PARTE I – TITOLARE, ATTIVITA’, POLITICA PRIVACY E DATI TRATTATI

Titolare

The Home Bakery di Martino Beria (d’ora in poi il Titolare), con sede in Pianiga (Ve), via Cavin Maggiore n. 94, codice fiscale: BREMTN87E25G224H e p.i.: 04159370271, è una ditta individuale costituita in data 23.12.2019 che svolge attività di produzione di pasti e piatti pronti nonché produzione di alimenti in cucina domestica vegana e relativa vendita oltre a svolgere corsi di cucina.

Responsabile della protezione dei dati

Considerati i dati personali trattati dalla ditta The Home Bakery quale titolare, la stessa non è obbligata a nominare un responsabile della protezione dei dati ai sensi dell’art. 37 GDPR.

Scopo e campo di applicazione

Scopo del presente documento è di descrivere e documentare la struttura organizzativa, le responsabilità e tutte le attività che regolamentano l’istituzione, la gestione e il funzionamento del sistema di protezione dei dati personali in adempimento a quanto previsto dall’art. 30 del Regolamento UE n. 679/2016.

Il contenuto del registro si applica a tutta l’organizzazione della struttura coinvolta nel trattamento dei dati personali e deve essere divulgato e illustrato a tutti gli eventuali autorizzati al trattamento dei dati. Eventuali situazioni di deviazione accertate rispetto a quanto definito nel presente documento dovranno essere rimosse nel più breve tempo possibile.

Il presente registro è lo strumento base della società per realizzare la politica di sicurezza e riservatezza dei dati finalizzata alla definizione delle più idonee misure di protezione dei dati personali. A dimostrazione del recepimento dei principi di accountability e trasparenza propri della nuova disciplina introdotta dal Regolamento UE n. 679/2016, il presente registro delle attività di trattamento contiene un’analisi e valutazione dell’organizzazione e dei rischi, in modo da consentire l’adozione delle idonee e preventive misure di sicurezza. Il presente regolamento è strutturato in quattro (4) parti.

La prima destinata alla descrizione del titolare e della politica privacy dal medesimo adottata. La seconda dedicata alla descrizione dell’organizzazione e dei trattamenti. La terza dedicata alla descrizione dei luoghi dei trattamenti, delle dotazioni informatiche, delle misure di sicurezza e all’analisi e valutazione dei rischi. La quarta destinata ai rapporti con gli interessati e il garante.

Politica privacy

The Home Bakery si pone tra i suoi obiettivi quello di adottare le misure organizzative fisiche e informatiche più idonee a garantire l’integrità e la riservatezza dei dati raccolti, contemperati anche dall’esigenza e necessità di garantire e offrire ai propri committenti/clienti attività e servizi efficienti.

A tale fine, THB provvederà a sensibilizzare i soggetti terzi con cui dovesse collaborare sulla necessità e priorità di tutelare l’integrità, riservatezza e disponibilità dei dati personali trattati nonché a verifiche periodiche sull’efficacia e adeguatezza dei mezzi e cautele approntate atte a salvaguardare la privacy degli interessati.

Revisione del Registro dei trattamenti

Il presente Registro dei trattamenti sarà oggetto di regolare revisione con cadenza annuale e comunque ogni qualvolta si verifichi una modifica nel trattamento dei dati.

Dati trattati

Il Titolare, come già detto, è ditta individuale che opera nel settore dei servizi di produzione, preparazione in cucina domestica e vendita di pasti e alimenti e dispone sia di un’autonoma organizzazione propria sia di tutti i mezzi e delle attrezzature necessarie. La ditta non ha dipendenti né collaboratori. L’unica persona che tratta i dati è il titolare medesimo, sig. Martino Beria.

The Home Bakery pubblicizza e vende i propri prodotti e corsi attraverso principalmente il sito internet “www.thehomebakery.it” il cui dominio è di proprietà della ditta stessa. Attraverso apposito format, il Titolare raccoglie i dati dei clienti per l’esecuzione dell’ordine. Attraverso altro format che compare nel suddetto sito, le persone interessate possono iscriversi a una mailing list per ricevere comunicazioni relative ad offerte, promozioni commerciali, corsi e convegni organizzati dal Titolare ovvero per acquistare i prodotti ivi pubblicizzati.

Nello svolgimento delle sue attività, The Home Bakery gestisce differenti tipologie di dati personali, ovvero:

1. dati personali: di clienti, fornitori, professionisti e consulenti esterni, iscritti alla mailing list.
   I dati trattati dal Titolare possono essere comunicati a destinatari appartenenti alle seguenti categorie:
   1. società che svolgono servizi informatici (es. archiviazione dati su data base esterni);
   2. fornitore di servizi di trasporto e consegna ai clienti dei prodotti acquistati;
   3. professionisti nell’ambito di rapporti di assistenza e consulenza; autorità competenti per adempimenti di obblighi di legge e/o di disposizioni di organi pubblici, su richiesta; istituti di credito.

La base giuridica del trattamento dei dati sopra elencati da parte del Titolare è rappresentata da:

1. l’adempimento di obblighi contrattuali e pre-contrattuali di cui il Titolare è parte;
2. l’adempimento di obblighi di legge cui il medesimo è tenuto;
3. il consenso degli interessati.

I dati sono trattati esclusivamente in forma elettronica.

Il trattamento avviene tramite personal computer, fissi e portatili nonché smartphone. I dispositivi informatici sono tutti protetti da password richiesta all’atto di accensione del dispositivo. Vengono poi utilizzate delle password per accedere alle singole cartelle o applicazioni ove i dati sono salvati ovvero per accedere agli archivi messi a disposizione del Titolare da soggetti terzi. Le password sono conosciute ed utilizzate esclusivamente dal Titolare.

Dati acquisiti tramite il sito thehomebakery.it

Il titolare pubblicizza la propria attività e vende i propri prodotti tramite il sito “thehomebakery.it” su piattaforma WordPress. I dati acquisiti attraverso il sito sono i seguenti:

• – dati personali di clienti che acquistano prodotti online tramite apposito format. I clienti possono anche registrare un loro account.
• – dati degli iscritti alla newsletter tramite apposito format. Nel caso di clienti, i dati acquisiti sono quelli personali, necessari per la spedizione del prodotto e la fatturazione. In caso di registrazione di account, i dati sono email, nome utente e password. In caso di iscritti alla newsletter i dati sono nome ed email. Tali dati sono tutti salvati sul server messo a disposizione da Netsons S.r.l. in forza di apposito accordo contrattuale e che prevede anche un accordo standard di nomina a responsabile ex art. 28 GDPR da quest’ultima fornito.

Per il servizio di invio delle newsletter il Titolare si avvale di Mailerlite, di società con sede a Dublino (Irlanda), che mette a disposizione del Titolare un database ove vengono registrati i dati degli iscritti alla mailing list.

Il consenso degli iscritti alla newsletter viene raccolto tramite la compilazione dell’apposito format presente sul sito che viene conservato nel server messo a disposizione da Netsons S.r.l. In caso di revoca del consenso, il Titolare provvede immediatamente alla cancellazione dei dati dell’interessato da ogni archivio.

Tempi di conservazione:

per quanto riguarda i dati dei clienti, 10 anni dall’ordine per la dimostrazione dell’adempimento degli obblighi contrattuali, fiscali e di legge conseguenti. In caso di registrazione di account o di iscrizione alla mailing list per il servizio di newsletter, i dati vengono conservati fino alla revoca del consenso dal parte dell’interessato. Il titolare, ogni due anni, invia agli iscritti una mail informativa del diritto di revoca del consenso da parte di ciascun iscritto, con conseguente possibilità di essere cancellato dalla relativa lista e di non ricevere più alcuna comunicazione da parte del Titolare.

Per quanto riguarda i cookies, il sito utilizza cookies tecnici, statistici e di marketing anche di terze parti. L’utilizzo di cookies di marketing è condizionato all’espresso consenso degli utenti i quali vengono avvisati tramite apposito banner che compare al momento dell’apertura della pagina. La gestione dell’informativa breve e del banner per i cookies così come il loro aggiornamento viene effettuato da Cookiebot. Sulla pagina del sito è pubblicata apposita policy privacy con indicazione dei dati raccolti tramite la navigazione e i format ivi presenti.

PARTE II – SOGGETTI ATTIVI E TRATTAMENTO DATI

Soggetti attivi e funzioni privacy

Nell’ambito della struttura si è provveduto a identificare le seguenti figure:

Figura Compiti e responsabilità

Mappa dei trattamenti dei dati gestiti internamente

The Home Bakery tratta, come titolare, dati personali delle seguenti categorie di interessati: clienti, iscritti alla mailing list, fornitori e loro referenti, professionisti e consulenti.

CLIENTI

FORNITORI/PROFESSIONISTI/CONSULENTI

ISCRITTI MAILING LIST

Mappa dei trattamenti gestiti in outsourcing.

Elenco responsabili esterni dei trattamenti

PARTE III: luoghi dei trattamenti, dotazione informatica, misure di sicurezza e valutazione dei rischi

Descrizione dei luoghi dove si svolgono i trattamenti e delle cautele applicate

The Home Bakery di Martino Beria gestisce i dati trattati presso la sede legale che si trova in Pianiga (Ve) via Cavin Maggiore n. 94. Si tratta di abitazione civile dotata di porta blindata, impianti luce, acqua e gas a norma, gruppo di continuità per l’energia elettrica.

Descrizione della dotazione informatica e in generale strumentale

Come già evidenziato, i dati sono trattati esclusivamente con mezzi informatici. I dati vengono tutti archiviati e conservati su server messo a disposizione dalla soc. NETSONS S.r.l. Netsons S.r.l. predispone per i suoi clienti un accordo standard di nomina a responsabile ex art. 28 GDPR e i server messi a disposizione dei clienti si trovano in Italia.

Per il servizio di newsletter il Titolare si avvale dei servizi di Mailerlite nel cui data base sono conservati i nomi e i dati degli iscritti alla mailing list. Liste contenenti i nomi degli iscritti ai corsi tenuti dal Titolare e le loro mail vengono conservate utilizzando il programma “note” di Apple o Google Drive e conservati in cloud.
In iCloud vengono conservate anche le fatture redatte per alcuni corsi e conservate in apposita cartella. Il titolare accede ai dati conservati sul server presso Netsons S.r.l. o su iCloud e Google Drive tramite tre dispositivi elettronici:

• MacBook Pro;
• iMac;
• iPhone XS Max.

Nei suddetti dispositivi è sempre attiva la password di accesso. L’accesso ai dati conservati su iCloud è possibile solo tramite password con sistema a doppio accesso tramite doppio codice inviato a uno dei tre dispositivi apple in dotazione del Titolare. L’accesso ai dati conservati su Google Drive è possibile tramite password inserita su account google del Titolare.
L’accesso ai dati conservati sul server messo a disposizione da Netsons S.r.l. è possibile tramite inserimento di password nell’area personale.

Tutte le password sono conservate e archiviate sul programma “Portachiavi” su iCloud, accessibile con password di accesso.
Tutte dette password sono sicure e aggiornate periodicamente (minimo ogni 3 mesi).

La posta ordinaria viene gestita da Google e pec da Aruba s.p.a. nelle cui condizioni generali di contratto vi è la nomina di essa a responsabile ex art. 28 GDPR. Tutti i dati presenti nei dispositivi informatici del Titolare sono salvati tramite periodici backup su hard disk esterno tramite programma “Time Machine”.

I dati salvati sono crittografati.

Cautele in essere

Tutti i dispositivi utilizzati dal Titolare sono protetti da password d’accesso e i dati sono cifrati tramite crittografia. Viene effettuato un backup periodico su hard disk esterno conservato nella sua abitazione.
I dati sono tutti salvati su server presso soggetti terzi (Netsons, Mailerlite, iCloud, Google Drive) che garantiscono adeguamento alla normativa europea sulla privacy e l’adozione di idonee misure di sicurezza.
Per la posta elettronica il Titolare si avvale dei servizi di Google e Aruba S.p.a. (pec).

PARTE IV: Analisi dei rischi e sicurezza dei trattamenti

Riferimenti normativi

Ai sensi dell’art.32 del RGPD 2016/679, “sicurezza del trattamento”, il comma 1 recita:

“ Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, del caso:

• la pseudonimizzazione e la cifratura dei dati personali;
• la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
• la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2.Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3.L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Il Titolare, per adempiere compiutamente a quanto previsto dal Regolamento e in forza di quanto previsto dal principio di accountability o responsabilizzazione, ha effettuato un’analisi dei rischi relativi ai trattamenti svolti ed individuato una serie di misure per minimizzare i rischi stessi.

A seguire, per ogni rischio, il Titolare ha individuato delle misure di sicurezza tecniche o procedurali svolte a ridurre l’entità del rischio stesso. A fronte delle misure inserite si è effettuato un nuovo calcolo del rischio che ha portato ad individuare il rischio residuale ritenuto accettabile da questo Titolare per effettuare il Trattamento dei dati indicati.

Modello adottato per la valutazione dei rischi

Per la valutazione del rischio si è adottato un sistema standard, già identificato in altri sistemi di compliance aziendali, sia a livello nazionale che internazionale, quali i sistemi di gestione della sicurezza dei luoghi di lavoro, i sistemi di qualità nelle loro ultime versioni, i sistemi di mappatura dei rischi in ambito 231/2001. L’entità del rischio viene rappresentata come funzione della Probabilità (P) di accadimento di un danno e della gravità del danno stesso (D): R= (PxD).

Rischi relativi ai luoghi

Rischio eventi naturali

Considerato che i dati sono salvati solo in formato digitale e su server esterni, non si prende in considerazione il rischio di eventi naturali che possano riguardare la sede del titolare, posto che la probabilità di perdita/distruzione dei dati sarebbe uguale a 0 e così il rischio.

Rischi relativi agli strumenti utilizzati

Piano di verifica delle misure adottate

La bontà delle misure adottate deve essere verificata almeno annualmente.
Durante queste operazioni di verifica sarà data particolare importanza a:

• operatività ed efficacia delle misure anti-intrusione adottate fisiche e informatiche;
• accertamento delle misure di sicurezza e anti-intrusione adottate dai soggetti esterni presso i cui archivi vengono conservati i dati.

Sarà cura del Titolare individuare le misure di verifica in relazione ai cambiamenti tecnologici in corso.

PARTE V: rapporti con gli interessati e il garante

Informative

Per ogni categoria di interessato i cui dati sono trattati dal Titolare, è stata elaborata apposita informativa secondo le indicazioni previste dall’art. 13 Regolamento UE 679/2016.

Il Titolare avrà cura di consegnare le informative e di raccogliere e conservare il consenso degli interessati per le finalità di trattamento che lo richiedono. Sul sito sono pubblicate le informative relative al trattamento dei dati raccolti e dei cookie.

Esercizio dei diritti da parte degli interessati

Nelle informative è indicata la modalità con cui ogni interessato può esercitare i diritti previsti dal GDPR. In caso di esercizio dei suddetti diritti, sarà cura del Titolare:

• raccogliere la richiesta e verificare l’identità dell’interessato;
• registrare la richiesta in apposito registro;
• verificare la pertinenza, la legittimità della richiesta;
• informare e/o coinvolgere eventualmente i responsabili esterni coinvolti;
• predisporre le operazioni richieste e/o il formale riscontro agli interessati;
• stabilire le operazioni e/o la comunicazione da eseguire;
• eseguire le operazioni e/o il riscontro.

Gestione delle violazioni dei dati

Qualora si verifichi un incidente o sinistro che comporti una violazione dei dati, il Titolare valuterà la natura e la portata della violazione prendendo contatto con soggetti professionalmente competenti, informando immediatamente i responsabili esterni.

Qualora si verifichi un incidente o sinistro che comporti una violazione dei dati, il Titolare provvederà a dare comunicazione al Garante nel caso di rischio probabile per le libertà e i diritti delle persone fisiche.

La comunicazione dovrà essere effettuata nel termine di 72 ore dalla scoperta della violazione. Nel caso di rischio elevato per i diritti e le libertà delle persone fisiche, la violazione dovrà essere comunicata agli interessati. In caso di data breach dovrà essere compilata la seguente scheda di registrazione del sinistro:

Verranno poi adottare le misure necessarie a evitare ulteriori possibili violazioni.