Politica sulla protezione dei dati

Politica sulla protezione dei dati di Façade Creations Ltd

Introduzione

Façade Creations Ltd si impegna a proteggere la privacy e la sicurezza dei dati personali in conformità con il Regolamento generale sulla protezione dei dati del Regno Unito (GDPR) e il Data Protection Act 2018 , nonché con tutte le altre leggi applicabili in materia di protezione dei dati. Aderiamo inoltre alle disposizioni pertinenti del Companies Act 2006 , in particolare per quanto riguarda la corretta tenuta dei registri e la sicurezza dei documenti aziendali. La presente informativa descrive come Façade Creations raccoglie, utilizza, archivia e salvaguarda i dati personali in linea con le nostre attività in qualità di azienda specializzata nella progettazione, produzione e installazione di facciate in alluminio su misura . ...

Titolare del trattamento dei dati

Façade Creations Ltd è il "Titolare del trattamento dei dati" responsabile di determinare come e perché i dati personali vengono trattati nella nostra organizzazione. Per qualsiasi domanda, richiesta o dubbio riguardante i dati personali o la presente informativa, si prega di contattare il nostro responsabile della protezione dei dati:

• E-mail: info@facadecreations.co.uk
• Indirizzo postale: Façade Creations Ltd, 124 City Road, Londra, Inghilterra, EC1V 2NX find-and-update.company-information.service.gov.uk

Ruoli e responsabilità

La responsabilità ultima della conformità alla protezione dei dati presso Façade Creations spetta al nostro Direttore, Hashim Choksi , che supervisiona e applica la presente Informativa sulla protezione dei dati. Al momento non abbiamo nominato un Responsabile della protezione dei dati (DPO) ufficiale, in quanto non siamo legalmente tenuti a farlo, data la natura e l'entità del nostro trattamento. Tuttavia, le responsabilità in materia di protezione dei dati sono gestite internamente dal senior management. Tutti i dipendenti ricevono una formazione di base sul GDPR e sulla protezione dei dati nell'ambito dei loro programmi di inserimento e formazione continua. I dipendenti sono tenuti a comprendere e rispettare la presente informativa e a segnalare alla direzione eventuali potenziali problemi di protezione dei dati. Vengono effettuati controlli e audit periodici (vedere la sezione Revisioni e aggiornamenti di seguito) per garantire la conformità e colmare eventuali lacune.

Definizioni

Ai fini della presente politica si applicano le seguenti definizioni:

• Dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile (nota come "interessato"). Ciò include identificatori evidenti come il nome, i recapiti (e-mail, telefono, indirizzo), nonché identificatori come l'ID dipendente, l'indirizzo IP o qualsiasi informazione che possa essere associata a una persona.
• Elaborazione: qualsiasi operazione, sia automatizzata che manuale, eseguita su dati personali. L'elaborazione include la raccolta, la registrazione, l'organizzazione, la conservazione, la modifica, l'estrazione, l'utilizzo, la comunicazione, la trasmissione, l'interconnessione, la limitazione, la cancellazione o la distruzione di dati personali.
• Interessato: la persona fisica a cui si riferiscono i dati personali. Ad esempio, i nostri dipendenti, clienti e utenti del sito web possono essere tutti interessati ai sensi della presente informativa.
• Titolare del trattamento: il soggetto che determina le finalità e i mezzi del trattamento dei dati personali (in questo caso, Façade Creations Ltd).
• Responsabile del trattamento dei dati: una terza parte (diversa dai nostri dipendenti) che elabora i dati personali per conto del Titolare del trattamento, in base alle istruzioni di quest'ultimo. (Ad esempio, un fornitore di servizi cloud che ospita i nostri dati può agire in qualità di Responsabile del trattamento dei dati).

Raccolta ed elaborazione dei dati

Raccogliamo e trattiamo i dati personali solo per finalità specifiche, esplicite e legittime, necessarie per le nostre attività aziendali. Di seguito è riportata una panoramica delle tipologie di dati personali che trattiamo, nonché delle finalità e delle basi giuridiche per il trattamento di ciascuna tipologia:

1. Dati dei dipendenti (HR) - Finalità: reclutare, impiegare e gestire il nostro personale e adempiere agli obblighi legali in qualità di datore di lavoro. Ciò include l'elaborazione dei dati per l'amministrazione delle risorse umane, la gestione delle buste paga, i benefit, le valutazioni delle prestazioni e la conformità alle norme in materia di salute e sicurezza sul lavoro.
   Categorie di dati: dati personali dei dipendenti (nome, informazioni di contatto, data di nascita, codice fiscale), materiale per la candidatura e dati relativi all'impiego (CV, referenze, contratti di lavoro, ruoli e date di impiego), dati relativi alla gestione delle buste paga e dati bancari per il pagamento degli stipendi e qualsiasi certificazione necessaria o documento relativo al diritto al lavoro. Potremmo anche conservare registrazioni di formazione, valutazioni delle prestazioni e procedimenti disciplinari, se necessario.
   Base giuridica: necessità contrattuale (per adempiere al contratto di lavoro, ad esempio il pagamento degli stipendi); obbligo legale (per rispettare le leggi sul lavoro, gli obblighi fiscali e la tenuta dei registri obbligatori, come i registri delle buste paga dell'HMRC e i requisiti del Companies Act 2006); e interessi legittimi (per gestire in modo efficiente la nostra forza lavoro e garantire la continuità aziendale, bilanciando tali interessi con i diritti dei dipendenti).
2. Dati del cliente e del progetto - Finalità: Gestire i rapporti con i nostri clienti e fornire i nostri servizi di progettazione e installazione di facciate. Ciò include rispondere alle richieste, fornire preventivi, stipulare contratti, eseguire progetti e rispettare gli obblighi legali e contrattuali (ad esempio, normative in materia di salute e sicurezza, regolamenti edilizi).
   Categorie di dati: Dati di contatto del cliente (nomi, titoli professionali, indirizzi aziendali, numeri di telefono, indirizzi e-mail); informazioni relative al progetto fornite dai clienti (requisiti del progetto, specifiche, indirizzi dei siti); registrazioni delle comunicazioni con i clienti; e dettagli contrattuali e finanziari (preventivi, contratti, fatture, registri di pagamento).
   Base giuridica: Necessità contrattuale (adottare misure su richiesta del cliente prima della stipula di un contratto ed eseguire i nostri contratti per la progettazione, la fornitura e l'installazione di facciate); Obbligo legale (conformità a leggi quali normative edilizie, codici edilizi, leggi fiscali relative alle transazioni con i clienti); e Interessi legittimi (garantire un'efficace gestione del progetto, mantenere i rapporti con i clienti e comunicare con i clienti nel contesto della nostra attività, ad esempio fornendo aggiornamenti sul progetto, nei modi che i clienti si aspetterebbero ragionevolmente). In casi limitati, potremmo anche basarci sul consenso , ad esempio se un potenziale cliente si iscrive per ricevere newsletter di marketing (vedere Comunicazioni di marketing di seguito).
3. Dati di fornitori e appaltatori - Finalità: Gestire l'approvvigionamento di beni e servizi, coordinarsi con i nostri subappaltatori e fornitori e adempiere ai nostri obblighi di pagamento e documentazione di tali transazioni. Ciò include i dati relativi ai nostri fornitori, subappaltatori, consulenti e altre terze parti con cui collaboriamo sui progetti.
   Categorie di dati: Dati di contatto di fornitori o appaltatori (nome della persona di contatto, ragione sociale, indirizzo, e-mail, telefono); contratti e accordi; informazioni bancarie e di pagamento (numeri di conto, codici di ordinamento o IBAN, partita IVA o numeri di società) necessarie per i pagamenti; e qualifiche o dettagli assicurativi pertinenti (ad esempio, prova di assicurazione di responsabilità civile professionale o certificazioni se richieste dal nostro processo di selezione degli appaltatori).
   Base giuridica: Necessità contrattuale (per stipulare ed eseguire contratti con i nostri fornitori e subappaltatori, ad esempio emettere ordini di acquisto, pagare fatture); Obbligo legale (ad esempio, conservare i registri delle transazioni a fini fiscali e di revisione contabile, rispettare le leggi antifrode o anticorruzione ove applicabili); e Interessi legittimi (come la selezione dei fornitori per qualità e affidabilità, garantire l'efficienza della catena di fornitura del progetto e mantenere la continuità aziendale). Questi interessi vengono bilanciati con qualsiasi impatto sulla privacy e, in genere, i dati che raccogliamo in questo contesto sono orientati al business e non eccessivamente personali.
4. Dati sulle comunicazioni di marketing - Finalità: Inviare aggiornamenti, notizie o comunicazioni di marketing sui nostri servizi a coloro che hanno scelto di ricevere tali informazioni. Questo ci aiuta a promuovere la nostra attività e a tenere informati gli interessati sulle nostre offerte (ad esempio, nuove soluzioni per facciate, casi di studio di progetti o eventi).
   Categorie di dati: Nomi e recapiti (come indirizzo email e nome dell'azienda) di clienti o potenziali clienti che hanno espresso interesse per i nostri servizi o si sono iscritti alla nostra mailing list. Potremmo anche registrare le preferenze di comunicazione (ad esempio, registri del consenso opt-in, metodo di contatto preferito) e la cronologia delle interazioni (ad esempio, tassi di apertura delle email o partecipazione a eventi, a livello aggregato).
   Base giuridica: Consenso - Ci basiamo sul consenso esplicito opt-in per tutte le comunicazioni di email marketing. Gli interessati vengono aggiunti alla nostra mailing list di marketing solo se ci hanno fornito un consenso esplicito (ad esempio, spuntando una casella di opt-in su un modulo o iscrivendosi tramite il nostro sito web). Non inviamo email di marketing di massa senza consenso. Gli interessati hanno il diritto di revocare il consenso in qualsiasi momento. Ogni email di marketing che inviamo include un per annullare l'iscrizione ; inoltre, gli utenti possono contattarci in qualsiasi momento per essere rimossi dalle liste di marketing. Daremo seguito tempestivamente alle richieste di annullamento dell'iscrizione.
5. Dati utente e cookie del sito web - Finalità: Gestire e migliorare il nostro sito web aziendale e comprendere come gli utenti interagiscono con esso. Quando visiti il ​​nostro sito web (www.facadecreations.co.uk), raccogliamo determinati dati tramite cookie e tecnologie simili per funzionalità e analisi.
   Categorie di dati: Utilizziamo i cookie per funzionalità essenziali del sito (come la gestione della sessione, che ricorda le tue preferenze o ti mantiene connesso, se applicabile) e per analisi di base. I dati analitici (ad esempio tramite Google Analytics) sono in genere aggregati e resi anonimi, aiutandoci a monitorare il traffico del sito web e i modelli di utilizzo senza identificare direttamente i singoli visitatori. Non raccogliamo informazioni personali identificabili tramite cookie analitici e non utilizziamo cookie per scopi pubblicitari. Se il nostro sito web dispone di moduli di contatto o di richiesta, i dati personali forniti (ad esempio nome, e-mail, telefono e dettagli della richiesta) saranno utilizzati solo per rispondere alla tua richiesta (come parte dei Dati del Cliente di cui sopra) e gestiti in conformità con la presente informativa.
   Base giuridica: Interessi legittimi – È nel nostro interesse garantire il corretto funzionamento del nostro sito web e comprenderne l'utilizzo per migliorarlo, nel rispetto della privacy degli utenti (i dati analitici sono resi anonimi). Ci basiamo inoltre sul consenso laddove richiesto dalla legge (alla prima visita, presentiamo un'informativa sui cookie che richiede il consenso per i cookie non essenziali). È possibile disabilitare i cookie non essenziali in qualsiasi momento tramite le impostazioni del browser; tuttavia, si prega di notare che ciò potrebbe influire su alcune funzionalità del sito.

Condivisione e trasferimenti di dati

Trattiamo i dati personali con riservatezza e non li condividiamo con terze parti, a meno che non sia necessario per raggiungere lo scopo per cui sono stati raccolti o non siamo legalmente obbligati a farlo. Quando la condivisione è necessaria, applichiamo il principio di minimizzazione dei dati, condividendo solo le informazioni necessarie. I principali casi in cui potremmo condividere i dati personali includono:

• Subappaltatori e fornitori: condividiamo i dati rilevanti con i nostri subappaltatori, subconsulenti e fornitori, se necessario per l'esecuzione del progetto. Ad esempio, potremmo fornire a un subappaltatore i dettagli di accesso al sito o i nomi dei lavoratori per motivi di salute e sicurezza, oppure condividere le informazioni di contatto del cliente con un partner di consegna per coordinare una spedizione. In ogni caso, alle terze parti vengono forniti solo i dati necessari per il loro compito specifico e ci aspettiamo che li gestiscano in modo sicuro.
• Consulenti professionali: potremmo condividere i dati con i nostri assicuratori , commercialisti , avvocati o altri consulenti professionali. Ad esempio, un assicuratore potrebbe ricevere i dettagli di un sinistro che include dati personali, oppure i nostri commercialisti potrebbero visualizzare le informazioni sui pagamenti di dipendenti e appaltatori durante la gestione delle buste paga o degli audit finanziari. Queste parti sono vincolate dal segreto professionale o da accordi contrattuali in materia di protezione dei dati.
• Consulenti e partner commerciali: se coinvolgiamo consulenti esterni o partner di joint venture in un progetto, potremmo dover condividere determinati dati (ad esempio, i dati di contatto del team di progetto, i profili di esperienza pertinenti) per facilitare la collaborazione. Tale condivisione sarà regolata da accordi di non divulgazione e accordi di elaborazione dei dati, ove appropriato.
• Requisiti normativi e legali: divulgheremo i dati personali a enti governativi, autorità di regolamentazione, forze dell'ordine o tribunali se richiesto dalla legge. Ad esempio, potremmo dover fornire informazioni all'HM Revenue & Customs (HMRC) a fini fiscali, all'Information Commissioner's Office (ICO) se sta esaminando un reclamo o per ottemperare a un'ordinanza del tribunale o a una citazione in giudizio. In ogni caso, verificheremo la legittimità della richiesta e condivideremo solo i dati necessari per legge.

Façade Creations non vende dati personali a terzi per scopi di marketing o altri scopi.

Trasferimenti internazionali: in quanto azienda con sede nel Regno Unito, archiviamo ed elaboriamo i dati principalmente nel Regno Unito. Tuttavia, utilizziamo alcuni servizi cloud affidabili (ad esempio, Microsoft 365 per l'archiviazione di email e documenti, di Google Analytics, Xero per la contabilità) che potrebbero comportare l'archiviazione dei dati su server al di fuori del Regno Unito. Ogni volta che i dati personali vengono trasferiti al di fuori del Regno Unito (o dello Spazio Economico Europeo), ad esempio verso data center negli Stati Uniti o altrove, garantiamo l'adozione di misure di sicurezza legali. Tali misure di sicurezza possono includere clausole contrattuali standard (SCC) o il ricorso a una decisione di adeguatezza da parte del governo del Regno Unito, e garantiamo che i nostri fornitori di servizi siano certificati o contrattualmente impegnati a rispettare standard di protezione dei dati equivalenti al GDPR. Valutiamo attentamente i fornitori terzi per la loro conformità alla protezione dei dati e ci avvaliamo solo di aziende riconosciute a livello internazionale con solide pratiche di sicurezza. Il nostro obiettivo è che i dati personali ricevano lo stesso livello di protezione, indipendentemente da dove vengano elaborati.

Sicurezza dei dati

Façade Creations adotta misure di sicurezza tecniche e organizzative per proteggere i dati personali da accessi non autorizzati, perdite, distruzioni o alterazioni. Rivediamo e miglioriamo costantemente le nostre pratiche di sicurezza in linea con gli standard del settore. Le principali misure che abbiamo implementato includono:

• Archiviazione sicura: i dati personali in formato elettronico sono archiviati su sistemi sicuri con accesso controllato. Utilizziamo la crittografia per i dati sensibili, sia a riposo che in transito (ad esempio, i nostri database e laptop utilizzano la crittografia del disco). I server sono protetti da password e firewall, e l'archiviazione cloud (ad esempio SharePoint/OneDrive all'interno di Microsoft 365) è crittografata e monitorata. I documenti cartacei contenenti dati personali sono conservati in armadi chiusi a chiave o in aree ufficio sicure con accesso limitato.
• Controlli di accesso: limitiamo l'accesso ai dati personali esclusivamente al personale autorizzato che ne ha bisogno per le proprie mansioni lavorative. Diversi livelli di accesso sono concessi in base al ruolo (principio del privilegio minimo). Ad esempio, i dati delle risorse umane sono accessibili solo al personale autorizzato delle risorse umane e al management; i dati di progetto sono accessibili al team di progetto e agli amministratori competenti. Tutti i dipendenti sono tenuti a utilizzare password complesse e univoche per i sistemi aziendali e, ove possibile, è abilitata l'autenticazione a più fattori per l'accesso remoto.
• Comunicazione sicura: quando trasmettiamo dati personali a terze parti (ad esempio, quando inviamo informazioni sulle buste paga al nostro contabile o condividiamo dati di progetto con un subappaltatore), utilizziamo canali sicuri. Le e-mail vengono inviate tramite connessioni TLS crittografate per impostazione predefinita e utilizziamo la protezione tramite password o la crittografia per i file che contengono dati particolarmente sensibili. Sconsigliamo l'uso di canali non sicuri per qualsiasi trasferimento di informazioni personali.
• Sicurezza fisica: i nostri uffici sono protetti per impedire accessi non autorizzati: l'accesso agli uffici e alle aree di archiviazione è limitato al personale (con chiavi o tessere di accesso) e i visitatori sono accompagnati. Documenti o dispositivi contenenti dati personali non vengono lasciati incustoditi nelle aree pubbliche. Utilizziamo inoltre un sistema di distruzione di documenti cartacei contenenti dati personali e adottiamo una politica di pulizia delle scrivanie per ridurre al minimo l'esposizione di documenti sensibili.
• Sicurezza dei dispositivi e IT: tutti i laptop e i dispositivi aziendali sono configurati con software antivirus/antimalware aggiornati e vengono regolarmente aggiornati con gli ultimi aggiornamenti di sicurezza. Adottiamo un processo di gestione delle risorse IT per monitorare i dispositivi aziendali e garantirne lo smaltimento sicuro in caso di dismissione. Le unità portatili o le unità di archiviazione USB contenenti dati personali vengono crittografate o, ove possibile, evitate.
• Servizi di terze parti: ci avvaliamo di fornitori di servizi cloud e IT affidabili (come Microsoft e Xero) per supportare la nostra attività. Prima di affidare la gestione dei dati personali a qualsiasi fornitore, ne valutiamo le certificazioni di sicurezza e le informative sulla privacy per garantire che rispettino gli standard GDPR. Stipuliamo accordi di trattamento dei dati con tali fornitori per garantire che si impegnino a proteggere i dati per nostro conto.
• Monitoraggio e test: eseguiamo regolarmente audit di sicurezza e valutazioni dei rischi dei nostri sistemi. I diritti di accesso dei dipendenti vengono rivisti periodicamente per garantire che vengano mantenuti solo gli accessi necessari. Forniamo inoltre formazione continua al personale sulle migliori pratiche di sicurezza informatica (come il riconoscimento dei tentativi di phishing e la protezione delle informazioni).

Implementando le misure di cui sopra, ci impegniamo a mantenere un elevato livello di sicurezza e a ridurre il rischio di violazioni dei dati o di divulgazione non autorizzata degli stessi.

Conservazione dei dati

Conserviamo i dati personali solo per il tempo necessario a soddisfare le finalità per cui sono stati raccolti e a soddisfare eventuali obblighi legali, contabili o di rendicontazione. I periodi di conservazione sono determinati in base al tipo di dati e agli obblighi legali/normativi applicabili. Le nostre politiche generali di conservazione sono le seguenti:

• Dati dei dipendenti (HR): conserviamo i dati personali dei dipendenti fino a 6 anni dopo la cessazione del rapporto di lavoro , in linea con i termini di prescrizione previsti dalla legge del Regno Unito per le richieste di lavoro e i requisiti dell'HMRC. Ciò include la conservazione dei dati identificativi di base, dei contratti di lavoro e delle buste paga per sei anni dopo la cessazione del rapporto. Alcuni dati potrebbero essere conservati più a lungo se necessario (ad esempio, le informazioni sul piano pensionistico o i registri degli infortuni potrebbero essere conservati per un periodo più lungo in base a normative specifiche), ma non conserveremo i file HR completi a tempo indeterminato.
• Documenti finanziari: i documenti finanziari che potrebbero contenere dati personali (ad esempio fatture, registri di pagamento, note spese) vengono conservati per 6 anni dopo la fine dell'esercizio finanziario, in conformità con le normative fiscali dell'HMRC e con i requisiti di conservazione dei documenti previsti dal Companies Act 2006. Ciò garantisce la disponibilità della documentazione in caso di verifiche o indagini finanziarie. Dopo 6 anni, tali documenti vengono eliminati in modo sicuro, a meno che non sia legalmente richiesto un periodo di conservazione più lungo per articoli specifici.
• Documenti di progetto e del cliente: i documenti relativi al progetto (che possono includere corrispondenza con il cliente, contratti, piani di progetto, ecc.) vengono conservati per tutta la durata del progetto e in genere per 6-10 anni dopo il suo completamento. Il periodo esatto dipende dagli obblighi contrattuali e da considerazioni di responsabilità: ad esempio, i contratti spesso specificano che determinati documenti debbano essere conservati per un certo numero di anni. Nel settore edile, un periodo di conservazione di 6-12 anni è comune (12 anni se protetti da sigillo). Abbiamo adottato 10 anni come linea guida generale per i principali documenti di progetto, al fine di coprire potenziali periodi di responsabilità per difetti latenti. Questi documenti vengono archiviati in modo sicuro e accessibili solo se necessario per riferimento o per motivi legali.
• Richieste e dati di potenziali clienti: se un individuo invia una richiesta ma non procede con un contratto con noi, conserveremo la corrispondenza relativa alla richiesta e i suoi dati di contatto fino a 2 anni dall'ultima interazione. Questo ci consente di dare seguito a potenziali affari o di comprendere le comunicazioni passate. Dopo 2 anni di inattività (o immediatamente su richiesta), eliminiamo o rendiamo anonimi i dati delle richieste. Per gli individui che hanno acconsentito a ricevere comunicazioni di marketing, conserveremo i loro dati fino a quando non annulleranno l'iscrizione o ritireranno il consenso, momento in cui li rimuoveremo tempestivamente dalle nostre mailing list attive (mantenendo comunque una lista di soppressione per garantire di rispettare le richieste di non contatto).
• Altre categorie: i filmati di videosorveglianza (se mai dovessimo utilizzare sistemi di videosorveglianza presso i nostri locali) vengono solitamente conservati per un breve periodo (ad esempio 30 giorni), a meno che non siano necessari per un'indagine. I dati relativi alle assunzioni (candidature) per i candidati che non assumiamo vengono solitamente conservati fino a 6 mesi, a meno che il candidato non acconsenta a una conservazione più lunga per opportunità future.

In ogni caso, una volta trascorso un periodo di conservazione, elimineremo in modo sicuro i dati personali o renderemo anonimi (in modo che non possano più essere associati a un individuo). La cancellazione sicura può comportare la cancellazione permanente dei file elettronici mediante strumenti software appropriati e la distruzione dei documenti cartacei. Manteniamo un programma di conservazione dei dati e rivediamo periodicamente i dati in nostro possesso, per garantire che non conserviamo i dati personali più a lungo del necessario.

Diritti individuali

Gli interessati (persone di cui conserviamo i dati) hanno una serie di diritti ai sensi del GDPR del Regno Unito. Façade Creations rispetta e sostiene tali diritti. In sintesi, gli interessati hanno il diritto di:

• Diritto di accesso: puoi richiedere conferma del fatto che stiamo trattando i tuoi dati personali e, in tal caso, richiedere una copia dei dati personali che conserviamo su di te, nonché informazioni su come li utilizziamo. Questa è comunemente nota come "Richiesta di accesso dell'interessato". Forniremo le informazioni in modo conciso e trasparente, di norma entro un mese dal ricevimento di una richiesta valida.
• Diritto di rettifica: se i tuoi dati personali in nostro possesso sono inesatti o incompleti, hai il diritto di richiederne la correzione o l'aggiornamento. Dopo la verifica, correggeremo tempestivamente le inesattezze.
• Diritto alla cancellazione: hai il diritto di richiedere la cancellazione dei tuoi dati personali in determinate circostanze, ad esempio se i dati non sono più necessari per le finalità per cui sono stati raccolti, o se revochi il consenso e non abbiamo altra base giuridica per il trattamento. Questo è talvolta chiamato "diritto all'oblio". Si prega di notare che questo diritto non è assoluto; potremmo dover conservare determinate informazioni in caso di obbligo legale o di prevalente interesse legittimo (in tal caso, ti informeremo).
• Diritto di limitazione del trattamento: puoi chiederci di limitare il trattamento dei tuoi dati in determinate circostanze. Ad esempio, se contesti l'accuratezza dei dati o ti sei opposto al nostro trattamento (vedi sotto), puoi richiedere la limitazione mentre il problema viene risolto. Quando il trattamento è limitato, continueremo a conservare i tuoi dati ma non li utilizzeremo né condivideremo se non in circostanze limitate (ad esempio con il tuo consenso o per rivendicazioni legali).
• Diritto di opposizione: laddove trattiamo i tuoi dati personali sulla base di interessi legittimi , hai il diritto di opporti a tale trattamento. Se presenti un'obiezione, interromperemo il trattamento dei dati in questione, a meno che non possiamo dimostrare motivi legittimi cogenti per il trattamento che prevalgono sui tuoi diritti, o il trattamento sia per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. Hai inoltre il diritto incondizionato di opporti all'utilizzo dei tuoi dati personali per finalità di marketing diretto: in caso di opposizione, cesseremo immediatamente tale utilizzo.
• Diritto alla portabilità dei dati: qualora ci abbiate fornito dati e il trattamento sia effettuato con mezzi automatizzati sulla base del vostro consenso o per l'esecuzione di un contratto, avete il diritto di richiedere una copia di tali dati in un formato comune leggibile da dispositivo automatico e/o di ottenerne il trasferimento a un altro titolare del trattamento (ove tecnicamente fattibile). Questo diritto si applica principalmente ai dati da voi forniti attivamente. Vi assisteremo con tali richieste nella misura del possibile.

Per esercitare uno qualsiasi di questi diritti, ti preghiamo di contattarci all'indirizzo info@facadecreations.co.uk con i dettagli della tua richiesta. Potremmo dover verificare la tua identità per assicurarci di non divulgare i dati alla persona sbagliata e, in alcuni casi, potremmo chiederti chiarimenti sull'ambito della tua richiesta (ad esempio, se hai avuto più interazioni con noi). Risponderemo a tutte le richieste valide il prima possibile e comunque non oltre un mese dalla ricezione. Qualora avessimo bisogno di più tempo (fino a due mesi per richieste complesse), ti informeremo della proroga e dei motivi della stessa. In generale, non addebitiamo alcun costo per la gestione delle richieste, a meno che la richiesta non sia manifestamente infondata o eccessiva, nel qual caso potremmo addebitare un costo ragionevole o rifiutare la richiesta (fornendo una giustificazione).

Procedura di violazione dei dati

Nonostante le nostre solide misure di sicurezza, una violazione dei dati (un incidente che comporti la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali) potrebbe comunque verificarsi. Façade Creations ha predisposto un chiaro Piano di Risposta alle Violazioni dei Dati per garantire che tali incidenti siano gestiti in modo rapido ed efficace. La nostra procedura è la seguente:

1. Rilevamento e contenimento: i dipendenti sono formati per segnalare immediatamente alla direzione qualsiasi sospetta violazione dei dati (ad esempio, dispositivo smarrito, attività di sistema sospetta o e-mail errata inviata a un destinatario errato). Una volta segnalata o rilevata una potenziale violazione, interverremo rapidamente per contenerla , ad esempio isolando un sistema compromesso, richiamando e-mail inviate erroneamente o modificando le credenziali di accesso per impedire ulteriori accessi non autorizzati. Inoltre, creiamo un registro dell'incidente, della tempistica e delle azioni intraprese.
2. Valutazione: il team responsabile (guidato dal senior management e dall'IT, incluso il nostro responsabile della protezione dei dati) indagherà e valuterà la portata e la gravità della violazione. Valuteremo quali dati personali sono coinvolti, quante persone sono interessate, le potenziali conseguenze per tali persone e se i dati sono stati recuperati o sono ancora esposti. Questa valutazione del rischio viene effettuata tempestivamente, in quanto orienta i nostri successivi passi in materia di notifica.
3. Notifica: se la violazione rischia di comportare un rischio per i diritti e le libertà delle persone (ad esempio, rischio di furto di identità, perdita finanziaria, sicurezza personale o altro danno significativo), informeremo l'Information Commissioner 's Office (ICO) del Regno Unito entro 72 ore dalla conoscenza della violazione, come richiesto dalla legge. La nostra notifica all'ICO includerà dettagli sulla natura della violazione, le categorie e il numero approssimativo di persone e dati interessati, le probabili conseguenze e le misure adottate o proposte per affrontarla. Se il termine di 72 ore scade e non abbiamo raccolto tutte queste informazioni, invieremo una notifica iniziale e forniremo ulteriori dettagli non appena disponibili. Inoltre, se la violazione rischia di comportare un rischio elevato per le persone interessate (ad esempio, la fuga di informazioni sensibili che potrebbe portare a frodi o danni), informeremo anche tali persone senza indebito ritardo in termini chiari sull'accaduto e sulle eventuali misure che dovrebbero adottare per proteggersi. Forniremo indicazioni alle persone interessate su come mitigare eventuali effetti negativi (come la reimpostazione delle password, il monitoraggio di attività sospette, ecc.). Se la violazione non presenta rischi significativi (ad esempio, se i dati sono stati crittografati o recuperati tempestivamente), potremmo non dover avvisare i singoli individui, ma documentiamo comunque l'incidente internamente.
4. Revisione e prevenzione: dopo aver gestito l'incidente immediato, effettueremo una revisione post-violazione per comprenderne appieno la causa e identificare eventuali aree di miglioramento. Adotteremo tutte le azioni correttive necessarie per prevenire incidenti simili in futuro, come la revisione delle procedure, il potenziamento delle misure di sicurezza o la formazione aggiuntiva del personale. Tutte le violazioni e i quasi incidenti vengono registrati nel nostro registro interno delle violazioni, insieme ai dettagli della nostra risposta e dei nostri risultati, in conformità con i nostri obblighi di responsabilità.

Consideriamo qualsiasi violazione dei dati una questione seria. Seguendo questa procedura, miriamo a ridurre al minimo i danni alle persone e a imparare dagli incidenti per rafforzare costantemente le nostre misure di protezione dei dati.

Revisione e aggiornamenti

La presente Informativa sulla protezione dei dati è sottoposta a revisione periodica per garantire che sia sempre aggiornata in base alle normative in evoluzione e alle nostre attività aziendali. La revisione avviene almeno una volta all'anno . Le revisioni saranno inoltre avviate in caso di modifiche significative, ad esempio in caso di introduzione di nuove attività di trattamento dei dati, modifiche normative o in caso di importanti evidenze emerse da un audit sulla protezione dei dati o da un'indagine su una violazione.

Gli aggiornamenti alla politica saranno approvati dalla dirigenza aziendale. Il Direttore (Hashim Choksi) è responsabile dell'approvazione formale di eventuali revisioni e del monitoraggio continuo della conformità alla presente politica in tutta l'organizzazione. In caso di modifiche, la politica rivista sarà pubblicata sul nostro sito web e la data di "ultimo aggiornamento" verrà modificata di conseguenza. In caso di modifiche sostanziali, potremmo anche informare direttamente i dipendenti o altri soggetti interessati (ad esempio, tramite e-mail o una nota interna), soprattutto se le modifiche incidono sul modo in cui gestiamo i loro dati o sui loro diritti.

Effettuiamo inoltre audit periodici sulla protezione dei dati e controlli di conformità (internamente o con l'ausilio di consulenti esterni) per garantire che le nostre pratiche effettive siano in linea con la presente informativa. I risultati di tali audit saranno utilizzati per migliorare i nostri processi e potrebbero comportare aggiornamenti della policy o formazione aggiuntiva.

Rivedendo e aggiornando regolarmente la nostra politica e le nostre pratiche, Façade Creations ribadisce il proprio impegno verso elevati standard di protezione dei dati e si adatta in modo proattivo ai nuovi sviluppi.

ICO e reclami

Vogliamo che le persone abbiano fiducia nel modo in cui gestiamo i dati personali. In caso di dubbi o reclami sulle nostre pratiche di protezione dei dati, vi invitiamo a contattarci direttamente per consentirci di risolvere il problema. Inoltre, avete il diritto di presentare un reclamo all'autorità di controllo per la protezione dei dati del Regno Unito, ovvero l' Information Commissioner 's Office (ICO) . L'ICO può essere contattato tramite il suo sito web (ico.org.uk) o telefonicamente.

Includiamo informazioni sul diritto degli interessati a contattare l'ICO nelle nostre informative sulla privacy (ad esempio sul nostro sito web e nelle clausole contrattuali sulla protezione dei dati). Collaboreremo pienamente con l'ICO in caso di indagini. Naturalmente, ci auguriamo di risolvere qualsiasi problema collaborando direttamente con voi: la vostra fiducia è estremamente importante per noi.

Contattaci

Se hai domande sulla presente Informativa sulla protezione dei dati o desideri esercitare uno qualsiasi dei tuoi diritti in materia di protezione dei dati, non esitare a contattarci:

E-mail: info@facadecreations.co.uk
Postale: Richieste sulla protezione dei dati – Façade Creations Ltd, 124 City Road, Londra, EC1V 2NX, Regno Unito

Saremo lieti di assistervi e faremo il possibile per rispondere tempestivamente a tutte le richieste legittime.

Façade Creations Ltd – Registrata in Inghilterra e Galles (numero di società 16267073)

Ultimo aggiornamento: ottobre 2025