Politique de confidentialité des données

Ce document contient des informations sur le traitement des données par Tubitex et la politique générale appliquée au traitement des données.

1. Information et demande de consentement conformément à l’article 13 du règlement européen n° 2016/679 (GDPR).

Conformément à l’article 13 du RGPD, nous vous informons que les données contenues dans nos archives seront traitées par Tubitex S.p.A., le responsable du traitement des données, dont vous pouvez obtenir la liste actualisée auprès du responsable du traitement.
Les données seront traitées à l’aide d’instruments électroniques et/ou automatisés dans le but de gérer le rapport commercial et les obligations découlant de la réglementation fiscale. Les autorisations pour les finalités susmentionnées sont obligatoires, sans lesquelles il n’est pas possible d’effectuer les activités demandées. Vos données pourront être communiquées à des sujets fonctionnels à la poursuite des finalités décrites ci-dessus. La base juridique du traitement est liée à la gestion des obligations légales et à l’exécution de la relation commerciale. Vous pouvez à tout moment exercer les droits prévus par les articles 15 à 22 du GDPR, y compris l’annulation de vos données ou l’opposition à leur utilisation, en contactant : Tubitex S.p.A. dont le siège social est Viale del Lavoro 31, 36048 Barbarano Mossano (VI), par l’intermédiaire de la boîte aux lettres privacy@tubitex.com. Les données seront conservées dans nos archives pendant les périodes prévues par les obligations légales ou jusqu’à une demande légitime d’annulation. Les réclamations relatives au traitement peuvent être adressées à l’Autorité compétente : Garante sulla Protezione dei Dati personali, Piazza di Monte Citorio n. 121 00186 ROMA, Fax : (+39) 06.69677.3785, Standard téléphonique : (+39) 06.696771, E-mail : garante@gpdp.it.

2. Objectif de la politique

Tubitex S.p.A., ci-après dénommée « l’Entreprise », s’engage à respecter les lois et les règlements applicables en matière de protection des données personnelles dans les pays où elle opère. Cette procédure définit les principes fondamentaux selon lesquels la société traite les données personnelles des clients, fournisseurs, partenaires commerciaux, employés et autres personnes, et indique les responsabilités de ses départements et employés dans le traitement des données personnelles.

3. Références normatives

GDPR 2016/679 (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE) Lois ou règlements nationaux pertinents pour la mise en œuvre du règlement.

4. Définitions

Les définitions utilisées dans ce document sont tirées de l’article 4 du règlement européen : « données à caractère personnel » : toute information concernant une personne physique identifiée ou identifiable (« personne concernée ») ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, par référence notamment à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; données sensibles Données à caractère personnel qui, de par leur nature, sont particulièrement sensibles au regard des droits et libertés fondamentaux et méritent une protection spécifique parce que le contexte de leur traitement pourrait engendrer des risques importants pour les droits et libertés fondamentaux. Ces données à caractère personnel comprennent les données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, les données biométriques identifiant une personne physique de manière unique, les données relatives à la santé ou les données relatives à l’orientation sexuelle d’une personne. Responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel ; Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ; Traitement Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ; Anonymisation : Désidentification irréversible des données à caractère personnel de telle sorte que la personne ne puisse être identifiée par la technologie, dans un délai et à un coût raisonnables, soit par le responsable du traitement, soit par une autre personne. Les principes du traitement des données à caractère personnel ne s’appliquent pas aux données anonymes, qui ne sont pas considérées comme des données à caractère personnel. Pseudonymisation : le traitement de données à caractère personnel de telle sorte que ces données ne puissent plus être attribuées à une personne concernée spécifique sans l’utilisation d’informations supplémentaires, à condition que ces informations supplémentaires soient stockées séparément et soumises à des mesures techniques et organisationnelles garantissant que ces données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ; la pseudonymisation réduit, mais n’élimine pas entièrement, la possibilité de relier les données à caractère personnel à une personne concernée. Sachant que les données ayant fait l’objet d’un processus de pseudonymisation restent des données à caractère personnel, ce processus doit être conforme aux principes du traitement des données à caractère personnel.

Traitement transfrontalier : traitement de données à caractère personnel effectué dans le cadre des activités d’établissements situés dans plus d’un État membre d’un responsable du traitement ou d’un sous-traitant dans l’Union, lorsque le responsable du traitement ou le sous-traitant est établi dans plus d’un État membre ; ou traitement de données à caractère personnel effectué dans le cadre des activités d’un seul établissement d’un responsable du traitement ou d’un sous-traitant dans l’Union, mais qui affecte ou est susceptible d’affecter de manière substantielle des personnes concernées dans plus d’un État membre ; autorité de contrôle l’autorité publique indépendante établie par un État membre conformément à l’article 51 ; autorité de contrôle primaire : l’autorité de contrôle qui a la responsabilité première de traiter une activité transfrontalière de traitement de données, par exemple lorsqu’une personne concernée dépose une plainte concernant le traitement de ses données à caractère personnel ; elle est chargée, entre autres, de recevoir les notifications de violation de données, d’être informée des activités de traitement à risque, et aura pleine autorité en ce qui concerne ses obligations d’assurer la conformité avec les dispositions du GDPR ; Chaque « autorité de contrôle locale » maintiendra son activité sur son territoire et contrôlera tout traitement local de données qui affecte les personnes concernées ou qui est effectué par un responsable du traitement ou un sous-traitant de l’UE ou d’un pays tiers lorsque leur traitement vise des personnes résidant sur son territoire. Leurs tâches et pouvoirs comprennent la réalisation d’enquêtes et l’application de mesures et de sanctions administratives, la promotion au niveau général de la sensibilisation aux risques, aux règles, à la sécurité et aux droits relatifs au traitement des données à caractère personnel, ainsi que l’accès à tous les locaux du responsable du traitement et du sous-traitant, y compris tous les outils et moyens utilisés pour le traitement des données. Établissement principal : dans le cas d’un responsable du traitement ayant des établissements dans plusieurs États membres, le lieu de son administration centrale dans l’Union, sauf lorsque les décisions relatives aux finalités et aux moyens du traitement des données à caractère personnel sont prises dans un autre établissement du responsable du traitement dans l’Union et que ce dernier établissement a le pouvoir d’ordonner la mise en œuvre de ces décisions, auquel cas l’établissement qui a pris ces décisions est considéré comme l’établissement principal. en ce qui concerne un responsable du traitement ayant des établissements dans plus d’un État membre, le lieu où se trouve son administration centrale dans l’Union ou, si le responsable du traitement n’a pas d’administration centrale dans l’Union, l’établissement du responsable du traitement dans l’Union où les principales activités de traitement sont effectuées dans le cadre des activités d’un établissement du responsable du traitement, dans la mesure où ce dernier est soumis à des obligations spécifiques en vertu du présent règlement ; Groupe d’entreprises : un groupe composé d’une entreprise mère et des entreprises qu’elle contrôle ;

5. Principes de base du traitement des données à caractère personnel

Les principes de protection des données définissent les responsabilités fondamentales des organisations qui traitent des données à caractère personnel. L’article 5, paragraphe 2, du règlement stipule que « le responsable du traitement est responsable du respect de ces principes et doit en apporter la preuve ».

5.1. Legalità, correttezza e trasparenza

Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente par rapport à la personne concernée.

5.2. Limitazione dello scopo

Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement de manière incompatible avec ces finalités.

5.3. Minimizzazione dei dati

Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Si possible, afin de réduire les risques pour les personnes concernées, l’entreprise doit appliquer l’anonymisation ou la pseudonymisation aux données personnelles.

5.4. Precisione

Les données à caractère personnel doivent être exactes et, si nécessaire, mises à jour ; des mesures raisonnables doivent être prises pour que les données à caractère personnel inexactes, au regard des finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées en temps utile.

5.5. Limitazione del periodo di conservazione

Les données à caractère personnel doivent être conservées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées.

5.6. Integrità e confidenzialità

Compte tenu de l’état de la technologie et des autres mesures de sécurité disponibles, des coûts de mise en œuvre et de la probabilité et de la gravité des risques pour les données à caractère personnel, la société utilise des mesures techniques ou organisationnelles appropriées pour traiter les données à caractère personnel de manière à assurer une sécurité adéquate des données à caractère personnel, y compris la protection contre la destruction, la perte, l’altération ou la divulgation accidentelle ou illicite, ou contre l’accès non autorisé.

5.7. Responsabilità

Il incombe aux responsables du traitement de démontrer qu’ils respectent les principes décrits ci-dessus.

6. Intégrer la protection des données dans les activités de l’entreprise

Pour démontrer qu’elle respecte les principes de protection des données, l’organisation doit intégrer la protection des données dans ses activités commerciales.

6.1. Informativa agli interessati

(Voir la section « Conseils pour une manipulation correcte »)

6.2. Scelta e consenso dell’interessato

(Voir la section « Conseils pour une manipulation correcte »)

6.3. Raccolta

L’entreprise doit s’efforcer de collecter le moins de données personnelles possible. Si des données à caractère personnel sont collectées par un tiers, le responsable du traitement doit s’assurer que les données à caractère personnel sont collectées conformément à la loi.

6.4. Utilizzo, conservazione e smaltimento

Les finalités, les méthodes, les limites de stockage et la période de conservation des données à caractère personnel doivent être conformes aux informations contenues dans l’avis général sur la protection des données. L’entreprise doit préserver l’exactitude, l’intégrité, la confidentialité et la pertinence des données à caractère personnel en fonction de la finalité du traitement. Des mécanismes de sécurité appropriés doivent être utilisés pour protéger les données à caractère personnel contre le vol ou l’utilisation abusive et prévenir les violations de données à caractère personnel. Le contrôleur est responsable du respect des exigences énumérées dans cette section.

6.5. Divulgazione a terzi

Lorsque l’entreprise fait appel à un fournisseur ou à un partenaire commercial tiers pour traiter des données à caractère personnel en son nom, le responsable de la protection de la vie privée doit s’assurer que ce sous-traitant prend des mesures de sécurité pour protéger les données à caractère personnel en fonction des risques associés. À cette fin, un questionnaire de conformité doit être utilisé. L’entreprise doit exiger contractuellement du fournisseur ou du partenaire commercial qu’il fournisse le même niveau de protection des données. Le fournisseur ou le partenaire commercial ne doit traiter les données à caractère personnel que pour remplir ses obligations contractuelles à l’égard de l’entreprise ou sur les instructions de l’entreprise, et non à d’autres fins. Lorsque l’entreprise traite des données à caractère personnel conjointement avec un tiers indépendant, elle doit spécifier explicitement les responsabilités respectives et le tiers dans le contrat correspondant ou dans tout autre document juridiquement contraignant, tel que l’accord de traitement des données du fournisseur.

6.6. Trasferimento transfrontaliero dei dati personali

Avant de transférer des données à caractère personnel depuis l’Espace économique européen (EEE), des garanties appropriées doivent être mises en œuvre, notamment la signature d’un accord de transfert de données, comme l’exige l’Union européenne, et, si nécessaire, l’autorisation de l’autorité chargée de la protection des données doit être obtenue. L’entité qui reçoit les données à caractère personnel doit respecter les principes de traitement des données à caractère personnel énoncés dans la procédure de transfert transfrontalier de données.

6.7. Diritti di accesso degli interessati

Lorsqu’elle agit en tant que responsable du traitement des données, l’entreprise est tenue de fournir aux personnes concernées un mécanisme d’accès raisonnable leur permettant d’accéder à leurs données à caractère personnel et de les mettre à jour, de les corriger, de les supprimer ou de les transmettre, le cas échéant ou si la loi l’exige. Le mécanisme d’accès sera détaillé dans la procédure de demande d’accès de la personne concernée.

6.8. Portabilità dei dati

Les personnes concernées ont le droit de recevoir, sur demande, une copie des données qu’elles ont fournies dans un format structuré et de transmettre gratuitement ces données à un autre responsable du traitement. Le responsable du traitement est chargé de veiller à ce que ces demandes soient traitées dans un délai d’un mois, qu’elles ne soient pas excessives et qu’elles n’affectent pas les droits d’autres personnes en matière de données à caractère personnel.

6.9. Diritto all’oblio

Sur demande, la personne concernée a le droit d’obtenir de l’entreprise l’effacement de ses données à caractère personnel. Lorsque l’entreprise agit en tant que responsable du traitement, le responsable de la protection de la vie privée doit prendre les mesures nécessaires (y compris des mesures techniques) pour informer les tiers qui utilisent ou traitent ces données de se conformer à la demande.

7. Lignes directrices sur le traitement approprié

Les données à caractère personnel ne peuvent être traitées qu’avec l’autorisation explicite du responsable du traitement. L’entreprise doit décider si elle doit effectuer une analyse d’impact de la protection des données pour chaque activité de traitement des données, conformément aux lignes directrices relatives à l’analyse d’impact de la protection des données.

7.1. Informativa agli interessati

Lors de la collecte ou avant la collecte de données à caractère personnel pour tout type d’activité de traitement, y compris, mais sans s’y limiter, la vente de produits, de services ou d’activités de marketing, le responsable du traitement est tenu d’informer de manière adéquate les personnes concernées des éléments suivants : le type de données à caractère personnel collectées, les finalités du traitement, les méthodes de traitement, les droits des personnes concernées par rapport à leurs données à caractère personnel, la période de conservation, les éventuels transferts internationaux de données, le partage éventuel de données avec des tiers et les mesures de sécurité prises par la société pour protéger les données à caractère personnel. Ces informations sont fournies par le biais d’un avis général de protection des données. Si l’entreprise a plusieurs activités de traitement des données, il faudra élaborer des déclarations différentes en fonction de l’activité de traitement et des catégories de données à caractère personnel collectées ; par exemple, une déclaration peut être rédigée pour les envois par courrier électronique et une autre pour les envois par courrier ordinaire. Lorsque des données à caractère personnel sont partagées avec des tiers, le responsable du traitement doit s’assurer que les personnes concernées en ont été informées par le biais d’un avis général de protection des données. Lorsque des données à caractère personnel sont transférées vers un pays tiers dans le cadre de la politique de transfert transfrontalier de données, l’avis général de protection des données doit le préciser, en indiquant clairement où et à quelle entité les données à caractère personnel sont transférées. Lorsque des données à caractère personnel sensibles sont collectées, le responsable de la protection de la vie privée doit veiller à ce que l’avis général de protection des données précise expressément la finalité de la collecte de ces données sensibles.

7.2. Ottenimento dei consensi

Lorsque le traitement de données à caractère personnel est fondé sur le consentement de la personne concernée, ou sur d’autres motifs légitimes, le responsable du traitement est tenu de conserver une trace de ce consentement. Le responsable du traitement doit présenter aux personnes concernées différentes options pour donner leur consentement et doit les informer et s’assurer que leur consentement (lorsqu’il est utilisé comme base légale du traitement) peut être retiré à tout moment. Lorsqu’il est demandé de corriger, modifier ou détruire des données à caractère personnel, la personne de contact pour la protection de la vie privée doit veiller à ce que ces demandes soient traitées dans un délai raisonnable. La personne de contact pour la protection de la vie privée doit également enregistrer les demandes et tenir un registre approprié. Les données à caractère personnel ne doivent être traitées qu’aux fins pour lesquelles elles ont été collectées à l’origine. Si la société souhaite traiter des données à caractère personnel collectées à d’autres fins, elle doit demander le consentement des personnes concernées sous une forme écrite claire et concise. Cette demande doit mentionner la finalité initiale pour laquelle les données ont été collectées, ainsi que toute finalité nouvelle ou supplémentaire. La demande doit également indiquer la raison du changement de finalité. La personne de contact pour la protection de la vie privée est responsable du respect des règles énoncées dans ce paragraphe. Aujourd’hui et à l’avenir, la personne de contact pour la protection de la vie privée doit s’assurer que les méthodes de collecte sont conformes à la loi, aux bonnes pratiques et aux normes industrielles pertinentes. La personne de contact pour la protection de la vie privée est responsable de la création et de la tenue d’un registre des avis généraux de protection des données.

8. Réagir aux violations de données

Lorsque l’entreprise a connaissance d’une violation présumée ou avérée de données à caractère personnel, le responsable de la protection de la vie privée doit mener une enquête interne et prendre les mesures appropriées en temps utile, conformément à la procédure relative aux violations de données. En cas de menace pour les droits et libertés des personnes concernées, l’entreprise doit informer les autorités chargées de la protection des données sans délai et, si possible, dans les 72 heures.