CONDIZIONI GENERALI DI HOSPITALITY DIGITAL GMBH PER IL SISTEMA DI PRENOTAZIONE DI TAVOLI

Questo sistema di prenotazione di tavoli (di seguito denominato “ TRT”) viene gestito da HOSPITALITY Digital GmbH, Metro-Straße 1, 40235 Düsseldorf (“H.d.”).

1. Ambito di applicazione

1.1 H.d. eroga i servizi e le altre prestazioni esclusivamente sulla base delle seguenti condizioni contrattuali (di seguito denominate “ CGC”).

1.2 Le presenti CGC si applicano all’uso del TRT, messo a disposizione dell’utente (di seguito denominato “Ospite”) sul sito web dei ristoranti aderenti (di seguito denominati “Ristoranti ”). Il TRT consente all’Ospite di prenotare un tavolo in un ristorante a sua scelta (di seguito denominati “Servizi”).

1.3 Le condizioni dell’Ospite aventi una finalità diversa non si applicano, nemmeno laddove .d. non le rifiuti esplicitamente e/o laddove, nonostante sia a conoscenza di condizioni conflittuali e/o differenti del committente, eroghi comunque i servizi e/o le prestazioni senza riserva.

2. Oggetto e disponibilità dei servizi

2.1 Oggetto dei servizi è la prestazione avente ad oggetto la prenotazione di un tavolo e/o di altri servizi di ristorazione messi a disposizione dell’Ospite direttamente dal Ristorante. Tutti gli obblighi derivanti dalla prenotazione e dagli altri servizi offerti dal Ristorante ineriscono direttamente ed esclusivamente al rapporto tra Ospite e Ristorante. Non sussiste alcun rapporto contrattuale ulteriore tra Ospite e H.d., oltre alla prenotazione del tavolo.

2.2 Nella sua qualità di intermediario, o portatore di una dichiarazione di intenti, H.d. inoltra la prenotazione dell’Ospite al Ristorante da lui scelto. È obbligo dell’ospite quello di fornire dati pertinenti, in particolari contatti e dettagli sulla prenotazione (data, ora, numeri di ospiti).

2.3 L’erogazione dei servizi per l’Ospite tramite H.d. è gratuita. Pertanto H.d non fornisce all’Ospite alcuna garanzia sul funzionamento ininterrotto dei servizi.

3. Conferma di prenotazione, modifiche e cancellazioni

3.1 La prenotazione dell’Ospite diventa vincolante per il Ristorante solo quando quest’ultimo invia una conferma della prenotazione all’indirizzo e-mail indicato dall’Ospite. L’efficacia della conferma rimane intatta anche laddove sia riportato un indirizzo e-mail errato. Poco prima dell’orario prenotato, l’Ospite riceve un SMS e un’e-mail di reminder da parte di EuReCa.

3.2 La prenotazione da parte dell’Ospite può essere soggetta ad altre condizioni definite dal Ristorante ed applicabili congiuntamente alle presenti CGC. Spetta all’Ospite prendere atto di tali condizioni ulteriori stabilite dal Ristorante.

3.3 L’Ospite potrà cancellare la prenotazione in qualsiasi momento inviando una comunicazione ai dati di contatto indicati dal Ristorante. L’Ospite è consapevole del fatto che, alla cancellazione di una prenotazione, il Ristorante potrebbe applicare una tassa di cancellazione

3.4 I dettagli di cancellazioni e modifiche della prenotazione vanno discussi dall’Ospite direttamente con il Ristorante, in quanto partner contrattuale della prenotazione. Laddove, all’orario prenotato, l’Ospite non si trovi al Ristorante, riceverà, quando possibile, un SMS o un’e-mail reminder in cui sarà esortato a fornire una comunicazione o a presentarsi al ristorante all’orario concordato; in caso contrario la prenotazione sarà cancellata.

3.5 H.d. potrà cancellare una prenotazione dell’ospite in determinati casi e/o limitare l’uso del servizio da parte dell’ospite in presenza di una giusta causa, laddove vi siano indizi che lascino supporre un abuso dei servizi da parte dell’Ospite. Una cancellazione è possibile se, in passato, l’Ospite non si era presentato all’orario indicato senza disdire la prenotazione, oppure in caso di una doppia prenotazione, che non è ammessa.

4. Garanzie legali e responsabilità dell’erogatore dei Servizi

4.1 Tutte le informazioni del Ristorante sulla disponibilità dei tavoli (e, eventualmente, ulteriori informazioni, tra cui i prezzi) vengono rese disponibili esclusivamente dal Ristorante. Il Ristorante si assume la totale responsabilità per la correttezza e l’aggiornamento delle informazioni messe a disposizione dell’utente. H.d. non può verificare le informazioni messe a disposizione dal Ristorante ed è esente da garanzie di legge o responsabilità per l’accuratezza delle informazioni fornite.

4.2 H.d non è responsabile per i contratti stipulati tra il Ristorante e l’Ospite, né per i danni o perdite subiti dal’Ospite in conseguenza delle prestazioni erogate dal ristorante.

4.3 H.d.potrà rispondere per i danni o perdite dell’Ospite che siano diretta conseguenza dell’erogazione dei Servizi, salvo che essi non dipendano da caso fortuito o forza maggiore o che la sua responsabilità non sia esclusa per disposizioni di legge.

4.4 I diritti di garanzia e risarcimento danni si prescrivono nei termini di legge.

5. Tutela della privacy

5.1 H.d. oReCa raccoglie, elabora e utilizza i dati personali dell’Ospite, nell’ambito del presente contratto, al solo scopo e per le finalità di erogazione dei Servizi, laddove l’Ospite abbia fornito il suo consenso o qualora disposizioni di legge prevedano tale raccolta, elaborazione e utilizzo.

5.2 La trasmissione dei dati al Ristorante avviene nella misura minima necessaria per l’effettuazione della prenotazione.

5.3 Il trattamento dei dati personali degli Utenti che utilizzano il Servizio avviene nel rispetto delle disposizioni di cui al D.Lgs. 196/2003 (Codice della Privacy) secondo le modalità e i termini indicati nell’”Informativa sulla Privacy”, che l’utente dichiara di aver specificatamente visionato.

5.4 I dettagli in merito alla protezione dei dati sono individuabili nell’Informativa sulla privacy di H.d.

6. Miscellanea

6.1 H.d. si riserva il diritto di modificare in qualsiasi momento le presenti CGC con efficacia per il futuro, dandone preventiva comunicazione all’Ospite. L’Ospite è libero di accettare la versione modificata delle CGC in caso di una prenotazione successiva. Se l’ospite non accetta le modificate CGC, non potrà avvalersi dei nostri servizi.

6.2 Le presenti CGC e tutte le controversie e/o i diritti derivanti o ad esse connessi saranno sottoposti alla legge italiana. .

6.3 Il luogo d’esecuzione sarà Düsseldorf. Nella misura in cui consentito dalla legge, è stato concordato che il foro competente sarà quello di Düsseldorf in Germania. Salvo disposizioni contrarie, viene applicata la giurisdizione legale..

6.4 Di seguito viene riportato il link alla piattaforma per la risoluzione alternativa delle controversie della Commissione Europea: https://ec.europa.eu/consumers/odr/main/index.cfm?event=main.home2.show&lng=DE H.d. non aderisce e non è obbligata ad aderire alla procedura di risoluzione alternativa delle controversie dinanzi ad organismi di conciliazione.

6.5 Laddove una disposizione delle presenti CGC fosse o divenisse totalmente o parzialmente nulla, inefficace, ineseguibile o non applicabile (“disposizione errata”), ciò non comprometterà l’efficacia e l’applicabilità delle restanti disposizioni delle presenti CGC. Le Parti si obbligano fin da ora a concordare, in luogo della disposizione errata, una disposizione che, nella misura consentita dalla legge, più si avvicini a quanto le Parti avrebbero concordato, in conformità al senso e allo scopo delle presenti CGC, se avessero conosciuto l’erroneità della disposizione.

Versione: maggio 2018/AG




TRATTAMENTO DEGLI ORDINI

Confermando le suddette Condizioni Generali, il Mandante ("Soggetto Responsabile") e H.d. ("Responsabile del Trattamento"), collettivamente indicati come le "Parti", individualmente come la "Parte", sottoscrivono anch'essi il seguente Accordo per il Trattamento dei Dati (Data Processing Agreement , "DPA").

Preambolo

Nell'ambito delle sue attività commerciali e conformemente alle precedenti Condizioni Generali, il Responsabile del Trattamento riceve i dati personali per i quali al Soggetto Responsabile spetta la responsabilità. Le Parti concordano sulle disposizioni del presente DPA, al fine di rispettare gli obblighi delle parti relativi alla protezione dei dati, ai sensi della legislazione europea in materia di protezione dei dati, nello specifico il Regolamento Generale sulla Protezione dei Dati (Articolo 28 RGDP).

1. Definizioni

1.1 Con Dati Personali s'intende qualsiasi informazione relativa a una persona fisica identificata o identificabile ("Soggetto Interessato"). Una persona fisica è ritenuta essere identificabile laddove può essere identificata direttamente o indirettamente mediante un'associazione con un identificatore, come nome, numero di identificazione, dati relativi all'ubicazione, identificativo online o una o più caratteristiche specifiche che precisano l'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica (di seguito "Dati").

1.2 Il trattamento dei dati per conto di un'altra persona è la raccolta, il trattamento o l'utilizzo dei dati da parte del Responsabile del Trattamento per conto del Soggetto Responsabile.

2. Oggetto e contenuto dell'ordine

2.1 Oggetto e durata dell'ordine

I dettagli e la durata dell'ordine derivano dalle suddette Condizioni Generali.

2.2 Tipologia dei dati

La tipologia dei dati è descritta in modo più dettagliato nelle Condizioni Generali e nell'Informativa sulla Privacy.

2.3 Scopo della raccolta, del trattamento o dell'utilizzo dei dati

Lo scopo della raccolta, del trattamento o dell'utilizzo dei dati è descritto in modo più dettagliato nelle Condizioni Generali e nell'Informativa sulla Privacy.

2.4 Natura ed entità della raccolta, del trattamento o dell'utilizzo dei dati

La natura e l'entità della raccolta, del trattamento o dell'utilizzo dei dati è descritto in modo più dettagliato nelle Condizioni Generali e nell'Informativa sulla Privacy.

2.5 Categoria dei Soggetti Interessati

(a) Dati propri del Soggetto Responsabile

(b) Clienti

2.6 Misure tecniche e organizzative

(a) Le misure tecniche e organizzative da implementare da parte del responsabile del trattamento dovranno essere stabilite nell'Allegato (fare riferimento qui di seguito) al presente DPA. Il Responsabile del Trattamento adatterà a cadenza regolare tali misure alle pratiche correnti a suo carico, fermo restando che il livello concordato di protezione non venga ridotto e i Soggetti Responsabili vengano immediatamente informati.

(b) Al Responsabile del Trattamento è richiesto di consentire al Soggetto Responsabile di verificare l'applicazione in situ delle misure tecniche e organizzative prima dell'avvio delle attività per il trattamento ai sensi del presente contratto. Il diritto di controllo da parte del Soggetto Responsabile conformemente al paragrafo 2.10 resta inalterato. (c) Il responsabile del trattamento dovrà garantire che i sistemi per il trattamento dei dati utilizzati nel quadro del DPA siano conformi agli standard di "privacy by design" e "privacy by default" conformemente alle pratiche correnti.

2.7 Correzione, cancellazione e blocco dei dati, diritto alla portabilità dei dati e diritto di opposizione

(a) I diritti dei soggetti coinvolti nel trattamento dei dati da parte del responsabile del trattamento, in particolare il diritto di rettifica, cancellazione e blocco, il diritto alla portabilità dei dati, nonché il diritto di opposizione dovranno essere esercitati nei confronti del responsabile del trattamento. Soltanto lui è responsabile per la protezione di tali diritti.

(b) Nell'esercizio delle sue mansioni per il Soggetto Responsabile, il Responsabile del Trattamento è tenuto a trasmettere tempestivamente qualsiasi richiesta indirizzata allo stesso da parte dei soggetti interessati verso il soggetto responsabile per un adeguato trattamento. Laddove il Soggetto Responsabile e il Responsabile del Trattamento agiscono congiuntamente come soggetti responsabili esterni, il Responsabile del Trattamento sarà autorizzato a rispondere a tali richieste indipendentemente.

(c) Al Responsabile del Trattamento è inoltre richiesto di assistere il Soggetto Responsabile con adeguate misure tecniche e organizzative per soddisfare il suo obbligo a rispondere ai soggetti interessati.

(d) Conformemente alle istruzioni del Soggetto Responsabile, il Responsabile del Trattamento dovrà rettificare, sospendere e/o cancellare immediatamente i dati, non oltre cinque (5) giorni, ed informarlo entro tale termine.

2.8 Doveri del Responsabile del Trattamento

(a) Il Responsabile del Trattamento potrà raccogliere, trattare e utilizzare i dati esclusivamente nell'ambito dell'ordine e delle istruzioni documentate del Soggetto Responsabile.

(b) Il Responsabile del Trattamento dovrà adempiere alle misure tecniche e organizzative, in base a quanto stabilito dalla Clausola 2.6 del presente DPA ad intervalli regolari e inviarlo su richiesta.

(c) Il Responsabile per la protezione dei dati è designato come persona di contatto per la protezione dei dati dal Responsabile del Trattamento. Questo può essere contattato all'indirizzo e-mail privacy@hd.digital. Laddove necessario, il Responsabile del Trattamento potrà nominare anche un rappresentante ai sensi delle disposizioni dell'Art. 27 del RGDP.

(d) Il Responsabile del Trattamento è responsabile del mantenimento della riservatezza. A qualsiasi persona autorizzata dallo stesso ad accedere ai dati del Soggetto Responsabile sarà richiesto di essere vincolata a un obbligo di riservatezza o segreto professionale e dovrà essere informata degli specifici obblighi relativi alla protezione dei dati derivanti dal presente DPA, nonché delle istruzioni presenti e del loro scopo. Il Responsabile del Trattamento documenterà tali obblighi per iscritto e li fornirà su richiesta del Soggetto Responsabile.

2.9 Giustificazione delle condizioni di subappalto

(a) È consentita la giustificazione di rapporti di subappalto. Il Responsabile del Trattamento dovrà informare in anticipo il Soggetto Responsabile circa la corrispondente modifica. Quest'ultimo ha il diritto di opporsi.

(b) In caso di entrata in servizio di altri responsabili del trattamento, il Responsabile del Trattamento dovrà garantire per contratto che i suoi obblighi attribuiti ai sensi del presente DPA varranno anche per gli altri responsabili.

(c) Il Responsabile del Trattamento dovrà controllare le misure tecniche e organizzative adottate dagli altri responsabili, ad hoc e a cadenza regolare, durante il periodo di subappalto per proteggere i dati che ha fornito. Il trasferimento dei dati è consentito solo se l'altro responsabile ha implementato le dovute misure tecniche e organizzative conformemente alle specifiche del presente DPA.

(d) Il Responsabile del Trattamento sarà completamente responsabile dei subappaltatori a cui ricorrerà.

2.10 Diritto di controllo del Soggetto Responsabile

Il Soggetto Responsabile è autorizzato a verificare la conformità con i regolamenti applicabili in materia di protezione dei dati e con il DPA durante il normale orario di lavoro. Il Responsabile del Trattamento acconsente a fornire al Soggetto Responsabile tutte le informazioni ragionevolmente necessarie per eseguire il controllo entro un periodo di tempo ragionevole. Laddove il Soggetto Responsabile ritenga che sia necessaria un'ispezione in situ del Responsabile del Trattamento, quest'ultimo dovrà garantire che il soggetto responsabile dell'esecuzione della verifica abbia accesso ai suoi uffici e che possa svolgere l'ispezione in situ dei dati memorizzati e dei programmi per il trattamento dei dati. Il Soggetto Responsabile ha il diritto di far eseguire la verifica ad una terza parte (ispettore) che sarà designata per il singolo caso. Il Soggetto Responsabile dovrà annunciare l'esecuzione di tale verifica per iscritto con un preavviso di almeno venti (20) giorni lavorativi. Le spese per l'esecuzione della verifica e quelle sostenute dal Responsabile del Trattamento secondo i normali prezzi di mercato saranno a carico del Soggetto Responsabile.

2.11 Notifiche di Violazioni da parte del Responsabile del Trattamento

(a) Il Responsabile del Trattamento dovrà comunicare tempestivamente al Soggetto Responsabile, ed entro quarantotto (48) ore da tale scoperta, tutti i casi in cui lo stesso, o soggetti o subappaltatori impiegati da esso, hanno infranto le regole che disciplinano la protezione dei dati del Soggetto Responsabile o le condizioni stabilite nel presente DPA.

(b) Al Soggetto Responsabile dovrà essere comunicato ogni incidente che porti a una perdita di dati o a una loro trasmissione illecita o ricezione da parte di terzi, a prescindere dalla causa. Il Responsabile del Trattamento dovrà, consultandosi con il Soggetto Responsabile, adottare misure adeguate atte a salvaguardare i dati e a minimizzare le possibili conseguenze negative per le persone interessate. Nella misura in cui i soggetti responsabili soddisfano gli obblighi di comunicazione, il Responsabile del Trattamento dovrà assistere questi nell'adempiere tali obblighi.

2.12 Istruzioni da parte del Soggetto Responsabile

(a) Il trattamento dei dati del Soggetto Responsabile da parte del Responsabile del Trattamento dovrà essere eseguito esclusivamente nell'ambito del DPA e in base alle specifiche istruzioni comunicate dallo stesso.

(b) Il Responsabile del Trattamento dovrà adempiere tempestivamente alle (singole) istruzioni relative alla natura, all'entità e al metodo di trattamento, o, laddove applicabile, entro i termini stabiliti dal Soggetto Responsabile.

(c) Il Responsabile del Trattamento dovrà comunicare tempestivamente al Soggetto Responsabile se, le istruzioni rilasciate da quest'ultimo, a suo giudizio, violino i regolamenti in materia di protezione dei dati. Il Responsabile del Trattamento avrà diritto di sospendere l'esecuzione delle istruzioni pertinenti fino a quando non saranno confermate o modificate dal Soggetto Responsabile.

2.13 Cancellazione in seguito al completamento dell'ordine

Dopo il completamento dei lavori stabiliti dall'accordo, il Responsabile del Trattamento dovrà consegnare tutti i dati che ha trattato per il Soggetto Responsabile, o su previa autorizzazione di quest'ultimo, distruggerli conformemente alla protezione dei dati o cancellarli ai sensi delle pratiche correnti. Il diritto di conservazione è escluso relativamente ai documenti, dati, risultati del trattamento e all'utilizzo, nonché ai supporti di dati associati, fatto salvo laddove la legge EU o di uno stato membro EU richieda la conservazione dei dati.

3. Ulteriori obblighi da parte del Responsabile del Trattamento

3.1 Il Responsabile del Trattamento non dovrà utilizzare i dati forniti per il trattamento per altri scopi. Non potranno essere create copie e duplicati di cui il Soggetto Responsabile non è a conoscenza e senza il suo previo consenso per iscritto, a meno che ciò non sia previsto nei servizi richiesti nel DPA. Il Responsabile del Trattamento dovrà garantire che i dati trattati dallo stesso per il Soggetto Responsabile siano separati dagli altri dati. Il Responsabile del Trattamento non potrà trasmettere a terzi i dati del Soggetto Responsabile senza il consenso per iscritto di quest'ultimo.

3.2 Il Responsabile del Trattamento dovrà fornire un'assistenza ragionevole a coloro che sono responsabili nel rispondere alle richieste di indennizzo basate su una violazione presunta o effettiva dei requisiti in materia di protezione dei dati. Il Soggetto Responsabile dovrà, da parte sua, esaminare i reclami degli interessati nell'ambito della responsabilità sulla protezione dei dati dello stesso in maniera adeguata ed elaborare i reclami degli interessati.

3.3 Il Responsabile del Trattamento riconosce che le informazioni sono date alle persone interessate sulla base di un diritto di informazione esclusivamente tramite il Soggetto Responsabile o un soggetto da questo autorizzato. Il Responsabile del Trattamento è obbligato a fornire al Soggetto Responsabile le informazioni richieste nei tempi previsti e di assistere allo stesso. Se lo stesso Responsabile del Trattamento agisce anche da Soggetto Responsabile esterno, queste richieste possono essere evase di conseguenza e il Soggetto Responsabile può essere informato contestualmente.

3.4 Il Responsabile del Trattamento dovrà assistere il titolare del trattamento nella stesura degli indici di procedura necessari, laddove applicabile.

3.5 Il Responsabile del Trattamento dovrà assistere il Soggetto Responsabile nell'eseguire valutazioni sull'impatto delle misure di protezione dei dati laddove una tipologia di trattamento possa comportare un elevato rischio per i diritti e le libertà delle persone fisiche.

3.6 Il Responsabile del Trattamento acconsente a informare tempestivamente il Soggetto Interessato dei risultati delle ispezioni da parte delle autorità di supervisione per la protezione dei dati, nella misura in cui questi siano connessi al presente DPA. Il Responsabile del Trattamento comunicherà a questi soggetti responsabili eventuali reclami delle autorità di supervisione per la protezione dei dati che sono relazionati all'ambito di responsabilità dello stesso e porrà rimedio a qualsiasi reclamo accertato come richiesto dalla legge.

4. Responsabilità

4.1 Il Soggetto Responsabile è responsabile dell'ammissibilità del trattamento dei dati, nonché della protezione dei diritti degli interessati.

4.2 In deroga alla sezione 4.1, il Responsabile del Trattamento è responsabile dei reclami degli interessati a causa di violazioni di disposizioni legali applicabili o di quanto disposto dal DPA.

4.3 Nei confronti del Soggetto Responsabile, il Responsabile del Trattamento risponde esclusivamente per la colpa grave e il dolo nell'ambito dell'esclusione legalmente consentita di responsabilità e limitazioni.

5. Disposizioni finali

5.1 Il Titolare del Trattamento dovrà informare immediatamente e in maniera esauriente il Responsabile del Trattamento laddove rilevi errori o irregolarità nel trattamento dei dati da parte di quest'ultimo durante il controllo.

5.2 Il presente DPA potrà essere modificato e risolto alle stesse condizioni delle suddette Condizioni Generali.

5.3 L'invalidità di una o più disposizioni del presente DPA non pregiudica la validità del DPA. In caso di inefficacia di una o più disposizioni del presente DPA, le Parti dovranno adottare disposizioni sostitutive giuridicamente efficaci nel modo più economico possibile. Lo stesso principio si applica in caso di lacune.

5.4 Il DPA deve soddisfare gli stessi diritti delle suddette Condizioni Generali.

5.5 In caso di contraddizione tra il DPA e altri accordi tra le parti, prevarranno le disposizioni del presente DPA.

Stato: 2018/AG





Misure tecniche e organizzative

Tenendo conto delle pratiche correnti, i costi di implementazione, nonché la natura, l'ambito, le circostanze e gli scopi del trattamento e la diversa probabilità e gravità del rischio per i diritti e le libertà delle persone fisiche, il Responsabile del Trattamento dovrà implementare misure tecniche e organizzative adeguate per garantire un livello di protezione commisurato al rischio. Tali misure includono, tra l'altro, quanto segue:

• la pseudonimizzazione e la cifratura dei dati;

• la capacità di garantire costantemente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi per il trattamento e dei relativi servizi;

• la capacità di ripristinare rapidamente la disponibilità e l'accessibilità dei dati nel caso di incidente fisico o tecnico;

• una procedura per una periodica revisione, analisi e valutazione dell'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.

Fatto salvo quanto precede, saranno adottate le specifiche misure qui di seguito riportate:

1. Controllo degli accessi

Misure atte a prevenire che soggetti non autorizzati riescano ad accedere al sistema di elaborazione dei dati utilizzato per il trattamento dei dati:

• Specificazione del gruppo di persone autorizzate e relativa documentazione;

• Controllo agli accessi elettronici;

• Rilascio di ID di accesso;

• Introduzione di linee guida per i soggetti esterni;

• Sistemi di allarme o sorveglianza al di fuori dell'orario di lavoro;

• Distribuzione delle proprietà in diverse aree di sicurezza;

• Introduzione di linee guida per la gestione delle chiavi (chiavi magnetiche);

• Porte di sicurezza (telecomandi elettronici, lettori ID, telecamere a circuito chiuso);

• Introduzione di misure per la sicurezza in situ (ad esempio rilevamento/comunicazione delle intrusioni).

2. Controllo degli accessi

Misure atte a prevenire che soggetti non autorizzati riescano ad utilizzare i sistemi e le procedure per il trattamento dei dati:

• Definizione del gruppo di persone che hanno accesso ai sistemi per il trattamento dei dati;

• Introduzione di linee guida per i soggetti esterni;

• Protezione mediante password per i computer personali.

3. Controllo degli accessi

Misure atte a garantire che i soggetti autorizzati a utilizzare le tecniche per il trattamento dei dati possano accedere solo ai dati per i quali hanno l'autorizzazione:

• Introduzione di diritti all'accesso limitato in base ai propri dati e alle proprie funzioni;

• Obbligo di identificarsi per poter utilizzare l'attrezzatura per il trattamento dei dati (ad esempio tramite ID e autenticazione);

• Introduzione di informative relative all'accesso e ai ruoli degli utenti;

• Valutazione dei protocolli in caso di evento dannoso.

4. Controllo dei trasferimenti

Misure atte a garantire che i dati non possano essere letti, copiati, alterati o rimossi durante la trasmissione elettronica o durante il loro trasporto o memorizzazione sui supporti di dati, e che sia possibile verificare e determinare lo stato di una trasmissione di dati mediante i dispositivi per la trasmissione dei dati.

• Cifratura

5. Controllo degli inserimenti

Misure atte a garantire la possibilità di verificare e determinare a posteriori se e da chi i dati sono stati inseriti o modificati nei sistemi informatici o da questi rimossi.

• Registrazione degli inserimenti dei dati.

6. Controllo degli ordini

Misure atte a garantire che i dati trattati per l'ordine possano essere trattati esclusivamente in conformità alle istruzioni del Soggetto Responsabile.

• Documentazione delle diverse competenze e obblighi tra il Soggetto Responsabile e il Responsabile del Trattamento;

• Entrata in servizio formale;

• Controllo dei risultati del lavoro.

7. Controllo della disponibilità

Misure atte a garantire che i dati siano protetti contro distruzioni o perdite accidentali.

• Implementazione di un piano per effettuare backup a cadenza regolare;

• Archiviazione sicura dei backup dei dati in armadi di sicurezza ignifughi e resistenti all'acqua;

• Adozione e verifica regolare di un sistema di alimentazione di emergenza, nonché di un sistema di protezione dagli sbalzi di tensione;

• Introduzione di un piano d'emergenza;

• Protocollo sull'introduzione della gestione delle crisi e/o delle emergenze.

8. Controllo della separazione

Misure atte a garantire che i dati raccolti per scopi diversi siano trattati separatamente.

• Separazione dei dati dei diversi clienti del Responsabile del Trattamento.

Stato: maggio 2018/AG

Imprint