Questo sito utilizza i cookie. Visualizza la nostra informativa sui cookie
Chiudere

GRC International Group plc - Informazioni sulla riservatezza dei dati

v1.3 2018-07-27


Indice

 

1. Introduzione

Ti ringraziamo per la fiducia accordataci condividendo con noi i tuoi dati personali. La sicurezza di questi dati riveste estrema importanza per noi. In questo documento spiegheremo come raccogliamo, utilizziamo e proteggiamo i tuoi dati personali.

Spiegheremo inoltre i tuoi diritti relativamente a tali dati e come esercitarli.

 

2. Chi siamo

GRC International Group plc è la società madre di numerose organizzazioni quali IT Governance Ltd e IT Governance Europe Ltd. L’elenco completo è riportato di seguito alla Sezione 3, con i relativi siti Web associati.

GRC International Group plc è il responsabile del trattamento dei dati di tutte le organizzazioni che fanno parte del Gruppo. Ciò significa che GRC International Group plc stabilisce quali dati raccogliere da ciascuna organizzazione del Gruppo, come utilizzarli e come proteggerli.

Sede legale:

GRC International Group plc

Unit 3, Clive Court
Bartholomew’s Walk
Cambridgeshire Business Park
Ely
Cambridgeshire
CB7 4EA
Regno Unito

Per qualsiasi informazione relativamente a come vengono elaborati i tuoi dati personali, o per esercitare i propri diritti al riguardo, ti preghiamo di contattarci a mezzo e-mail all’indirizzo privacy@grci.group.

 

3. Società e siti Web cui si applica

Le società che seguono rientrano nell’ambito di applicazione di questa normativa sulla riservatezza:

GRC International Group plc www.GRCI.group

IT Governance Ltd

www.itgovernance.co.uk
www.itgovernance.asia (Singapore)
www.itgovernancesa.co.za (Sud Africa)
www.itgovernancegulf.com (Golfo Arabico)
IT Governance Europe Ltd www.itgovernance.eu
IT Governance Inc www.itgovernanceusa.com (US)
IT Governance Publishing Ltd www.itgovernancepublishing.co.uk
GRC e-Learning Ltd www.grcelearning.com
GRCI Law Ltd www.grcilaw.com
Vigilant Software Ltd www.vigilantsoftware.co.uk

 

Se non diversamente specificato, i siti Web di cui sopra si considerano con sede nel Regno Unito; per maggiori informazioni sul trattamento dei dati non EU vedere di seguito la Sezione 6.

Questa normativa copre anche tutti gli eventuali ulteriori dati raccolti nelle applicazioni Web online riportate di seguito:

Cyber Essentials portal https://ces.itgovernance.co.uk/
GRC eLearning Management System www.users.grcelearning.com
CyberComply, and all its modules www.cybercomply.co.uk

 

Sono inclusi i dati personali raccolti tramite i nostri siti Web, telefonicamente, tramite Live Chat e qualsiasi altra applicazione di ‘social media’ relativa.

 

4. Raccolta dei dati personali

Scopi della raccolta dei dati personali:

  • 1. fornire tutte le informazioni da te richieste o che riteniamo possano riferirsi ad un soggetto per il quale hai manifestato interesse;
  • 2. iniziare e completare transazioni commerciali con te come persona fisica, o come persona giuridica da te rappresentata, per l’acquisto di prodotti e/o servizi;
  • 3. adempiere eventuali contratti stipulati con te come persona fisica, o come persona giuridica da te rappresentata. In questo caso, i tuoi dati personali possono essere stati forniti dalla persone giuridica da te rappresentata, piuttosto che da te come persone fisica;
  • 4. Garantire la sicurezza ed il funzionamento affidabile dei nostri siti Web e dell’infrastruttura commerciale connessa, e
  • 5. gestire le comunicazioni tra te e noi.

La tabella riportata di seguito nella Sezione 5 fornisce informazioni maggiormente dettagliate circa i dati da noi raccolti per ognuno di tali scopi, le basi legali relative ed il periodo durante il quale ciascun tipo di dati verrà mantenuto.


Informazioni tecniche

Inoltre, ed al fine di garantire che ogni visitatore dei nostri siti Web possa utilizzarli e navigare efficacemente, raccogliamo quanto segue:

  • informazioni tecniche, incluso l’indirizzo IP (Internet Protocol) utilizzato per collegare il tuo dispositivo ad Internet:
  • informazioni di accesso, tipo e versione del browser, impostazioni del fuso orario, tipi e versioni dei plug-in del browser;
  • sistemi operativi e piattaforma;
  • informazioni relative alla tua visita, incluso il percorso URL (Uniform resource Locator) verso, all’interno e dal nostro sito.

La nostra politica dei ‘cookies’, visibile nella home page di ciascun sito Web, descrive dettagliatamente l’utilizzo che ne facciamo.

Nella sezione 8 di seguito specifichiamo i tuoi diritti relativamente ai dati personali che raccogliamo e spieghiamo come esercitarli.

 

5. Basi legali per l’elaborazione dei dati personali

La tabella che segue descrive i vari tipi di dati personali che raccogliamo e le basi legali per il relativo trattamento. La nostra architettura commerciale, la contabilità e l’infrastruttura dei sistemi e l’organizzazione per la conformità significano che tutti i dati personali vengono elaborati su piattaforme comuni a livello del gruppo. Abbiamo istituito procedure che garantiscono l’accesso ai vostri dati soltanto da parte di personale della nostra organizzazione che ne abbia la necessità. Un certo numero di dati viene raccolto per più scopi, come mostrato nella tabella che segue. Alcuni dati possono essere condivisi con terze parti; anche questo caso viene definito di seguito.

Quando trattiamo dati sulla base legale di un interesse legittimo, al fine di verificarne l’eventuale correttezza, ci atteniamo ai test riportati di seguito:

Test di scopo – l’interesse alla base del trattamento è legittimo?

Test di necessità – il trattamento è necessario per tale scopo?

Test comparativo – l’interesse legittimo è superato o meno dai diritti, dalla libertà e dagli interessi del singolo?

 

Scopo della raccolta

Categoria di informazione

Dati raccolti

Scopo della raccolta

Basi legali del trattamento

Dati condivisi con?

Periodo di conservazione

1. Per fornire informazioni

Argomento delle informazioni

Nome, nome societario, posizione geografica, indirizzo e-mail, settore commerciale.

Per fornire informazioni opportune, online o a mezzo e-mail, sui prodotti e/o servizi richiesti.

Adempimento contrattuale

Solo all’interno

Massimo otto anni dalla data di raccolta dei dati.

Sei mesi se l’e-mail commerciale non viene aperto.

Per fornire ulteriori informazioni, correlate, online o a mezzo e-mail ed aggiornamenti in corso relativamente all’area di interesse identificata.

Interesse legittimo

Solo all’interno

Numero di telefono

Azioni successive per assicurare che l’informazione richiesta rispecchi le esigenze e per identificare ulteriori necessità.

Interesse legittimo

Solo all’interno

Informazioni personali di contatto come fornite tramite la modulistica sul sito Web, in occasione di eventi commerciali o con altri mezzi.

Abbonamento ad un elenco di corrispondenza generale

Consenso

Solo all’interno

2. Informazioni sulla transazione

Dettagli della transazione

Nome, indirizzo fisico, indirizzo e-mail, numero di telefono, dettagli bancari (per conti di credito), altri mezzi di distribuzione dei contenuti.

Per elaborare transazioni di acquisto dei prodotti e/o servizi con i clienti, e per assicurare la gestione di eventuali problematiche delle transazioni.

Esecuzione del contratto

Solo all’interno

Massimo otto anni dalla data di esecuzione del contratto.

Sei mesi dalla data in cui il titolare dei dati ha inserito le informazioni personali ma non ha effettuato una transazione.

Massimo otto anni dalla data di esecuzione del contratto ai fini di registrazioni IVA.

Per fini contabili e fiscali

Obblighi normativi

All’interno e consulenti professionali

Documentazione in caso di eventuale contenzioso contrattuale

Interesse legittimo

All’interno e consulenti professionali

Dati della carta di credito

Numero di conto principale (PAN), nome del titolare, codice di servizio, data di scadenza

Per evadere richieste di acquisto mediante carta di credito/debito.

Esecuzione del contratto

Società di gestione carte, tutto in linea con PCI DSS

Mantenuti soltanto in attesa dell’autorizzazione.

3. Informazioni contrattuali

Dati contrattuali

Nome, esigenze dietetiche

Adeguata organizzazione della ristorazione per corsi di formazione

Esecuzione del contratto

All’interno e sedi di corsi

Massimo sei anni dalla data di esecuzione del contratto.

Nome, dettagli di contatto

Accesso a corsi di formazione, registri dei partecipanti

Esecuzione del contratto

All’interno e sedi di corsi

Nome, contatto e dettagli identificativi

Partecipazione ad esami, risultati degli esami, certificazioni

Esecuzione del contratto

All’interno ed esaminatori esterni, supervisori ed enti di certificazione

Nome, dettagli di contatto

Dettagli di licenza necessari ad assegnare e mantenere una licenza acquistata per l’utilizzo di software e prodotti relativi e apprendimenti a distanza.

Esecuzione del contratto

All’interno e tutte le parti terze i cui prodotti o servizi possiate aver acquistato presso di noi.

Nome, indirizzo/i, indirizzo e-mail, dettagli di contatto

Consegna effettiva di prodotti e/o servizi, in forma fisica o digitale, che siano stati acquistati presso di noi.

Esecuzione del contratto

All’interno e tutte le società di logistica o fornitura parti terze nostre subappaltatrici per adempiere a tali richieste.

4. Sicurezza

Informazioni sulla sicurezza

Informazioni tecniche, come descritte sopra, più qualsiasi altra informazione necessaria allo scopo.

Per protezione di nostri siti Web e dell’infrastruttura da attacchi cibernetici o altre minacce e per segnalare e gestire qualsiasi atto illegale.

Interesse legittimo

All’interno, organizzazioni forensi e di altro genere cui possiamo subappaltare allo scopo.

Norme limitative relative

5. Comunicazioni

Informazioni di contatto

Nome, dettagli di contatto e dettagli identificativi

Per comunicare con voi relativamente a qualsiasi problema possa verificarsi con noi o derivante dall’interagire con noi.

Interesse legittimo

Internamente e, se necessario, con consulenti professionali

Norme limitative relative

5. Sviluppo dei prodotti

Dati frutto di indagini (questionari)

Nome, dettagli di contatto e dettagli identificativi

Per sviluppare prodotti esistenti e prodotti nuovi che soddisfino le aspettative ed esigenze dei nostri clienti.

Consenso

Internamento, e laddove viene fornito un ulteriore consenso per scopi di marketing.

Se resi anonimi per ricerca statistica, questi dati potrebbero essere conservati indefinitamente.

Ove non resi anonimi, devono essere conservati per massimo un anno.

 

6. Archiviazione dei dati personali

GRC International Group plc è un'organizzazione con sede ed uffici principali nel Regno Unito.

  • La maggior parte dei nostri siti ed applicazioni Web si trova nell’Unione Europea ed è accessibile soltanto dal nostro personale con base nell’Unione.
  • Quattro dei nostri siti Web, come identificati nella Sezione 2 sopra, sono rivolti a clienti extra UE e sono accessibili soltanto da personale con base fuori dell’Unione. Il nostro sito Web USA è l’unico che si trova fuori dell’Unione Europea. In tutti questi casi, abbiamo predisposto appropriate misure contrattuali e di sicurezza per garantire la protezione dei dati personali.
  • I nostri sistemi di gestione dei rapporti con la clientela, di marketing e di contabilità di tutte le nostre attività commerciali si trovano nell’Unione Europea o sono ospitati da società che fanno parte dell’Unione EU-US Privacy Shield Framework.
  • Come parte del nostro ambiente di elaborazione dati ci avvaliamo di CSP (Cloud service providers). Se non diversamente specificato, siamo i controllori dei dati di tutti tali CSP.
  • Se non diversamente specificato, tutti i CSP di cui ci avvaliamo utilizzano strutture di elaborazione dati con base nell’Unione Europea.
  • I nostri sistemi di pagamento ed organizzazioni bancarie hanno base nell’Unione Europea e, per il nostro sito Web USA, negli Stati Uniti.
  • Spediamo e consegniamo prodotti fisici in tutto il mondo; conseguentemente, utilizziamo società di logistica con base fuori dell’Unione e che operano in altri paesi. Con tali partner abbiamo adeguati rapporti legali e di sicurezza.
  • Operiamo anche come rivenditori di prodotti forniti da altre organizzazioni fuori dall’Unione Europea. Ciò può comportare che i nostri partner di rivendita abbiano accesso ad informazioni sui dati personali di chi acquista i loro prodotti.
  • Utilizziamo una politica di mantenimento dati per tutti i dati, cartacei o digitali; le parti relative a dati personali sono contenuti nella tabella di cui alla Sezione 5 sopra.


7. Sicurezza

Il nostro sistema di gestione della sicurezza delle informazioni (ISMS) è certificato ISO/IEC 27001. Le nostre attività commerciali nel Regno Unito sono certificate Cyber Essentials Plus e tutta la nostra attività di elaborazione dati delle carte di credito è conforme PCI DSS (Payment Card Industry Data Security Standard)..

Riteniamo di aver predisposto adeguati controlli di sicurezza per proteggere i dati personali. La valutazione dei rischi, inclusa quella dei rischi per i diritti e le libertà dei soggetti dei dati è alla base del nostro sistema ISMS. Ciononostante, non abbiamo però alcun controllo su ciò che avviene tra il vostro dispositivo ed il confine della nostra infrastruttura informativa. È necessario pertanto che teniate presente che esistono molti rischi per la sicurezza delle informazioni e prendiate le opportune misure atte a proteggere le vostre informazioni. Decliniamo qualsiasi responsabilità relativamente a violazioni che possano verificarsi fuori della nostra zona di controllo.


8. Diritti del titolare dei dati

In quanto titolari di dati di cui noi abbiamo informazioni personali hai determinati diritti. Se desideri esercitare tali diritti, ti preghiamo di contattarci a mezzo e-mail privacy@grci.group o utilizzare le informazioni fornite di seguito nella Sezione Contatti. Al fine di elaborare e verificare la tua richiesta ti chiederemo di fornirci due mezzi di identificazione validi. I tuoi diritti:

  • Diritto ad essere informato
    In quanto responsabili del trattamento dei dati, abbiamo l’obbligo di fornire informazioni chiare e trasparenti sulle nostre attività di elaborazione dati. Adempiamo a tale obbligo mediante questa normativa sulla riservatezza e tutte le eventuali comunicazioni in merito che potremmo inviare.

  • Diritto di accesso
    È possibile richiedere, a titolo gratuito, una copia dei tuoi dati personali che conserviamo. Dopo aver verificato la tua identità e, se del caso, l’autorizzazione di eventuali terze parti richiedenti, consentiremo l’accesso ai dati personali che conserviamo ed anche alle informazioni riportate di seguito.

  • a) Scopo del trattamento dati.
    b) Categorie di dati personali interessati.
    c) I destinatari cui tali dati sono stati rivelati.
    d) Il periodo di mantenimento o il periodo di mantenimento previsto per tali dati.
    e) In caso di dati raccolti da terze parti, l’origine degli stessi.

  • In caso circostanze eccezionali comportassero un rifiuto da parte nostra di fornire le informazioni, ne spiegheremo il motivo. Ci riserviamo il diritto di rifiutare eventuali richieste futili o vessatorie. In caso rispondere alla richieste possa comportare più tempo del necessario o generare costi non ragionevoli (che dovresti sostenere), te ne informeremo.

  • Diritto di rettifica
    In caso ritenga che le tue informazioni personali in nostro possesso siano inesatte o incomplete, potrai esercitare il tuo diritto di correggerle o completarle. Ciò può essere utilizzato con il diritto di ridurre l’elaborazione per assicurare che le informazioni inesatte/incomplete non vengano elaborate fino a quando non siano state corrette.

  • Diritto di cancellazione (il ‘diritto all’oblio’)
    Nel momento in cui non esista più una base legale imperativa o una ragione legittima per il trattamento di dati personali, è possibile richiederne la cancellazione. Ciò include anche dati personali eventualmente elaborati illegalmente. Metteremo in atto tutte le misure ragionevoli per assicurarne la cancellazione.

  • Diritto alla limitazione del trattamento
    È possibile richiedere l’interruzione del trattamento dei propri dati personali. I dati verranno mantenuti ma non verranno trattati ulteriormente. Questo diritto è alternativo al diritto di cancellazione. È possibile esercitare il diritto alla limitazione del trattamento qualora si applichi una delle condizioni seguenti:

    a) venga contestata l’esattezza dei dati personali;
    b) il trattamento dei dati personali sia illegale;
    c) non abbiamo più necessità dei dati ma questi siano necessari come elementi in un procedimento legale;
    d) sia stato esercitato il diritto di opposizione ed il trattamento sia limitato in attesa di una decisione sul relativo stato.

  • Diritto alla portabilità dei dati
    È possibile richiedere che l’insieme dei propri dati personali venga trasferito ad un altro responsabile o incaricato del trattamento, fornito in un formato di utilizzo comune e leggibile meccanicamente. Tale diritto è ammesso soltanto se il trattamento originario si basava su un assenso, se avveniva con sistemi automatici e se si basava sull’adempimento di un obbligo contrattuale.

  • Diritto di opposizione
    È possibile esercitare il diritto di opposizione al trattamento dei propri dati nel caso in cui:

    • il trattamento si basi su un interesse legittimo;
    • il trattamento abbia finalità di marketing diretto;
    • il trattamento abbia finalità di ricerca scientifica o storica;
    • il trattamento comporti processi decisionali e profilatura automatizzati.


9. Contatti

Eventuali commenti, domande o suggerimenti relativamente a questa normativa sulla riservatezza o alla gestione dei vostri dati personali da parte nostra possono essere inviati a: privacy@grci.group

In alternativa, è possibile contattare la nostra sede centrale al seguente indirizzo o numero di telefono:

GDPR Compliance Manager
GRC International Group plc
Unit 3 Clive Court
Bartholomew’s Walk
Cambridgeshire Business Park
Ely
Cambridgeshire
CB7 4EA
Regno Unito

Telefono: +44 (0)333 800 7000
Fax: +44 (0) 1353 662667

Il nostro centralino risponde dalle 9:00 alle 17:00 (GMT), dal lunedì al venerdì. Il personale del nostro centralino annoterà un messaggio e si assicurerà che la persona specifica risponda quanto prima possibile.


10. Reclami

In caso di reclami si prega di mettersi in contatto utilizzando le informazioni fornite in precedenza. Tutti i reclami verranno gestiti in forma confidenziale.

In caso non sia soddisfatto della la nostra gestione dei dati o di eventuali reclami presentati al riguardo, puoi sottoporre il reclamo all’autorità di vigilanza nell’ambito dell’Unione Europea. Nel Regno Unito tale autorità è rappresentata dallo ICO (Information Commissioner’s Office), che è anche la nostra autorità principale di vigilanza. Contatti: https://ico.org.uk/global/contact-us/