GDPR: l’impegno di Evirit srl

• GDPR: l’impegno di Evirit srl
• Accesso, gestione e sicurezza dei dati
• Sicurezza applicativa e nelle comunicazioni
• Sicurezza nel trattamento dei dati
• Consenso
• Validità temporale del consenso
• Strumenti per l’esercizio dei diritti degli interessati

Il GDPR garantisce nuovi diritti agli utenti. Grazie alla conformità delle piattaforme, Evirit srl è in grado di rispondere alle domande degli utenti che desiderano esercitare diritti sui dati.

• Diritto di rettifica: ogni Utente può modificare i sui dati in qualsiasi momento.
• Diritto all’oblio: se un Utente desidera esercitare il suo diritto all’oblio, può farlo direttamente accedendo alla sua Area Riservata.
• Diritto alla portabilità: qualsiasi Utente può esportare le sue informazioni contenute nelle piattaforme in file .xml.
• Diritto all’accesso: accedendo all’Area Riservata è possibile visualizzare tutte le informazioni delle quali Evirit srl è in possesso.

Ogni Utente Evirit srl ha la possibilità di accedere con l’indirizzo email usato per registrarsi e per ogni accesso viene generato un token di accesso usa e getta inviato per email all’Utente. Tutti i dati che l’Utente carica in piattaforma vengono salvati nei nostri sistemi, consentendo all’Utente di avere pieno controllo nella gestione, nella ricerca e nelle modalità di accesso.

L’architettura Evirit srl è, come le più moderne applicazioni, di tipo “software as a service”. Tuttavia, dal momento che la privacy e la sicurezza dei nostri utenti è sempre stata la nostra priorità, abbiamo voluto mantenere tutti i database crittografati.

Questa soluzione ci permette di avere diversi vantaggi tra i quali un altissimo livello di flessibilità a livello di data recovery.

Nelle piattaforme Evirit srl sono state definire alcune regole base che sono considerate misure adeguate nell’ambito della sicurezza e del trattamento dati:

• Trasmissione crittografata utilizzando SSL, sia in fase di accesso che in fase di utilizzo della piattaforma
• Token di accesso salvato in formato criptato e non reversibile (hash). Nessuno del personale di Evirit srl può conoscerlo
• Le pagine di log-in adottano controlli per la prevenzione di accessi non autorizzati e da attacchi di tipo “brute force”
• Accesso tramite sistema di autenticazione a due fattori
• Mettiamo a disposizione degli Utenti il log dettagliato degli accessi

La sicurezza non si limita all’utilizzo delle piattaforme, ma è un requisito anche delle comunicazioni inviate. Evirit srl utilizza lo standard DKIM (DomainKeys Identified Mail) per l’invio dei messaggi. Si tratta di un sistema di autenticazione che permette di “certificare” che il contenuto del messaggio arrivato al destinatario sia quello inviato in origine dal mittente.

In questo modo l’intera email viene criptata, tramite protocollo TLS, rendendone impossibile l’alterazione e la lettura non autorizzata durante il trasporto fino a che non arriva a destinazione.

Inoltre, tutti i link contenuti nelle email, compresi eventuali re-indirizzamenti, vengono controllati in automatico dai nostri sistemi per prevenire lo spam, l’utilizzo malevolo della piattaforma e il furto dei dati (anche personali).

I dati caricati in piattaforma vengono mantenuti e salvati tramite backup, per essere automaticamente cancellati entro 20 giorni dalla richiesta di cancellazione da parte dell’Utente.

Evirit srl dispone di un team dedicato alla privacy e alla compliance, che supervisiona la sicurezza e la conformità dell’organizzazione alle leggi vigenti. Tutte le persone che lavorano per Evirit srl, e in particolar modo quelle che possono avere accesso ai dati degli Utenti, hanno ricevuto adeguata formazione in termine di sicurezza e privacy e hanno chiare disposizioni alle quali attenersi per salvaguardare la confidenzialità, l’integrità e la disponibilità dei dati.

Tutti gli accessi sono limitati da un sistema di permessi per ruolo e per finalità di utilizzo, che ci permette di garantire che solo le persone autorizzate possono avere accesso ai dati o ai server. In aggiunta, anche il personale autorizzato non può vedere i dati personali degli Utenti senza una autorizzazione aggiuntiva, sempre legata ad una richiesta specifica e tracciabile da parte del Utente o previa autorizzazione del team compliance per verificare un comportamento non conforme. I ruoli e gli accessi sono controllati regolarmente.

Il Regolamento prevede che il titolare del trattamento (Evirit srl) debba essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali. Per noi questa è stata una priorità da sempre e per questo motivo i nostri Utenti possono trovare tutti gli strumenti necessari, sempre aggiornati, per gestire al meglio il consenso:

• Sistema di conferma registrazione (double opt-in) implementato come standard sui nostri form
• Pagina "Storia dell’Account" dell’Utente chiara e che include tutti gli elementi necessari a dimostrare il consenso dell’interessato

Il GDPR prevede che sia onere del titolare del trattamento (Evirit srl) e dei suoi responsabili stabilire i tempi di conservazione dei dati e di assicurare che tale periodo sia limitato al minimo necessario.

I Dati Personali trattati saranno conservati da Evirit srl fino al momento in cui l’Utente revoca il consenso; Viene comunque chiesto periodicamente all’Utente in automatico:

• Di rinnovare il consenso
• Di aggiornare i suoi dati

Nel caso l’Utente revochi il consenso, Evirit srl non utilizzerà più i Dati Personali dell’Utente.

Per poter consentire ai soggetti interessati dal trattamento di esercitare i diritti previsti (accesso, cancellazione, limitazione al trattamento, portabilità) abbiamo inserito in modo chiaro ed intuitivo le funzionalità all’interno dell’“Area Clienti”. Ogni Utente/destinatario può esercitare direttamente non solo il diritto alla cancellazione (opt-out) ma anche di accesso:

• Conoscere quali dati vengono trattati tramite la piattaforma
• Limitarne il trattamento
• Richiedere di non essere tracciato
• Personalizzare i contenuti delle comunicazioni
• Portabilità: export delle informazioni personali

Per poter consentire ai soggetti interessati dal trattamento di esercitare il diritto alla cancellazione dei propri dati personali, la piattaforma Evirit srl offre la funzione “Disiscrizione per esercizio del diritto all’oblio”: tramite questa funzione l’interessato verrà disiscritto e tutti i dati aggiuntivi verranno cancellati a esclusione dell’indirizzo email, la data d’iscrizione, l’indirizzo IP di registrazione e il dispositivo usato per la registrazione, in quanto possono servire per dimostrare in futuro il consenso.