Europetaxconsulting Logo

Data protection policy

Politica interna in materia di protezione dei dati personali.

Data protection policy

Ultimo aggiornamento: 16 gennaio 2026

Indice dei contenuti

1. Definizioni

2. Introduzione

3. Ambito di applicazione della policy e quando chiedere supporto sulla conformità in materia di protezione dei dati

4. Principi di protezione dei dati personali

5. Liceità, correttezza e trasparenza

6. Consenso

7. Trasparenza (informativa agli interessati)

8. Limitazione della finalità

9. Minimizzazione dei dati

10. Esattezza

11. Limitazione della conservazione

12. Sicurezza, integrità e riservatezza

13. Segnalazione di una violazione dei dati personali

14. Limitazione del trasferimento

15. Diritti e richieste degli interessati

16. Responsabilizzazione

17. Tenuta dei registri

18. Formazione e audit

19. Privacy by design e Data Protection Impact Assessment (DPIA)

21. Marketing diretto

22. Condivisione dei dati personali

23. Modifiche alla presente Data protection policy

1. Definizioni

Automated Decision-Making (ADM): decisione basata unicamente su un trattamento automatizzato (inclusa la profilazione) che produce effetti giuridici o incide in modo analogo e significativo su una persona fisica. Il UK GDPR e l’EU GDPR vietano l’Automated Decision-Making (salvo il ricorrere di determinate condizioni), ma non vietano il trattamento automatizzato in quanto tale.

Trattamento automatizzato: qualsiasi forma di trattamento automatizzato di Dati personali che consista nell’utilizzo di Dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento lavorativo, la situazione economica, lo stato di salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, la posizione o gli spostamenti di tale persona. La profilazione è un esempio di trattamento automatizzato, così come molti utilizzi dell’intelligenza artificiale (IA) quando comportano il trattamento di Dati personali.

Azienda: PrimeEdge Consulting LLC 30 N Gould St. Ste R, Sheridan, WY 82801.

Personale dell’Azienda: tutti i dipendenti, lavoratori, collaboratori, lavoratori interinali, consulenti, amministratori, soci e altri soggetti, inclusi consulenti locali esterni ai quali i clienti possono essere presentati.

Consenso: manifestazione di volontà che deve essere libera, specifica, informata e inequivocabile, con la quale l’Interessato, mediante dichiarazione o azione positiva inequivocabile, esprime l’assenso al trattamento dei Dati personali che lo riguardano.

Titolare del trattamento (Controller): persona fisica o giuridica che determina quando, perché e come trattare i Dati personali. Il Titolare è responsabile della definizione di prassi e policy in linea con il UK GDPR e l’EU GDPR. Siamo Titolari di tutti i Dati personali relativi al nostro Personale e dei Dati personali utilizzati nell’ambito della nostra attività per finalità proprie e commerciali.

Dati relativi a condanne penali: dati personali relativi a condanne penali e reati, inclusi dati relativi ad accuse penali e procedimenti.

Interessato (Data Subject): persona fisica vivente, identificata o identificabile, di cui deteniamo Dati personali. Gli Interessati possono essere cittadini o residenti di qualsiasi paese e possono vantare diritti in relazione ai propri Dati personali.

Data Privacy Impact Assessment (DPIA): strumenti e valutazioni utilizzati per individuare e ridurre i rischi connessi a un’attività di trattamento. Un DPIA può essere svolto nell’ambito dell’approccio di “Privacy by design” e dovrebbe essere effettuato per tutti i principali progetti di cambiamento di sistemi o processi aziendali che comportano il trattamento di Dati personali.

Data Protection Officer (DPO): può essere: (a) la persona la cui nomina è obbligatoria in specifiche circostanze ai sensi del UK GDPR o dell’EU GDPR; oppure (b) laddove non sia nominato un DPO obbligatorio, un responsabile della privacy o altra figura nominata volontariamente, o il team interno incaricato della protezione dei dati, con responsabilità in materia di conformità alla normativa sulla protezione dei dati.

Consenso esplicito: tipo di consenso che richiede una dichiarazione molto chiara e specifica (e non una semplice azione), in cui l’Interessato esprime in modo espresso il proprio assenso.

UK GDPR: la versione del Regolamento generale sulla protezione dei dati ((UE) 2016/679) recepita nell’ordinamento del Regno Unito, come definita nel Data Protection Act 2018. I Dati personali sono soggetti alle tutele previste dall’UK GDPR.

EU GDPR: il Regolamento generale sulla protezione dei dati ((UE) 2016/679). Quando i Dati personali appartengono a cittadini o residenti dell’Unione europea, possono essere soggetti alle tutele previste dall’EU GDPR.

Dati personali (Personal Data): qualsiasi informazione che identifica un Interessato o informazione relativa a un Interessato che possiamo identificare (direttamente o indirettamente) tramite tali dati, da soli o in combinazione con altri identificativi che possediamo o ai quali possiamo ragionevolmente accedere. I Dati personali includono le categorie particolari di dati personali e i dati pseudonimizzati, ma escludono i dati anonimi o i dati resi definitivamente non riconducibili a una persona fisica. I Dati personali possono essere di natura oggettiva (ad esempio nome, indirizzo e-mail, luogo o data di nascita) o costituire un giudizio o un’opinione sul comportamento o sulle azioni di una persona.

Violazione dei dati personali (Personal Data Breach): qualsiasi atto o omissione che comprometta la sicurezza, la riservatezza, l’integrità o la disponibilità dei Dati personali o delle misure di sicurezza fisiche, tecniche, amministrative o organizzative che noi o i nostri fornitori terzi abbiamo adottato per proteggerli. La perdita o l’accesso, la divulgazione o l’acquisizione non autorizzati di Dati personali costituiscono una violazione di dati personali.

Privacy by design: adozione sin dalla fase di progettazione di misure tecniche e organizzative adeguate ed efficaci per garantire il rispetto del UK GDPR e dell’EU GDPR.

Privacy Guidelines: linee guida interne dell’Azienda in materia di privacy e di applicazione del UK GDPR e dell’EU GDPR, predisposte per agevolare l’interpretazione e l’attuazione della presente Data protection policy e delle policy collegate.

Informative privacy o Privacy policy (Privacy Notices): informative separate che contengono le informazioni fornite agli Interessati quando l’Azienda raccoglie Dati personali che li riguardano. Tali informative possono assumere la forma di: (a) informative generali rivolte a specifiche categorie di Interessati (ad esempio informativa per i dipendenti o informativa privacy del sito web); oppure (b) informative autonome e una tantum relative a uno specifico trattamento di dati.

2. Introduzione

2.1 La presente Data protection policy descrive come l’Azienda gestisce i Dati personali dei propri clienti, potenziali clienti, fornitori, dipendenti, collaboratori, contatti commerciali e altri terzi.

2.2 La presente Data protection policy si applica a tutti i Dati personali che trattiamo, indipendentemente dal supporto su cui tali dati sono conservati e dal fatto che si riferiscano a dipendenti o collaboratori attuali o passati, clienti, potenziali clienti, fornitori, azionisti, utenti del sito web o qualsiasi altro Interessato.

2.3 La presente Data protection policy si applica a tutto il Personale dell’Azienda (“tu”, “vostro”). Devi leggere, comprendere e rispettare la presente Data protection policy quando tratti Dati personali per conto dell’Azienda e partecipare alla formazione prevista sui suoi contenuti. La protezione dei dati è responsabilità di tutti all’interno dell’Azienda e questa Data protection policy definisce cosa ci aspettiamo da te quando gestisci Dati personali, per consentire all’Azienda di rispettare la normativa applicabile. Il rispetto della presente Data protection policy è obbligatorio. Sono disponibili policy collegate e Privacy Guidelines per aiutarti a interpretare e applicare correttamente quanto previsto dalla presente Data protection policy. Devi rispettare anche tali policy collegate e Privacy Guidelines. Qualsiasi violazione della presente Data protection policy potrà comportare provvedimenti disciplinari.

2.4 Qualora tu abbia una responsabilità specifica in relazione al trattamento, ad esempio in materia di raccolta del Consenso, di segnalazione di una violazione dei dati personali o di svolgimento di un DPIA, come richiamato nella presente Data protection policy o in altre procedure interne, devi attenerti alle policy collegate e alle Privacy Guidelines.

2.5 La presente Data protection policy (insieme alle policy collegate e alle Privacy Guidelines) è un documento interno e non può essere condiviso con terzi, clienti o autorità di controllo senza la preventiva autorizzazione del DPO.

3. Ambito di applicazione della policy e quando chiedere supporto sulla conformità in materia di protezione dei dati

3.1 Riconosciamo che un trattamento corretto e lecito dei Dati personali contribuisce a mantenere la fiducia e la credibilità dell’organizzazione e favorisce il buon andamento delle attività. Proteggere la riservatezza e l’integrità dei Dati personali è una responsabilità fondamentale che prendiamo molto seriamente in ogni momento. L’Azienda è esposta al rischio di sanzioni fino a 17,5 milioni di sterline o al 4% del fatturato mondiale annuo complessivo, se superiore e in base alla gravità della violazione, per il mancato rispetto dell’UK GDPR, e fino a 20 milioni di euro o al 4% del fatturato mondiale annuo complessivo, se superiore e in base alla violazione, per il mancato rispetto dell’EU GDPR.

3.2 Tutti gli amministratori sono responsabili di assicurare che l’intero Personale dell’Azienda rispetti la presente Data protection policy e devono implementare prassi, processi, controlli e attività di formazione adeguati per garantire tale conformità.

3.3 Il DPO è responsabile della supervisione della presente Data protection policy e, se del caso, dell’elaborazione delle policy collegate e delle Privacy Guidelines. Il ruolo di DPO è ricoperto da un referente designato dalla Società.

3.4 Per qualsiasi domanda sul funzionamento della presente Data protection policy, sull’UK GDPR o sull’EU GDPR, o se ritieni che la presente Data protection policy non sia stata rispettata o applicata correttamente, devi contattare il DPO. In particolare, è necessario contattare sempre il DPO nelle seguenti circostanze:

(a) se non sei certo della base giuridica su cui fai affidamento per trattare i Dati personali (incluso l’eventuale legittimo interesse dell’Azienda) (cfr. paragrafo 5.1);

(b) se hai bisogno di basarti sul Consenso o di raccogliere il Consenso esplicito (cfr. paragrafo 6);

(c) se devi predisporre Informative privacy (cfr. paragrafo 7);

(d) se non sei certo del periodo di conservazione applicabile ai Dati personali trattati (cfr. paragrafo 11);

(e) se non sei sicuro delle misure di sicurezza o di altre misure da adottare per proteggere i Dati personali (cfr. paragrafo 12.1);

(f) se si è verificata una violazione dei dati personali (cfr. paragrafo 13);

(g) se non sei certo su quale base trasferire Dati personali al di fuori del Regno Unito (cfr. paragrafo 14);

(h) se hai bisogno di assistenza per gestire l’esercizio dei diritti da parte di un Interessato (cfr. paragrafo 15);

(i) ogni volta che stai per avviare una nuova attività di trattamento, o modificare in modo significativo un trattamento esistente, che probabilmente richiederà un DPIA (cfr. paragrafo 19), o se intendi utilizzare i Dati personali per finalità diverse da quelle per cui sono stati raccolti (cfr. paragrafo 8);

(j) se prevedi di svolgere attività che comportano trattamenti automatizzati, inclusa la profilazione, o decisioni interamente automatizzate (cfr. paragrafo 20);

(k) se hai bisogno di supporto per rispettare la normativa applicabile in materia di marketing diretto (cfr. paragrafo 21); oppure

(l) se hai bisogno di supporto nella predisposizione di contratti o in qualsiasi altra attività che comporti la condivisione di Dati personali con terzi (inclusi i nostri fornitori) (cfr. paragrafo 22).

4. Principi di protezione dei dati personali

4.1 Ci atteniamo ai principi in materia di trattamento dei Dati personali previsti dall’UK GDPR e dall’EU GDPR, che richiedono che i Dati personali siano:

(a) trattati in modo lecito, corretto e trasparente (liceità, correttezza e trasparenza);

(b) raccolti per finalità determinate, esplicite e legittime (limitazione della finalità);

(c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (minimizzazione dei dati);

(d) esatti e, se necessario, aggiornati (esattezza);

(e) conservati in una forma che consenta l’identificazione degli Interessati per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati (limitazione della conservazione);

(f) trattati in modo da garantire un’adeguata sicurezza dei Dati personali, mediante l’adozione di misure tecniche e organizzative idonee a proteggerli da trattamenti non autorizzati o illeciti e dalla perdita, distruzione o danno accidentali (sicurezza, integrità e riservatezza);

(g) non trasferiti verso un altro Paese in assenza di garanzie adeguate (limitazione del trasferimento); e

(h) messi a disposizione degli Interessati e tali da consentire loro di esercitare i propri diritti in relazione ai Dati personali (diritti degli Interessati).

5. Liceità, correttezza e trasparenza

5.1 I Dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’Interessato.

5.2 È possibile raccogliere, trattare e condividere Dati personali solo in modo corretto e lecito e per finalità specifiche. L’UK GDPR e l’EU GDPR limitano le nostre attività di trattamento dei Dati personali a determinate basi giuridiche. Queste limitazioni non hanno lo scopo di impedire il trattamento, ma di garantire che i Dati personali siano trattati in modo equo e senza incidere negativamente sugli Interessati.

5.3 L’UK GDPR e l’EU GDPR consentono il trattamento per finalità specifiche, tra cui, a titolo esemplificativo:

(a) l’Interessato ha prestato il proprio Consenso;

(b) il trattamento è necessario all’esecuzione di un contratto con l’Interessato;

(c) il trattamento è necessario per adempiere a obblighi legali a cui siamo soggetti;

(d) il trattamento è necessario per proteggere gli interessi vitali dell’Interessato;

(e) il trattamento è necessario per il perseguimento del legittimo interesse nostro (o di terzi), purché tali interessi non siano prevalenti rispetto agli interessi o ai diritti e alle libertà fondamentali degli Interessati. Le finalità per le quali trattiamo Dati personali sulla base del legittimo interesse devono essere indicate nelle relative Informative privacy.

6. Consenso

6.1 Il Titolare può trattare Dati personali solo sulla base di una o più delle basi giuridiche previste dall’UK GDPR, tra cui il Consenso.

6.2 L’Interessato presta il proprio Consenso al trattamento dei Dati personali quando manifesta in modo chiaro il proprio accordo al trattamento. Il Consenso richiede un’azione positiva; pertanto, il silenzio, le caselle preselezionate o l’inattività non sono sufficienti a dimostrare il Consenso. Se il Consenso è raccolto all’interno di un documento che tratta anche altre materie, la parte relativa al Consenso deve essere tenuta distinta dal resto.

6.3 L’Interessato deve poter revocare con facilità il proprio Consenso al trattamento dei Dati personali in qualsiasi momento e la revoca deve essere gestita e rispettata tempestivamente. Il Consenso potrebbe dover essere rinnovato qualora si intenda trattare i Dati personali per una finalità diversa e incompatibile rispetto a quella originariamente comunicata all’Interessato.

6.4 Quando trattiamo categorie particolari di Dati personali o Dati relativi a condanne penali, di regola cerchiamo di basarci su un’altra base giuridica diversa dal Consenso o dal Consenso esplicito, se possibile. Quando è necessario fare affidamento sul Consenso esplicito, è necessario fornire all’Interessato un’Informativa privacy idonea a raccogliere tale Consenso esplicito.

6.5 Il Consenso raccolto deve essere documentato e devono essere conservate le evidenze di tutti i Consensi in conformità con le policy collegate e le Privacy Guidelines, in modo che l’Azienda sia in grado di dimostrare il rispetto dei requisiti in materia di Consenso.

7. Trasparenza (informativa agli interessati)

7.1 L’UK GDPR e l’EU GDPR richiedono che il Titolare fornisca all’Interessato informazioni dettagliate e specifiche, a seconda che i Dati personali siano raccolti direttamente presso l’Interessato o da altre fonti. Tali informazioni devono essere comunicate tramite un’Informativa privacy adeguata, che deve essere concisa, trasparente, intellegibile, facilmente accessibile e redatta con un linguaggio chiaro e semplice, in modo che l’Interessato possa comprenderla agevolmente.

7.2 Ogni volta che raccogliamo Dati personali direttamente presso l’Interessato, anche per finalità di gestione del personale o del rapporto di lavoro, dobbiamo fornire all’Interessato tutte le informazioni richieste dall’UK GDPR e dall’EU GDPR, inclusa l’identità del Titolare e del DPO, nonché le modalità e le finalità del trattamento, della comunicazione, della protezione e della conservazione dei Dati personali, tramite un’Informativa privacy presentata nel momento in cui l’Interessato fornisce i Dati personali.

7.3 Quando i Dati personali sono raccolti indirettamente (ad esempio da terzi o da fonti pubblicamente disponibili), dobbiamo fornire all’Interessato tutte le informazioni richieste dall’UK GDPR il prima possibile dopo la raccolta o la ricezione dei dati. Dobbiamo inoltre verificare che i Dati personali siano stati raccolti dal terzo nel rispetto dell’UK GDPR e su una base giuridica che consenta il successivo trattamento da parte nostra.

7.4 Se stai raccogliendo Dati personali presso un Interessato, direttamente o indirettamente, devi fornire all’Interessato un’Informativa privacy in conformità con le policy collegate e le Privacy Guidelines.

8. Limitazione della finalità

8.1 I Dati personali devono essere raccolti per finalità determinate, esplicite e legittime. Non devono essere ulteriormente trattati in modo incompatibile con tali finalità.

8.2 Non è possibile utilizzare i Dati personali per finalità nuove, diverse o incompatibili rispetto a quelle comunicate al momento della raccolta, salvo che l’Interessato sia stato informato delle nuove finalità e, ove necessario, abbia prestato il proprio Consenso.

8.3 Se intendi utilizzare Dati personali per una finalità nuova o diversa rispetto a quella per cui sono stati raccolti, devi prima contattare il DPO per ricevere indicazioni su come procedere nel rispetto della normativa e della presente Data protection policy.

9. Minimizzazione dei dati

9.1 I Dati personali devono essere adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per le quali sono trattati.

9.2 I Dati personali possono essere trattati solo nello svolgimento delle attività aziendali. Non è consentito trattare Dati personali per finalità estranee all’attività dell’Azienda.

9.3 Devono essere raccolti solo i Dati personali necessari per svolgere le attività dell’Azienda; non devono essere raccolti dati eccessivi. Ogni Dato personale raccolto deve essere adeguato e pertinente rispetto alle finalità per cui è trattato.

9.4 Quando i Dati personali non sono più necessari per le finalità specificate, devono essere cancellati o anonimizzati in conformità alle linee guida interne dell’Azienda in materia di conservazione dei dati.

10. Esattezza

10.1 I Dati personali devono essere esatti e, se necessario, aggiornati. I Dati personali inesatti devono essere rettificati o cancellati senza ingiustificato ritardo.

10.2 L’Azienda si impegna a garantire che i Dati personali trattati siano accurati, completi, aggiornati e pertinenti rispetto alle finalità per cui sono stati raccolti. Devono essere adottate misure ragionevoli affinché i dati siano mantenuti aggiornati a intervalli regolari. Devono essere adottati provvedimenti ragionevoli per distruggere o rettificare Dati personali inesatti o obsoleti.

11. Limitazione della conservazione

11.1 I Dati personali non devono essere conservati in una forma che consenta l’identificazione degli Interessati per un periodo più lungo di quanto necessario rispetto alle finalità per le quali sono trattati.

11.2 L’Azienda adotta policy e procedure di conservazione dei dati per garantire che i Dati personali siano cancellati dopo un periodo appropriato, salvo che una norma di legge richieda che tali dati siano conservati per un periodo minimo.

11.3 I Dati personali non saranno conservati in una forma che consenta l’identificazione dell’Interessato per un periodo superiore a quello necessario al perseguimento delle legittime finalità aziendali per le quali sono stati originariamente raccolti, incluse le finalità connesse all’adempimento di obblighi legali, contabili o di rendicontazione.

11.4 Devono essere adottati tutti i ragionevoli accorgimenti per distruggere o cancellare dai nostri sistemi i Dati personali che non sono più necessari, in conformità ai programmi e alle policy interne dell’Azienda in materia di conservazione dei documenti. Ciò include, ove applicabile, la richiesta ai terzi di cancellare tali dati.

12. Sicurezza, integrità e riservatezza

12.1 I Dati personali devono essere protetti mediante misure tecniche e organizzative adeguate, contro il trattamento non autorizzato o illecito e contro la perdita, la distruzione o il danneggiamento accidentale.

12.2 L’Azienda sviluppa, implementa e mantiene misure di sicurezza adeguate alle proprie dimensioni, natura e ambito di attività, alle risorse disponibili, alla quantità di Dati personali detenuti o trattati per conto di terzi e ai rischi individuati (incluso, se del caso, l’uso della cifratura e della pseudonimizzazione). L’efficacia di tali misure viene valutata e testata periodicamente per garantire la sicurezza del trattamento dei Dati personali. Tutti coloro che operano per conto dell’Azienda sono responsabili della protezione dei Dati personali trattati e devono adottare misure di sicurezza ragionevoli e adeguate per prevenire trattamenti non autorizzati o illeciti e la perdita o il danneggiamento accidentale dei Dati personali. Particolare attenzione deve essere posta nella protezione delle categorie particolari di dati personali e dei Dati relativi a condanne penali, al fine di evitare perdite, accessi, usi o divulgazioni non autorizzati.

12.3 Devono essere rispettate tutte le procedure e le tecnologie adottate dall’Azienda per mantenere la sicurezza dei Dati personali dal momento della raccolta fino alla loro cancellazione. I Dati personali possono essere trasferiti a fornitori di servizi terzi solo se questi si impegnano a rispettare le policy e le procedure richieste e ad adottare misure di sicurezza adeguate.

12.4 La sicurezza dei dati deve essere garantita proteggendo la riservatezza, l’integrità e la disponibilità dei Dati personali, come di seguito definito:

(a) Riservatezza: solo le persone che hanno necessità di conoscere i Dati personali e sono autorizzate al loro utilizzo possono accedervi;

(b) Integrità: i Dati personali sono esatti e adeguati rispetto alle finalità per le quali sono trattati;

(c) Disponibilità: gli utenti autorizzati devono poter accedere ai Dati personali quando ne hanno bisogno per finalità legittime.

12.5 È obbligatorio rispettare, e non tentare di eludere, le misure amministrative, fisiche e tecniche adottate dall’Azienda in conformità con l’UK GDPR e con gli standard applicabili per proteggere i Dati personali.

13. Segnalazione di una violazione dei dati personali

13.1 L’UK GDPR e l’EU GDPR prevedono che il Titolare notifichi qualsiasi violazione dei Dati personali all’autorità di controllo competente e, in determinate circostanze, anche all’Interessato.

13.2 L’Azienda ha adottato procedure per gestire eventuali sospette violazioni di Dati personali e provvederà a informare l’Interessato o le autorità competenti quando ciò sia richiesto dalla normativa applicabile.

13.3 Se si viene a conoscenza o si sospetta che si sia verificata una violazione di Dati personali, non si deve tentare di indagare autonomamente sull’accaduto. È necessario contattare immediatamente il referente o il team designato come punto di contatto principale per le violazioni di Dati personali e conservare tutte le evidenze rilevanti relative al potenziale incidente.

14. Limitazione dei trasferimenti

14.1 L’UK GDPR e l’EU GDPR limitano i trasferimenti di Dati personali verso Paesi situati al di fuori del Regno Unito o dell’Unione europea, al fine di garantire che il livello di protezione assicurato agli Interessati non venga compromesso. Il trasferimento transfrontaliero di Dati personali si verifica quando tali dati, originariamente raccolti in un Paese, vengono trasmessi, inviati, visualizzati o resi accessibili in un altro Paese.

14.2 Devono essere rispettate le linee guida interne dell’Azienda in materia di trasferimenti transfrontalieri di Dati personali.

14.3 I Dati personali possono essere trasferiti in un’altra giurisdizione solo se ricorre una delle seguenti condizioni:

(a) il Regno Unito o l’Unione europea hanno adottato decisioni o regolamenti che riconoscono al Paese di destinazione un livello di protezione adeguato dei diritti e delle libertà degli Interessati;

(b) sono state adottate garanzie adeguate, quali norme vincolanti d’impresa (binding corporate rules), clausole contrattuali standard approvate per l’uso nel Regno Unito o nell’Unione europea (a seconda della normativa applicabile), un codice di condotta approvato o un meccanismo di certificazione; copia di tali strumenti può essere richiesta al DPO;

(c) l’Interessato ha prestato il proprio Consenso esplicito al trasferimento, dopo essere stato informato degli eventuali rischi; oppure

(d) il trasferimento è necessario per una delle altre ragioni previste dall’UK GDPR o dall’EU GDPR, tra cui:

(i) l’esecuzione di un contratto tra l’Azienda e l’Interessato;

(ii) motivi di interesse pubblico rilevante;

(iii) l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

(iv) la tutela degli interessi vitali dell’Interessato, qualora questi sia fisicamente o giuridicamente impossibilitato a prestare il Consenso; e

(v) in alcuni casi limitati, il perseguimento di un legittimo interesse dell’Azienda.

15. Diritti degli interessati e richieste

15.1 Gli Interessati godono di una serie di diritti in relazione al modo in cui trattiamo i loro Dati personali. Tra questi rientrano, a titolo esemplificativo, i diritti di:

(a) revocare in qualsiasi momento il Consenso al trattamento;

(b) ricevere determinate informazioni sulle attività di trattamento svolte dal Titolare;

(c) richiedere l’accesso ai propri Dati personali da noi detenuti (inclusa la possibilità di ottenerne una copia);

(d) opporsi all’utilizzo dei propri Dati personali per finalità di marketing diretto;

(e) chiederci la cancellazione dei Dati personali quando non siano più necessari rispetto alle finalità per le quali sono stati raccolti o trattati.

16. Responsabilizzazione

16.1 Il Titolare deve implementare misure tecniche e organizzative adeguate, in modo efficace, per garantire il rispetto dei principi in materia di protezione dei dati personali. Il Titolare è responsabile del rispetto di tali principi e deve essere in grado di dimostrarne la conformità.

16.2 L’Azienda deve disporre di risorse e controlli adeguati per garantire e documentare il rispetto dell’UK GDPR e dell’EU GDPR, tra cui:

(a) la nomina, ove richiesto, di un DPO adeguatamente qualificato e di una figura di vertice responsabile della privacy;

(b) l’applicazione del principio di Privacy by design nel trattamento dei Dati personali e la predisposizione di DPIA quando il trattamento presenta un rischio elevato per i diritti e le libertà degli Interessati;

(c) l’integrazione della protezione dei dati nei documenti interni, inclusa la presente Data protection policy, le policy collegate, le Privacy Guidelines e le Informative privacy;

(d) la formazione periodica del Personale dell’Azienda sull’UK GDPR, sull’EU GDPR, sulla presente Data protection policy, sulle policy collegate e sulle Privacy Guidelines, nonché su temi specifici in materia di protezione dei dati, quali i diritti degli Interessati, il Consenso, le basi giuridiche del trattamento, i DPIA e le violazioni di Dati personali. L’Azienda deve conservare traccia della partecipazione alla formazione da parte del Personale;

(e) la verifica periodica delle misure di protezione dei dati adottate e lo svolgimento di revisioni e audit per valutare la conformità, utilizzando i risultati delle verifiche per dimostrare i progressi compiuti nel migliorare la compliance.

17. Tenuta dei registri

17.1 L’UK GDPR e l’EU GDPR prevedono l’obbligo di mantenere registri completi e accurati di tutte le attività di trattamento effettuate.

17.2 Devono essere tenuti e aggiornati registri accurati che rappresentino correttamente le nostre attività di trattamento, inclusi i registri dei Consensi degli Interessati e le procedure utilizzate per ottenerli.

17.3 Tali registri devono includere, almeno:

(a) il nome e i dati di contatto del Titolare e del DPO; e

(b) una descrizione chiara di:

(i) le tipologie di Dati personali trattati;

(ii) le categorie di Interessati;

(iii) le attività di trattamento svolte;

(iv) le finalità del trattamento;

(v) i destinatari terzi dei Dati personali;

(vi) i luoghi di conservazione dei Dati personali;

(vii) gli eventuali trasferimenti di Dati personali;

(viii) i periodi di conservazione dei Dati personali; e

(ix) le misure di sicurezza adottate.

18. Formazione e audit

18.1 Tutti i sistemi e i processi sotto la propria responsabilità devono essere oggetto di verifica periodica per garantire il rispetto della presente Data protection policy e accertare che siano in atto adeguati meccanismi di governance e risorse per assicurare l’uso corretto e la protezione dei Dati personali.

19. Privacy by design e Data Protection Impact Assessment (DPIA)

19.1 Siamo tenuti ad applicare misure di Privacy by design nel trattamento dei Dati personali, adottando misure tecniche e organizzative adeguate (come la pseudonimizzazione), in modo efficace, per garantire il rispetto dei principi in materia di protezione dei dati.

19.2 Occorre valutare quali misure di Privacy by design possano essere applicate a tutti i programmi, sistemi o processi che comportano il trattamento di Dati personali, tenendo conto dei seguenti elementi:

(a) lo stato dell’arte;

(b) i costi di implementazione;

(c) la natura, l’ambito, il contesto e le finalità del trattamento;

(d) i rischi, in termini di probabilità e gravità, per i diritti e le libertà degli Interessati derivanti dal trattamento.

19.3 Il Titolare deve inoltre effettuare un DPIA in relazione ai trattamenti che presentano un rischio elevato.

19.4 Un DPIA deve essere svolto (e i risultati devono essere discussi con il DPO) quando si implementano importanti cambiamenti di sistema o di processo aziendale che comportano il trattamento di Dati personali, tra cui:

(a) l’utilizzo di nuove tecnologie (programmi, sistemi o processi, inclusi quelli basati su intelligenza artificiale) o la modifica di tecnologie esistenti;

(b) il ricorso a trattamenti automatizzati, inclusa la profilazione e le decisioni interamente automatizzate;

(c) il trattamento su larga scala di categorie particolari di Dati personali o di Dati relativi a condanne penali;

(d) il monitoraggio sistematico e su larga scala di aree accessibili al pubblico.

19.5 Un DPIA deve includere almeno:

(a) una descrizione del trattamento, delle sue finalità e, se del caso, dei legittimi interessi perseguiti dal Titolare;

(b) una valutazione della necessità e proporzionalità del trattamento rispetto alle finalità perseguite;

(c) una valutazione dei rischi per i diritti e le libertà degli Interessati; e

(d) le misure previste per mitigare tali rischi e dimostrare la conformità alla normativa.

21. Marketing diretto

21.1 Quando svolgiamo attività di marketing diretto nei confronti di clienti e potenziali clienti (ad esempio mediante invio di e‑mail promozionali o telefonate commerciali), siamo soggetti a specifiche regole e normative in materia di privacy.

21.2 In ambito business-to-consumer, in genere è richiesto il previo Consenso dell’Interessato per il marketing diretto elettronico (ad esempio tramite e‑mail, SMS o chiamate automatizzate). L’eccezione limitata nota come “soft opt-in” consente l’invio di comunicazioni di marketing via e‑mail o SMS senza un nuovo Consenso quando:

(a) i dati di contatto sono stati raccolti nel contesto della vendita di un prodotto o servizio a tale persona;

(b) vengono promossi prodotti o servizi analoghi a quelli già acquistati;

(c) è stata offerta alla persona, al momento della raccolta dei dati e in ogni successiva comunicazione, la possibilità di opporsi facilmente alla ricezione di ulteriori comunicazioni di marketing.

21.3 Il diritto di opporsi al marketing diretto deve essere esplicitamente portato all’attenzione dell’Interessato in modo chiaro e comprensibile, e chiaramente distinguibile dalle altre informazioni.

21.4 L’opposizione al marketing diretto da parte di un Interessato deve essere sempre rispettata tempestivamente. Se un cliente si oppone o si disiscrive dal marketing, i suoi dati devono essere inseriti in un elenco di soppressione nel più breve tempo possibile, conservando solo le informazioni strettamente necessarie per garantire il rispetto delle sue preferenze in futuro.

21.5 È obbligatorio attenersi alle linee guida interne dell’Azienda in materia di marketing diretto e, in caso di dubbi sul rispetto di tali linee guida o della normativa applicabile, è necessario consultare il proprio responsabile o il DPO.

22. Condivisione dei Dati personali

22.1 In linea generale, non è consentito condividere Dati personali con terzi, salvo che siano state adottate adeguate garanzie e siano in essere idonei accordi contrattuali.

22.2 È obbligatorio attenersi alle linee guida dell’Azienda in materia di condivisione dei dati con terzi.

22.3 I Dati personali da noi detenuti possono essere condivisi con un altro dipendente, agente o rappresentante del nostro gruppo (che comprende le nostre società controllate e la nostra società capogruppo ultima, nonché le rispettive controllate) solo se il destinatario ha un’esigenza lavorativa di conoscere tali informazioni e il trasferimento è conforme a tutte le eventuali restrizioni applicabili ai trasferimenti transfrontalieri.

22.4 I Dati personali da noi detenuti possono essere condivisi con terzi, ad esempio fornitori di servizi, solo se:

(a) tali soggetti hanno necessità di conoscere le informazioni per poter fornire i servizi contrattualmente previsti;

(b) la condivisione dei Dati personali è conforme all’Informativa privacy fornita all’Interessato e, ove richiesto, è stato ottenuto il Consenso dell’Interessato;

(c) il terzo si è impegnato a rispettare gli standard, le policy e le procedure richiesti in materia di sicurezza dei dati e ha adottato misure di sicurezza adeguate;

(d) il trasferimento è conforme a tutte le eventuali restrizioni applicabili ai trasferimenti transfrontalieri; e

(e) è stato sottoscritto un contratto scritto completo che contiene le clausole per i terzi approvate ai sensi dell’UK GDPR o dell’EU GDPR (a seconda di quale sia applicabile).

23. Modifiche alla presente Data protection policy

23.1 Manteniamo la presente Data protection policy sottoposta a revisioni periodiche. La presente versione è stata aggiornata per l’ultima volta il 16 gennaio 2026. Le versioni precedenti sono disponibili presso il DPO.

23.2 La presente Data protection policy non prevale sulle leggi e sui regolamenti nazionali applicabili in materia di protezione dei dati nei Paesi in cui l’Azienda opera. In alcuni Paesi possono essere previste varianti locali alla presente Data protection policy, disponibili su richiesta al DPO.