessarie all’esercizio dei compiti che il GDPR pone in capo al DPO.

I dati di contatto del DPO sono comunicati agli interessati e, in caso di trattamenti di dati per i quali PERFORMA GROUP ricopra il ruolo di Responsabile del Trattamento, anche ai Titolari del Trattamento, a mezzo dell’Informativa Privacy.

3.1.2Esercizio dei diritti da parte degli interessati

Il GDPR riconosce agli Interessati la possibilità di esercitare i diritti dallo stesso contemplati al Capo III e, in particolare, agli articoli 15 e ss.

Ai sensi dell’art. 12 del GDPR, PERFORMA GROUP si dota di strumenti adeguati a favorire l’esercizio di tali diritti da parte degli Interessati e per rispondere adeguatamente e tempestivamente alle loro richieste.

Pertanto, con riferimento all’esercizio dei diritti da parte degli interessati, PERFORMA GROUP opererà come segue, a seconda del ruolo rivestito in relazione allo specifico trattamento oggetto di violazione.

3.1.3PERFORMA GROUP come responsabile del trattamento

In caso di esercizio dei diritti da parte degli Interessati, PERFORMA GROUP affianca e coadiuva il Titolare del Trattamento perché questi possa rispondere in modo efficace e tempestivo alle richieste pervenute.

A tal fine PERFORMA GROUP fornisce al Titolare del Trattamento le informazioni di cui questi abbia necessità per il riscontro degli Interessati e mette a sua disposizione le seguenti azioni:

  • procede al rilascio di indirizzo e-mail dedicato al Titolare per consentire allo stesso l’esercizio dei diritti da parte degli Interessati;
  • per quanto concerne il diritto di accesso, su richiesta del Titolare del Trattamento, segnala a quest’ultimo le categorie di dati personali detenuti in relazione all’Interessato richiedente;
  • per quanto concerne il diritto di rettifica, su richiesta del Titolare del Trattamento, se non operabile direttamente da esso, procede all’aggiornamento dei dati personali indicati dall’Interessato richiedente;
  • per quanto concerne il diritto all’oblio, su richiesta del Titolare del Trattamento, provvede tempestivamente, se non operabile direttamente da esso, in tutto o in parte, alla cancellazione dei dati personali dell’interessato richiedente;
  • per quanto concerne il diritto alla limitazione del trattamento, su richiesta del Titolare del Trattamento, se non operabile direttamente da esso, contrassegna i dati – o le categorie di dati – personali di cui limitare il trattamento;
  • per quanto concerne il diritto alla portabilità dei dati, assiste il Titolare del Trattamento nell’individuazione del formato compatibile per riscontrare la richiesta di portabilità ed all’eventuale trasmissione del dato a mezzo di canale protetto da crittografia;
  • per quanto concerne il diritto di opposizione, su comunicazione del Titolare del Trattamento, provvede tempestivamente alla cessazione del trattamento dei dati personali inerenti all’Interessato richiedente.

3.1.4Registro dei trattamenti

Il Responsabile del Trattamento si dota di apposito Registro dei Trattamenti in formato elettronico e cartaceo, che, conformemente alle prescrizioni di cui all’art. GDPR, contiene:

a) il nome e i dati di contatto del Responsabile del Trattamento, di ogni Titolare del Trattamento per conto del quale agisce il Responsabile del Trattamento, del rappresentante del titolare del trattamento, se presente;

b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

c) l’eventuale trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, se necessario, la documentazione delle garanzie adeguate;

d) una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

Il Registro dei Trattamenti è aggiornato in occasione di ogni nuovo trattamento, nonché, in ogni caso, almeno annualmente.

Su richiesta, il Registro dei Trattamenti è esibito da questi al Titolare del Trattamento per la parte ad esso pertinente.

Su richiesta, il Registro del Trattamento viene messo a disposizione dell’Autorità Garante per la Protezione dei Dati Personali.

3.1.5Termini conservazione dati: criteri per categoria di dati o trattamenti

I dati trattati da PERFORMA GROUP in qualità di Responsabile del Trattamento sono oggetto di cancellazione dopo 3 (tre) mesi dalla cessazione del Contratto.

È possibile che i dati personali vengano conservati oltre questo termine solo nei seguenti casi e per le seguenti finalità:

  • per Ordine dell’Autorità Giudiziaria;
  • per l’insorgere di un legittimo interesse in capo al Responsabile del Trattamento, quale la necessità di utilizzare i dati per la tutela giudiziale o amministrativa dei propri diritti e interessi.

3.2Misure tecniche

3.2.1Trattamenti informatizzati

Accessi

L’accesso ai dati è differenziato a seconda del diverso livello di autorizzazione, dipendente, per quanto riguarda i soggetti interni a PERFORMA GROUP dall’attribuzione di incarico al trattamento dei dati e dal contenuto del medesimo, per quanto concerne i soggetti interni al Titolare dalle istruzioni in tal senso ricevute dal Titolare del Trattamento stesso: in genere dipendenti e collaboratori del Titolare.

Utenti: dipendenti e collaboratori Cliente

In ragione delle specifiche funzioni e mansioni possono essere autorizzati all’accesso ai differenti prodotti di PERFORMA GROUP per ciascuno di questi accessi viene generata in automatico dal sistema apposita password individuale.

Registro log

I sistemi implementati da PERFORMA GROUP tiene traccia dei log di accesso allo stesso segnalando:

  • data e ora di accesso autorizzato;
  • data e ora di tentativo di accesso non autorizzato;

Nei limiti permessi dalla crittografia della trasmissione, è implementato anche il registro dei log alla rete internet in ragione dell’indirizzo IP.

I file di log sono conservati per un massimo di sei (6) mesi e possono essere oggetto di accesso, a norma di legge, da parte delle Autorità competenti, ovvero, sempre nei termini e modi di legge, ne può essere richiesta dalle Autorità competenti la conservazione per un termine superiore.

Collocazione server

I server interessati dai trattamenti di dati effettuati da PERFORMA GROUP come Titolare o Responsabile dei Trattamento sono così individuati:

  • Spazio in cloud in concessione Amazon Web Services EMEA SARL.: PERFORMA GROUP ha concluso con Amazon Web Services EMEA SARL. apposito contratto per la fornitura dei servizi di cloud computing e la relativa registrazione ed archiviazione di dati presso lo spazio Cloud di Amazon Web Services EMEA SARL. e, per l’effetto, presso i server della medesima (cloud). Al riguardo PERFORMA GROUP ha provveduto a verificare l’affidabilità del contraente, lo svolgimento di tutti i suoi servizi all’interno del territorio dell’Unione Europea e, pertanto, la sua soggezione alla disciplina dettata dal GDPR, l’adeguatezza delle misure di sicurezza attuate, l’adozione di idonee garanzie a tutela dei dati personali archiviati sugli spazi oggetto dei servizi forniti. L’host provider è individuato quale Sub-responsabile del trattamento e garantisce al Responsabile del Trattamento lo stesso grado complessivo di tutela offerto da quest’ultimo.

Firewall

PERFORMA GROUP applica ai propri sistemi i seguenti firewall: Cisco ASA

Antivirus

PERFORMA GROUP applica ai propri sistemi il seguente antivirus: Symantec end point protection

Aggiornamento sistemi

L’aggiornamento dei software rilasciati da terze parti viene effettuato, se del caso, in occasione delle segnalazioni automatiche generate dai software medesimi, ovvero su input del produttore.

L’aggiornamento dei sistemi e dei software di elaborazione di PERFORMA GROUP avviene su iniziativa della stessa PERFORMA GROUP al ricorrere delle seguenti evenienze:

  • Rilevazione di bug di sistema;
  • Implementazione del software o dei sistemi PERFORMA GROUP.

Cifratura

PERFORMA GROUP adotta tecniche di cifratura per cluster di dati ritenuti rilevanti mediante cifratura del disco o dello spazio sul quale essi sono registrati o archiviati.

Pseudonimizzazione

In caso di specifiche esigenze manifestate dal Cliente e concordate con lo stesso, PERFORMA GROUP applica la misura della pseudominimizzazione mediante generazione automatica di codici alfanumerici quali pseudonimi degli interessati in modo da renderli non identificabili in assenza dell’elenco di corrispondenza tra codici ed identità dei soggetti.

La misura può essere applicata funzionalmente sia ad un trattamento telematico, sia ad un trattamento cartaceo del dato da parte del Titolare del Trattamento.

Back up

PERFORMA GROUP effettua giornalmente il back up dei dati nei seguenti modi:

  • Dati di PERFORMA GROUP in qualità di Titolare presenti sui sistemi in sede: I backup sono effettuati con cedenza quotidiana in Server Farm, con la rotazione di 5 giorni per 5 settimane.
  • Dati di PERFORMA GROUP in qualità di Responsabile del Trattamento: i back up sono effettuati con cadenza quotidiana su appositi sistemi dai sub responsabili fornitori dell’housing e dell’hosting. I backup sono mantenuti con una periodicità di tre mesi

Sistemi di monitoraggio

Sono implementati strumenti di monitoraggio permanente presso i sub Responsabili ed in tempo reale dei sistemi e delle reti con segnalazione automatica, mediante notifica e-mail (alarm), delle eventuali anomalie determinanti, per qualsiasi causa, l’interruzione dei servizi in essere e, pertanto, l’eventualità che i dati personali trattati possano subire rischi sotto il profilo della loro integrità e disponibilità.

Al ricevimento della notifica di anomalia del sistema, i sub Responsabili intervengono immediatamente per l’analisi delle cause del disservizio e per la loro risoluzione.

Nell’eventualità di anomalia determinante un danno per i dati personali trattati, PERFORMA GROUP in qualità di Titolare del Trattamento o di Responsabile del Trattamento, a seconda, da avvio alle procedure di notifica di violazione dei dati personali (Data Breach).

Trasferimento dati

Ogni trasferimento dei dati avviene sempre tramite canale crittografato (VPN, HTTPS).

4VIOLAZIONE DI DATI PERSONALI (C.D. “DATA BREACH”)

4.1 Procedura in caso di violazione dei dati personali (c.d. “data breach”)

Nell’eventualità in cui si verifichi una violazione dei dati personali e si produca, quindi, per qualsiasi causa, intenzionale o accidentale, ed in relazione a qualsiasi tipo di trattamento, automatizzato o meno, un danno ai dati personali, consistente nella distruzione, perdita, modifica, divulgazione non autorizzata o accesso indebito ai medesimi, PERFORMA GROUP opererà come segue, a seconda del ruolo rivestito in relazione allo specifico trattamento oggetto di violazione.

PERFORMA GROUP come Responsabile del Trattamento

Qualora si verifichi la violazione di dati personali rispetto al trattamento dei quali PERFORMA GROUP rivesta il ruolo di Responsabile del Trattamento, verrà osservata, salvo diverso accordo specifico con il Titolare del Trattamento, la seguente procedura:

1. Rilevata la violazione, PERFORMA GROUP provvederà tempestivamente, comunque non oltre le quarantotto (48) ore dalla conoscenza della violazione intervenuta, a dare comunicazione della stessa in forma scritta, anche a mezzo e-mail, al Titolare del Trattamento. La comunicazione così effettuata conterrà le seguenti informazioni:

I. Descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

II. descrizione delle probabili conseguenze della violazione dei dati personali;

III. descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi;

IV. il nome e i dati di contatto del Responsabile della Protezione dei Dati (DPO) nominato o di altro punto di contatto presso cui ottenere più informazioni.

2. Successivamente, il Responsabile del Trattamento, a mezzo del DPO o di altro soggetto in tal senso incaricato, collaborerà con il Titolare del Trattamento per la valutazione dei rischi connessi alla violazione intervenuta, nonché all’individuazione delle cause della stessa e delle misure eventualmente da adottare o implementare per rimediare alla violazione intervenuta, limitare le conseguenze e impedirne la reiterazione in futuro.

Misure tecniche di ripristino

Al verificarsi di una violazione dei dati personali, PERFORMA GROUP attiva, previa valutazione di quelle necessarie nel caso di specie in relazione alla tipologia di violazione intervenuta, le seguenti misure di ripristino del sistema e di recupero dei dati:

  • sospensione degli accessi al sistema, o alla parte di esso intaccata dalla violazione;
  • scansione dei sistemi con programmi antivirus adeguati, se del caso, implementati rispetto ai software antivirus di uso ordinario;
  • recupero dei dati attingendo alla replica sincronica degli stessi (ridondanza);
  • recupero dei dati attingendo ai dischi di back up;
  • recupero dei dati mediante l’impiego di specifiche applicazioni software.

5Valutazione dell’impatto

In occasione di nuovi trattamenti è previsto dal GDPR che il Titolare del Trattamento proceda previamente ad un esame del trattamento di dati personali da effettuare e, qualora lo stesso implichi l’impiego di nuove tecnologie o si rilevi la sussistenza di rischio elevato per i diritti e le libertà delle persone fisiche, effettui preventivamente una Valutazione di Impatto dei trattamenti previsti sulla protezione dei dati personali.

Al riguardo, PERFORMA GROUP opererà come segue, a seconda del ruolo rivestito in relazione allo specifico trattamento.

5.1PERFORMA GROUP come Responsabile del Trattamento

Qualora il Titolare del Trattamento ritenga di effettuare una Valutazione di Impatto di un futuro trattamento sulla protezione dei dati personali che ne coinvolga l’operato, il Responsabile del Trattamento collabora col Titolare per l’analisi dei rischi derivanti dal trattamento e per l’individuazione delle misure di sicurezza idonee da applicarsi al riguardo, nonché per la valutazione del carattere sufficiente o meno di queste ultime, anche in vista di una eventuale consultazione preventiva dell’Autorità Garante per la Protezione dei Dati Personali al riguardo.

In quest’ultima evenienza, il Responsabile del Trattamento si rende disponibile, anche a mezzo del proprio DPO, alla collaborazione non solo con il Titolare del Trattamento, ma anche con la stessa Autorità Garante per la Protezione dei Dati Personali.

5.2Monitoraggio delle applicazioni

5.2.1 Procedure di audit periodico

PERFORMA GROUP effettua annualmente, col supporto del proprio DPO, procedure di audit per verificare l’effettivo grado di attuazione della propria policy privacy e per implementarlo.

5.2.2Test del sistema e delle misure tecniche

PERFORMA GROUP provvede al test della funzionalità dei propri sistemi in occasione di ogni nuova installazione o di ogni modifica agli stessi.

PERFORMA GROUP effettua, inoltre, test sulla funzionalità del proprio software in occasione di ogni implementazione dello stesso e, comunque con cadenza almeno semestrale.

Con cadenza almeno semestrale PERFORMA GROUP effettua uno o più penetration test sulle misure di sicurezza tecniche adottate e adotta, sulla base degli esiti del test, se necessario, le opportune ulteriori misure di sicurezza o implementa le esistenti.

Con cadenza annuale, generalmente in concomitanza con le procedure di audit periodico, PERFORMA GROUP procede ad una valutazione di vulnerabilità dei propri sistemi, provvedendo di conseguenza, se necessario alla revisione delle misure di sicurezza tecniche adottate.

Sulla base dei test e delle valutazioni di vulnerabilità effettuate, PERFORMA GROUP procede, se del caso, alla revisione delle misure di sicurezza adottate, con conseguente aggiornamento, se necessario, del proprio Modello Organizzativo privacy e della correlata documentazione.

PERFORMA GROUP, nella sua qualità di Responsabile del Trattamento, trasmette al Titolare del Trattamento anche gli aggiornamenti pertinenti intervenuti in relazione alla documentazione privacy e contrattuale scambiata tra le parti.