Green Link

Una gestione rifiuti Green, Smart & Benefit

Home Privacy Policy – Regolamento aziendale GDPR

Regolamento Aziendale 
per la tutela della privacy ai sensi del D.Lgs n.196 del 30.06.2003 e del Regolamento UE n.679/2016 (GDPR)

L’indirizzo del nostro sito è: https://www.greenlink.it.

Lo scopo del presente documento è definire le procedure per adempiere ai dettami del D.Lgs. n. 196 del 30.06.2003 (codice per la protezione dei dati personali – c.d. Codice della Privacy) e del Regolamento UE n. 679 del 2016 (General Data Protection Regulation – c.d. GDPR), in materia di privacy aziendale, ovvero individuare le disposizioni operative interne volte a disciplinare il trattamento dei dati personali effettuato dalla Società. In essa sono quindi disciplinati i ruoli e le responsabilità nonché gli adempimenti da seguire in materia di protezione dei dati personali anche con riferimento alle decisioni e ai provvedimenti emessi dall’Autorità Garante per la protezione dei dati personali.

i fini del presente documento si applicano le seguenti definizioni:


- dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;


– trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

– limitazione di trattamento: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;


- profilazione: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;


– pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;


archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;


titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;


responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
- destinatario: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.
Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

–  terzo: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile; 
-  consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;


-  violazione dei dati personali: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati; 


–  dati genetici: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione; 
-  dati biometrici: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici; 


–  dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute; 


–  stabilimento principale:
a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;
b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento; 


–  rappresentante: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;


-  impresa: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica; 


–  gruppo imprenditoriale: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;

–  norme vincolanti d’impresa: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune;


-  autorità di controllo: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51 del GDPR;


-  autorità di controllo interessata: un’autorità di controllo interessata dal trattamento di dati personali in quanto: a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo; b) gli interessati che risiedono nello Stato membro dell’autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure c) un reclamo è stato proposto a tale autorità di controllo;

–  trattamento transfrontaliero: a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;


-  obiezione pertinente e motivata: un’obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all’interno dell’Unione;


-  servizio della società dell’informazione: il servizio definito all’articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio; 


–  organizzazione internazionale: un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

Principi, ambito di applicazione e destinatari del regolamento

Il presente documento si applica a tutti i trattamenti dei dati personali, automatizzati o svolti manualmente, effettuati dalla Green Link S.r.l.- Società Benefit in qualità di titolare.
Il presente regolamento interno è operativo dal 1 aprile 2019 tramite deliberazione del Consiglio di Amministrazione del 27.03.2019.
La Società si impegna a garantire e dimostrare che il trattamento dei dati avviene in maniera conforme a quanto previsto dalla normativa e secondo principi di liceità di trattamento.

Le presenti indicazioni sono valide anche, per tutti quei trattamenti di cui Green Link S.r.l.- Società Benefit è nominata responsabile esterno da altri titolari, salvo la presenza di misure più restrittive in materia di protezione dei dati personali. 
La stessa garanzia di protezione e di adozione di adeguate misure di sicurezza è richiesta altresì a quei soggetti terzi ai quali la società ha affidato l’incarico della gestione di alcuni trattamenti. A tal fine il regolamento sul trattamento dei dati è disponibile presso i responsabili del trattamento nominati.
Il regolamento si applica ai dipendenti di Green Link S.r.l.- Società Benefit e ai collaboratori esterni a cui vengono assegnate particolari funzioni (RSPP, medico competente, responsabile dell’organismo di vigilanza, consulente per l’elaborazione delle paghe, ecc.).

Condizioni per il consenso

  • Le condizioni per il consenso che devono sussistere sono:
    qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali;
  • se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro;
  • l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui 
è accordato;
  • nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.

Oggetto e modalità di applicazione

Oggetto del presente regolamento è il trattamento dei dati personali effettuato da Green Link S.r.l.- Società Benefit.

Sono esclusi dall’ambito di applicazione i trattamenti dei dati personali effettuati dai lavoratori per fini esclusivamente personali e nei casi in cui i dati non sono destinati ad una comunicazione sistematica o alla diffusione anche se utilizzati ai fini di esigenze di lavoro (ad esempio, rubrica personale su telefono fisso o mobile ed utilizzata solo ed esclusivamente dall’utente)

Titolare del trattamento

Conformemente a quanto previsto dalla normativa, è titolare del trattamento la Green Link S.r.l.- Società Benefit, nella persona del suo legale rappresentante, e si impegna a:

  • adeguare il proprio assetto organizzativo nel rispetto della normativa vigente in materia di protezione dei dati;
  • adottare le modalità operative connesse con la gestione degli adempimenti ed il trattamento dei dati; 

  • assumere le decisioni in ordine alle finalità, alle modalità del trattamento dei dati e agli strumenti utilizzati, ivi compreso il profilo della sicurezza, sia per i trattamenti svolti all’interno che all’esterno della propria struttura; 

  • individuare e designare i referenti/incaricati interni e responsabili esterni del trattamento dei dati, impartendo loro le relative istruzioni; 
-  vigilare sulla puntuale osservanza delle disposizioni e istruzioni impartite, anche nei confronti degli incaricati interni e dei responsabili del trattamento (esterni). 
Essa, inoltre, si impegna a garantire l’esercizio dei diritti degli interessati e a tal scopo, ha implementato apposite procedure al fine di informare gli interessati dell’esistenza dei seguenti diritti:
  • diritto di ottenere la conferma dell’esistenza o meno di dati personali che la riguardano e di averne accesso; c.d. diritto all’accesso. In particolare l’interessato ha diritto di conoscere l’origine dei dati personali; le finalità e modalità del trattamento; la logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; gli estremi identificativi del titolare, dei responsabili e del rappresentante designato; l’elenco dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati; 

  • diritto di ottenere l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati; c.d. diritto alla rettifica:
  • 
diritto di ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c.d. diritto alla cancellazione;
  • diritto di limitare od opporsi, per motivi legittimi, al trattamento, rivolgendosi al personale espressamente incaricato; c.d. diritto di opposizione. 
Al fine di esercitare i diritti sopra descritti, la Società si impegna a rispondere senza ritardo alle richieste presentate da parte dell’interessato ai Responsabili o agli Incaricati nominati, in forma orale o attraverso ulteriori idonei strumenti.

Responsabile della protezione dei dati o Data Protection Officer (DPO)

A mente del Regolamento (art. 37), la nomina del DPO è obbligatoria:
a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali; oppure
b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Si tenga presente che la designazione obbligatoria di un DPO può essere prevista anche in casi ulteriori in base alla legge nazionale o al diritto comunitario. Inoltre, anche ove il regolamento non imponga in modo specifico la designazione di un DPO, può risultare utile procedere a tale designazione su base volontaria.

Incaricati/referenti interni del trattamento

L’incaricato/referente interno del trattamento dei dati è la persona nominata dal titolare al fine di garantire l’attuazione delle misure di sicurezza previste in materia di trattamento dei dati.
 La persona preposta allo svolgimento della funzione viene individuata in quanto dotata di adeguate garanzie.

Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare allo stato non ha nominato alcun responsabile interno, ma esclusivamente responsabili esterni. 


Responsabile esterno del trattamento

Il responsabile esterno del trattamento dei dati è la persona nominata dal titolare al fine di garantire l’attuazione delle misure di sicurezza previste in materia di trattamento dei dati.
Il responsabile esterno dovrà attuare le medesime azioni del referente/incaricato interno di cui al punto 6.3.

Amministratore di sistema

La figura professionale che, in ambito informatico, mantiene, configura e gestisce reti e apparati di telecomunicazione di sicurezza è nominata amministratore di sistema.
L’attribuzione delle funzioni di amministratore di sistema avviene previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale fornisce idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
La nomina ad amministratore di sistema deve essere individuale, formalizzata, con l’indicazione analitica degli ambiti di applicazione di operatività consentiti in base al profilo di autorizzazione assegnato.


Impegno alla riservatezza

La Società, in qualità di titolare del trattamento dei dati, si impegna a garantire la riservatezza, conformemente alle procedure interne e la confidenzialità delle informazioni e dei dati degli interessati acquisiti nel corso della propria attività. 
A tal scopo, i dati e le informazioni raccolte durante lo svolgimento dell’incarico sono trattati per:

–  finalità strettamente connesse alla propria attività lavorativa;
–  finalità connesse agli obblighi previsti da leggi, regolamenti e normativa comunitaria nonché da 
disposizioni impartite da autorità a ciò legittimate dalla legge.


In relazione alle indicate finalità il trattamento dei dati avverrà in modo da garantire la sicurezza e la riservatezza e potrà essere effettuato attraverso strumenti manuali, informatici e telematici atti a memorizzare, gestire e trasmettere i dati stessi nel rispetto delle misure di sicurezza previste dal D.Lgs 196/2003 e dal GDPR.

Tutti gli amministratori e dipendenti di Green Link S.r.l.- Società Benefit sono tenuti al segreto previsto dall’art. 2405 del codice civile.
Tutti i dati e le informazioni acquisite, in aggiunta alle comunicazioni previste nei confronti di soggetti e organi che hanno responsabilità di direzione, supervisione e controllo potranno essere comunicati esclusivamente a: 


  • autorità di vigilanza, italiane o estere, nei casi e con le limitazioni previste dalla legge;
  • autorità amministrativa, giudiziaria e fiscale, nei casi e con le limitazioni previsti dalla legge; 

  • fornitori di servizi e/o consulenti tecnico-informatici, anche in paesi terzi non comunitari, unicamente per esigenze tecniche connesse all’utilizzo da parte del titolare di sistemi e/o applicazioni strumentali nell’esecuzione degli obblighi contrattuali assunti nell’ambito dell’incarico in oggetto e dei correlati obblighi di legge, fermo restando che il ricorso a tali soggetti avverrà previo impegno da parte loro a rispettare tutte le prescrizioni in materia di sicurezza dei dati previste dal D.Lgs 196/2003 e dal GDPR. 


La Società si impegna a garantire gli standard indicati nelle disposizioni in oggetto nei confronti dei terzi con la medesima diligenza e livello di protezione utilizzati per la sicurezza e la riservatezza dei propri dati. 


Registro delle attività di trattamento dei dati personali

In attuazione del presente regolamento il titolare del trattamento ha deciso di adottare un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:
a. il nome e i dati di contatto del titolare del trattamento e del responsabile della protezione dati 
(DPO); 
b. le finalità del trattamento; 

c. una descrizione delle categorie di interessati e delle categorie di dati personali; 

d. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari 
di paesi terzi od organizzazioni internazionali;
e. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 del GDPR, la documentazione delle garanzie adeguate;
f. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 del GDPR.

Ogni referente/incaricato interno e responsabile esterno del trattamento tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento. I registri sono tenuti in forma scritta, anche in formato elettronico.
Su richiesta, il titolare del trattamento o il responsabile esterno del trattamento mettono il registro a disposizione dell’autorità di controllo.

Dati dei dipendenti dei collaboratori e dei componenti degli organi aziendali

Green Link S.r.l.- Società Benefit al fine di adempiere ai propri obblighi di gestione del personale, raccoglie i dati dei componenti degli organi aziendali e dei propri dipendenti, informandoli dei propri diritti.
In particolare, il trattamento dei dati delle suddette categorie è previsto per finalità amministrativo – contabili.

Dati dei fornitori

Green Link S.r.l.- Società Benefit per mezzo dei propri referenti o autorizzati, può raccogliere i dati personali dei fornitori, al fine di perfezionare accordi contrattuali.
I dati personali dei fornitori potranno essere trattati nell’ambito della normale attività di Green Link S.r.l.- Società Benefit per fornire i servizi richiesti e gestire i rapporti con i fornitori; e adempiere ad obblighi previsti da un regolamento o dalla normativa comunitaria nonché per osservare disposizioni impartite dalle pubbliche autorità ed organi di vigilanza e controllo a ciò legittimati dalla legge. In tal caso il conferimento dei dati personali è necessario e obbligatorio e per il trattamento di tali dati non è richiesto il consenso; 


Dati dei terzi

Durante lo svolgimento dell’attività, Green Link S.r.l.- Società Benefit può venire a conoscenza di dati che riguardano terzi, ovvero fornitori, collaboratori ecc.
In tali casi Green Link S.r.l.- Società Benefit si impegna a sottoscrivere apposita clausola o accordo al fine di garantire la corretta applicazione delle presenti indicazioni anche nei rapporti con i terzi.

Misure di sicurezza e relativi controlli

La gestione della sicurezza: ruoli e responsabilità

La responsabilità dell’attività di impostazione e coordinamento dei sistemi che garantiscono la sicurezza e la tutela di tutti i dati oggetto di trattamento aziendale sia da un punto di vista logico che fisico, la loro gestione diretta o tramite fornitori, sono in carico all’amministratore di sistema.


Misure per garantire l’integrità a protezione dell’accesso ai dati

Sono le misure di sicurezza volte a minimizzare i rischi che le informazioni siano rivelate o modificate senza autorizzazione, ovvero perse o alterate accidentalmente o intenzionalmente.
II sistema in atto prevede un sistema di autenticazione, basato su codice identificativo e password individuale segreta, per assicurare che la persona che accede al sistema sia identificata con certezza, nonché un sistema di autorizzazione, che prevede che a ciascuna persona che accede al sistema sia assegnato un profilo di accesso che definisce i dati ai quali l’utente è autorizzato ad accedere e, ove applicabile, le operazioni che per ciascun dato o gruppo di dati è autorizzato ad eseguire (consultazione, inserimento, modifica, cancellazione).
Nessun dipendente di Green Link S.r.l.- Società Benefit è amministratore dei sistemi informatici forniti in dotazione, eccetto il DPO e l’amministratore di sistema.

Sicurezza della postazione di lavoro

Lo scopo di questa politica è di stabilire i requisiti minimi per prevenire eventi di data breach e responsabilizzare i dipendenti aziendali. 

Misure per garantire la disponibilità dei dati

Sono le attività volte a ridurre i rischi di indisponibilità (parziale o totale) nell’accesso al sistema informatico di Green Link S.r.l.- Società Benefit.

Dismissione dei dispositivi utilizzati dagli utenti di Green Link S.r.l.- Società Benefit.

Tutti i dispositivi di Green Link S.r.l.- Società Benefit, eventualmente rilasciati in dotazione ai dipendenti, vengono formattati a seguito delle dimissioni degli stessi al fine di rimuovere tutti i dati personali contenuti al loro interno.
Tutti i dipendenti di Green Link S.r.l.- Società Benefit sono, quindi, tenuti ad assicurarsi che venga correttamente eseguito il passaggio di consegne tra i colleghi del team affinché venga assicurata la continuità dei servizi erogati. I sistemi informatici dismessi quali: pc, tablet e telefoni cellulari non potranno essere ceduti anche gratuitamente a terzi ma dovranno essere opportunamente distrutti per evitare il recupero totale o parziale delle informazioni in questi contenute.

Livelli di sicurezza

Il DPO per valutare la sicurezza del sistema informatico in azienda opererà, coadiuvato dall’amministrazione di sistema.

Informazione e formazione dei destinatari

L’obiettivo di garantire un corretto trattamento dei dati, conforme ai requisiti previsti dalla normativa (1), viene raggiunto dalla Società anche e soprattutto grazie alla particolare attenzione risposta nei confronti della formazione del proprio personale. 
A tal proposito, fin dal momento di ingresso di una nuova risorsa, Green Link S.r.l.- Società Benefit presenta a quest’ultima il regolamento aziendale sul trattamento dei dati, nonché le comunica eventuali aggiornamenti con e-mail inviata a tutti i dipendenti. Questo regolamento viene inviato via email a tutti i dipendenti e affisso nella bacheca aziendale.

Notifica di una violazione dei dati personali all’autorità di controllo (Data Breach)

In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 del GDPR senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

  • La violazione sarà comunicata tramite moduli all’interessato e all’autorità di controllo; 
  • il DPO terrà un registro dei data breach; 

  • il DPO, il referente/incaricato interno o il responsabile esterno del trattamento informa il titolare del 
trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.

Disposizioni interne per il corretto utilizzo degli strumenti informatici e telematici

La Società, con il seguente regolamento, si è dotata di procedure specifiche per l’uso dei sistemi informatici nonché l’accesso ad internet. Tali procedure, che vengono diffuse tra i dipendenti della Società con il seguente regolamento interno, hanno lo scopo di ridurre i rischi di natura patrimoniale, di danneggiamento di immagine della Società nonché di incorrere in responsabilità penali conseguenti alla violazione di specifiche disposizioni di legge.

Le regole che disciplinano l’utilizzo delle risorse informatiche e telematiche si ispirano al principio della diligenza e correttezza, principi che normalmente si adottano nell’ambito dei rapporti di lavoro.
Per quanto non espressamente indicato, si rimanda alla normativa specifica in materia.

La mancata adozione delle misure indicate in questo regolamento da parte dei dipendenti espone gli stessi a provvedimenti disciplinari e risarcitori previsti dal vigente CCNL, nonché a tutte le azioni civili e penali consentite.

Utilizzo del personal computer e internet

Il Personal Computer affidato/utilizzato dall’utente è uno strumento di lavoro, pertanto ogni utilizzo non inerente all’attività lavorativa è vietato perché può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza. È quindi assolutamente proibita la navigazione in Internet per motivi personali e diversi da quelli strettamente legati all’attività lavorativa.
Il personal computer deve essere custodito con cura evitando ogni possibile forma di danneggiamento.

L’amministratore di sistema, sotto indicazione del DPO, ha la facoltà di collegarsi, in presenza dell’utente, alle singole postazioni PC al fine di garantire l’assistenza tecnica e la normale attività operativa nonché la massima sicurezza contro virus, spyware, malware, etc.


Salvo autorizzazione del DPO, non è consentito all’utente modificare le caratteristiche impostate sul proprio PC né procedere ad installare dispositivi di memorizzazione, comunicazione o altro (come ad esempio masterizzatori, modem ecc.).

Gestione delle credenziali di accesso

Le credenziali di autenticazione per l’accesso alla rete vengono assegnate dall’amministratore di sistema previa formale richiesta del responsabile d’area nell’ambito del quale verrà inserito ed andrà ad operare il nuovo utente.
Nel caso di tirocinanti, stagisti e collaboratori esterni, la preventiva richiesta, se necessaria, verrà inoltrata direttamente dal responsabile dell’unità operativa con il quale il collaboratore si coordina nell’espletamento del proprio incarico.

Il soggetto preposto alla custodia delle credenziali di autenticazione è l’amministratore di sistema.