Politica sulla Privacy
La vostra privacy è importante per noi e Bluefin è molto attenta a questo argomento.
Data Privacy Statement v2.0_14/05/18 – Dichiarazione sulla Privacy.
Bluefin Trading Ltd. si impegna ad essere trasparente riguardo al modo in cui raccoglie e utilizza i Dati Personali e si impegna a mantenere gli obblighi sulla protezione dei dati. Questa Dichiarazione stabilisce il suo impegno riguardo alla protezione dei dati. Questa Dichiarazione si applica ai Dati Personali dei clienti, fornitori, contatti, terze parti o altri Dati Personali trattati per ragioni commerciali. I Dati Personali di candidati a posizioni lavorative, dipendenti, contractors, terzisti, stagisti, apprendisti o ex-dipendenti considerati come Dati Personali relativi alle risorse umane (HR) sono coperti dalla nostra Politica di Protezione Dati HR (HR Data Protection Policy). Le affermazioni contenute in questa dichiarazione rispecchiano i requisiti del General Data Protection Regulation (GDPR – Regolamento Generale sulla Protezione dei Dati), entrato in vigore dal 25 Maggio 2018. Bluefin ha designato il Data Manager come figura responsabile per il rispetto delle normative sulla protezione dei dati. Le domande riguardanti questa dichiarazione e le richieste per ottenere ulteriori informazioni devono essere indirizzate al Data Manager, Bluefin Trading Ltd, Keelham Farm, Hebden Bridge, HX7 8TG.
1. Interpretazione dell’Automated Decision-Making (ADM): quando viene presa una decisione che è basata solamente su Processi Automatizzati (inclusa l’analisi e creazione di profili) che produce effetti legali o influenza in modo consistente un individuo. La GDPR proibisce l’Automated Decision-Making (a meno che sussistano particolari condizioni) ma non proibisce l’Automated Processing (Trattamento Automatizzato dei dati). Automated Processing: qualsiasi forma di trattamento automatizzato dei Dati Personali (Personal Data) che consiste nell’uso dei dati personali per valutare certi aspetti personali riguardanti un individuo, in particolare per analizzare o predire aspetti concernenti la performance di quell’individuo sul lavoro, la salute, le preferenze, gli interessi, l’affidabilità, l’atteggiamento, la posizione o i suoi spostamenti. Il Profiling (la creazione e l’analisi di profili/profilazione) è un esempio di Automated Processing. Organizzazione: Bluefin Trading Ltd Consenso: un accordo che deve essere dato in modo libero, specifico, informato e che deve essere un’indicazione non ambigua della volontà del Soggetto Dati (Data Subject) con cui egli, con una dichiarazione o con una chiara azione positiva, dichiari di essere d’accordo con il trattamento dei suoi dati personali. Data Controller: la persona o organizzazione che stabilisce quando, perché e come trattare i Dati Personali. Ha la responsabilità di stabilire le modalità e le politiche in linea con il GDPR. Noi siamo il Data Controller di tutti i dati personali utilizzati nel nostro business per le nostre motivazioni commerciali. Soggetto Dati (Data Subject): un individuo vivente, identificato o identificabile del quale possediamo dei dati personali. I Soggetti Dati possono essere nazionali o residenti in qualsiasi altro stato e possono possedere diritti legali riguardanti i loro dati personali. Data Privacy Impact Assessment (DPIA – Accertamento dell’Impatto della Privacy dei Dati): valutazioni utilizzate per identificare e ridurre i rischi di un’attività di trattamento dei dati. Il DPIA può essere implementato come parte della Progettazione della Privacy (Privacy by Design) e dovrebbe essere effettuato per tutti i maggiori programmi di variazione del sistema o del business che coinvolgono il trattamento di dati personali. EEA: i 28 paesi dell’EU e l’Islanda, il Liechtenstein e la Norvegia. Consenso Esplicito (Explicit Consent): un consenso che richiede una dichiarazione chiara e specifica. General Data Protection Regulation (GDPR – Regolamento Generale per la Protezione dei Dati): la GDPR. I dati personali sono soggetti a salvaguardie legali specificate nel GDPR.
Dati personali (Personal Data): qualsiasi informazione che può identificare un Soggetto Dati (Data Subject) o informazioni collegate al Soggetto Dati che può essere identificato (in modo diretto o indiretto) da quei dati stessi o in combinazione con altri elementi identificativi di cui siamo in possesso o ai quali si può accedere facilmente. I dati personali includono i dati personali sensibili (Sensitive Personal Data) e i dati personali pseudonimizzati (Pseudonymised Personal Data) ma escludono i dati anonimi o i dati che sono appartenuti all’identità di un individuo che è stata permanentemente rimossa. dati personali possono essere fattuali (per esempio un nome, un indirizzo email, una posizione o una data di nascita) o un’opinione delle azioni e del comportamento di quella persona. Violazione dei dati personali (Personal Data Breach): qualsiasi azione o omissione che compromette la sicurezza, confidenzialità, integrità o disponibilità di dati personali o delle salvaguardie fisiche, tecniche, amministrative o organizzative che noi, come fornitori terzi di un servizio, abbiamo predisposto per proteggerli. La perdita o l’accesso non autorizzato, la divulgazione o acquisizione di dati personali costituisce una violazione dei dati personali.
Progettazione della Privacy (Privacy by Design): implementare misure tecniche e organizzative appropriate in una maniera efficace per assicurare il rispetto con il GDPR. Avvisi sulla Privacy o Dichiarazioni: avvisi separati che mettono a disposizione informazioni che possono essere fornite ai Soggetti Dati quando l’organizzazione raccoglie informazioni su di essi. Trattamento o processamento: qualsiasi attività che include l’uso di Dati Personali. Include l’ottenimento, la registrazione o il possesso dei dati, o l’esecuzione di qualsiasi operazione o gruppi di operazioni sui dati, inclusa l’organizzazione, la modifica, il recupero, l’utilizzo, la divulgazione, l’eliminazione o la cancellazione di essi.
Il Trattamento include anche la trasmissione o il trasferimento dei Dati Personali a parti terze.
Pseudonimizzazione: sostituire informazioni che identificano in modo diretto o indiretto un individuo attraverso uno o più identificatori artificiali o pseudonimi così che la persona, a cui si riferiscono i dati, non possa essere identificata senza l’utilizzo di ulteriori informazioni che devono essere tenute separate e al sicuro.
Politiche Connesse (Related Politics): le politiche dell’organizzazione, le procedure operative o i processi relativi a questa Dichiarazione sulla Privacy e progettate per proteggere i Dati Personali. Dati Personali Sensibili: informazioni che rivelano la razza o l’origine etnica, le opinioni politiche, religione o credo, appartenenza a sindacati, condizioni fisiche o mentali, vita sessuale, orientamento sessuale, dati biometrici o genetici e Dati Personali relativi a precedenti penali o arresti.
2. Obiettivo Riconosciamo che il trattamento corretto e a norma di legge dei Dati Personali contribuirà a mantenere la fiducia nei confronti dell’organizzazione e permetterà operazioni di business di successo. Proteggere la confidenzialità e l’integrità dei Dati Personali è una responsabilità critica che prendiamo veramente sul serio. Il Data Manager ha la responsabilità di sovrintendere questa Dichiarazione di privacy e, se applicabile, sviluppare Politiche Connesse e linee guida. Contattate il Data Manager con qualsiasi domanda riguardo il funzionamento di questa Dichiarazione della Privacy o del GDPR o se pensate che questa Dichiarazione della Privacy non viene o non è stata applicata. Aderiamo ai principi relativi al trattamento dei Dati Personali come elencato nel GDPR che richiede che i Dati Personali siano: (a) Trattati in modo legale, in modo corretto e trasparente (Legalità, Correttezza e Trasparenza). (b) Raccolti solo per scopi specificati, espliciti e legittimi (Limitazioni dello Scopo). (c) Adeguati, rilevanti e limitati a quello che è necessario in relazione allo scopo per cui vengono trattati (Data Minimisation – Minimizzazione dei Dati). (d) Accurati e quando necessario aggiornati (Accuratezza). (e) Non vengano mantenuti in una forma che possa permettere l’identificazione del Soggetto Dati per un tempo superiore a quello necessario per gli scopi per i quali i dati vengono trattati (Limitazione dell’Archiviazione – Storage Limitation). (f) Trattati in una modalità che assicuri la loro sicurezza attraverso l’uso di misure tecniche e organizzative adeguate per proteggere da Trattamento non autorizzato o illegale e contro perdita accidentale, distruzione o danni (Sicurezza, Integrità e Confidenzialità). (g) Non vengano trasferiti ad un altro stato senza che vengano apportate le necessarie misure di sicurezza (Limitazioni sul Trasferimento – Transfer Limitation). (h) Resi disponibili ai Soggetti Dati che avranno la possibilità di esercitare alcuni diritti in relazione ai loro Dati Personali (Richieste e Diritti del Soggetto Dati – Data Subject’s Rights and Requests). Forniremo una prova dell’ottemperanza con i principi sulla protezione dati elencati sopra (Responsabilità).
3. Legalità, correttezza, trasparenza
3.1 Legalità e correttezza I Dati Personali verranno trattati in modo legale, correttamente e in maniera trasparente in relazione al Soggetto Dati. Raccoglieremo, tratteremo e condivideremo Dati Personali solamente in modo corretto e legale, solo per scopi specificati. La GDPR limita le nostre azioni nei confronti dei Dati Personali nei confronti di azioni specificate. Queste restrizioni non sono pensate per impedire il trattamento ma per assicurarsi che i Dati Personali vengano trattati in modo corretto e senza toccare in modo negativo il Soggetto Dati. La GDPR permette il trattamento per scopi specifici, alcuni dei quali sono elencati qua sotto: (a) dove il Soggetto Dati ha dato il suo Consenso; (b) se il trattamento è necessario per l’attuazione di un contratto con il Soggetto Dati; (c) per rispettare le nostre obbligazioni legali; (d) per proteggere gli interessi vitali del Soggetto Dati; (e) per perseguire i nostri interessi legittimi per quegli scopi per i quali non vengono annullati per aver minacciato gli interessi o i diritti fondamentali e le libertà del Soggetto Dati. Gli scopi verranno elencati in Avvisi sulla Privacy applicabili. Registriamo e documentiamo la motivazione legale per ogni attività di trattazione.
3.2 Consenso Processeremo solamente Dati Personali sulla base di una o più delle motivazioni legali elencate nel GDPR, che include il Consenso. Un Soggetto Dati consente al processamento dei Dati Personali se indica con chiarezza di essere d’accordo, con una dichiarazione o con un’azione positiva. Il Consenso richiede un’azione dichiarativa perciò il silenzio, caselle preselezionate o inattività non sono sufficienti. Se viene dato il Consenso in un documento che tratta di argomenti separati, allora il Consenso verrà mantenuto separato da quegli argomenti. I Soggetti Dati possono ritirare il loro Consenso al trattamento in ogni momento e il ritiro verrà prontamente onorato. Il Consenso dovrà essere chiesto nuovamente nel caso si intenda trattare i Dati Personali per uno scopo differente e incompatibile che non è stato rivelato quando il Soggetto Dati ha dato il suo consenso precedentemente. A meno di potersi affidare ad una base legale differente per il trattamento, il Consenso Esplicito sarà necessario per il trattamento dei Dati Personali Sensibili, per l’Automated Decision-Making e per trasferimenti oltre confine. Solitamente faremo affidamento su un’altra base legale (e non necessiteremo il Consenso Esplicito) per trattare i Dati Sensibili. Dove il Consenso Esplicito è richiesto, daremo un avviso al Soggetto Dati. Manterremo i registri di tutte le dichiarazioni di Consenso per poter dimostrare il rispetto dei parametri di Consenso.
3.3 Trasparenza (notificare i soggetti dati) Il GDPR esige che il Data Controller fornisca informazioni dettagliate e specifiche al Soggetto Dati. Ogni volta che raccogliamo Dati Personali direttamente dai Soggetti Dati, incluso per scopi legati alle risorse umane o per i dipendenti, forniremo al Soggetto Dati tutte le informazioni richieste dal GDPR inclusa l’identità del Data Controller, quando e come useremo, tratteremo, riveleremo, proteggeremo e conserveremo quei Dati Personali. Quando i Dati Personali vengono raccolti in modo indiretto (per esempio, da terzi o da una fonte pubblicamente disponibile), forniremo al soggetto dati tutte le informazioni richieste dal GDPR il più presto possibile, dopo aver raccolto/ricevuto i dati. Controlleremo che il Dati Personali siano stati raccolti da terzi in accordo con il GDPR e secondo principi che contemplano le nostre modalità di trattamento dei Dati Personali.
4. Limitazione degli Scopi I Dati Personali verranno raccolti solo per scopi specificati, espliciti e legittimi. Non verranno ulteriormente trattati in alcun modo incompatibile con quegli obiettivi. Non utilizzeremo i Dati Personali per scopi nuovi, differenti o incompatibili con quelli dichiarati quando sono stati ottenuti originariamente a meno di non aver avvertito il Soggetto Dati riguardo ai nuovi scopi e dopo aver ricevuto il loro Consenso dove necessario.
5. Minimizzazione dei Dati I Dati Personali saranno adeguati, rilevanti e limitati a quello che è necessario in relazione agli scopi per cui vengono trattati. Il nostro personale non tratterà Dati Personali per qualsiasi ragione che non sia collegata al loro ruolo lavorativo. Quando i Dati Personali non saranno più necessari per gli scopi specificati, verranno cancellati o anonimizzati in accordo con le nostre linee guida sulla archiviazione di dati.
6. Accuratezza I Dati Personali saranno accurati e, quando necessario, aggiornati. Saranno corretti o eliminati senza ritardi quando non accurati. Ci assicureremo che i Dati Personali che usiamo e di cui siamo in possesso siano accurati, completi, aggiornati e rilevanti nei riguardi dello scopo per cui li abbiamo raccolti. Attueremo tutte le misure necessarie per assicurare l’eliminazione o la modifica di Dati Personali erronei o non aggiornati.
7. Limitazione della Conservazione I Dati Personali non saranno tenuti in una forma identificabile per un tempo superiore a quello necessario per gli scopi per i quali i dati devono essere trattati. Non conserveremo i Dati Personali in una forma che permette l’identificazione del Soggetto Dati per un tempo superiore a quello necessario per gli scopi legittimi di business per i quali abbiamo originariamente raccolto quei dati, incluso lo scopo di soddisfare qualsiasi esigenza legale, contabile o di report. Effettueremo tutti i passaggi necessari per eliminare o cancellare dai nostri sistemi tutti i Dati Personali di cui non abbiamo più bisogno, in conformità con le nostre politiche di conservazione dei registri. Questo include il fatto di richiedere a parti terze l’eliminazione di quei dati dove applicabile. Informeremo i Soggetti Dati del periodo in cui i dati verranno conservati e come quel periodo viene determinato.
8. Sicurezza, integrità e confidenzialità
8.1 Proteggere i Dati Personali I Dati Personali saranno difesi da appropriate misure tecniche e organizzative per evitare trattamento non autorizzato o illegale e per difenderli da perdite accidentali, distruzione o danni. Svilupperemo, implementeremo e manterremo delle misure di sicurezza appropriate a seconda della nostra dimensione, dello scopo e del business, delle risorse disponibili, della quantità di Dati Personali di cui siamo in possesso o che conserviamo al posto di altri e a seconda dei rischi identificativi (incluso l’uso di crittazione e Pseudonimizzazione dove applicabile). Valuteremo regolarmente e testeremo l’efficacia di quelle misure di sicurezza per assicurarci la sicurezza del nostro trattamento dei Dati Personali. Manterremo la sicurezza dei dati proteggendo la confidenzialità, l’integrità e la disponibilità dei Dati Personali, definiti come segue: (a) Confidenzialità significa che solo le persone che hanno la necessità di conoscere e che sono autorizzati ad utilizzare i Dati Personali vi possono accedere. (b) Integrità significa che i Dati Personali devono essere accurati e adatti allo scopo per il quale vengono trattati. © Disponibilità significa che gli utenti autorizzati possono accedere ai Dati Personali quando ne hanno bisogno per scopi autorizzati.
8.2 Riferire una Violazione dei Dati Personali Il GDPR obbliga il Data Controller a notificare qualsiasi Violazione dei Dati Personali all’autorità preposta e, in certi casi, al Soggetto Dati. Abbiamo preparato procedure per gestire qualsiasi sospetta Violazione dei Dati Personali e notificheremo i Soggetti Dati o qualsiasi autorità preposta come siamo legalmente obbligati a fare.
9. Limitazione del Trasferimento Il GDPR limita il trasferimento dei dati verso paesi al di fuori dell’EEA per assicurare che il livello di protezione dati garantito per gli individui non venga minato. Trasferiremo Dati Personali al di fuori dell’EEA solo se una delle seguenti condizioni è applicabile: (a) la Commissione Europea ha emesso una decisione che conferma che il paese verso il quale trasferiremo i Dati Personali assicura un adeguato livello di protezione dei diritti e delle libertà del Soggetto Dati; (b) esistono misure di sicurezza appropriate; (c) il Soggetto Dati ha fornito un Consenso Esplicito al trasferimento proposto dopo essere stato informato dei rischi potenziali, o (d) il trasferimento è necessario per una delle altre ragioni elencate nel GDPR incluso il rispetto di un contratto tra noi e il Soggetto Dati; ragioni di interesse pubblico; per stabilire, esercitare o difendere un diritto legale o per proteggere gli interessi vitali del Soggetto Dati dove il Soggetto Dati è fisicamente o legalmente incapace di dare Consenso, e in alcuni casi limitati per il nostro interesse legittimo.
10. Diritti del Soggetto Dati Il Soggetto Dati possiede dei diritti riguardo al modo in cui trattiamo i loro Dati Personali. Questi includono il diritto di: (a) ritirare il Consenso al trattamento in qualsiasi momento; (b) ricevere certe informazioni riguardo alle attività di trattamento del Data Controller; (c) richiedere accesso ai loro Dati Personali che conserviamo; (d) impedire che noi possiamo utilizzare i loro Dati Personali per scopi di marketing diretto; (e) chiederci di cancellare i Dati Personali se non sono più necessari in relazione con gli scopi per i quali erano stati raccolti o trattati o per correggere dati incorretti/incompleti; (f) limitare il trattamento in alcune circostanze specifiche; (g) contestare un trattamento che è stato giustificato sulla base dei nostri interessi legittimi o di interesse pubblico; (h) richiedere una copia di un accordo per il quale i Dati Personali vengano trasferiti al di fuori dell’EEA; (i) opporsi a decisioni basate solamente sul Trattamento Automatizzato (Automated Processing), inclusa la profilazione (ADM); (j) impedire il trattamento che possa causare con probabilità danno o problemi per il Soggetto Dati o per chiunque altro; (k) essere notificato di qualsiasi Violazione dei Dati Personali che potrebbe causare con molta probabilità in un alto rischio per i loro diritti e le loro libertà; (l) effettuare un reclamo all’autorità sovrintendente, e (m) in circostanze limitate, ricevere o richiedere che i loro Dati Personali vengano trasferiti a terzi in un formato strutturato, comunemente usato e leggibile dal computer. Verificheremo l’identità di un individuo che richiede i dati secondo uno dei diritti sopra elencati.
Verificheremo l’identità di un individuo che richiede dati secondo uno dei diritti sopra elencati.
11. Responsabilità
11.1 Implementeremo misure tecniche e organizzative appropriate in maniera efficiente per assicurare il rispetto con i principi di protezione dati. Possediamo risorse adeguate e forme di controllo strutturate per assicurare e documentare il rispetto del GDPR, incluso: (a) designare un manager qualificato, responsabile per la privacy dei dati; (b) implementare la Progettazione della Privacy (Privacy by Design) quando trattiamo Dati Personali e completare i DPIA quando il trattamento presenta un alto rischio per i diritti e le libertà del Soggetto Dati; ( c) integrare la protezione dei dati nei documenti interni; (d) addestrare il nostro personale con regolarità sul GDPR e su questioni di protezione dati inclusi i diritti dei Soggetti Dati, COnsenso, basi legali, DPIA e Violazione dei Dati Personali, e (e) testare con regolarità le misure sulla privacy e condurre valutazioni per verificare il rispetto delle norme.
11.2 Conservazione dei Registri Il GDPR ci impone di mantenere registri completi e accurati delle nostre attività di trattamento dei dati. Questi registri includono il nome e i dettagli dei contatti del Data Controller, descrizioni chiare del tipo di Dati Personali, tipi di Soggetto Dati, attività di trattamento, scopo del trattamento, terze parti che ricevono i Dati Personali, localizzazione dell’archivio, trasferimenti, periodi di conservazione e descrizione delle misure di sicurezza in atto.
11.3 Formazione Ci assicuriamo che tutto il personale sia stato formato adeguatamente per permettere loro di osservare le leggi sulla privacy dei dati. 6
11.4 Progettazione della Privacy (Privacy By Design) e Accertamento dell’Impatto della Privacy dei Dati (Data Protection Impact Assessment – DPIA) Ci viene richiesto di implementare le misure di Privacy by Design quando trattiamo i Dati Personali implementando appropriate misure tecniche e organizzative (come la Pseudonimizzazione) in maniera efficiente per assicurare il rispetto con i principi della privacy dei dati. Considereremo i seguenti: (a) ultime tecnologie; (b) il costo di implementazione; ( c) la natura, scopo, contesto e fine del trattamento, e (d) i rischi, probabilità e impatto per i diritti e le libertà del Soggetto Dati in relazione al trattamento. Condurremo anche dei DPIA nel contesto del trattamento ad alto rischio.
11.5 Trattamento Automatizzato (Inclusa la profilazione) e Automated Decision-Making In Generale, ADM è proibito quando una decisione presenta un consistente effetto legale o simili, nei confronti di un individuo a meno che: (a) un Soggetto Dati ha dato Consenso Esplicito; (b) il trattamento è permesso dalla legge, o (c) il trattamento è necessario per l’attuazione o l’attivazione di un contratto. Se alcuni tipi di Dati Sensibili sono in trattamento, allora i punti (b) o ( c) non saranno permessi ma quei Dati Sensibili possono essere processati quando è necessario per motivi consistenti di interesse pubblico, come per esempio la prevenzione di una frode. Se una decisione deve essere presa solamente sulla base di un Trattamento Automatizzato (inclusa la profilazione), allora il Soggetto Dati verrà informato del suo diritto di obiezione. Misure adeguate verranno istituite per salvaguardare i diritti del Soggetto Dati, le libertà e gli interessi legittimi. Informeremo il Soggetto Dati della logica attuata per prendere la decisione o per la creazione di un profilo, il significato e le conseguenze previste e daremo al Soggetto Dati il diritto di richiedere l’intervento umano, esprimere il loro punto di vista o contestare la decisione. Un DPIA verrà attuato prima di qualsiasi Trattamento Automatizzato (inclusa la creazione di profili) o prima di attività di ADM.
11.6 Marketing Diretto Forniremo in modo specifico il diritto di rifiutare il marketing diretto. Il rifiuto di un Soggetto Dati nei confronti del marketing diretto sarà prontamente onorato. Se un cliente rinuncia in qualsiasi momento, i suoi dettagli verranno rimossi il prima possibile. La rimozione comprende la conservazione una quantità sufficiente di informazioni per assicurarsi che le preferenze di marketing vengano rispettate anche in futuro.
11.7 Condividere Dati Personali In generale non ci è permesso condividere Dati Personali con terze parti a meno che certe misure di sicurezza o accordi contrattuali non siano stati istituiti. Condivideremo i Dati Personali di cui siamo in possesso solo se il destinatario ha una necessità di conoscerli per ragioni lavorative e se il trasferimento rispetta qualsiasi restrizione applicabile per trasferimenti oltre confine. Condivideremo i Dati Personali di cui siamo in possesso con parti terze, come per esempio i nostri fornitori di servizi, se: (a) hanno necessità di conoscere le informazioni per poter fornire i servizi stabiliti da contratto; (b) se la condivisione dei Dati Personali rispetta l’Avviso sulla Privacy fornito al Soggetto Dati e, se richiesto, nel caso in cui è stato ricevuto il Consenso da parte del Soggetto Dati; (c) la parte terza ha acconsentito a rispettare con la sicurezza sui dati richiesta; (d) il trasferimento rispetta qualsiasi restrizione applicabile per il trasferimento oltre confine e, (e) è stato fornito e messo in atto un contratto scritto che contiene clausole GDPR approvate dalla parte terza.
12. Modifiche su questa Dichiarazione della Privacy potrebbero verificarsi in qualsiasi momento quindi si consiglia di controllare regolarmente per ottenere l’ultima copia di questa Dichiarazione. Questa Dichiarazione sulla Privacy non ha la precedenza su qualsiasi legislazione o regolamento applicabile.
