Politica sulla protezione dei dati

Politica sulla protezione dei dati di Façade Creations Ltd

Introduzione

Façade Creations Ltd si impegna a proteggere la privacy e la sicurezza dei dati personali in conformità con il Regolamento generale sulla protezione dei dati (GDPR) del Regno Unito e il Data Protection Act 2018, nonché con tutte le altre leggi applicabili in materia di protezione dei dati. Ci atteniamo inoltre alle disposizioni pertinenti del Companies Act 2006, in particolare per quanto riguarda la corretta tenuta dei registri e la sicurezza dei documenti aziendali. La presente informativa descrive come Façade Creations raccoglie, utilizza, archivia e protegge i dati personali nell'ambito delle proprie attività come azienda specializzata nella progettazione, produzione e installazione di facciate in alluminio su misura.Essa riguarda i dati personali relativi ai nostri dipendenti, clienti, fornitori, utenti del sito web e altri soggetti interessati e illustra i diritti degli individui in relazione ai propri dati.

Titolare del trattamento dei dati

Façade Creations Ltd è il "Titolare del trattamento dei dati" responsabile di determinare come e perché i dati personali vengono trattati nella nostra organizzazione. Per qualsiasi domanda, richiesta o dubbio riguardante i dati personali o la presente informativa, si prega di contattare il nostro responsabile della protezione dei dati:

• E-mail: info@facadecreations.co.uk
• Indirizzo postale: Façade Creations Ltd, 124 City Road, Londra, Inghilterra, EC1V 2NX find-and-update.company-information.service.gov.uk

Ruoli e responsabilità

La responsabilità ultima per la conformità alla protezione dei dati presso Façade Creations spetta al nostro Direttore, Hashim Choksi, che supervisiona e fa rispettare la presente Politica sulla protezione dei dati. Al momento non abbiamo nominato un Responsabile della protezione dei dati (DPO) formale, in quanto non siamo legalmente obbligati a farlo data la natura e la portata del nostro trattamento dei dati. Tuttavia, le responsabilità in materia di protezione dei dati sono gestite internamente dal management di livello superiore. Tutti i dipendenti ricevono una formazione di base sul GDPR e sulla protezione dei dati nell'ambito dei loro programmi di inserimento e di formazione continua. Ci si aspetta che i dipendenti comprendano e rispettino la presente politica e che segnalino al management qualsiasi potenziale problema relativo alla protezione dei dati. Vengono condotte revisioni e verifiche periodiche (vedere la sezione "Revisioni e aggiornamenti " di seguito) per garantire la conformità e colmare eventuali lacune.

Definizioni

Ai fini della presente politica si applicano le seguenti definizioni:

• Dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile (nota come "interessato"). Ciò include identificativi evidenti come il nome di una persona, i dati di contatto (e-mail, telefono, indirizzo), nonché identificativi come il codice identificativo del dipendente, l'indirizzo IP o qualsiasi informazione che possa essere collegata a una persona fisica.
• Elaborazione: qualsiasi operazione, sia automatizzata che manuale, eseguita su dati personali. L'elaborazione include la raccolta, la registrazione, l'organizzazione, la conservazione, la modifica, l'estrazione, l'utilizzo, la comunicazione, la trasmissione, l'interconnessione, la limitazione, la cancellazione o la distruzione di dati personali.
• Interessato: la persona fisica a cui si riferiscono i dati personali. Ad esempio, i nostri dipendenti, clienti e utenti del sito web possono essere tutti interessati ai sensi della presente informativa.
• Titolare del trattamento: l'entità che determina le finalità e le modalità del trattamento dei dati personali (in questo caso, Façade Creations Ltd).
• Responsabile del trattamento dei dati: una terza parte (diversa dai nostri dipendenti) che tratta dati personali per conto del Titolare del trattamento, in base alle istruzioni di quest'ultimo. (Ad esempio, un fornitore di servizi cloud che ospita i nostri dati può agire come Responsabile del trattamento dei dati.)

Raccolta ed elaborazione dei dati

Raccogliamo e trattiamo i dati personali solo per finalità specifiche, esplicite e legittime, necessarie per le nostre attività aziendali. Di seguito è riportata una panoramica delle tipologie di dati personali che trattiamo, nonché delle finalità e delle basi giuridiche per il trattamento di ciascuna tipologia:

1. Dati dei dipendenti (Risorse Umane) – Finalità: Reclutare, assumere e gestire il nostro personale e adempiere agli obblighi legali in qualità di datore di lavoro. Ciò include l'elaborazione dei dati per l'amministrazione delle risorse umane, la gestione delle buste paga, i benefit, le valutazioni delle prestazioni e la conformità in materia di salute e sicurezza sul lavoro.
   Categorie di dati: Dati personali dei dipendenti (nome, recapiti, data di nascita, codice fiscale), documenti di candidatura e registri di impiego (CV, referenze, contratti di lavoro, ruoli e date di impiego), dati bancari e di pagamento degli stipendi e qualsiasi certificazione o documento attestante il diritto al lavoro. Potremmo anche conservare, se necessario, i registri relativi alla formazione, alle valutazioni delle prestazioni e ai procedimenti disciplinari.
   Base giuridica: Necessità contrattuale (per adempiere al contratto di lavoro, ad esempio il pagamento degli stipendi); Obbligo legale (per conformarsi alle leggi sul lavoro, agli obblighi fiscali e alla tenuta dei registri previsti dalla legge, come i registri delle buste paga dell'HMRC e i requisiti del Companies Act 2006); e Interessi legittimi (per gestire in modo efficiente la nostra forza lavoro e garantire la continuità aziendale, bilanciando tali interessi con i diritti dei dipendenti).
2. Dati relativi a clienti e progetti – Scopo: Gestire i rapporti con i nostri clienti e fornire i nostri servizi di progettazione e installazione di facciate. Ciò include rispondere alle richieste, fornire preventivi, stipulare contratti, eseguire progetti e adempiere agli obblighi legali e contrattuali (ad es. normative in materia di salute e sicurezza, normative edilizie).
   Categorie di dati: Dati di contatto dei clienti (nomi, qualifiche professionali, indirizzi aziendali, numeri di telefono, indirizzi e-mail); informazioni relative ai progetti fornite dai clienti (requisiti del progetto, specifiche, indirizzi del cantiere); registrazioni delle comunicazioni con i clienti; e dettagli contrattuali e finanziari (preventivi, contratti, fatture, registrazioni dei pagamenti).
   Base giuridica: Necessità contrattuale (per intraprendere azioni su richiesta del cliente prima della stipula di un contratto e per eseguire i nostri contratti di progettazione, fornitura e installazione di facciate); Obbligo legale (conformità a leggi quali normative edilizie, codici edilizi, leggi fiscali relative alle transazioni con i clienti); e Interessi legittimi (garantire un'efficace gestione del progetto, mantenere i rapporti con i clienti e comunicare con i clienti nel contesto della nostra attività, ad es. fornire aggiornamenti sui progetti, in modi che i clienti si aspetterebbero ragionevolmente). In casi limitati, potremmo anche basarci sul consenso , ad esempio se un potenziale cliente si iscrive per ricevere newsletter di marketing (vedi Comunicazioni di marketing di seguito).
3. Dati di fornitori e appaltatori – Scopo: Gestire l'approvvigionamento di beni e servizi, coordinarsi con i nostri subappaltatori e fornitori e adempiere ai nostri obblighi di pagamento e documentazione di tali transazioni. Ciò include i dati relativi ai nostri fornitori, subappaltatori, consulenti e altre terze parti con cui collaboriamo sui progetti.
   Categorie di dati: Dati di contatto di fornitori o appaltatori (nome della persona di contatto, ragione sociale, indirizzo, e-mail, telefono); contratti e accordi; informazioni bancarie e di pagamento (numeri di conto, codici di ordinamento o IBAN, partita IVA o numero di società) necessarie per i pagamenti; e qualifiche o dettagli assicurativi pertinenti (ad esempio, prova di assicurazione di responsabilità professionale o certificazioni se richieste dal nostro processo di verifica degli appaltatori).
   Base giuridica: Necessità contrattuale (per stipulare ed eseguire contratti con i nostri fornitori e subappaltatori, ad esempio emissione di ordini di acquisto, pagamento di fatture); Obbligo legale (ad esempio, conservazione dei registri delle transazioni a fini fiscali e di revisione contabile, conformità alle leggi antifrode o anticorruzione ove applicabili); e Interessi legittimi (come la verifica della qualità e dell'affidabilità dei fornitori, la garanzia dell'efficienza della catena di fornitura del progetto e il mantenimento della continuità aziendale). Questi interessi vengono bilanciati con eventuali ripercussioni sulla privacy e, in genere, i dati che raccogliamo in questo contesto sono orientati al business e non eccessivamente personali.
4. Dati di marketing e comunicazione – Scopo: Inviare aggiornamenti, notizie o comunicazioni di marketing sui nostri servizi alle persone che hanno scelto di ricevere tali informazioni. Questo ci aiuta a promuovere la nostra attività e a tenere informate le parti interessate sulle nostre offerte (ad esempio, nuove soluzioni per facciate, casi di studio di progetti o eventi).
   Categorie di dati: Nomi e recapiti (come indirizzo email e nome dell'azienda) di clienti o potenziali clienti che hanno espresso interesse per i nostri servizi o si sono iscritti alla nostra mailing list. Potremmo anche registrare le preferenze di comunicazione (ad esempio, i dati relativi al consenso, il metodo di contatto preferito) e la cronologia delle interazioni (ad esempio, i tassi di apertura delle email o la partecipazione agli eventi, a livello aggregato).
   Base giuridica: Consenso – Ci basiamo sul consenso esplicito per tutte le comunicazioni di marketing via email. Le persone vengono aggiunte alla nostra mailing list di marketing solo se ci hanno fornito un consenso chiaro (ad esempio, spuntando una casella di consenso su un modulo o iscrivendosi tramite il nostro sito web). Non inviamo email di marketing di massa senza consenso. Gli interessati hanno il diritto di revocare il consenso in qualsiasi momento. Ogni email di marketing che inviamo include un per annullare l'iscrizione , e gli utenti possono anche contattarci in qualsiasi momento per essere rimossi dalle liste di marketing. Daremo seguito tempestivamente alle richieste di disiscrizione.
5. Dati degli utenti del sito web e cookie – Scopo: Gestire e migliorare il sito web della nostra azienda e comprendere come gli utenti interagiscono con esso. Quando visitate il nostro sito web (www.facadecreations.co.uk), raccogliamo determinati dati tramite cookie e tecnologie simili per funzionalità e analisi.
   Categorie di dati: Utilizziamo i cookie per le funzionalità essenziali del sito (come la gestione della sessione, che memorizza le vostre preferenze o vi mantiene connessi, se applicabile) e per analisi di base. I dati analitici (ad esempio tramite Google Analytics) sono in genere aggregati e anonimizzati, aiutandoci a monitorare il traffico del sito web e i modelli di utilizzo senza identificare direttamente i singoli visitatori. Non raccogliamo informazioni di identificazione personale tramite i cookie analitici e non utilizziamo i cookie per scopi pubblicitari. Se il nostro sito web contiene moduli di contatto o di richiesta, i dati personali che fornite (ad esempio nome, email, telefono e dettagli della richiesta) saranno utilizzati solo per rispondere alla vostra richiesta (come parte dei Dati del Cliente sopra menzionati) e gestiti in conformità con la presente informativa.
   Base giuridica: Interessi legittimi – È nel nostro interesse garantire il corretto funzionamento del nostro sito web e comprenderne l'utilizzo al fine di migliorarlo, nel rispetto della privacy degli utenti (i dati analitici vengono anonimizzati). Ci basiamo inoltre sul consenso laddove richiesto dalla legge (alla prima visita, visualizziamo un'informativa sui cookie per richiedere il consenso ai cookie non essenziali). È possibile disabilitare i cookie non essenziali in qualsiasi momento tramite le impostazioni del browser; tuttavia, si prega di notare che ciò potrebbe influire su alcune funzionalità del sito.

Condivisione e trasferimenti di dati

Trattiamo i dati personali con riservatezza e non li condividiamo con terze parti, a meno che non sia necessario per raggiungere lo scopo per cui sono stati raccolti o non siamo legalmente obbligati a farlo. Quando la condivisione è necessaria, applichiamo il principio di minimizzazione dei dati, condividendo solo le informazioni necessarie. I principali casi in cui potremmo condividere i dati personali includono:

• Subappaltatori e fornitori: Condividiamo i dati rilevanti con i nostri subappaltatori, subconsulenti e fornitori, a seconda delle necessità per l'esecuzione del progetto. Ad esempio, potremmo fornire a un subappaltatore i dettagli di accesso al cantiere o i nomi dei lavoratori per motivi di salute e sicurezza, oppure condividere le informazioni di contatto del cliente con un partner di consegna per coordinare una spedizione. In tutti i casi, alle terze parti vengono forniti solo i dati necessari per il loro specifico compito e ci si aspetta che li gestiscano in modo sicuro.
• Consulenti professionali: potremmo condividere i dati con i nostri assicuratori, commercialisti, avvocati o altri consulenti professionali. Ad esempio, un assicuratore potrebbe ricevere i dettagli di un sinistro che include dati personali, oppure i nostri commercialisti potrebbero visualizzare le informazioni sui pagamenti di dipendenti e appaltatori durante la gestione delle buste paga o degli audit finanziari. Queste parti sono vincolate dal segreto professionale o da accordi contrattuali in materia di protezione dei dati.
• Consulenti e partner commerciali: se coinvolgiamo consulenti esterni o partner di joint venture in un progetto, potremmo dover condividere determinati dati (ad esempio, i dati di contatto del team di progetto, i profili di esperienza pertinenti) per facilitare la collaborazione. Tale condivisione sarà regolata da accordi di non divulgazione e accordi di elaborazione dei dati, ove appropriato.
• Requisiti normativi e legali: Divulgheremo i dati personali a enti governativi, autorità di regolamentazione, forze dell'ordine o tribunali qualora richiesto dalla legge. Ad esempio, potremmo dover fornire informazioni all'Agenzia delle Entrate britannica (HM Revenue & Customs - HMRC) a fini fiscali, all'Ufficio del Garante per la protezione dei dati personali (Information Commissioner's Office - ICO) qualora stia indagando su un reclamo, oppure per ottemperare a un'ordinanza del tribunale o a una citazione in giudizio. In ogni caso, verificheremo la legittimità della richiesta e condivideremo solo i dati necessari per legge.

Façade Creations non vende dati personali a terzi per scopi di marketing o di altro tipo.

Trasferimenti internazionali: Essendo un'azienda con sede nel Regno Unito, archiviamo ed elaboriamo i dati principalmente all'interno del Regno Unito. Tuttavia, utilizziamo alcuni servizi cloud affidabili (ad esempio, Microsoft 365 per l'archiviazione di e-mail e documenti, di Google strumenti di analisi Xero per la contabilità) che possono comportare l'archiviazione dei dati su server al di fuori del Regno Unito. Ogni volta che i dati personali vengono trasferiti al di fuori del Regno Unito (o dello Spazio economico europeo) – ad esempio, verso data center negli Stati Uniti o altrove – ci assicuriamo che siano in atto garanzie legali. Queste garanzie possono includere le Clausole Contrattuali Standard (SCC) o il ricorso a una decisione di adeguatezza del governo del Regno Unito, e ci assicuriamo che i nostri fornitori di servizi siano certificati o contrattualmente impegnati a standard di protezione dei dati equivalenti al GDPR. Verifichiamo attentamente i fornitori terzi per la loro conformità alla protezione dei dati e utilizziamo solo aziende riconosciute a livello internazionale con solide pratiche di sicurezza. Il nostro obiettivo è che i dati personali ricevano lo stesso livello di protezione indipendentemente dal luogo in cui vengono elaborati.

Sicurezza dei dati

Façade Creations adotta adeguate misure di sicurezza tecniche e organizzative per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o alterazione. Rivediamo e miglioriamo costantemente le nostre pratiche di sicurezza in linea con gli standard del settore. Le principali misure che abbiamo implementato includono:

• Archiviazione sicura: i dati personali in formato elettronico sono archiviati su sistemi sicuri con accesso controllato. Utilizziamo la crittografia per i dati sensibili, sia a riposo che in transito (ad esempio, i nostri database e laptop utilizzano la crittografia del disco). I server sono protetti da password e firewall, e l'archiviazione cloud (ad esempio SharePoint/OneDrive all'interno di Microsoft 365) è crittografata e monitorata. I documenti cartacei contenenti dati personali sono conservati in armadi chiusi a chiave o in aree ufficio sicure con accesso limitato.
• Controlli di accesso: limitiamo l'accesso ai dati personali esclusivamente al personale autorizzato che ne ha bisogno per le proprie mansioni lavorative. Diversi livelli di accesso sono concessi in base al ruolo (principio del privilegio minimo). Ad esempio, i dati delle risorse umane sono accessibili solo al personale autorizzato delle risorse umane e al management; i dati di progetto sono accessibili al team di progetto e agli amministratori competenti. Tutti i dipendenti sono tenuti a utilizzare password complesse e univoche per i sistemi aziendali e, ove possibile, è abilitata l'autenticazione a più fattori per l'accesso remoto.
• Comunicazione sicura: quando trasmettiamo dati personali a terze parti (ad esempio, quando inviamo informazioni sulle buste paga al nostro contabile o condividiamo dati di progetto con un subappaltatore), utilizziamo canali sicuri. Le e-mail vengono inviate tramite connessioni TLS crittografate per impostazione predefinita e utilizziamo la protezione tramite password o la crittografia per i file che contengono dati particolarmente sensibili. Sconsigliamo l'uso di canali non sicuri per qualsiasi trasferimento di informazioni personali.
• Sicurezza fisica: i nostri uffici sono protetti per impedire accessi non autorizzati: l'accesso agli uffici e alle aree di archiviazione è limitato al personale (tramite chiavi o tessere di accesso) e i visitatori vengono accompagnati. Documenti o dispositivi contenenti dati personali non vengono lasciati incustoditi nelle aree pubbliche. Inoltre, utilizziamo la triturazione per lo smaltimento di qualsiasi documento cartaceo contenente dati personali e adottiamo una politica di scrivania ordinata per ridurre al minimo l'esposizione di documenti sensibili.
• Sicurezza dei dispositivi e IT: tutti i laptop e i dispositivi aziendali sono configurati con software antivirus/antimalware aggiornati e vengono regolarmente aggiornati con gli ultimi aggiornamenti di sicurezza. Adottiamo un processo di gestione delle risorse IT per monitorare i dispositivi aziendali e garantirne lo smaltimento sicuro in caso di dismissione. Le unità portatili o le unità di archiviazione USB contenenti dati personali vengono crittografate o, ove possibile, evitate.
• Servizi di terze parti: ci avvaliamo di fornitori di servizi cloud e IT affidabili (come Microsoft e Xero) per supportare la nostra attività. Prima di affidare la gestione dei dati personali a qualsiasi fornitore, ne valutiamo le certificazioni di sicurezza e le informative sulla privacy per garantire che rispettino gli standard GDPR. Stipuliamo accordi di trattamento dei dati con tali fornitori per garantire che si impegnino a proteggere i dati per nostro conto.
• Monitoraggio e test: eseguiamo regolarmente audit di sicurezza e valutazioni dei rischi dei nostri sistemi. I diritti di accesso dei dipendenti vengono rivisti periodicamente per garantire che vengano mantenuti solo gli accessi necessari. Forniamo inoltre formazione continua al personale sulle migliori pratiche di sicurezza informatica (come il riconoscimento dei tentativi di phishing e la protezione delle informazioni).

Implementando le misure di cui sopra, ci impegniamo a mantenere un elevato livello di sicurezza e a ridurre il rischio di violazioni dei dati o di divulgazione non autorizzata degli stessi.

Conservazione dei dati

Conserviamo i dati personali solo per il tempo necessario a soddisfare le finalità per cui sono stati raccolti e a soddisfare eventuali obblighi legali, contabili o di rendicontazione. I periodi di conservazione sono determinati in base al tipo di dati e agli obblighi legali/normativi applicabili. Le nostre politiche generali di conservazione sono le seguenti:

• Dati dei dipendenti (HR): conserviamo i dati personali dei dipendenti fino a 6 anni dopo la cessazione del rapporto di lavoro, in linea con i termini di prescrizione previsti dalla legge del Regno Unito per le richieste di lavoro e i requisiti dell'HMRC. Ciò include la conservazione dei dati identificativi di base, dei contratti di lavoro e delle buste paga per sei anni dopo la cessazione del rapporto. Alcuni dati potrebbero essere conservati più a lungo se necessario (ad esempio, le informazioni sul piano pensionistico o i registri degli infortuni potrebbero essere conservati per un periodo più lungo in base a normative specifiche), ma non conserveremo i file HR completi a tempo indeterminato.
• Documenti finanziari: i documenti finanziari che potrebbero contenere dati personali (ad esempio fatture, registri di pagamento, note spese) vengono conservati per 6 anni dopo la fine dell'esercizio finanziario, in conformità con le normative fiscali dell'HMRC e con i requisiti di conservazione dei documenti previsti dal Companies Act 2006. Ciò garantisce la disponibilità della documentazione in caso di verifiche o indagini finanziarie. Dopo 6 anni, tali documenti vengono eliminati in modo sicuro, a meno che non sia legalmente richiesto un periodo di conservazione più lungo per articoli specifici.
• Documenti relativi al progetto e al cliente: i documenti relativi al progetto (che possono includere corrispondenza con il cliente, contratti, piani di progetto, ecc.) vengono conservati per tutta la durata del progetto e in genere per 6-10 anni dopo il suo completamento. Il periodo esatto dipende dagli obblighi contrattuali e dalle considerazioni di responsabilità; ad esempio, i contratti spesso specificano che determinati documenti debbano essere conservati per un certo numero di anni. Nel settore edile, un periodo di 6-12 anni è comune (12 anni se sigillati). Abbiamo adottato 10 anni come linea guida generale per i documenti relativi ai progetti più importanti, al fine di coprire i potenziali periodi di responsabilità per vizi occulti. Questi documenti vengono archiviati in modo sicuro e consultati solo se necessario per motivi di riferimento o legali.
• Richieste e dati di potenziali clienti: se un individuo invia una richiesta ma non procede con un contratto con noi, conserveremo la corrispondenza relativa alla richiesta e i suoi dati di contatto fino a 2 anni dall'ultima interazione. Questo ci consente di dare seguito a potenziali affari o di comprendere le comunicazioni passate. Dopo 2 anni di inattività (o immediatamente su richiesta), eliminiamo o rendiamo anonimi i dati delle richieste. Per gli individui che hanno acconsentito a ricevere comunicazioni di marketing, conserveremo i loro dati fino a quando non annulleranno l'iscrizione o ritireranno il consenso, momento in cui li rimuoveremo tempestivamente dalle nostre mailing list attive (mantenendo comunque una lista di soppressione per garantire di rispettare le richieste di non contatto).
• Altre categorie: i filmati di videosorveglianza (se mai dovessimo utilizzare sistemi di videosorveglianza presso i nostri locali) vengono solitamente conservati per un breve periodo (ad esempio 30 giorni), a meno che non siano necessari per un'indagine. I dati relativi alle assunzioni (candidature) per i candidati che non assumiamo vengono solitamente conservati fino a 6 mesi, a meno che il candidato non acconsenta a una conservazione più lunga per opportunità future.

In ogni caso, una volta trascorso un periodo di conservazione, elimineremo in modo sicuro i dati personali o renderemo anonimi (in modo che non possano più essere associati a un individuo). La cancellazione sicura può comportare la cancellazione permanente dei file elettronici mediante strumenti software appropriati e la distruzione dei documenti cartacei. Manteniamo un programma di conservazione dei dati e rivediamo periodicamente i dati in nostro possesso, per garantire che non conserviamo i dati personali più a lungo del necessario.

Diritti individuali

Gli interessati (persone di cui conserviamo i dati) hanno una serie di diritti ai sensi del GDPR del Regno Unito. Façade Creations rispetta e sostiene tali diritti. In sintesi, gli interessati hanno il diritto di:

• Diritto di accesso: Puoi richiedere conferma del fatto che stiamo trattando i tuoi dati personali e, in tal caso, richiederne una copia, nonché informazioni su come li utilizziamo. Questa richiesta è comunemente nota come "Richiesta di accesso ai dati personali". Forniremo le informazioni in modo conciso e trasparente, di norma entro un mese dal ricevimento di una richiesta valida.
• Diritto di rettifica: se i tuoi dati personali in nostro possesso sono inesatti o incompleti, hai il diritto di richiederne la correzione o l'aggiornamento. Dopo la verifica, correggeremo tempestivamente le inesattezze.
• Diritto alla cancellazione: Hai il diritto di richiedere la cancellazione dei tuoi dati personali in determinate circostanze, ad esempio se i dati non sono più necessari per le finalità per cui sono stati raccolti o se revochi il consenso e non abbiamo altre basi giuridiche per il trattamento. Questo diritto è talvolta chiamato "diritto all'oblio". Tieni presente che questo diritto non è assoluto; potremmo dover conservare alcune informazioni laddove abbiamo un obbligo legale o un interesse legittimo prevalente a farlo (in tal caso ti informeremo).
• Diritto di limitazione del trattamento: puoi chiederci di limitare il trattamento dei tuoi dati in determinate circostanze. Ad esempio, se contesti l'accuratezza dei dati o ti sei opposto al nostro trattamento (vedi sotto), puoi richiedere la limitazione mentre il problema viene risolto. Quando il trattamento è limitato, continueremo a conservare i tuoi dati ma non li utilizzeremo né condivideremo se non in circostanze limitate (ad esempio con il tuo consenso o per rivendicazioni legali).
• Diritto di opposizione: laddove trattiamo i vostri dati personali sulla base di interessi legittimi, avete il diritto di opporvi a tale trattamento. Se presentate un'opposizione, interromperemo il trattamento dei dati in questione, a meno che non possiamo dimostrare motivi legittimi cogenti per il trattamento che prevalgano sui vostri diritti, oppure che il trattamento sia necessario per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. Avete inoltre il diritto incondizionato di opporvi all'utilizzo dei vostri dati personali per finalità di marketing diretto: in caso di opposizione, interromperemo immediatamente tale utilizzo.
• Diritto alla portabilità dei dati: qualora ci abbiate fornito dati e il trattamento sia effettuato con mezzi automatizzati sulla base del vostro consenso o per l'esecuzione di un contratto, avete il diritto di richiedere una copia di tali dati in un formato comune leggibile da dispositivo automatico e/o di ottenerne il trasferimento a un altro titolare del trattamento (ove tecnicamente fattibile). Questo diritto si applica principalmente ai dati da voi forniti attivamente. Vi assisteremo con tali richieste nella misura del possibile.

Per esercitare uno qualsiasi di questi diritti, vi preghiamo di contattarci all'indirizzo info@facadecreations.co.uk fornendoci i dettagli della vostra richiesta. Potremmo dover verificare la vostra identità per assicurarci di non divulgare i dati alla persona sbagliata e, in alcuni casi, potremmo chiedere chiarimenti sulla portata della vostra richiesta (ad esempio, se avete avuto più interazioni con noi). Risponderemo a tutte le richieste valide il prima possibile, e comunque entro un mese dal ricevimento. Se avremo bisogno di più tempo (fino a due mesi aggiuntivi per richieste complesse), vi informeremo della proroga e delle relative motivazioni. In generale, non applichiamo alcuna commissione per la gestione delle richieste, a meno che una richiesta non sia manifestamente infondata o eccessiva, nel qual caso potremmo addebitare una commissione ragionevole o rifiutare la richiesta (fornendo una giustificazione).

Procedura di violazione dei dati

Nonostante le nostre solide misure di sicurezza, una violazione dei dati (incidente che comporti la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso non autorizzato a dati personali) potrebbe comunque verificarsi. Façade Creations ha predisposto un chiaro Piano di Risposta alle Violazioni dei Dati per garantire che tali incidenti vengano gestiti in modo rapido ed efficace. La nostra procedura è la seguente:

1. Rilevamento e contenimento: i dipendenti sono formati per segnalare immediatamente alla direzione qualsiasi sospetta violazione dei dati (ad esempio, smarrimento del dispositivo, attività di sistema sospette o invio errato di un'e-mail a un destinatario errato). Una volta segnalata o rilevata una potenziale violazione, interveniamo tempestivamente per contenerla , ad esempio isolando il sistema compromesso, ritirando le e-mail inviate per errore o modificando le credenziali di accesso per impedire ulteriori accessi non autorizzati. Inoltre, teniamo un registro dell'incidente, della sua tempistica e delle azioni intraprese.
2. Valutazione: il team responsabile (guidato dal senior management e dall'IT, incluso il nostro responsabile della protezione dei dati) indagherà e valuterà la portata e la gravità della violazione. Valuteremo quali dati personali sono coinvolti, quante persone sono interessate, le potenziali conseguenze per tali persone e se i dati sono stati recuperati o sono ancora esposti. Questa valutazione del rischio viene effettuata tempestivamente, in quanto orienta i nostri successivi passi in materia di notifica.
3. Notifica: Se la violazione dei dati può comportare un rischio per i diritti e le libertà delle persone fisiche (ad esempio, rischio di furto d'identità, perdita finanziaria, sicurezza personale o altri danni significativi), notificheremo l'Ufficio del Garante per la protezione dei dati personali del Regno Unito(ICO) entro 72 ore dalla conoscenza della violazione, come previsto dalla legge. La nostra notifica all'ICO includerà i dettagli sulla natura della violazione, le categorie e il numero approssimativo di persone e dati interessati, le probabili conseguenze e le misure adottate o proposte per affrontarla. Se il termine di 72 ore è trascorso e non abbiamo raccolto tutte queste informazioni, invieremo una notifica iniziale e forniremo ulteriori dettagli non appena disponibili. Inoltre, se la violazione può comportare un rischio elevato per le persone interessate (ad esempio, la divulgazione di informazioni sensibili che potrebbero portare a frodi o danni), informeremo tali persone senza indebito ritardo e in termini chiari su quanto accaduto e sulle misure che dovrebbero adottare per proteggersi. Forniremo indicazioni alle persone interessate su come mitigare eventuali effetti negativi (come il ripristino delle password, il monitoraggio di attività sospette, ecc.). Se la violazione non comporta rischi significativi (ad esempio, se i dati sono stati crittografati o recuperati tempestivamente), potremmo non dover notificare le persone interessate, ma documentiamo comunque l'incidente internamente.
4. Revisione e prevenzione: dopo aver gestito l'incidente immediato, effettueremo una revisione post-violazione per comprenderne appieno la causa e identificare eventuali aree di miglioramento. Adotteremo tutte le azioni correttive necessarie per prevenire incidenti simili in futuro, come la revisione delle procedure, il potenziamento delle misure di sicurezza o la formazione aggiuntiva del personale. Tutte le violazioni e i quasi incidenti vengono registrati nel nostro registro interno delle violazioni, insieme ai dettagli della nostra risposta e dei nostri risultati, in conformità con i nostri obblighi di responsabilità.

Consideriamo qualsiasi violazione dei dati una questione seria. Seguendo questa procedura, miriamo a ridurre al minimo i danni alle persone e a imparare dagli incidenti per rafforzare costantemente le nostre misure di protezione dei dati.

Revisione e aggiornamenti

La presente Informativa sulla protezione dei dati viene regolarmente rivista per garantire che rimanga aggiornata in base alle modifiche legislative e alle nostre attività aziendali. L'informativa viene rivista almeno una volta all'anno. Le revisioni saranno inoltre effettuate in caso di modifiche significative, ad esempio in presenza di nuove attività di trattamento dei dati, di modifiche normative o in caso di riscontri importanti derivanti da un audit sulla protezione dei dati o da un'indagine su una violazione.

Gli aggiornamenti alla politica saranno approvati dalla dirigenza aziendale. Il Direttore (Hashim Choksi) è responsabile dell'approvazione formale di qualsiasi revisione e del monitoraggio del rispetto continuo della presente politica in tutta l'organizzazione. Quando vengono apportate modifiche, la politica rivista verrà pubblicata sul nostro sito web e la data di "ultimo aggiornamento" verrà modificata di conseguenza. Per le modifiche sostanziali, potremmo anche informare direttamente i dipendenti o altre persone interessate (ad esempio, tramite e-mail o una nota interna), soprattutto se le modifiche hanno un impatto sul modo in cui gestiamo i loro dati o sui loro diritti.

Effettuiamo inoltre audit periodici sulla protezione dei dati e controlli di conformità (internamente o con l'ausilio di consulenti esterni) per garantire che le nostre pratiche effettive siano in linea con la presente informativa. I risultati di tali audit saranno utilizzati per migliorare i nostri processi e potrebbero comportare aggiornamenti della policy o formazione aggiuntiva.

Rivedendo e aggiornando regolarmente la nostra politica e le nostre pratiche, Façade Creations ribadisce il proprio impegno verso elevati standard di protezione dei dati e si adatta in modo proattivo ai nuovi sviluppi.

ICO e reclami

Vogliamo che le persone abbiano fiducia nel modo in cui trattiamo i dati personali. Se avete dubbi o reclami in merito alle nostre pratiche di protezione dei dati, vi invitiamo a contattarci direttamente in modo che possiamo affrontare il problema. Inoltre, avete il diritto di presentare un reclamo all'autorità di controllo del Regno Unito per la protezione dei dati, ovvero l' Information Commissioner'sOffice (ICO). È possibile contattare l'ICO tramite il suo sito web (ico.org.uk) o telefonicamente.

Includiamo informazioni sul diritto degli interessati a contattare l'ICO nelle nostre informative sulla privacy (ad esempio sul nostro sito web e nelle clausole contrattuali sulla protezione dei dati). Collaboreremo pienamente con l'ICO in caso di indagini. Naturalmente, ci auguriamo di risolvere qualsiasi problema collaborando direttamente con voi: la vostra fiducia è estremamente importante per noi.

Contattaci

Se hai domande sulla presente Informativa sulla protezione dei dati o desideri esercitare uno qualsiasi dei tuoi diritti in materia di protezione dei dati, non esitare a contattarci:

E-mail: info@facadecreations.co.uk
Indirizzo postale: Data Protection Enquiries – Façade Creations Ltd, 124 City Road, Londra, EC1V 2NX, Regno Unito

Saremo lieti di assistervi e faremo il possibile per rispondere tempestivamente a tutte le richieste legittime.

Façade Creations Ltd – Registrata in Inghilterra e Galles (Numero di società 16267073)

Ultimo aggiornamento: ottobre 2025