Skip to Content
Go back
BAS-IP / MEMORANDUM SULLA CONFORMITÀ AL TRATTAMENTO DEI DATI PERSONALI

Siamo impegnati in pratiche di protezione dei dati solide e innovative, in modo che ogni cliente possa fidarsi del fatto che i suoi dati personali siano trattati in modo sicuro e protetto.

BAS-IP DISTRIBUTION LTD (Società o BAS-IP) ha preparato questo memorandum per i nostri clienti riguardante la nostra conformità alla legislazione applicabile in materia di protezione dei dati, inclusi il Regolamento Generale sulla Protezione dei Dati del Regno Unito (UK General Data Protection Regulation/UK GDPR) e il Regolamento Generale sulla Protezione dei Dati dell’UE (EU General Data Protection Regulation/GDPR). Di seguito, vi illustreremo le nostre attività relative al rispetto dei requisiti di protezione dei dati personali.

DEFINIZIONI

  • “UK GDPR” (Regolamento Generale sulla Protezione dei Dati del Regno Unito) indica il Regolamento Generale sulla Protezione dei Dati del Regno Unito, come incorporato nel diritto britannico ai sensi del Data Protection Act 2018, insieme ad altra legislazione applicabile del Regno Unito in materia di protezione dei dati e privacy.
  • “GDPR” (Regolamento Generale sulla Protezione dei Dati) indica il Regolamento Generale sulla Protezione dei Dati (Regolamento (UE) 2016/679) e qualsiasi legislazione correlata in materia di protezione dei dati e privacy applicabile all’interno dell’Unione Europea e dello Spazio Economico Europeo.
  • Dati personali (Personal data) indica qualsiasi informazione relativa a una persona fisica identificata o identificabile.
  • Interessato (Data subject) indica una persona fisica identificabile, che può essere identificata, direttamente o indirettamente.
  • Titolare del trattamento (Controller) indica la persona fisica o giuridica, l’autorità pubblica, l’agenzia o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali.
  • Responsabile del trattamento (Processor) indica la persona fisica o giuridica, l’autorità pubblica, l’agenzia o altro organismo che tratta dati personali per conto del titolare del trattamento.
  • Sub-responsabile (Subprocessor) indica una persona fisica o giuridica, incaricata da un responsabile del trattamento, che effettua il trattamento dei dati personali per conto del titolare del trattamento.
  • Trattamento (Processing) indica qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, l’allineamento o l’interconnessione, la limitazione, la cancellazione o la distruzione.

INFORMAZIONI SU BAS-IP

BAS-IP sviluppa e produce videocitofoni IP, sistemi di controllo accessi e sistemi di comunicazione, ed è un attore di primo piano in questo campo. Maggiori informazioni sulle nostre attività sono disponibili sul sito web: https://bas-ip.com/.

Nel corso delle sue attività, la Società può raccogliere, accedere o trattare in altro modo dati personali relativi a diverse categorie di interessati: clienti e utenti, dipendenti, appaltatori e altri interessati. Durante tale trattamento, la Società si impegna ad adottare tutte le misure necessarie e a seguire le politiche, le procedure e le altre documentazioni pertinenti in materia di protezione dei dati personali per trattare i dati personali in conformità con la legge applicabile e le migliori pratiche.

Ruoli durante il trattamento dei dati personali

BAS-IP può assumere diversi ruoli ai sensi dell’UK GDPR e del GDPR:

  • In qualità di titolare del trattamento, la Società determina le finalità e i mezzi del trattamento dei dati personali durante, ad esempio, la comunicazione con i clienti e i visitatori del sito web, le attività di marketing che coinvolgono il trattamento dei dati personali, ecc.
  • In qualità di responsabile del trattamento, la Società può trattare dati personali su istruzioni del nostro cliente, agendo come titolare del trattamento o per conto del rispettivo titolare del trattamento.
  • Durante il trattamento dei dati personali in qualità di responsabile del trattamento, potremmo coinvolgere fornitori di servizi terzi che agiranno come sub-responsabili.
Quando tratta dati personali nel corso della fornitura di servizi ai suoi clienti, la Società agisce in qualità di responsabile del trattamento e si conforma ai requisiti applicabili dell’UK GDPR e del GDPR, nonché ai relativi obblighi contrattuali tra la Società e il cliente.

BAS-IP E PROTEZIONE DEI DATI

BAS-IP è impegnata a rispettare i più elevati standard di protezione dei dati e la legislazione applicabile in materia di protezione dei dati personali.

Tutte le attività che coinvolgono il trattamento dei dati personali sono condotte in conformità con la documentazione interna relativa alla regolamentazione del trattamento dei dati personali.

La Società applica le seguenti misure di protezione dei dati personali:

Revisione regolare della documentazione sulla protezione dei dati personali e apporto delle modifiche necessarie alla nostra documentazione e attività

La revisione e l’aggiornamento regolare della documentazione interna sulla protezione dei dati personali è parte integrante della strategia della Società per garantire la conformità ai requisiti dell’UK GDPR, del GDPR e di altri atti normativi nel campo della protezione dei dati personali.

La documentazione interna pertinente e le politiche e procedure adottate, in particolare per quanto riguarda le richieste degli interessati, la notifica di violazioni dei dati personali, le valutazioni di conformità di terze parti coinvolte nel trattamento dei dati personali, ecc., vengono periodicamente aggiornate o modificate se necessario, in particolare in caso di modifiche legislative o introduzione di nuove attività di trattamento dei dati personali.

Inoltre, le attività di trattamento dei dati personali vengono registrate, il che include il mantenimento dei registri delle attività di trattamento (RoPA), e, se necessario, vengono condotte una valutazione d’impatto sulla protezione dei dati (DPIA) e una valutazione di interesse legittimo (LIA).

In tal modo, mantenendo aggiornata la sua documentazione sulla protezione dei dati personali, la Società garantisce un alto livello di protezione dei dati personali e la continua conformità con la legislazione.

Conformità ai requisiti per la protezione dei diritti degli interessati

La Politica sulla Privacy della Società, che è pubblicamente disponibile sul suo sito web, fornisce ai clienti e ad altri interessati informazioni sugli scopi per i quali i dati personali possono essere trattati, come e quali dati personali specifici possono essere trattati, nonché informazioni sui loro diritti ai sensi delle leggi applicabili sulla protezione dei dati personali, incluso come esercitare tali diritti.

Inoltre, la Società ha adottato una Procedura per Richieste e Reclami, che contiene la procedura per rispondere alle richieste degli interessati e ai loro diritti in conformità con l’UK GDPR e il GDPR.

La Società si impegna a fornire tutto il supporto necessario al cliente nel contesto della risposta alle richieste degli interessati i cui dati sono trattati dalla Società in qualità di responsabile del trattamento, in conformità con le disposizioni dell’UK GDPR, del GDPR e degli obblighi contrattuali tra la Società e il cliente.

Conformità con i migliori standard e pratiche per la sicurezza tecnica e organizzativa

La Società ha implementato misure tecniche e organizzative per garantire la sicurezza dei dati personali. La documentazione interna della Società definisce chiaramente le misure tecniche e organizzative utilizzate durante il trattamento dei dati personali:

  • ha sviluppato e adottato documentazione che regola la sicurezza delle informazioni, e monitora continuamente gli eventi di sicurezza delle informazioni e garantisce una risposta tempestiva agli incidenti;
  • ha implementato garanzie per limitare l’accesso ai dati personali, come il controllo dell’accesso ai dati personali, in particolare attraverso l’uso di account personalizzati, il controllo dei requisiti per la lunghezza e la complessità delle password degli account e la protezione dell’accesso alla rete per ridurre il rischio di attacchi di rete; la verifica della conformità dei data center fisici in cui i dati sono archiviati con i requisiti di sicurezza; l’autenticazione a più fattori e l’autenticazione dell’utente durante l’autorizzazione, nonché la configurazione e l’applicazione dei permessi di accesso ai dati, la revisione regolare dei diritti di accesso esistenti, ecc.;
  • utilizza tecnologie di crittografia durante l’archiviazione e il trattamento dei dati personali utilizzando tecnologie cloud e stabilisce requisiti per l’uso di protocolli crittografici, algoritmi, suite di cifratura, chiavi di crittografia e approcci di gestione delle chiavi solo aggiornati e robusti;
  • rivede regolarmente i backup dei dati personali per determinare se la loro conservazione è conforme ai requisiti operativi e agli obblighi legali;
  • adotta altre misure di sicurezza organizzative, inclusa l’implementazione di una politica di separazione dei ruoli e delle responsabilità, l’aggiornamento regolare delle politiche e procedure pertinenti, il monitoraggio dell’esecuzione dei doveri e la dimostrazione della volontà di cooperare con le autorità governative competenti. Le misure di sicurezza del personale implementate dalla Società includono in alcuni casi controlli sui precedenti dei dipendenti, l’aumento della consapevolezza dei dipendenti sui problemi di sicurezza delle informazioni e il monitoraggio di tale consapevolezza, nonché la conduzione di programmi di formazione e sviluppo professionale;
  • monitora continuamente i cambiamenti nella legislazione e implementa le migliori pratiche nel campo della protezione dei dati personali in conformità con gli standard di sicurezza informatica, le linee guida, le raccomandazioni delle autorità di vigilanza per la protezione dei dati personali e l’Information Commissioner’s Office (ICO).

La Società si conforma a tutte le politiche e procedure per garantire la sicurezza della protezione dei dati personali, ne verifica regolarmente la pertinenza e ne assicura la tempestiva revisione.

Verifica regolare di terze parti

Tutte le terze parti coinvolte nel trattamento dei dati personali vengono verificate utilizzando una procedura interna regolamentata per la valutazione della conformità delle terze parti. In particolare, tali verifiche valutano la disponibilità di documentazione pertinente relativa al trattamento dei dati personali, nonché la disponibilità e l’efficacia delle misure di sicurezza tecniche e organizzative implementate per proteggere i dati personali da accessi non autorizzati, perdita o violazioni dell’integrità.

Trasferimenti sicuri di dati personali

Durante la fornitura di servizi, la Società può trasferire dati personali al di fuori del Regno Unito, ad esempio, negli Stati Uniti e in Ucraina.

Per garantire la sicurezza e la conformità con i requisiti legali per il trasferimento di dati personali, viene effettuata una valutazione in anticipo. Inoltre, viene regolarmente condotto un monitoraggio interno per garantire la conformità dei requisiti legali e delle pratiche degli Stati Uniti, dell’Ucraina e, ove necessario, di altri paesi verso i quali i dati personali vengono trasferiti, con gli standard e le pratiche di protezione dei dati personali del Regno Unito e dell’UE. Inoltre, le misure di sicurezza adottate dagli importatori di dati vengono controllate scrupolosamente, in particolare attraverso la firma della documentazione pertinente che regola la protezione dei dati personali.

Quando la Società trasferisce dati personali soggetti all’UK GDPR e/o al GDPR, stipula un Accordo sul Trattamento dei Dati (DPA) con i suoi appaltatori. Tali accordi incorporano i meccanismi di trasferimento appropriati, incluse le Clausole Contrattuali Standard dell’UE (SCCs) insieme all’Addendum UK (UK Addendum), o l’Accordo Internazionale sul Trasferimento di Dati (IDTA).

Formazione regolare

La Società organizza regolarmente formazione per i suoi dipendenti e appaltatori sulla conformità ai requisiti dell’UK GDPR e del GDPR, nonché sulla protezione dei dati personali. Gli argomenti trattati nella formazione includono, tra gli altri, i requisiti generali dell’UK GDPR, del GDPR e di altre leggi applicabili sulla protezione dei dati personali, i ruoli nel trattamento, i principi del trattamento dei dati personali, le basi giuridiche per il trattamento, la garanzia dei diritti degli interessati e le questioni relative alla protezione dei dati personali.

Inoltre, la Società ha anche adottato la documentazione necessaria e implementato misure appropriate per garantire la formazione e la consapevolezza dei dipendenti nel campo della protezione dei dati.

I NOSTRI CONTATTI

In caso di ulteriori domande relative alla protezione dei dati personali presso BAS-IP, si prega di contattarci via email: [email protected].

Cordiali saluti,

BAS-IP DISTRIBUTION LTD