GDPR e Registro Breach
PRIVACY POLICY E DOCUMENTI GDPR
Cablotech Industries S.p.A.
Documento composito — include:
- Privacy Policy (informativa esterna)
- Registro dei Trattamenti (art. 30 GDPR)
- Data Breach Incidents Log
DPO (Data Protection Officer): Non nominato (la società non rientra nelle categorie obbligatorie ex art. 37 GDPR)
Referente Privacy interno: Andrea Poli — Responsabile IT
Consulente esterno: Studio Legale Premoli & Associati (avv. Giulia Premoli)
Aggiornato al: 31 dicembre 2023
PARTE 1 — PRIVACY POLICY
Informativa sul trattamento dei dati personali
ai sensi degli artt. 13-14 del Regolamento UE 2016/679 (GDPR)
Titolare del trattamento:
Cablotech Industries S.p.A.
Via dell'Industria 42, 25050 Provaglio d'Iseo (BS)
P.IVA 02847610984
Email: privacy@cablotech.it
Tel: 030/9876543
Categorie di soggetti interessati e finalità del trattamento
A — Clienti e potenziali clienti:
| Finalità | Base giuridica | Dati trattati | Conservazione |
|---|---|---|---|
| Gestione del rapporto commerciale | Esecuzione contratto (art. 6.1.b) | Ragione sociale, dati contatto, dati fatturazione | Durata contratto + 10 anni (obbligo fiscale) |
| Invio offerte commerciali | Legittimo interesse (art. 6.1.f) | Email, nome referente | Fino a revoca o cessazione rapporto |
| Newsletter e comunicazioni marketing | Consenso (art. 6.1.a) | Email aziendale | Fino a revoca consenso |
| Adempimenti fiscali e contabili | Obbligo legale (art. 6.1.c) | Dati fatturazione completi | 10 anni ex art. 2220 c.c. |
B — Fornitori e collaboratori:
| Finalità | Base giuridica | Dati trattati | Conservazione |
|---|---|---|---|
| Gestione rapporto di fornitura | Esecuzione contratto | Dati azienda, referente, IBAN | Durata contratto + 10 anni |
| Verifica antimafia e antiriciclaggio | Obbligo legale | CF, doc. identità referente | 10 anni dalla fine rapporto |
C — Dipendenti e collaboratori:
| Finalità | Base giuridica | Dati trattati | Conservazione |
|---|---|---|---|
| Gestione rapporto di lavoro | Esecuzione contratto + obbligo legale | Dati anagrafici, retributivi, presenze, malattie | Durata rapporto + 10 anni |
| Videosorveglianza (stabilimenti) | Legittimo interesse + accordo sindacale | Immagini | 72 ore (salvo incidenti) |
| Controllo accessi badge | Legittimo interesse | Log accessi (non geolocalizzazione) | 30 giorni |
| Dati sensibili (salute) | Obbligo legale (sorveglianza sanitaria) | Cartelle sanitarie, inidoneità | 10 anni dalla cessazione |
D — Visitatori del sito web:
| Finalità | Base giuridica | Dati trattati | Conservazione |
|---|---|---|---|
| Cookie tecnici | Legittimo interesse | IP, sessione | Sessione / 13 mesi |
| Cookie analitici (Google Analytics 4) | Consenso | IP anonimizzato, comportamento navigazione | 14 mesi |
| Modulo contatti | Esecuzione misure precontrattuali | Nome, email, messaggio | 12 mesi |
Comunicazione e trasferimento dei dati
I dati personali non sono ceduti a terzi per finalità proprie. Sono comunicati a:
- Banca Intesa Sanpaolo (pagamenti)
- Studio Colombo & Associati (revisione legale)
- Zucchetti S.p.A. (gestione ERP — responsabile del trattamento)
- Aon S.p.A. (broker assicurativo)
- Eurotrasporti Logistica (spedizioni — solo dati necessari)
- Salesforce Inc. (CRM — trasferimento USA coperto da Standard Contractual Clauses)
Diritti degli interessati
Gli interessati possono esercitare i diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione inviando richiesta a privacy@cablotech.it. Risposta entro 30 giorni. Diritto di reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).
PARTE 2 — REGISTRO DEI TRATTAMENTI
art. 30 GDPR
Versione: 4.0 — Aggiornata il 15/01/2023
| ID | Trattamento | Titolare/Resp. | Base giur. | Categorie dati | Categorie interessati | Trasferimenti extra-UE | Misure sicurezza | Conservazione |
|---|---|---|---|---|---|---|---|---|
| T01 | Gestione clienti e contratti | Titolare | 6.1.b + 6.1.c | Anagrafici, fiscali, commerciali | Persone di riferimento clienti | No | TLS, accesso ruolo, backup | 10 anni |
| T02 | Gestione fornitori | Titolare | 6.1.b + 6.1.c | Anagrafici, bancari | Referenti fornitori | No (eccetto Niehoff DE — adeguatezza) | TLS, accesso ruolo | 10 anni |
| T03 | Gestione HR e payroll | Titolare | 6.1.b + 6.1.c | Anagrafici, retributivi, previdenziali | Dipendenti | No | Cifratura DB, accesso limitato HR | 10 anni post-cessazione |
| T04 | Dati salute dipendenti | Titolare + Medico competente | 9.2.b + 9.2.h | Salute | Dipendenti | No | Cifratura, accesso medico | 10 anni |
| T05 | Videosorveglianza | Titolare | 6.1.f + accordo sindacale | Immagini | Dipendenti, visitatori | No | Sistema IP criptato | 72 ore |
| T06 | CRM e marketing | Titolare | 6.1.f + 6.1.a | Contatti, comportamento | Clienti, prospect | USA (Salesforce — SCC) | TLS, pseudonimizzazione | Fino revoca |
| T07 | Contabilità e fiscalità | Titolare | 6.1.c | Anagrafici, fiscali, bancari | Clienti, fornitori, dipendenti | No | Backup, accesso limitato | 10 anni |
| T08 | Controllo accessi badge | Titolare | 6.1.f | Log accessi (non geoloc.) | Dipendenti | No | DB locale criptato | 30 giorni |
| T09 | Cookie analitici sito | Titolare | 6.1.a | IP anonimizzato | Visitatori sito | USA (Google — SCC) | Anonimizzazione IP | 14 mesi |
| T10 | Antiriciclaggio (D.Lgs. 231/07) | Titolare | 6.1.c | Identificativi, PEP | Clienti a rischio, fornitori strategici | No | Accesso limitato Compliance | 10 anni |
PARTE 3 — DATA BREACH INCIDENTS LOG
Registro degli incidenti di sicurezza informatica con potenziale impatto su dati personali
Arco temporale: 2018–2023
BREACH-001 — Phishing — ottobre 2021
| Campo | Valore |
|---|---|
| Data rilevazione | 14 ottobre 2021 |
| Data incidente | 13 ottobre 2021 |
| Tipo incidente | Phishing — click su link malevolo da parte di dipendente |
| Dipendente coinvolto | Addetto amministrativo (anonimizzato nel registro) |
| Dati potenzialmente compromessi | Credenziali account email aziendale |
| Dati personali degli interessati a rischio | Email in casella del dipendente: ~340 email con dati clienti (nomi, email, ordini) |
| Notifica al Garante | No — valutato rischio "improbabile" per gli interessati (credenziali resettate entro 2 ore, nessuna esfiltrazione confermata) |
| Notifica agli interessati | No |
| Azioni correttive | Introduzione MFA su tutte le caselle email (completato 30/11/2021); corso anti-phishing obbligatorio per tutti i dipendenti |
BREACH-002 — Perdita laptop — marzo 2022
| Campo | Valore |
|---|---|
| Data rilevazione | 8 marzo 2022 |
| Data incidente | 7 marzo 2022 (furto da auto in sosta) |
| Tipo incidente | Perdita dispositivo fisico — laptop aziendale rubato |
| Dipendente coinvolto | Agente commerciale (zona Nord Italia) |
| Dati sul dispositivo | File Excel con lista clienti zona (nome, email, telefono, note commerciali) — ~280 record |
| Cifratura dispositivo | No — laptop non cifrato ⚠ |
| Notifica al Garante | Sì — notifica inviata il 10/03/2022 entro le 72 ore (prot. Garante 22-BS-000412) |
| Esito notifica Garante | Presa d'atto — nessuna sanzione. Richiesta di implementare cifratura su tutti i dispositivi |
| Notifica agli interessati | No (Garante ha valutato rischio basso — dati non sensibili, nessun dato finanziario) |
| Azioni correttive | Cifratura BitLocker attivata su tutti i laptop aziendali entro il 30/04/2022 (gestita da Poli) |
BREACH-003 — Tentativo accesso non autorizzato ERP — settembre 2023
| Campo | Valore |
|---|---|
| Data rilevazione | 22 settembre 2023 |
| Tipo incidente | Tentativo di accesso brute-force all'interfaccia web del gestionale ERP |
| Dati a rischio | Potenzialmente: dati di tutto il ciclo attivo/passivo |
| Esito tentativo | Bloccato dal sistema di protezione (Zucchetti WAF) dopo 847 tentativi falliti in 4 minuti |
| Dati esfiltrati | Nessuno |
| Notifica al Garante | No — nessuna violazione effettiva |
| Azioni correttive | Implementazione IP whitelist per accessi remoti all'ERP; alert automatico su >10 tentativi falliti in 60 secondi |
Registro tenuto ai sensi dell'art. 33, par. 5 GDPR.
Prossima revisione completa: gennaio 2025.