General Data Protection Regulation
Qboxmail e la protezione dei dati personali
La protezione dei dati personali è per Qboxmail un valore di primaria importanza.
Per garantire ai propri clienti il rispetto delle disposizioni del GDPR e delle altre normative applicabili, nonché la massima sicurezza sui dati, Qboxmail ha adottato un modello di gestione della protezione dei dati personali, adeguando a tal fine i propri processi aziendali ed i sistemi informativi.
In questa pagina forniamo alcune informazioni su come Qboxmail tratta i dati personali, sia in qualità di titolare del trattamento, che in qualità di responsabile del trattamento per conto dei propri clienti, nel rispetto dei principi di chiarezza e trasparenza richiesti dal GDPR.
Cos’è il GDPR?
Il General Data Protection Regulation (GDPR) è il Regolamento Europeo che ha armonizzato la disciplina del trattamento dei dati personali in Europa. É efficace a partire dal 25 Maggio 2018 ed obbliga qualsiasi soggetto giuridico, nell’ambito della propria attività d’impresa, ad assicurare un adeguato livello di protezione dei dati personali ed a conformarsi con le sue disposizioni.
Alcune definizioni e ruoli del GDPR
Affinché possiate comprendere pienamente le informazioni che seguiranno, vi forniamo la definizione dei termini fondamentali utilizzati dal GDPR e ne chiariamo il significato.
Il GDPR inoltre distingue alcuni ruoli assunti dai soggetti giuridici nel trattamento dei dati personali. Un soggetto giuridico può infatti trattare i dati in qualità di titolare del trattamento, di responsabile del trattamento, di contitolare oppure di autorizzato al trattamento.
É un dato personale qualsiasi informazione riferita ad una persona fisica identificata o identificabile. Ad esempio, sono dati personali il nome e il cognome, l’indirizzo, il numero di telefono, il codice fiscale, l’indirizzo di posta elettronica, le fotografie, la professione svolta, la retribuzione, i dati bancari, le condizioni di salute etc.
Non sono invece dati personali quelli riferiti alle società ed alle altre persone giuridiche, come la denominazione, la sede legale, la P.IVA, i dati di bilancio, gli indirizzi e-mail aziendali come info@nomesocietà.it etc. Tuttavia, sono dati personali quelli delle persone fisiche che vi lavorano, come i legali rappresentanti, i dipendenti, i professionisti esterni etc.
Un dato è personale soltanto quando è possibile ricondurlo ad una persona fisica, anche compiendo uno sforzo ragionevole. Un dato completamente anonimo non è soggetto al rispetto della normativa.
I dati personali possono essere sia di natura comune che di natura particolare (i c.d. “dati sensibili”). Entrambe le tipologie di dati sono soggette al rispetto del GDPR, tuttavia i dati sensibili richiedono un livello di attenzione più elevato.
Sono dati sensibili i dati relativi alla salute; vita ed orientamento sessuale; origine razziale o etnica; opinioni politiche; convinzioni religiose o filosofiche; appartenenza sindacale; dati genetici; dati biometrici (art. 9 GDPR).
Sono considerati dati di natura particolare anche i dati relativi a condanne penali e ai reati o a connesse misure di sicurezza (art. 10 GDPR).
Tutti gli altri dati personali vengono considerati dati comuni.
Si considera trattamento qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Titolare del trattamento è la persona fisica o giuridica che determina le finalità e i mezzi del trattamento di dati personali.
Ciascuna impresa è quindi titolare del trattamento di dati personali riferiti ai propri clienti, dipendenti e fornitori.
Quando si tratta di una società, titolare del trattamento non è il suo legale rappresentante, bensì la società stessa.
Sono contitolari del trattamento due o più titolari che determinano congiuntamente le finalità e i mezzi del trattamento.
È responsabile del trattamento la persona fisica o giuridica che tratta dati personali per conto di un titolare del trattamento.
Quando un’impresa affida ad un fornitore esterno delle attività che comportano il trattamento di dati personali (es. consulenti del lavoro, commercialisti, fornitori di servizi IT, hosting provider etc.), quest’ultimo assume il ruolo di responsabile del trattamento.
Ai sensi dell’art. 28 GDPR, un titolare può ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate. Il rapporto fra titolare e responsabile del trattamento deve inoltre essere regolato da un contratto (Data Processing Agreement) o da un altro atto giuridico idoneo a norma del diritto dell’Unione o degli Stati Membri.
L’obbligo di fornire l’informativa agli interessati e di garantire loro l’esercizio dei loro diritti non spetta al responsabile del trattamento ma solo al titolare.
Sono autorizzate al trattamento le persone fisiche che operano sotto la direzione e l’autorità del titolare o del responsabile del trattamento (ad esempio il personale dipendente) e che sono chiamate a trattare dati personali nello svolgimento dei loro compiti e delle loro mansioni.
Qboxmail come titolare del trattamento
Qboxmail opera in qualità di titolare del trattamento quando tratta dati personali per proprio conto e per finalità da essa determinate.
Ad esempio, Qboxmail tratta in qualità di titolare del trattamento i dati personali dei propri clienti e dei propri fornitori per finalità contabili e per dare esecuzione ai rispettivi contratti. Allo stesso modo, Qboxmail tratta in qualità di titolare del trattamento i dati personali dei propri dipendenti, con finalità legate alla corretta esecuzione dei contratti di lavoro, all’adempimento delle norme sulla sicurezza, alla formazione etc.
Oltre ai dati dei suoi clienti, fornitori e dipendenti, Qboxmail tratta in qualità di titolare alcuni dati personali degli utenti dei suoi servizi, anche se non sono direttamente contrattualizzati con lei. Il trattamento di questi dati è necessario a garantire il corretto funzionamento e la sicurezza delle sue piattaforme web.
Per conoscere come Qboxmail tratta i dati personali degli utenti dei suoi servizi, puoi consultare la seguente informativa.
Qboxmail come responsabile del trattamento
Qboxmail opera in qualità di responsabile del trattamento quando tratta dati personali per conto e su istruzione dei propri clienti. In particolare, Qboxmail opera come responsabile del trattamento quando tratta dati per conto dei propri clienti nel fornire servizi di gestione e hosting della posta elettronica ed altri servizi connessi. Quando i clienti di Qboxmail sono a loro volta dei responsabili del trattamento, Qboxmail opera come sub-responsabile.
Ogni volta in cui Qboxmail opera in qualità di responsabile o sub-responsabile del trattamento per un proprio cliente, è necessario che questo rapporto sia regolato da un Data Processing Agreement (o contratto di nomina del responsabile del trattamento), ai sensi dell’art. 28 GDPR.
Qboxmail si è dotata di un proprio modello di Data Processing Agreement, consentendo così ai propri clienti di rispettare le disposizioni di cui all’art. 28 GDPR.
Il Data Protection Officer
Per garantire a sé ed ai propri clienti la massima sicurezza nel trattamento dei dati personali e la compliance al GDPR, Qboxmail ha nominato un Responsabile della Protezione dei Dati (anche detto Data Protection Officer o DPO), il quale può essere contattato al seguente indirizzo e-mail: dpo@qboxmail.it.
Il Responsabile della Protezione dei Dati rappresenta il principale punto di contatto fra gli interessati e Qboxmail in materia di trattamento dei dati personali. Pertanto, i clienti, i fornitori, i dipendenti e tutti i soggetti interessati possono contattarlo direttamente per questioni a ciò attinenti.
Qboxmail e il GDPR
Qboxmail segue e mette in pratica un percorso di analisi, adeguamento e miglioramento continuo dei propri sistemi informativi e del proprio modello di gestione della privacy. Si prende cura della sensibilizzazione e della formazione del personale, al fine di garantire ai propri clienti ed utenti la massima protezione dei dati personali che le vengono affidati ed il rispetto delle prescrizioni normative.
Privacy by default and by design
Da sempre i nostri software sono progettati e realizzati applicando i principi di “Data protection by default and by design”.
Crittografia e sicurezza dei dati
Utilizziamo la cifratura dei dati in transito per garantire un elevato livello di protezione, proteggendoli dal rischio di perdita di riservatezza.
Conservazione Log a norma di legge
Ci facciamo carico di conservare i log di sistema in conformità con quanto previsto dai provvedimenti del Garante per la Protezione dei Dati Personali in materia di amministratori di sistema. È inoltre attiva una procedura per firmare digitalmente i file di log e dare loro data certa.
Esportazione dei dati
Le funzionalità POP ed IMAP consentono agli amministratori di esportare i dati dei clienti in qualsiasi momento nel periodo di validità del contratto. I log degli accessi e gli audit log possono essere esportati come CSV.
Eliminazione dei dati
I clienti possono eliminare i propri dati in qualsiasi momento. Quando viene inviata una richiesta di eliminazione definitiva (come la cancellazione di un Account Email), il dato verrà rimosso da qualsiasi sistema entro un massimo di 60 giorni, salvo diversi obblighi normativi.
Crittografia dei dati in transito
Rendiamo disponibile da sempre la crittografia per proteggere i dati in transito. Tutti i servizi Webmail, POP, IMAP, SMTP sono accessibili in maniera predefinita tramite TLS.
Gestione delle vulnerabilità
Per rilevare tempestivamente eventuali vulnerabilità software, utilizziamo strumenti sviluppati internamente ed effettuiamo test periodici per verificare possibili violazioni.
Registro dei trattamenti
Abbiamo predisposto un registro dei trattamenti, sia in qualità di titolare che di responsabile del trattamento, che possiamo mettere a disposizione in caso di richiesta da parte ella autorità di controllo.
Formazione del personale
Tutti i collaboratori di Qboxmail hanno seguito dei percorsi di formazione interni relativi alle prescrizioni del GDPR e sono costantemente aggiornati e sensibilizzati sui temi della sicurezza e riservatezza dei dati che trattiamo.
Esercizio dei diritti degli interessati
L’interessato ha diritto di chiedere in ogni momento al titolare del trattamento di conoscere i dati personali che lo riguardano e che vengono trattati da quest’ultimo, ai sensi dell’art. 15 Reg. UE 2016/679.
Egli ha inoltre diritto di pretendere la rettifica dei dati che lo riguardano inesatti e l’integrazione di quelli incompleti, ai sensi dell’art. 16 Reg. UE 2016/679.
L’interessato ha diritto alla cancellazione dei dati che non sono più necessari alla finalità per la quale sono trattati, di quelli trattati sulla base del suo consenso quando quest’ultimo viene revocato, di quelli illecitamente trattati etc. Per conoscere gli altri casi in cui può ottenere la cancellazione, l’interessato può far riferimento all’art. 17 Reg. UE 2016/679.
L’interessato ha diritto ad ottenere la limitazione del trattamento dei suoi dati nei casi descritti dell’art. 18 Reg. UE 2016/679, la portabilità dei suoi dati nei casi descritti dall’art. 20 Reg. UE 2016/679, nonché il diritto di opporsi a che i suoi dati vengano trattati nel legittimo interesse del titolare o sulla base di un interesse pubblico, come consentito dall’art. 21 Reg. UE 2016/679.
Nell’eventualità in cui l’interessato ritenga vi sia stata una violazione nel trattamento dei suoi dati, potrà depositare un reclamo presso l’Autorità Garante per il trattamento dei dati personali.
La richiesta di cancellazione o l’opposizione al trattamento dei dati necessari all’esecuzione del contratto potrebbero comportare per Qboxmail l’impossibilità di darvi adempimento. L’interessato non può opporsi al trattamento o pretendere la cancellazione dei dati che Qboxmail è obbligata a trattare per l’adempimento degli obblighi contabili e fiscali o altri obblighi di legge. L’interessato può revocare in ogni momento il consenso eventualmente prestato per il trattamento dei suoi dati personali per finalità di marketing, senza che ciò comporti alcuna conseguenza pregiudizievole od impedisca l’esecuzione del contratto.
Qboxmail non può rispondere alle richieste di esercizio dei diritti effettuate da parte di interessati di cui tratta i dati in qualità di responsabile del trattamento. In quel caso, gli interessati dovranno rivolgersi al titolare del trattamento.
Per esercitare i tuoi diritti privacy, invia un’email a privacy@qboxmail.it con la tua richiesta.