Informativa Sulla Privacy

 

“La società DGV TRAVEL SRL con sede in Roma Via Ermanno Carlotto 1, C.F. e/o P. Iva 08862151001 (in seguito, “Titolare”), in qualità di titolare del trattamento dei dati informa i propri clienti, ai sensi dell’art. 13 D.Lgs. 30.6.2003 n.196 (in seguito, “Codice Privacy”) e dell’art. 13 Regolamento UE n. 2016/679 (in seguito, “GDPR”) che i loro dati saranno trattati con le modalità e per le finalità seguenti.

 

1. Oggetto del trattamento

Il Titolare tratta i dati personali ed identificativi (nello specifico, nome, cognome, codice fiscale, p. iva, email, numero telefonico – in seguito, “dati personali” o anche “dati”) comunicati dai Clienti:

– in fase di accesso al sito web del Titolare e/o all’atto della richiesta di un preventivo (personalmente o in via telematica o telefonica), e/o all’atto dell’iscrizione al servizio di newsletter offerto dal Titolare.

– in occasione della conclusione di contratti per i servizi del Titolare e allo scopo necessario di utilizzo di servizi esterni all’azienda: in particolare, laddove espressamente da richiesto dal Cliente, per l’adempimento del ns. servizio, alcuni dati personali, tra cui potranno esserci dati identificativi del passaporto e del documento di identità, verranno trasferiti a terzi soggetti, anche con sede in paesi extracomunitari, che li tratteranno per il tempo necessario all’esecuzione del servizio e con la garanzia e la sicurezza richieste dalle suddette normative e al fine esclusivo dell’adempimento del servizio acquistato che altrimenti non potrebbe essere adempiuto da DGV Travel, nel rispetto dell’art. 9 GDPR..

 

2. Finalità del trattamento

I dati personali sono trattati:

per le seguenti Finalità di Servizio:

a) adempiere agli obblighi precontrattuali, contrattuali e fiscali derivanti dai rapporti con Lei in essere;

b) adempiere agli obblighi previsti dalla Legge, da un regolamento, dalla normativa comunitaria o da un ordine dell’Autorità (come ad esempio in materia di Antiriciclaggio);

c) per permettere l’iscrizione al servizio di newsletter fornito dal Titolare e degli ulteriori Servizi eventualmente da Lei richiesti;

d) esercitare i diritti del Titolare, ad esempio il diritto di difesa in giudizio.

e) inviare via e-mail, posta e/o sms e/o contatti telefonici, newsletter, comunicazioni commerciali e rilevazione del grado di soddisfazione sulla qualità dei servizi;

f) inviare via e-mail, posta e/o sms e/o contatti telefonici comunicazioni commerciali e/o promozionali di soggetti terzi (ad esempio business partner).

Segnaliamo che se si è già nostri clienti, potremo inviare comunicazioni commerciali relative a servizi e prodotti del Titolare analoghi a quelli di cui hanno già usufruito offrendoci il relativo consenso, salvo espresso dissenso.

 

3. Modalità del trattamento

Il trattamento dei dati personali è realizzato per mezzo delle operazioni indicate all’art. 4 Codice Privacy e all’art. 4 n. 2) GDPR e precisamente: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati. I dati personali sono sottoposti a trattamento sia cartaceo che elettronico e/o automatizzato.

Il Titolare tratterà i dati personali per il tempo necessario per adempiere alle finalità di cui sopra e comunque per non oltre 10 anni dalla cessazione del rapporto per le Finalità di Servizio e per non oltre 10 anni dalla raccolta dei dati per le Finalità di Marketing.

In alcuni casi i dati verranno trattati con il metodo di profilazione secondo quanto indicato nel documento "cookie policy" che si invita a visionare. Il titolare attua tutte le misure appropriate per tutelare i diritti, le libertà e i legittimi interessi degli interessati.

 

4. Accesso ai dati

I dati potranno essere resi accessibili per le finalità indicate:

– a dipendenti e collaboratori del Titolare, nella loro qualità di incaricati e/o responsabili interni del trattamento e/o amministratori di sistema;

– a società terze od altri soggetti (ad esempio, provider per la gestione e manutenzione del sito web, fornitori, istituti di credito, studi professionali, etc) che svolgono attività in outsourcing per conto del Titolare, nella loro qualità di responsabili esterni del trattamento.

 

5. Comunicazione dei dati

Senza la necessità di un espresso consenso del Cliente (ex art. 24 lett. a), b), d) Codice Privacy e art. 6 lett. b) e c) GDPR), il Titolare potrà comunicare i relativi dati per le finalità di cui all’art. 2.a) b) e d) a Organismi di vigilanza, Autorità giudiziarie nonché a tutti gli altri soggetti ai quali la comunicazione sia obbligatoria per legge per l’espletamento delle finalità dette. Detti soggetti tratteranno i dati nella loro qualità di autonomi titolari del trattamento. I dati non saranno diffusi.

 

6. Trasferimento dati

La gestione e la conservazione dei dati personali avverrà su server ubicati all’interno dell’Unione Europea. I dati potranno essere oggetto di trasferimento al di fuori dell’Unione Europea qualora vi sia un’autorizzazione in tal senso e per il tempo strettamente necessario al servizio. Resta in ogni caso inteso che il Titolare, ove si rendesse necessario, avrà facoltà di spostare l’ubicazione dei server in Italia e/o Unione Europea e/o Paesi extra-UE. In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge applicabili stipulando, se necessario, accordi che garantiscano un livello di protezione adeguato e/o adottando le clausole contrattuali standard previste dalla Commissione Europea.

 

7. Natura del conferimento dei dati

Il conferimento dei dati è obbligatorio nei limiti in cui il trattamento dei dati sia dovuto per precisi obblighi di legge o per lo svolgimento dei servizi richiesti.

 

8. Diritti dell’interessato

Nella sua qualità di interessato, il Cliente ha i diritti di cui all’art. 7 Codice Privacy e art. 15 GDPR e precisamente i diritti di:

I. ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati e la loro comunicazione in forma intelligibile;

II. ottenere l’indicazione: a) dell’origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l’ ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante qualora designato ai sensi dell’art. 5, comma 2 Codice Privacy e art. 3, comma 1, GDPR; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati;

III. ottenere: a) l’aggiornamento, la rettificazione ovvero, quando vi hai interesse, l’integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati

comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;

IV. opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che La riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante l’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore mediante email e/o mediante modalità di marketing tradizionali mediante telefono e/o posta cartacea.

 

L’Interessato, ove applicabili, ha altresì i diritti di cui agli artt. 16-21 GDPR (Diritto di rettifica, diritto all’oblio, diritto di limitazione di trattamento, diritto alla portabilità dei dati, diritto di opposizione), nonché il diritto di reclamo all’Autorità Garante.

 

9. Modalità di esercizio dei diritti

Il Cliente potrà in qualsiasi momento esercitare i diritti inviando:

– una raccomandata a.r. a DGV S.R.L., con sede in Via Ermanno Carlotto 1 Roma.

 

10. Titolare, responsabile e incaricati

Il Titolare del trattamento è DGV TRAVEL SRL con sede in Via Carlotto 1 Ostia Roma.

L’elenco aggiornato dei responsabili e degli incaricati al trattamento è custodito presso la sede del Titolare del trattamento.

 

 

11. Sicurezza

I locali ove vengono trattati i dati è sito al piano terra di un edificio dotato di citofono e cancello perimetrale, l’accesso ai locali di pertinenza dell’azienda è protetto da porta blindata e da un sistema di video sorveglianza. 

 

Acceso ad Internet e descrizione della rete informatica:

L’azienda è collegata ad Internet tramite due linee VDSL (Fibra Ottica) fornite da due diversi fornitori (TIM, FASTWEB) per garantire la continuità lavorativa.

La Rete è protetta da Firewall hardware e software per impedire accessi non autorizzati ai sistemi.

La rete informatica è costituita da stazioni di lavoro dotate di sistema operativo Windows 10 Pro con aggiornamenti automatici.

Ogni stazione di lavoro è dotata di Sistema antivirus Avast con aggiornamenti automatici.

L’accesso alle stazioni di lavoro è protetto da credenziali personali rilasciate ai singoli operatori.

Il cambio periodico delle password di accesso dei singoli operatori è impostato in automatico ogni 3 mesi.

Ogni postazione di lavoro entra in blocco per inattività dopo 5 minuti.

L'abilitazione alla    configurazione        dei      diritti   di       accesso        è          protetta da    password.

Gli      utenti  sono   opportunamente     istruiti per     gestire          in       modo          autonomo il cambio della password di accesso al sistema.

 

Criteri per assicurare l'integrità dei dati

L'integrità dei dati viene assicurata eseguendo:

-        Archiviazione su supporto NAS configurato in RAID1 per garantire l’integrità dei dati e crittografia dati AES in caso di furto;

-        procedure di controllo dello stato logico dei dischi e log di Sistema (i log riportano utente che accede ai dati e operazione effettuata: cancellazione, modifica, lettura, copia, etc…).

Il Backup dei dati è giornaliero e viene effettuato sia su unità di memorizzazione esterne crittografate che su NAS collocato presso altra sede.

Non è previsto alcun reimpiego dei supporti di memorizzazione, che  verranno  distrutti  al  cessare  della  loro funzionalità per obsolescenza.

I rischi relativi agli strumenti elettronici presenti in studio possono riguardare mal funzionamenti o guasti, eventi naturali alterazioni nella trasmissione. Per ridurre i rischi al minimo l’Azienda oltre le misure di sicurezza sopra descritte ho provveduto all’adozione di procedure automatiche di business continuity e disaster and recovery.

Inoltre l’azienda si è dotata di un Codice di Condotta (in allegato) per l’utilizzo dei sistemi sottoscritta da tutti gli operatori che riporta le corrette procedure di gestione degli strumenti informatici aziendali e le norme di sicurezza da seguire, a titolo di esempio: password di otto caratteri sostituita ogni 3 mesi scelta dall’incaricato e dallo stesso custodita in busta chiusa consegnata poi al titolare il quale la conserva il tutto in un cassetto chiuso a chiave / disposizione a tutti gli utilizzatori di non lasciare incustoditi gli strumenti elettronici e che verifichino la provenienza delle e- mail e a tale riguardo è stato inserito lo screensaver automatico dopo 5 minuti di non utilizzo del computer, ecc…).

Si è data disposizione di considerare internet e posta elettronica quali strumenti di lavoro e si è pertanto vietata la navigazione in internet su siti poco attendibili o non ufficiali e si è data disposizione di non aprire e.mail provenienti da soggetti non conosciuti e di non inviare e.mail non autorizzate dal titolare.

Per maggiori informazioni si faccia riferimento al Codice Condotta allegato al Registro dei Trattamenti.

I rischi relativi ai software possono consistere in errori o  virus.

Si è data disposizione di provvedere periodicamente alla pulizia dei file temporanei e del disco rigido, di non installare nessun software senza autorizzazione da parte della Direzione o persona delegata. L’Azienda utilizza solo software ufficiali e correttamente licenziati.

I sistemi Antivirus sono costantemente aggiornati e monitorati.

Per quanto riguarda il rischio per il trattamento dei dati elettronici può essere considerato basso essendo adottati tutti i sistemi di sicurezza derivanti dalla gestione dei dati.

Il rischio di perdita dei supporti di memorizzazione è basso in quanto I backup sono giornalieri e l’hardware è ridondato.

Per il ripristino dei dati si è data istruzione che venga richiesto l’intervento del Personale Tecnico di supporto Esterno.

In ogni caso è dato incarico di provvedere al ripristino entro massimo 24 ore dalla segnalazione di Perdita del dato.

Gli incaricati del trattamento sono affidabili e riservati quindi i rischi connessi ad incuria o distrazione sono bassi.

Gli utenti del sistema, autorizzati, vengono formati, a seconda del ruolo, all’atto  dell’ingresso nella struttura dello studio e dell’installazione  di nuovi sistemi dai tecnici/venditori dei sistemi e per quanto concerne le procedure per garantire le misure di sicurezza dal titolare del trattamento.

Gli incaricati dovranno comunicare immediatamente al titolare disfunzioni dei sistemi operativi e sono autorizzati a richiedere l’intervento del tecnico incaricato in caso di interruzioni e disfunzioni.

Terzi operatori tecnici interverranno sugli strumenti informatici previa autorizzazione ed invito ad effettuare gli interventi limitatamente alla prestazione da eseguire e alla presenza del titolare o delle persone autorizzate.

L’Azienda utilizza fornitori di servizi tecnologici conformi a quanto stabilito dal GDPR2018.

Il rischio di accesso ai locali Aziendali può essere considerato basso essendo dotato di porta blindata e di citofono, cancello perimetrale, inferriate di sicurezza e Sistema di Videosorveglianza.

Il rischio che terzi estranei accedano agli strumenti elettronici è basso essendo i locali dell’Azienda non aperti non aperti al pubblico.

L’Azienda ha provveduto ad adottare le disposizioni della legge 626/94 e ss. è dotato di salvavita e estintore periodicamente controllato. I rischi eventuali sono inerenti ad eventi naturali e accidentali.

 

Acceso ad Internet e descrizione della rete informatica:

 

L’azienda è collegata ad Internet tramite due linee VDSL (Fibra Ottica) fornite da due diversi fornitori (TIM, FASTWEB) per garantire la continuità lavorativa.

La Rete è protetta da Firewall hardware e software per impedire accessi non autorizzati ai sistemi.

La rete informatica è costituita da stazioni di lavoro dotate di sistema operativo Windows 10 Pro con aggiornamenti automatici. Ogni stazione di lavoro è dotata di Sistema antivirus Avast con aggiornamenti automatici.

L’accesso alle stazioni di lavoro è protetto da credenziali personali rilasciate ai singoli operatori.

Il cambio periodico delle password di accesso dei singoli operatori è impostato in automatico ogni 3 mesi.

Ogni postazione di lavoro entra in blocco per inattività dopo 5 minuti.

L'abilitazione alla     configurazione        dei      diritti   di       accesso        è          protetta da    password.

Gli      utenti  sono   opportunamente     istruiti per     gestire          in       modo          autonomo il cambio della password di accesso al sistema.

 

Criteri per assicurare l'integrità dei dati:

L'integrità dei dati viene assicurata eseguendo:

-        Archiviazione su supporto NAS configurato in RAID1 per garantire l’integrità dei dati e crittografia dati AES in caso di furto;

-        procedure di controllo dello stato logico dei dischi e log di Sistema (i log riportano utente che accede ai dati e operazione effettuata: cancellazione, modifica, lettura, copia, etc…)

-        Il Backup dei dati è giornaliero e viene effettuato sia su unità di memorizzazione esterne crittografate che su NAS collocato presso altra sede.

Non è  previsto  alcun  reimpiego  dei  supporti  di  memorizzazione,  che  verranno  distrutti  al  cessare  della  loro funzionalità per obsolescenza.

 

Analisi dei rischi:

I rischi relativi agli strumenti elettronici presenti in studio possono riguardare mal funzionamenti o guasti, eventi naturali e alterazioni nella trasmissione. Per ridurre i rischi al minimo l’Azienda oltre le misure di sicurezza sopra descritte ho provveduto all’adozione di procedure automatiche di business continuity e disaster and recovery.

Inoltre l’azienda si è dotata di un Codice di Condotta (in allegato) per l’utilizzo dei sistemi, sottoscritto da tutti gli operatori, che riporta le corrette procedure di gestione degli strumenti informatici aziendali e le norme di sicurezza da seguire, a titolo di esempio: password di otto caratteri sostituita ogni 3 mesi, scelta dall’incaricato e dallo stesso custodita in busta chiusa, consegnata poi al titolare il quale la conserva in cassetto chiuso a chiave / disposizione a tutti gli utilizzatori di non lasciare incustoditi gli strumenti elettronici e che verifichino la provenienza delle e- mail e a tale riguardo è stato inserito lo screensaver automatico dopo 5 minuti di non utilizzo del computer, ecc…).

Si è data disposizione di considerare internet e posta elettronica quali strumenti di lavoro e si è pertanto vietata la navigazione in internet su siti poco attendibili o non ufficiali e si è data disposizione di non aprire e.mail provenienti da soggetti non conosciuti e di non inviare e.mail non autorizzate dal titolare.

Per maggiori informazioni si faccia riferimento al Codice Condotta allegato al presente Registro.

I rischi relativi ai software possono consistere in errori o virus.

Si è data disposizione di provvedere periodicamente alla pulizia dei file temporanei e del disco rigido, di non installare nessun software senza autorizzazione da parte della Direzione o persona delegata.

L’Azienda utilizza solo softwares ufficiali e correttamente licenziati.

I sistemi Antivirus sono costantemente aggiornati e monitorati.

Per quanto riguarda il rischio per il trattamento dei dati elettronici, può essere considerato basso essendo adottati tutti i sistemi di sicurezza derivanti dalla gestione dei dati.

Il rischio di perdita dei supporti di memorizzazione è basso in quanto I backup sono giornalieri e l’hardware è ridondato.

Per il ripristino dei dati si è data istruzione che venga richiesto l’intervento del Personale Tecnico di supporto Esterno.

In ogni caso è dato incarico di provvedere al ripristino entro massimo 24 ore dalla segnalazione di Perdita del dato.

Gli incaricati del trattamento sono affidabili e riservati quindi i rischi connessi ad incuria, distrazione sono bassi.

Gli utenti autorizzati del sistema vengono formati, rispettivamente per i loro ruoli, all’atto  dell’ingresso nella struttura dello studio e dell’installazione  di nuovi sistemi dai tecnici/venditori dei sistemi e per quanto concerne le procedure per garantire le misure di sicurezza dal titolare del trattamento.

Gli incaricati dovranno comunicare immediatamente al titolare disfunzioni dei sistemi operativi e sono autorizzati a

richiedere l’intervento del tecnico incaricato in caso di interruzioni e disfunzioni.

Terzi operatori tecnici interverranno sugli strumenti informatici previa autorizzazione ed invito ad effettuare gli interventi limitatamente alla prestazione da eseguire e alla presenza del titolare o delle persone autorizzate.

L’Azienda utilizza fornitori di servizi tecnologici Conformi a quanto stabilito dal GDPR2018.

Il rischio di accesso ai locali Aziendali può essere considerato basso essendo dotato di porta blindata e di citofono, cancello perimetrale, inferriate di sicurezza  e Sistema di Videosroveglianza.

Il rischio che terzi estranei accedano agli strumenti elettronici è basso essendo i locali dell’Azienda non aperti non aperti al pubblico.

L’Azienda ha provveduto ad adottare le disposizioni della legge 626/94 e ss. è dotato di salvavita e estintore periodicamente controllato. I rischi eventuali sono inerenti ad eventi naturali e accidentali. Il rischio può essere considerato basso.

Per tutto quanto non è compreso nella suesposta informativa, si faccia riferimento al Registro di Trattamento detenuto da DGV Travel presso la propria sede di Via Carlotto 1 in Roma.