POLICY SULLA PRIVACY

 

Il presente documento viene redatto in conformità al Regolamento (UE) 2016/679 (“Regolamento generale sulla protezione dei dati”), noto come GDPR, acronimo di “General Data Protection Regulation”, il quale prevede sostanziali novità in tema di responsabilizzazione dei titolari e dei responsabili del trattamento dei dati.

 

La policy sulla privacy è predisposta al fine di informare gli interessati in merito alla tipologia di dati raccolti e trattati da Intermedia e relative finalità del trattamento ed alle modalità con le quali è possibile aggiornare, gestire, esportare ed eliminare le informazioni raccolte.

 

La presente Policy non deve entrare in conflitto con la legislazione nazionale e/o regionale vigente nelle giurisdizioni in cui Intermedia e le Società ad essa affiliate operano. Nel caso di eventuali conflitti tra la presente Policy e qualsiasi legge nazionale e/o regionale vigente, le disposizioni imperative della legislazione vigente prevalgono sulla presente Policy.

 

Sulla base di quanto sopra, la Policy è strutturata nelle seguenti sezioni:

Sezione Contenuto
1 Definizioni
2 Distribuzione dei compiti e delle responsabilità
3 Finalità del trattamento
4 Descrizione delle categorie di interessati e dati trattati
5 Categorie di destinatari a cui i dati personali sono comunicati
6 Trattamenti affidati all’esterno
7 Contitolare del trattamento
8 Modalità di trattamento
9 Diritti dell’interessato
10 Periodo di conservazione
11 Trasferimento dati al di fuori del territorio italiano
12 Analisi dei rischi e valutazione d’impatto
13 Data breach
14 Revoca del consenso al trattamento e contatti
15 Modifiche alla presente Policy

Sezione 1 – Definizioni

 

  • Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art. 4.7 del GDPR);
  • Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (art. 4.8 del GDPR);
  • Incaricato del trattamento: Le persone fisiche che, agendo sotto la responsabilità del Titolare e/o del Responsabile ed a tal fine autorizzate dagli stessi, compiono le operazioni del trattamento di dati personali, attenendosi alle istruzioni ricevute ed ai vincoli di riservatezza e confidenzialità;
  • Interessato: persona fisica identificata o identificabile, che in via esemplificativa e non esaustiva può essere un cliente, anche potenziale, un dipendente o un fornitore. Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (art. 4.1 del GDPR);
  • Amministratore di sistema: Figura Professionale preposta alla gestione e alla manutenzione di “impianti di elaborazione o di sue componenti”, ad esempio gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi (Provvedimento del Garante Privacy del 27 novembre 2008);
  • Dati personali: Qualsiasi informazione riguardante una persona fisica identificata o identificabile, (definita Interessato); (art. 4, comma 1 del GDPR);
  • Dati personali comuni: Tutti i dati riferibili ad una persona fisica che ne consentono la sua identificazione diretta o indiretta (es. Nome, Cognome, Partita IVA, Codice Fiscale, Numero di Matricola, Dati anagrafici ecc.). Queste informazioni possono presentarsi in forme più o meno aggregate;
  • Dati sensibili: Tutti i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (art. 9 del GDPR);
  • Dati giudiziari: Tutti i dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza (art. 10 del GDPR);
  • Trattamento dei dati personali: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (art. 4.2 del GDPR).

 

 

Sezione 2 – Distribuzione dei compiti e delle responsabilità

 

Sul piano soggettivo, le prescrizioni normative in materia di dati personali hanno come destinatari coloro che, in qualsiasi misura, intervengono nel processo di raccolta e di utilizzazione dei dati personali altrui. In particolare, gli artt. 24 e 38 del GDPR, individuano, quali soggetti destinatari, rispettivamente il Titolare del trattamento e i Responsabili del trattamento.

 

Di seguito, si riportano le informazioni richieste dalla normativa.

 

Titolare del trattamento dei dati personali: Intermedia Selection srl, con sede a Milano in Via Gerolamo Morone n. 8, nella persona del legale rappresentante pro tempore. Il trattamento dei dati personali avviene oltre che presso la sede legale della società anche presso i seguenti uffici:

 

  • Ufficio di Roma ubicato in Via Bruno Buozzi n. 102.
Titolare del trattamento dei dati
DenominazioneIndirizzo Intermedia Selection SrlVia G. Morone, 8 – Milano
P.IVA/C.F. 13433520155
N. telefono +39 0276016401
Email privacy@intermediaselection.com
Domicilio digitale (PEC) intermediaselection@pec.it

 

 

Responsabile interno del trattamento dei dati: soggetto preposto al trattamento dei dati personali con funzione di supervisione, coordinamento interno e applicazione della normativa in materia di protezione dei dati personali e riscontro all’interessato, al quale si affiancano i responsabili esterni, incaricati in virtù di specifici atti di nomina.

 

Rappresentante del titolare del trattamento e Responsabile interno
DenominazioneIndirizzo Dott. Francesco Benvenuti
P.IVA/C.F. BNVFNC51M25E648J
N. telefono +39 0276016401
Email privacy@intermediaselection.com
Domicilio digitale (PEC-mail) intermediaselection@pec.it

 

 

Considerata la peculiarità dell’attività svolta da Intermedia, nell’ambito delle finalità di ricerca e selezione del personale e di assessment e, tenuto conto, della mole di dati personali dalla stessa trattati e contenuti principalmente nei curriculum vitae dei candidati, si è ritenuto necessario provvedere alla nomina di un Responsabile della protezione dei dati (RPD) – Data Protection Officer (DPO).

 

Responsabile della protezione dei dati (RPD-DPO)
DenominazioneIndirizzo Avv. Claudio RizzoCorso Venezia, 10 – Milano
P.IVA/C.F. RZZCLD83M21A662D
N. telefono 02-76390594
Email claudio.rizzo@studiolegaleboffoli.it
Domicilio digitale (PEC) avvclaudiorizzo@pec.it

 

 

 

Autorizzati al trattamento (“Incaricati”): tutto il personale della Società.

 

Gli autorizzati al trattamento dei dati personali e/o sensibili sono individualmente nominati per iscritto, con specifica indicazione dell’ambito, delle istruzioni, delle modalità e finalità di trattamento consentiti, in relazione alla funzione aziendale nella quale ciascun soggetto opera. Tutti gli Incaricati sono istruiti e formati sul corretto trattamento dei dati e sul corretto utilizzo del sistema informatico.

 

Sezione 3 – Finalità del trattamento

 

Finalità del trattamento:

  • attività istituzionale di ricerca e selezione del personale, gestione dei rapporti con clienti, fornitori, professionisti e personale, nel rispetto dei vincoli contrattuali assunti e delle disposizioni di legge applicabili relative a tali rapporti (d’ora innanzi “ricerca e selezione”);
  • assistenza alle aziende al fine di rendere più efficaci i processi aziendali e decisionali ed attività di assessment delle risorse interne dell’azienda e dell’eventuale benchmarking con i profili più qualificati del mercato, ovvero lo studio dettagliato della produttività, della qualità e del valore in differenti aree e attività aziendali paragonandole alle performance di altre aziende di riferimento al fine di migliorarne la produttività (d’ora innanzi “assessment”).

 

Liceità del trattamento:

La Società tratta i dati esclusivamente nel rispetto delle norme sulla Protezione dei Dati Personali, in particolare, nelle ipotesi in cui:

 

  • Il trattamento è necessario per l’esecuzione di un contratto di cui l’interessato fa parte o per prendere provvedimenti su richiesta dell’interessato prima della stipulazione di un contratto;
  • L’interessato ha acconsentito al trattamento dei propri dati personali per uno o più scopi specifici;
  • Il trattamento è necessario per adempiere agli obblighi di legge a cui il titolare è soggetto (ad esempio rendiconti finanziari, gestione delle buste paga dei dipendenti, conservazione a fini fiscali o fornitura di informazioni ad enti pubblici, forze dell’ordine, o a terze parti legittimate ed autorizzate);
  • Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento.

 

Sezione 4 –

    • Descrizione delle categorie di interessati e dati personali trattati

 

La Società svolge attività di ricerca e selezione di personale di alto profilo (executive search) in qualità di agenzia per il lavoro autorizzata ai sensi del D. Lgs. 276/2003, nonché attività di assessment delle risorse interne delle aziende clienti.

 

I dati personali oggetto di trattamento sono le informazioni presenti nel curriculum vitae trasmessi dai candidati e relative a generalità anagrafiche, titoli di studio, esperienze professionali e di lavoro, inquadramento contrattuale e trattamento economico, referenze, motivazioni al cambiamento, aspirazioni, preferenze ecc.

 

La Società raccoglie, conserva ed elabora anche dati personali nell’ambito di attività di assessment svolte in forza di contratti e/o servizi forniti ai propri clienti. Tali dati sono forniti direttamente dal cliente e/o dai suoi dipendenti a seguito di erogazione di test e/o colloqui di gruppo/individuali.

 

Il trattamento dei dati personali è realizzato per mezzo delle operazioni indicate all’art. 4 Codice Privacy e all’art. 4 n. 2) GDPR e precisamente: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati. I dati personali sono sottoposti a trattamento sia cartaceo che elettronico e/o automatizzato.

 

Nell’ambito della propria attività, la Società tratta, in qualità di titolare, i seguenti dati personali:

 

  • dati personali dei clienti, persone fisiche e/o giuridiche, dagli stessi forniti o autonomamente acquisiti con l’ausilio di albi, elenchi pubblici e/o visure camerali, al fine di espletare gli incarichi di ricerca e selezione da questi affidati alla Società, compresi i dati sul patrimonio, sulla situazione economica e sullo svolgimento dell’attività economica degli stessi o necessari per fini fiscali, di corrispondenza, di contabilità o, in generale, di amministrazione;

 

  • dati personali riguardanti i candidati che vengono selezionati per conto dei clienti nell’ambito degli incarichi affidati alla Società, acquisiti su iniziativa degli stessi o resi disponibili da terzi, compresi dati relativi al grado di istruzione e di cultura e ai relativi percorsi formativi, all’iscrizione in albi, registri o elenchi abilitativi la professione, alla retribuzione, alle pregresse esperienze professionali e ad eventuali note valutative redatte dal personale della Società incaricato della selezione. Nell’ambito di tale categoria di dati, la Società può occasionalmente trovarsi a trattare dati personali anche di natura sensibile, idonei a rivelare
  • lo stato di salute, comprese le eventuali caratteristiche o idoneità psicofisiche e l’appartenenza a categorie protette;
  • l’origine razziale ed etnica, compresa l’eventuale appartenenza ad un gruppo linguistico;
  • dati personali idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale (candidati per ruoli soggetti a vigilanza bancaria e/o finanziaria);

 

dei candidati e/o, qualora necessario al fine del riconoscimento ad essi di un loro specifico beneficio, anche dei loro familiari o conviventi, il cui trattamento da parte della Società è strettamente indispensabile per instaurare un rapporto di lavoro o collaborazione.

 

  • dati personali riguardanti le risorse dei clienti nell’ambito delle attività di assessment in forza di specifici incarichi affidati alla Società, acquisiti o resi disponibili su iniziativa degli stessi, compresi dati relativi al grado di istruzione e di cultura e ai relativi percorsi formativi, all’iscrizione in albi, registri o elenchi abilitativi la professione, alla retribuzione, alle pregresse esperienze professionali, all’attività lavorativa svolta, alle competenze, ecc… Tali informazioni sono oggetto di reportistica individuale o di gruppo e forniti al cliente nell’ambito delle finalità di valutazione delle risorse e della produttività aziendale.

 

Sezione 5 – Categorie di destinatari a cui i dati personali sono comunicati

 

I dati personali raccolti nell’ambito delle attività di ricerca e selezione del personale e di assessment potranno essere comunicati alle società clienti committenti aventi sede sia all’interno che fuori della Comunità Europea per dar corso al processo di selezione e/o di assessment ed, in generale, al fine di adempiere ad obblighi previsti da leggi, da regolamenti o dalla normativa comunitaria, oppure per eseguire obblighi derivanti da un contratto del quale l’interessato è parte o per adempiere, prima della conclusione del medesimo, a specifiche richieste di quest’ultimo, tutte ipotesi in relazione alle quali la normativa vigente non richiede il consenso alla comunicazione.

 

In ogni caso, la Società raccoglie il consenso dell’interessato, nell’interesse legittimo del Titolare e dello stesso Interessato, al fine di comunicare i dati personali contenuti nei CV liberamente forniti dai candidati a clienti committenti nell’ambito dell‘attività di ricerca e selezione del personale, oppure al fine di proporre altre tipologie di offerte di lavoro coerenti con il profilo professionale del candidato, esclusivamente per valutare il profilo, le attitudini e le capacità professionali del candidato stesso.

 

Sezione 6 – Trattamenti affidati all’esterno

 

Oltre che al personale ed ai collaboratori della Società (Incaricati del trattamento), Intermedia, nell’ambito delle finalità del trattamento innanzi indicate, affida a terzi soggetti (per lo più professionisti) il trattamento di particolari categorie di dati per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale.

 

Per lo svolgimento delle attività aziendali di ricerca e selezione del personale e assessment, la Società affida altresì a terzi fornitori parte delle suddette attività mediante la sottoscrizione di apposito contratto di prestazione di servizi.

 

La Società provvede ad effettuare la puntuale verifica delle garanzie sulla sicurezza del trattamento dei dati da parte dei soggetti cui le varie attività sono affidate dalla quale risulta che questi ultimi (Responsabili esterni), per quanto di propria competenza, sono tenuti in forza di legge e del presente contratto, per sé e per le persone autorizzate al trattamento che collaborano con la loro organizzazione, a dare attuazione alle misure di sicurezza previste dalla normativa pro tempore vigente in materia di trattamento di dati personali fornendo assistenza al titolare nel garantire il rispetto della medesima.

 

Sezione 7 – Contitolare del trattamento

 

Ai sensi del considerando 48, “I titolari del trattamento facenti parte di un gruppo imprenditoriale o di enti collegati a un organismo centrale possono avere un interesse legittimo a trasmettere dati personali all’interno del gruppo imprenditoriale a fini amministrativi interni, compreso il trattamento di dati personali dei clienti o dei dipendenti”.

 

Ai sensi dell’art. 26 del GDPR, “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14”.

 

La consultazione dei dati personali raccolti da Intermedia è altresì consentita alla società Key2people Executive Search Srl per finalità di ricerca e selezione del personale di alto profilo, sulla base di uno specifico accordo.

 

La società Key2people Executive Search S.r.l, sulla base del citato accordo, tratta i suddetti dati in qualità di contitolare del trattamento ai sensi dell’art. 4, comma 1, lett. f), del Codice in materia di protezione dei dati personali e dell’art. 26 del GDPR, con le modalità e nel rispetto delle norme previste dalla normativa vigente in tema di privacy.

 

Sezione 8 – Modalità di trattamento dei dati

 

Ai sensi dell’art. 5 del GDPR, i dati personali sono:

 

  1. trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
  2. raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
  3. adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
  4. esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
  5. conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
  6. trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

 

Per le attività di ricerca e selezione del personale e di assessment, i dati sono trattati sulla base del consenso e/o forniti direttamente dagli interessati e/o in forza di contratto sottoscritto con i clienti.

 

L’interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati, per iscritto, mediante la c.d. “informativa”, circa:

 

  1. le finalità e le modalità del trattamento cui sono destinati i dati;
  2. la natura obbligatoria o facoltativa del conferimento dei dati;
  3. le conseguenze di un eventuale rifiuto di rispondere;
  4. i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi;
  5. i diritti che possono essere esercitati dall’interessato;
  6. gli estremi identificativi della Società, in qualità di titolare, e del Responsabile, anche in qualità di soggetto deputato a fornire un riscontro all’interessato in caso di esercizio dei diritti di questo.

 

Poiché la Società ha designato più responsabili preposti al trattamento di dati personali, all’interessato è altresì indicato che l’elenco aggiornato dei diversi responsabili è conoscibile consultando il sito della Società, www.intermediaselection.com.

 

Sezione 9 – Diritti dell’interessato

 

La Società garantisce il rispetto dei diritti di cui all’art. 7 Codice Privacy e art. 15 GDPR e, in particolare, il diritto dell’interessato di:

  1. ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile;
  2. ottenere l’indicazione: a) dell’origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’art. 5, comma 2 Codice Privacy e art. 3, comma 1, GDPR; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati;
  • ottenere: a) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;
  1. opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante l’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore mediante e-mail e/o mediante modalità di marketing tradizionali mediante telefono e/o posta cartacea. Si fa presente che il diritto di opposizione dell’interessato, esposto al precedente punto b), per finalità di marketing diretto mediante modalità automatizzate si estende a quelle tradizionali e che comunque resta salva la possibilità per l’interessato di esercitare il diritto di opposizione anche solo in parte. Pertanto, l’interessato può decidere di ricevere solo comunicazioni mediante modalità tradizionali ovvero solo comunicazioni automatizzate oppure nessuna delle due tipologie di comunicazione;
  2. revocare in ogni momento e senza alcuna giustificazione il consenso al trattamento dei propri dati personali.

 

Diritto di cui all’art. 17 del Reg. UE 2016/679 – Diritto alla cancellazione («diritto all’oblio»)

È garantito il diritto dell’interessato di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

 

  1. i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
  • l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
  • l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
  1. i dati personali sono stati trattati illecitamente;
  2. i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
  3. i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1 del Reg. UE 2016/679.

 

Diritto di cui all’ art. 18 – Diritto di limitazione di trattamento

È garantito il diritto dell’interessato di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

  • l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
  • il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
  • benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
  1. l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, Reg UE 2016/679 in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

 

Diritto di cui all’art. 20 – Diritto alla portabilità dei dati

È garantito il diritto dell’interessato di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento.

 

La Società ha approntato misure tecniche ed organizzative idonee a garantire l’esercizio dei suddetti diritti in maniera immediata e su semplice richiesta dell’interessato.

 

Sezione 10 – Periodo di conservazione

 

I dati personali, sia in formato cartaceo sia in formato elettronico, sono conservati per un periodo di tempo non superiore a quello necessario per perseguire le finalità citate, ovvero per il tempo necessario all’esecuzione dei servizi contrattualmente pattuiti, ovvero per adempiere a precisi obblighi di legge.

 

La Società ha adottato adeguate misure tecniche ed organizzative imposte dalla normativa vigente per garantire la tutela dei diritti e delle libertà dell’interessato, tali da garantire la corretta e sicura conservazione dei dati utilizzati nell’ambito delle finalità del trattamento per le quali i dati sono stati concessi.

 

Sezione 11 – Trasferimenti dati all’estero

 

La Società, nell’ambito delle finalità aziendali, collabora con organizzazioni e società che operano nello stesso ambito di Intermedia, sottoscrivendo appositi accordi di collaborazione in caso di servizi di ricerca e selezione del personale ed assessment da svolgersi al di fuori del territorio italiano.

 

In tali ipotesi, la Società, come previsto dall’art. 28 GDPR, provvede a verificare il rispetto delle norme sulla sicurezza del trattamento dei dati da parte dei soggetti che operano al di fuori del territorio italiano, sottoscrivendo apposito contratto dal quale risulta che il Responsabile esterno, per quanto di propria competenza, è tenuto in forza di legge e del presente contratto, per sé e per le persone autorizzate al trattamento che collaborano con la sua organizzazione, a dare attuazione alle misure di sicurezza previste dalla normativa pro tempore vigente in materia di trattamento di dati personali fornendo assistenza al Titolare nel garantire il rispetto della medesima.

 

In ogni caso, la Società tratta e obbliga terze parti a trattare i dati personali in giurisdizioni adeguate come definite nella normativa sulla protezione dei dati. Se l’elaborazione prevede un trasferimento di dati personali in un Paese al di fuori dell’Unione Europea non coperto da una delle eccezioni previste dalla Legge sulla protezione dei dati applicabili, il titolare si impegna a garantire il trasferimento tramite uno dei seguenti meccanismi:

  • Clausole contrattuali standard approvate dalla Commissione europea (come clausole contrattuali standard per i controllori dei dati 2004/915 / CE o clausole contrattuali standard per i responsabili del trattamento dei dati 2010/87 / UE o qualsiasi versione successiva);
  • Regole aziendali vincolanti: nel caso in cui Terze Parti coinvolte abbiano adottato le Regole aziendali vincolanti dell’UE riguardanti i dati personali trattati da Terze Parti.
  • Qualsiasi altro meccanismo ufficialmente riconosciuto dalla normativa sulla protezione dei dati come garanzia di un livello adeguato di protezione dei dati personali.

 

La Società ha predisposto un documento attestante gli eventuali trasferimenti dei dati all’estero.

 

Sezione 12 – Analisi dei rischi e valutazione d’impatto

 

La Società ha effettuato l’analisi dei rischi sulla sicurezza del trattamento e predisposto apposito documento di valutazione d’impatto sulla protezione dei dati (articolo 35, paragrafo 7, e considerando 84 e 90).

 

Nel valutare l’adeguato livello di sicurezza, si è tenuto conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

 

L’analisi dei rischi e la relativa valutazione d’impatto verrà aggiornata a cadenza annuale e, in ogni caso, nelle ipotesi in cui la Società tratti categorie di dati diversi e con modalità diverse rispetto a quelle descritte nel presente documento.

 

Sezione 13 – Data breach

 

Per quanto le misure di sicurezza adottate siano idonee a ridurre notevolmente gli eventuali episodi di danno o pericolo per i dati fatti oggetto di trattamento, non può, tuttavia, escludersi a priori che si possano verificare eventi eccezionali e non prevedibili di violazione della sicurezza dei dati (cd. data breach).

 

A norma dell’articolo 33, primo comma, del GDPR, in caso di violazione dei dati personali, il titolare del trattamento si impegna a notificare la violazione all’Autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

 

Il titolare del trattamento dovrà documentare tutte le violazioni che si siano verificate, indipendentemente dall’obbligo di notifica, al fine di poter dimostrare la conformità al GDPR del trattamento effettuato. Come previsto dall’articolo 33, comma 5, del GDPR, il titolare del trattamento deve registrare i dettagli relativi alla violazione, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.

 

Il titolare ha predisposto ed aggiornerà un documento attestante le eventuali violazioni alla sicurezza dei dati registrate nell’attività aziendale, da condividersi con il DPO nominato.

 

Unitamente agli obblighi di notifica all’autorità di controllo, il titolare si impegna al rispetto dell’obbligo di comunicazione agli interessati in un tempo ragionevole al fine di consentire loro di attivarsi a tutela dei propri interessi.

 

Sezione 14 – Revoca del consenso al trattamento e contatti

 

Intermedia garantisce la facoltà di revocare il consenso al trattamento dei dati personali, inviando una mail al seguente indirizzo: [privacy@intermediaselection.com], corredato da fotocopia del documento di identità, con il seguente testo: <<revoca del consenso al trattamento di tutti i miei dati personali>>. Al termine di questa operazione i dati personali saranno rimossi dagli archivi nel più breve tempo possibile.

 

Per esercitare i vostri diritti, esprimere una preoccupazione, fare domande, presentare un reclamo o ottenere maggiori informazioni sul trattamento/elaborazione dei dati personali da parte di Intermedia, è possibile inviare una comunicazione:

  • a mezzo posta al seguente indirizzo: Intermedia Selection S.r.l., Via Morone 8, 20121 Milano o via fax al numero +39 02 794915 o via mail all’indirizzo privacy@intermediaselection.com.

 

Intermedia si impegna a rispondere alla vostra richiesta entro un termine ragionevole, a seconda della complessità della richiesta e/o del numero di richieste che riceve.

 

Sezione 15 – Modifiche alla presente Policy

 

La Società può di volta in volta modificare la presente Privacy Policy per conformarsi alle attuali procedure di tutela della privacy. Qualora siano apportate modifiche alla presente dichiarazione, correggeremo la data “aggiornata” nella tabella riportata di seguito. Vi incoraggiamo a rivedere periodicamente il presente documento per essere al corrente sulle modalità di protezione dei vostri Dati Personali da parte di Intermedia.