Conformità GDPR
Il nostro programma di conformità al Regolamento generale sulla protezione dei dati per le operazioni Corp-Merch.IT Italy.
Pilastri del programma
Il nostro programma GDPR si fonda su cinque pilastri: (1) Registro dei trattamenti (RoPA) ai sensi dell'art. 30, revisionato ogni 6 mesi. (2) Valutazioni d'impatto (DPIA) per trattamenti ad alto rischio, inclusi nuovi portali di redemption. (3) Un Responsabile della protezione dei dati (DPO) raggiungibile a [email protected], indipendente dalle linee di prodotto. (4) Procedura di risposta a incidenti e violazioni con SLA di notifica a 72 ore. (5) Formazione annuale per tutto il personale a contatto con clienti e di ingegneria.
Diritti degli interessati
Rispondiamo a richieste di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione entro 30 giorni, prorogabili di 60 in casi complessi come consentito dall'art. 12, par. 3. L'identità è verificata con controllo secondario (inviamo email all'indirizzo a fascicolo) — non inviamo dati personali sulla base di una sola email non verificata. Gratuita per la prima richiesta annuale; richieste manifestamente infondate o eccessive possono prevedere un onere ragionevole.
Autorità di controllo locale
In Italy l'autorità è il Garante per la protezione dei dati personali. La D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018, attuativo del GDPR fornisce specificità nazionali. Registriamo i trattamenti dove richiesto e cooperiamo con le indagini ex art. 31. Il DPO mantiene un registro della corrispondenza con l'autorità ed è il punto unico per la cooperazione one-stop-shop o autorità capofila ex art. 56.
Domande frequenti
Nominate un rappresentante UE?
L'entità di gruppo è stabilita nell'UE, quindi un rappresentante ex art. 27 non è necessario per i titolari non-UE; siamo direttamente soggetti al GDPR.
Tempi di notifica violazioni?
Escalation interna in 1 ora dalla rilevazione; valutazione rischio in 24; notifica all'autorità e ai titolari interessati entro 72 ore dalla conoscenza.
Formate tutti i dipendenti?
Sì — formazione annuale obbligatoria con tracciamento completamento. L'engineering riceve in più formazione di secure coding.
Dove vedo il vostro RoPA?
Il RoPA è interno ma pubblichiamo una sintesi sulla pagina trust; estratti completi su richiesta sotto NDA.
Trattate dati di categorie particolari?
Raramente. Quando inevitabile (es. preferenze alimentari per un evento), otteniamo consenso esplicito e applichiamo controlli di accesso stringenti.