Bové Montero
Bové Montero Cerrar

Politica sulla Privacy

  1. Home
  2. Politica sulla Privacy

Introduzione

L’obiettivo di questa Politica è stabilire le linee guida che tutti i livelli dell’Azienda dovranno seguire in materia di Protezione dei Dati di carattere Personale.

Questa Politica contiene una descrizione degli elementi chiave, sia umani che organizzativi, tecnologici e documentali, che l’Azienda applica per proteggere i dati di carattere personale, evitando che si verifichino violazioni dei diritti e delle libertà degli interessati.

A tutti i livelli dell’Azienda sarà garantita l’applicazione reale ed efficace delle linee guida stabilite in questa Politica in materia di protezione dei dati, in modo che questo sistema di autoregolamentazione elimini comportamenti che possano mettere a rischio i dati personali trattati dall’Azienda.

1. Ambito di applicazione

  • Ambito Societario. – Questa Politica sarà applicabile a BOVÉ MONTERO Y ASOCIADOS, S.L. (di seguito, “l’entità”).
  • Ambito personale. – Questa Politica sarà applicabile a tutti i livelli dell’entità, inclusi gli organi di amministrazione, i dirigenti, gli organi di controllo e l’intero personale.
  • Ambito relazionale. – L’ambito di applicazione di questa Politica si estenderà, nella misura del possibile, a fornitori, consulenti, clienti e altri terzi dell’Azienda.
  • Ambito geografico. – Questa Politica sarà applicabile alle relazioni pubbliche e private che l’Azienda stabilisce in qualsiasi ambito geografico.

2. Normativa applicabile

Questa Politica è adattata alla seguente normativa:

  • Regolamento Generale sulla Protezione dei Dati dell’UE (RGPD)
  • Legge Organica 3/2018, del 5 dicembre, sulla Protezione dei Dati Personali e garanzia dei diritti digitali
  • Legge 34/2002, dell’11 luglio, sui servizi della società dell’informazione e sul commercio elettronico
  • Legge Organica 1/1982, del 5 maggio, sulla protezione civile del diritto all’onore, alla privacy personale e familiare e all’immagine personale

Saranno apportati gli adattamenti necessari a questa Politica in funzione dei cambiamenti legislativi che si verificheranno, nonché dei criteri stabiliti in:

  • Le guide, i rapporti e le risoluzioni dell’Agenzia Spagnola per la Protezione dei Dati
  • Le guide, i rapporti e le risoluzioni delle autorità di controllo degli altri Stati membri dell’Unione Europea
  • Il Gruppo di Lavoro dell’Articolo 29
  • Le sentenze della Corte di Giustizia dell’Unione Europea
  • Le sentenze dell’Audiencia Nacional, della Corte Suprema e del Tribunale Costituzionale

3. Rischi aziendali in materia di protezione dei dati

L’Azienda svolge la sua attività principale come società che fornisce servizi nei settori della revisione contabile, consulenza, consulenza contabile, legale, fiscale e del lavoro.

La particolare natura dei dati personali, la complessità della normativa applicabile e l’entità delle sanzioni previste generano rischi come accesso non autorizzato, copia non autorizzata, comunicazione o cessione a terzi, oltre ad altre violazioni previste dal RGPD e dalla normativa locale.

I rischi derivanti dal mancato rispetto degli obblighi legali in materia di protezione dei dati sono i seguenti:

  1. Sanzioni amministrative
  2. Reati contro la privacy
  3. Risarcimenti per danni e pregiudizi
  4. Danni reputazionali

La protezione dei dati personali è uno dei valori fondamentali dell’entità ed è un obiettivo prioritario dell’Azienda, che richiede una serie di misure giuridiche, tecniche e organizzative, riassunte in questa Politica e dettagliate nelle relative norme e procedure.

4. Obiettivi della protezione dei dati

Gli obiettivi dell’Azienda in materia di protezione dei dati sono allineati con quelli aziendali, dando priorità al rispetto degli obblighi legali applicabili alle attività svolte.

La protezione dei dati è considerata un vantaggio competitivo, in quanto consente all’Azienda di differenziarsi dai concorrenti che non rispettano la privacy dei loro clienti e collaboratori o che trattano i loro dati in modo inadeguato, assumendosi il rischio di importanti sanzioni economiche con un forte impatto reputazionale.

Un obiettivo prioritario della protezione dei dati sarà il rispetto del Regolamento Generale sulla Protezione dei Dati dell’Unione Europea e della Legge Organica sulla Protezione dei Dati Personali e garanzia dei diritti digitali.

A tutti i livelli dell’Azienda sarà garantito l’impegno a rispettare gli obiettivi fissati in materia di protezione dei dati e i principi e obblighi stabiliti in questa Politica.

L’Azienda potrà sviluppare norme e procedure che esplicitano e dettagliano la presente Politica.

5. Principi della Protezione dei Dati

La strategia dell’Azienda in materia di protezione dei dati rispetterà i principi descritti di seguito:

  • Principio di liceità: il trattamento dei dati personali sarà lecito se basato sul consenso dell’interessato o su un’altra base giuridica prevista dalla legge.
  • Principio di trasparenza: l’interessato deve essere informato di tutte le circostanze relative al trattamento.
  • Principio di lealtà: i dati personali non potranno essere trattati in circostanze diverse da quelle comunicate.
  • Principio di limitazione della finalità: i dati personali saranno raccolti per finalità determinate, esplicite e legittime, e non saranno trattati successivamente in modo incompatibile con tali finalità.
  • Principio di minimizzazione dei dati: i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati. Questo principio e il precedente si sviluppano nei principi di necessità e proporzionalità applicati alle valutazioni di impatto.
  • Principio di esattezza: i dati personali devono essere esatti e, se necessario, aggiornati, adottando tutte le misure ragionevoli per eliminare o rettificare senza ritardi i dati inesatti rispetto alle finalità per cui sono trattati.
  • Principio di limitazione del periodo di conservazione: i dati personali devono essere conservati in modo da consentire l’identificazione degli interessati solo per il tempo necessario alle finalità del trattamento.
  • Principio di integrità e riservatezza: i dati personali devono essere trattati in modo da garantire un’adeguata sicurezza, compresa la protezione contro il trattamento non autorizzato o illecito, nonché contro la perdita, distruzione o danno accidentale, mediante l’adozione di misure tecniche e organizzative appropriate. I dati personali saranno accessibili solo agli utenti autorizzati e non potranno essere comunicati a terzi senza la corrispondente autorizzazione.
  • Principio di responsabilità proattiva: l’Azienda sarà responsabile della conformità alle disposizioni della normativa sulla protezione dei dati e dovrà essere in grado di dimostrare tale conformità.
  • Protezione dei dati fin dalla progettazione e per impostazione predefinita: per i nuovi trattamenti, progetti, servizi e prodotti, sarà effettuata una valutazione preventiva del loro impatto in materia di protezione dei dati.

6. Ruoli e responsabilità

Tutti i ruoli e le responsabilità saranno distinti e, nella misura del possibile, assegnati in modo individualizzato nella descrizione della posizione lavorativa. Oltre a questa assegnazione specifica, tutte le persone appartenenti all’Azienda, indipendentemente dal loro livello, saranno obbligate a rispettare le norme, le procedure e i controlli stabiliti in materia di sicurezza delle informazioni.

La massima responsabilità per il controllo in materia di protezione dei dati spetterà al Comitato per la Protezione dei Dati e la Sicurezza delle Informazioni.

L’entità dispone di norme e procedure che stabiliscono gli obblighi del personale in materia di protezione dei dati.

L’Azienda adotterà le misure necessarie affinché il personale conosca in modo chiaro le obbligazioni in materia di protezione dei dati che riguardano lo svolgimento delle proprie funzioni, nonché le conseguenze del loro mancato rispetto.

7. Registro delle Attività di Trattamento

L’Azienda disporrà di un registro dei trattamenti in cui saranno riportati i dettagli dei trattamenti autorizzati in qualità di Titolare del Trattamento, nonché un altro registro relativo ai trattamenti effettuati in qualità di Responsabile del Trattamento.

In conformità con il principio di privacy fin dalla progettazione e per impostazione predefinita, e data l’impossibilità per gli organi di controllo di conoscere nel dettaglio tutte le attività relative ai dati personali svolte in ciascun dipartimento, ogni nuovo trattamento o ogni modifica delle caratteristiche del trattamento registrato dovrà essere comunicato al Responsabile della Protezione dei Dati, affinché possa valutarlo e autorizzarlo, nel caso in cui non comporti un rischio per i diritti e le libertà degli interessati.

Inoltre, l’Azienda informerà gli interessati riguardo al trattamento dei loro dati personali attraverso clausole informative e di consenso, in conformità agli articoli 13 e 14 del RGPD.

8. Analisi dei rischi

Tutti i trattamenti soggetti a questa Politica di Sicurezza dovranno essere sottoposti a un’analisi del rischio, valutando le minacce e i rischi a cui sono esposti. Questa analisi sarà ripetuta periodicamente.

L’Azienda effettuerà periodicamente un’analisi dei rischi e delle minacce che influiscono sulla protezione dei dati.

L’analisi dei rischi sarà condotta attraverso una mappa dei rischi inerenti, nella quale verranno valutati i rischi esistenti prima dell’applicazione delle misure di prevenzione, rilevamento e mitigazione. Successivamente, sarà realizzata una mappa dei rischi residui, che permetterà di valutare in modo automatizzato i rischi rimanenti dopo l’applicazione delle misure di controllo.

9. Linee guida per minimizzare i rischi

Per la gestione e la minimizzazione dei rischi, l’entità applicherà misure di sicurezza fisiche, sul personale, amministrative e di rete, quali:

  • Sicurezza dell’accesso logico: l’Azienda applica misure di sicurezza per la protezione degli accessi logici.
  • Accesso logico delle persone ai sistemi informatici: L’entità applicherà un sistema di autenticazione a doppio fattore. Da un lato, l’utente sarà assegnato dall’Amministratore del Sistema e sarà lo stesso utente a impostare la propria password. Dall’altro lato, l’utente riceverà un codice per convalidare tale autenticazione.

La password sarà sempre inintelligibile, anche per l’Amministratore. In caso di necessità (ad es., se l’utente l’ha dimenticata), l’Amministratore del Sistema potrà forzare un processo di modifica della password da parte dell’utente senza bisogno di quella precedente.

  • Controllo di accesso ai dati e alle risorse:

L’Azienda elaborerà le norme e le procedure che sviluppino, concretizzino e dettaglino le misure di controllo indicate in questa sezione.

  • Sistemi operativi: Tutti i sistemi operativi utilizzati nei sistemi informatici dell’Azienda richiedono una validazione e autenticazione per l’accesso e l’utilizzo.
  • Virus e malware: Tutti i computer dell’Azienda avranno installato un software antivirus e antimalware aggiornato periodicamente. Saranno inoltre disponibili firewall per controllare il traffico di rete e rilevare intrusioni non autorizzate.

Gli utenti saranno informati regolarmente sulle misure di base da adottare per prevenire l’ingresso di virus e malware.

  • Gestione degli utenti: L’elenco di tutti gli utenti della rete con accesso autorizzato al sistema informativo dovrà essere aggiornato, definendo i livelli di accesso in modo da garantire la riservatezza e l’integrità. Inoltre, l’Azienda effettuerà controlli sugli accessi e monitorerà i sistemi informatici messi a disposizione dei lavoratori per proteggere le informazioni.
  • Limitazione dell’accesso: Per accedere alle risorse informatiche, è necessario avere un account utente assegnato e registrato nei server di dominio. L’autorizzazione all’accesso definirà il profilo necessario per configurare le funzionalità e i privilegi disponibili nelle applicazioni in base alle competenze di ciascun utente, adottando una politica di assegnazione dei privilegi minimi necessari per l’esecuzione delle funzioni assegnate. Inoltre, viene utilizzato un sistema di autenticazione a doppio fattore per l’accesso ai server di dominio.
  • Sicurezza Wi-Fi e reti wireless: L’Azienda applicherà le misure adeguate per proteggere l’accesso non autorizzato alla rete Wi-Fi dell’entità.
  • Server e supporti fisici: Tutte le informazioni riservate, nonché i dati personali, saranno memorizzati su server di fornitori esterni che offrono un livello adeguato di conformità alla normativa sulla protezione dei dati e sulla sicurezza delle informazioni.
  • Backup: Tutti i backup effettuati da terzi includeranno tutte le informazioni necessarie per il ripristino del servizio in caso di corruzione o perdita delle informazioni (dati, programmi, file di configurazione e persino l’immagine di alcuni server). Saranno inoltre disponibili protocolli relativi ai backup e al ripristino dei dati.

Per tutti i sistemi rilevanti saranno definiti gli standard di sicurezza, che includeranno almeno le seguenti informazioni: periodicità dei backup, periodi di conservazione delle copie, ubicazione dei supporti di backup, procedure di ripristino delle informazioni, procedure di ripristino e verifica dell’integrità delle informazioni salvate.

  • Autenticazione: I codici utente e le password sono personali e non trasferibili, e l’utente è l’unico responsabile delle conseguenze derivanti da un uso improprio, divulgazione o perdita delle stesse.
  • Sicurezza sul posto di lavoro: I lavoratori saranno informati sulle norme stabilite dall’Azienda in materia di sicurezza sul posto di lavoro, tra cui Blocco automatico dei dispositivi, che richiederà l’attivazione tramite password dopo alcuni minuti di inattività. Politica zero carta, che prevede che nessun documento cartaceo rimanga sulle scrivanie.
  • Dispositivi mobili: L’Azienda stabilirà le misure di sicurezza adeguate per i dispositivi mobili aziendali.

Gli utenti a cui sono stati assegnati dispositivi mobili aziendali dovranno rispettare le norme d’uso specifiche e applicare le misure di sicurezza corrispondenti.

10. Obblighi contrattuali

Oltre ai requisiti legali in materia di protezione dei dati, l’Azienda sarà tenuta anche a rispettare i requisiti specifici di protezione dei dati richiesti dai suoi clienti e fornitori in relazione ai dati personali a cui accede in virtù dei rapporti contrattuali con essi.

L’Azienda presterà particolare attenzione agli obblighi contrattuali derivanti dal trattamento dei dati personali.

L’Azienda realizzerà e manterrà aggiornato un registro in cui identificherà e assegnerà priorità agli obblighi relativi alla protezione dei dati personali a cui accede o che tratta.

L’Azienda verificherà periodicamente che gli obblighi contrattuali assunti in materia di protezione dei dati siano conosciuti a tutti i livelli dell’Azienda.

11. Controllo dei Fornitori dal punto di vista della privacy

L’Azienda elaborerà un registro di tutti i fornitori che trattano dati personali per conto dell’Azienda o che hanno accesso diretto o indiretto ai dati personali gestiti dall’Azienda.

Nel caso in cui sia necessario assumere un nuovo servizio che implichi il trattamento di dati, l’Azienda effettuerà una selezione dei fornitori e un processo di valutazione tenendo conto delle garanzie richieste dalla legge in materia di protezione dei dati.

In questa valutazione verrà data priorità ai fornitori che offrono le maggiori garanzie in materia di protezione dei dati.

Il rapporto con i fornitori che trattano o che hanno accesso diretto o indiretto ai dati personali sarà sempre regolato da un contratto che includerà una sezione specifica sugli obblighi che il fornitore dovrà rispettare. Tali obblighi includeranno, almeno, quelli stabiliti dall’articolo 28 del RGPD.

12. Termini di conservazione dei dati

L’Azienda conserverà i dati personali in modo da consentire l’identificazione degli interessati solo per il tempo necessario alle finalità del trattamento. Per questo motivo, l’Azienda elaborerà e manterrà aggiornata una tabella in cui stabilirà il periodo di conservazione dei dati che deve o ritiene opportuno mantenere.

Nella redazione di questa tabella saranno considerati i termini di prescrizione delle infrazioni e le limitazioni stabilite dal RGPD e dalla Legge Organica sulla Protezione dei Dati Personali e garanzia dei diritti digitali. Saranno inoltre prese in considerazione le obbligazioni legali, settoriali e contrattuali che potrebbero richiedere periodi di conservazione più lunghi.

L’Azienda dovrà inoltre considerare i periodi indicati agli interessati al momento di informarli sui loro diritti.

Per quanto riguarda la distruzione della documentazione, dovrà essere effettuata in modo da garantire la riservatezza durante tutto il processo.

13. Gestione delle violazioni e degli incidenti di sicurezza

Qualsiasi situazione che possa compromettere la riservatezza, integrità, disponibilità, autenticità o tracciabilità delle informazioni dell’Azienda sarà considerata una violazione della sicurezza.

L’Azienda dovrà quindi stabilire le misure appropriate di cybersicurezza, che includano la protezione da minacce provenienti dalle reti di comunicazione, come attacchi informatici, attacchi di negazione del servizio, accessi non autorizzati e ransomware, tra gli altri.

Chiunque venga a conoscenza o sospetti un incidente che possa influire sulla protezione dei dati dovrà segnalarlo immediatamente attraverso i canali stabiliti.

Nel caso in cui la violazione o l’incidente di sicurezza possa costituire un rischio per i diritti e le libertà delle persone fisiche, esso dovrà essere notificato entro e non oltre 72 ore dalla sua scoperta all’Autorità di Controllo competente, ovvero l’Agenzia Spagnola per la Protezione dei Dati.

L’entità dispone di un protocollo in cui viene definito il sistema seguito dall’Azienda per la notifica e la gestione degli incidenti e delle vulnerabilità di sicurezza, con l’obiettivo di garantire che gli incidenti e le debolezze associate ai sistemi informativi siano registrati e trattati adeguatamente, attraverso le opportune azioni di riparazione e risoluzione e il ripristino dei livelli normali di funzionamento dei servizi interessati. Inoltre, potranno essere adottate azioni correttive per eliminare le cause e prevenirne la ricorrenza in futuro.

14. Formazione e sensibilizzazione

Tutto il personale dell’entità ha l’obbligo di conoscere e rispettare la Politica di Protezione dei Dati. Per questo motivo, l’Azienda promuoverà un’attività continua di formazione e sensibilizzazione a tutti i livelli aziendali in materia di protezione dei dati.

La formazione potrà essere erogata attraverso sessioni in presenza o corsi e-learning.

La sensibilizzazione potrà essere supportata da qualsiasi tipo di materiale o strumento di comunicazione e formazione che consenta di sensibilizzare sui rischi di violazione a tutti i livelli aziendali.

Ogni lavoratore sarà responsabile del rispetto di questa politica e dei protocolli derivati in base alla propria posizione lavorativa, nonché della segnalazione degli incidenti di sicurezza rilevati.

15. Prevenzione delle infrazioni

L’obiettivo principale dell’Azienda con questa Politica e le sue norme, procedure e controlli che la sviluppano, è prevenire infrazioni dei diritti e delle libertà degli interessati e conformarsi alla normativa di protezione dei dati di carattere personale.

Il principale quadro di riferimento che si terrà in considerazione per conformarsi a questo obiettivo sarà il RGPD, che stabilisce due gruppi di infrazioni: le gravi e le molto gravi.

Alle infrazioni gravi si potranno applicare sanzioni fino a 10 milioni di Euro o il 2% del fatturato annuale globale dell’Azienda. In questo gruppo si includerebbero, per esempio, misure tecniche o organizzative inadeguate, assunzione di responsabili del trattamento senza garanzie sufficienti, mancata notifica di una violazione di dati, ecc. Alle infrazioni molto gravi si potranno applicare sanzioni fino a 20 milioni di Euro o il 4% del fatturato annuale globale dell’Azienda. In questa categoria si includerebbero i casi di trattamento illecito, consenso illecito, violazione dell’obbligo di riservatezza, ecc.

16. Aggiornamento e miglioramento di questa Politica

Questa Politica sarà aggiornata periodicamente per riflettere le modifiche e i miglioramenti in materia di protezione dei dati. BOVÉ MONTERO Y ASOCIADOS, S.L. effettuerà una verifica periodica dell’applicazione delle misure di prevenzione e controllo e proporrà le modifiche necessarie in caso di violazioni rilevanti, cambiamenti significativi o modifiche nei sistemi informativi dell’entità.