GDPR Compliance

1. GDPR – Valutazione Iniziale

  • identificazione di tutti i dati, delle applicazioni associate e della conservazione
  • determinazione delle informazioni personali che direttamente o indirettamente identificano un soggetto
  • determinazione dell’autorità di controllo e/o di elaborazione delle Informazioni Personali Identificabili
  • identificazione dei processi aziendali tramite l’utilizzo di Informazioni Personali Identificabili
  • identificazione delle persone che interagiscono con le Informazioni Personali Identificabili

Identificazione di tutti i dati, delle applicazioni associate e della conservazione

Le società Associazione Abbey School e Abbey School S.r.l. (identificate d’ora in poi come “Abbey School”), ha necessità di acquisire i seguenti dati dagli utenti:

  • Nome
  • Cognome
  • Indirizzo Email

 

I dati vengono acquisiti tramite browser desktop/mobile e/o tramite app, e sono conservati all’interno del database di Abbey School e ospitato sul servizio InfusionsSoft (www.infusionsoft.com)

Determinazione delle informazioni personali che direttamente o indirettamente identificano un soggetto

I dati che possono identificare un soggetto sono:

  • Nome
  • Cognome
  • Indirizzo email

Determinazione dell’autorità di controllo e/o di elaborazione delle Informazioni Personali Identificabili

All’interno di Abbey School l’autorità di controllo e/o di elaborazione delle Informazioni Personali Identificabili è assegnata a Federica Carmana che assume il ruolo di DPO.

Il DPO è stato designato in funzione delle qualità professionali, e della capacità di adempiere ai propri compiti.

Il DPO è prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali sia dai Contitolari del trattamento (Abbey School) sia dal responsabile del trattamento e gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal GDPR.

Il DPO gode di ampia autonomia e non riceve alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti.

Identificazione dei processi aziendali tramite l’utilizzo di Informazioni Personali Identificabili

I processi aziendali interni ad Abbey School che coinvolgono l’utilizzo di Informazioni Personali Identificabili sono:

  • iscrizione dell’utente
  • login dell’utente
  • invio di comunicazioni di servizio

Identificazione delle persone che interagiscono con le Informazioni Personali Identificabili

L’accesso alle Informazioni Personali Identificabili è consentito esclusivamente al personale tecnico di Abbey School, che vi accede solo per fini connessi alla manutenzione del servizio ed al supporto agli utenti. Non è consentito l’accesso al personale non tecnico ed a terzi estranei ad Abbey School.


2. GDPR – Identificazione delle priorità di conformità

Le categorie dei dati, i processi aziendali e loro caratteristiche sono gestiti in Abbey School in maniera combinata per garantire la compliance al GDPR.

A tal proposito abbiamo individuato le seguenti categorie di dati:

  • Nome e Cognome utente
  • Email utente
  • Codice fiscale utente
  • Partita Iva utente
  • Messaggi inviati e ricevuti dall’utente
  • Altri dati di natura varia raccolti dall’utente attraverso questionari, interviste e moduli di raccolta

Alcune di queste categorie rientrano nelle Informazioni Personali Identificabili:

  • Nome e Cognome utente
  • Email utente
  • Codice fiscale utente
  • Partita Iva utente

Le altre invece rappresentano informazioni non identificabili, né visionate, a meno di esplicita richiesta di supporto pervenuta dall’utente.

I processi aziendali che interessano le categorie di informazioni sono:

  • registrazione nuovo utente
  • login utente
  • invio di comunicazioni
  • checkin
  • supporto all’utente
  • invio di comunicazioni tecniche all’utente
  • invio di comunicazioni di servizio all’utente
  • invio di promozioni all’utente

L’utente che si iscrive ad Abbey School approva esplicitamente ogni punto di questo elenco di utilizzo, in modo chiaro e consapevole.

La priorità seguita nell’aggiornamento del servizio è stata infatti quella di predisporre un sistema di comprensione semplice e sicuro per ciascuna delle operazioni elencate, con la possibilità di aderire solo ad alcune. Naturalmente, esistono delle operazioni (es. acquisizione numero Partita Iva) che sono necessarie per la stessa esecuzione del servizio (es. emissione di fattura aziendale).


3. GDPR – Valutazione dell’Impatto sulla Protezione dei Dati (DPIA: Data Protection Impact Assessment)

Abbiamo eseguito una valutazione d’impatto su qualsiasi processo a rischio di violazione dei diritti di riservatezza dei dati del soggetto interessato. Lo scopo della valutazione è stato quello di consentirci di mitigare al massimo i rischi identificati.

Il report di valutazione di seguito descritto riguarda:

  • Descrizione delle attività di controllo e/o elaborazione delle Informazioni Personali Identificabili
  • Valutazione dell’impatto sui diritti degli interessati
  • Misure prese per limitare l’impatto

Abbiamo identificato le attività critiche dal momento in cui è acquisito il primo dato considerabile come Informazione Personale Identificabile: l’indirizzo email dell’utente, e il proprio nome e cognome.

Queste informazioni sono acquisite esclusivamente al momento della registrazione volontaria dell’utente ad Abbey School.

Abbiamo rivisto il processo di acquisizione dei dati, fornendo all’utente una maggiore chiarezza del modo in cui i dati vengono acquisiti, e dell’uso che di tali dati sarà fatto all’interno di Abbey School.

Abbiamo effettuato un checkup approfondito dei nostri servizi per garantire che durate la fase di acquisizione dei dati non intervengano soggetti terzi che possano “rubare” i dati forniti dall’utente.

Usiamo il protocollo HTTPS su ogni pagina del sito abbeyschool.it in modo da rendere sicure le trasmissioni di informazioni tra utenti e piattaforma, sia attraverso browser desktop che browser mobile.

Non conserviamo, all’interno di Abbey School e dei servizi inclusi, dati finanziari sensibili dell’utente. Per motivi di superiore sicurezza, non forniamo un gateway interno per la gestione delle transazioni finanziarie legate alla vendita, rimborso e pagamento dei servizi Abbey School. L’utente è messo a conoscenza in modo esaustivo sull’uso possibile dei servizi terzi. La connessione tra Abbey School ed i servizi terzi avviene in modo sicuro. Per ulteriori approfondimenti è possibile consultare la Privacy Policy dei servizi terzi.

L’utente di Abbey School è quindi incolume ai rischi connessi a furti di dati finanziari, perché tali dati non sono inclusi tra quelli acquisiti, trattati e conservati da Abbey School.

Relativamente ai dati che vengono raccolti dagli utenti di Abbey School, abbiamo migliorato ulteriormente i sistemi di avviso e di tutela che offriamo, sia ai nostri utenti che agli utenti dei nostri utenti.


4. GDPR – Dichiarazione di conformità

Alla data di entrata di vigore del GDPR il servizio Abbey School è da ritenersi conforme alle specifiche richieste.

Ci siamo dotati di:

  • archivio delle attività di elaborazione delle Informazioni Personali Identificabili;
  • archivio delle violazioni dei dati;
  • valutazione dettagliata delle attività di elaborazione ad alto rischio;
  • dettagli contrattuali tra la vostra organizzazione e i fornitori di terze parti che elaborano e/o controllano i dati a vostro nome.

L’archivio delle attività di elaborazione delle Informazioni Personali Identificabili è il database ospitato dal servizio di hosting Server Plan e Infusionsoft, al cui interno vengono conservati i dati degli utenti ed i log di accesso a tali dati. E’ sempre possibile risalire in modo preciso a modifiche e modalità di utilizzo di tali dati.

L’archivio delle violazioni dei dati è un database, ospitato su Server Plan in cui verranno annotate tutte le eventuali violazioni dei dati, occorse nonostante il nostro massimo e costante impegno alla tutela degli stessi.

La valutazione dettagliata delle attività di elaborazione ad alto rischio è contenuta in un database, ospitato su Server Plan, in cui sono state elencate tutte le attività che sono svolte in Abbey School, con relativo grado di Identificazione dell’utente, e correlato grado di rischio nella perdita e/o utilizzo improprio dei dati.


5. GDPR – La condivisione dei dati degli utenti

Condividiamo nome, cognome, solo ed esclusivamente con lo staff Abbey School.

In caso di sospetto di una violazione di dati personali è necessario contattare Abbey School, che farà il possibile per aiutare l’utente.

Con lo scopo di monitorare e analizzare le statistiche di visualizzazione del nostro servizio condividiamo l’indirizzo IP con le seguenti aziende:

  • Google Analytics
  • Facebook

Non condividiamo o vendiamo i dati dei nostri utenti con servizi di terze parti.

Di tanto in tanto, inviamo newsletter via e-mail contenenti notizie importanti e aggiornamenti al nostro servizio. Per questo, condividiamo il tuo indirizzo email con il nostro servizio di email marketing di terze parti: Infusionsoft.

Abbiamo un certificato SSL installato sul nostro server per garantire che tutti i dati inviati tra il tuo computer e il nostro server siano crittografati. Noi criptiamo il tuo indirizzo email e la password. Il tuo nome utente, il tuo nome e il tuo cognome non sono criptati.