La presente privacy policy, ad integrazione dell’autorizzazione conferita a Giplo (di seguito anche “Responsabile”) per l’accesso all’account e ai dati di vendita dell’Utente Autorizzato (soggetto venditore che utilizza il sistema e i servizi di Amazon per il proprio commercio all’ingrosso o al dettaglio, di seguito anche “Titolare”), illustra le prerogative e i compiti di Giplo in qualità di Responsabile del trattamento dell’Utente Autorizzato per i trattamenti di dati personali comuni relativi alle seguenti finalità:
Accesso, raccolta, conservazione ed elaborazione ordinata dei dati delle vendite realizzate dal Titolare; altri adempimenti necessari all’assolvimento dell’incarico conferito al Responsabile.
I soggetti i cui dati vengono trattati (di seguito anche “Interessati”) possono essere clienti del Titolare o operatori di quest’ultimo e qualsiasi altro soggetto si renda necessario per la corretta esecuzione dei trattamenti sopra specificati.
Dati anagrafici/identificativi (nome, cognome), preferenze di acquisto/consumo, recapiti (ivi compreso l’indirizzo di residenza), dati bancari o comunque relativi ai sistemi di pagamento. Il Titolare, con l’autorizzazione conferita al Responsabile per l’accesso al proprio account e con la conseguente accettazione della presente policy, dichiara che il trattamento non comprenderà dati particolari (a titolo esemplificativo dati sullo stato di salute degli Interessati o comunque dati ricompresi nell’art. 9 GDPR) o dati relativi a soggetti minorenni.
I trattamenti del Responsabile dureranno per il periodo necessario alla corretta esecuzione dell’incarico conferito dal Titolare, in ogni caso in conformità alla “Data Protection Policy” di Amazon (DPP di Amazon Services API). Al termine del periodo di trattamento o su richiesta del Titolare o di Amazon (compatibilmente con le policy DPP e AUP), il Responsabile cancellerà tutti i dati personali che non sarà tenuto a conservare per obblighi di legge. Su richiesta del Titolare, al termine del trattamento, il Responsabile restituirà i dati al Titolare (prima della cancellazione).
Il trattamento avverrà con o senza l’ausilio di strumenti elettronici/automatizzati, presso la sede del Responsabile e in cloud presso i data center di Amazon Web Service (AWS).
Il Titolare, con l’autorizzazione conferita al Responsabile per l’accesso al proprio account e con la conseguente accettazione della presente policy, dichiara di aver acquisito i dati che verranno trattati dal Responsabile in conformità:
Il Responsabile gestirà solo per conto del Titolare i suddetti trattamenti nel rispetto della normativa privacy applicabile (ivi compreso il GDPR), delle policy di Amazon Services API (DPP e AUP) e delle eventuali istruzioni del Titolare, adottando misure tecniche e organizzative adeguate a soddisfare gli obblighi di legge e contrattuali (fra cui l’art. 32 Reg. UE 2016/679 e le delle policy di Amazon Services API sopra richiamate) e garantendo la tutela dei relativi diritti dell’Interessato. Nel caso in cui specifiche istruzioni del Titolare contrastassero con le previsioni di legge o con le policy di Amazon Services API (DPP e AUP), il Responsabile lo comunicherà tempestivamente al Titolare, impegnandosi a collaborare con quest’ultimo nell’individuare una soluzione applicabile.
Il Responsabile si impegna ad individuare e autorizzare per iscritto gli Incaricati del trattamento (ovverosia i soggetti, parte della propria organizzazione, autorizzati all’esecuzione, in tutto o in parte, del trattamento dei dati personali), assegnando le relative mansioni e garantendo il loro impegno alla riservatezza. Inoltre, il Responsabile individuerà e nominerà per iscritto e controllare l’attività dell’Amministratore di sistema con particolare riferimento a quanto stabilito nel Provvedimento 27 novembre 2008 del Garante Privacy italiano. L’autorizzazione conferita agli Incaricati del trattamento sarà limitata alle attività strettamente necessarie all’esecuzione delle relative mansioni, secondo il principio di minimizzazione dell’accesso ai dati personali. Ad ogni Incaricato saranno assegnate, a cura dell’Amministratore di sistema, adeguate credenziali di autenticazione per l’accesso ai dati personali. Le credenziali saranno variate dall’Incaricato al momento del primo accesso, conosciute unicamente da quest’ultimo (con sottoscrizione di specifico obbligo di riservatezza) e connesse a specifici privilegi di accesso e trattamento dei dati personali. Le credenziali rispetteranno i requisiti di legge e quelli fissati dalle policy di Amazon Services API (DPP e AUP). Le credenziali di accesso saranno variate, a cura dell’Incaricato stesso, una volta ogni 3 mesi oppure ogniqualvolta l’Incaricato temesse la perdita di riservatezza delle proprie credenziali. Ogni diritto di accesso/trattamento dei dati sarà immediatamente revocato all’Incaricato al momento della cessazione della mansione lavorativa che necessitava tale diritto di accesso/trattamento. È fatto espresso divieto agli Incaricati di trasferire, conservare, accedere o, comunque, trattare i dati personali attraverso dispositivi non aziendali, ivi compresi CD, chiavette USB, PC etc.
Il Responsabile dichiara di avvalersi dei servizi in cloud di Amazon Web Service (in particolare per la conservazione dei dati) che, quindi, assume la qualifica di sub-responsabile del trattamento. Il Responsabile si impegna ad individuare e nominare per iscritto gli eventuali futuri e ulteriori sub-responsabili del trattamento, avvisandone tempestivamente il Titolare. A questo proposito il Titolare, con l’autorizzazione conferita al Responsabile per l’accesso al proprio account e con la conseguente accettazione della presente policy, dichiara di conferire al Responsabile autorizzazione generale per la nomina di nuovi sub-responsabili, obbligandoli alle medesime previsioni di cui alla presente policy, nel rispetto anche delle previsioni ex art. 28 par. 2 e 4 Reg. UE 2016/679 e sempre salve le previsioni delle policy di Amazon Services API (DPP e AUP). Il Responsabile garantisce, in ogni caso, che i dati personali oggetto della presente policy non saranno soggetti a diffusione.
Implementare specifiche procedure aziendali di analisi periodica dei rischi e misure tecniche e organizzative funzionali alla riservatezza dei dati personali in accordo con le policy di Amazon Services API (DPP e AUP) e idonee a garantire i diritti degli interessati e al rispetto, fra l’altro, degli artt. 32 e 36 Reg. UE 2016/679. Fra le misure procedurali sarà compreso anche un idoneo e periodico piano di formazione degli Incaricati del trattamento sulle tematiche della riservatezza dei dati personali e della sicurezza IT, in considerazione delle esigenze aziendali, delle prescrizioni normative e delle policy di Amazon Services API (DPP e AUP).
Ogni attività di trattamento, con indicazione delle finalità, delle basi giuridiche di trattamento, delle categorie di Interessati e di dati trattati, dei soggetti coinvolti nel trattamento e della durata del trattamento stesso, sarà organizzata sistematicamente in un documento definito Registro delle attività di trattamento, in conformità alle previsioni normative e alle policy di Amazon Services API (DPP e AUP). Il Registro delle attività di trattamento conterrà anche un elenco di tutte le misure di sicurezza implementare ai sensi del precedente punto (9) e, in generale, darà atto della conformità del Responsabile alle previsioni normative e contrattuali in materia di privacy.
Su espressa richiesta, il Responsabile metterà a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto dei propri obblighi, come sopra richiamati, anche consentendo e contribuendo alle attività di controllo, comprese le ispezioni, realizzate dal Titolare, da Amazon o da altro soggetto da questi incaricato.
Il Responsabile si impegna a collaborare attivamente con il Titolare e con Amazon al fine di dare riscontro ed esecuzione ai diritti e alle richieste degli Interessati, come da previsioni normative e contrattuali, oltre che con riferimento alle policy di Amazon Services API (DPP e AUP).
In caso di violazione dei dati personali, ovverosia nel caso in cui i dati personali venissero in qualsiasi modo modificati, compromessi, cancellati/distrutti, resi inaccessibili, rubati, diffusi/comunicati illegittimamente a terzi o da questi conoscibili o, comunque, in qualsiasi caso in cui le misure di sicurezza (anche e soprattutto informatiche) del Responsabile a tutela dei dati personali fossero violate, l’Incaricato che ne avesse notizia dovrà immediatamente darne comunicazione all’Amministratore di sistema (c.d. potenziale “Data breach”). In seguito all’intervenuta valutazione e presa di coscienza del Data breach, entro 24 ore il Responsabile lo comunicherà al Titolare, ad Amazon nel rispetto delle prescrizioni di legge (in particolare degli artt. 33 e 34 Reg. UE 2016/679) e delle policy di Amazon Services API (DPP e AUP) collaborando, se del caso, alla successiva comunicazione all’Autorità Garante competente e ai singoli Interessati oltre che all’individuazione delle misure necessarie a minimizzare i rischi dell’evento e impedire che si verifichi nuovamente.