ABAX e la privacy dei dati

Noi di ABAX consideriamo i dati come la risorsa più importante e attribuiamo alla loro protezione la massima priorità. Nelle pagine seguenti sono disponibili maggiori informazioni su come trattiamo i dati dei clienti e come ne garantiamo sempre la sicurezza.


Privacy dei dati

ABAX tratta i dati conformemente al GDPR (Regolamento generale sulla protezione dei dati) e nel rispetto delle istruzioni del cliente. Non raccogliamo, archiviamo o trattiamo i dati personali se non nella misura necessaria per eseguire i nostri compiti in qualità di titolare del trattamento o responsabile del trattamento.

Procedure di trattamento dei dati

Usiamo sistemi sia automatici che manuali per rimuovere tutti i dati non necessari e garantire che tali dati siano anonimizzati. Le nostre procedure di sicurezza, i controlli e gli strumenti di accesso proteggono i vostri dati in ogni momento.

Privacy per progettazione

Il nostro servizio si basa sui principi di privacy per progettazione e privacy per impostazione predefinita. I dati sono protetti senza che sia richiesto alcun intervento da parte dell'utente. Gli utenti del nostro servizio non devono fare nulla per assicurare la protezione dei loro dati; sono sicuri per impostazione predefinita.


Anonimizzazione

Anonimizzazione del data lake

L'anonimizzazione dei dati, chiamata spesso "sanificazione dei dati", è un processo che ha lo scopo di proteggere la privacy dell'utente. Le informazioni personalmente identificabili nei set di dati vengono crittografate o rimosse per garantire l'anonimato.

I dati che deteniamo in ABAX comprendono i dati di localizzazione. 

Il rifornimento del data lake viene effettuato dall'esecuzione dei backup quindi si procede all'anonimizzazione tramite script (quando stabiliti e verificati). Solo il team di data science può accedere al data lake e i dati vengono usati a scopi di analisi, ad esempio per migliorare gli algoritmi sulle unità di tracciamento. 

Il data lake è composto dalle seguenti informazioni:

  • Distanza
  • Velocità massima
  • Quando è iniziato e quando è finito il viaggio
  • Quando è stato registrato il viaggio sui nostri server
  • Tipo di viaggio (aziendale o privato)
  • Un codice identificativo numerico per il conducente (nessun collegamento a dati di privacy). Fornisce normalmente le seguenti informazioni:
    • Identità della società
    • Tipo di account: account utente o account amministratore
    • Account attivo
    • Impostazioni della lingua per l'account
    • Data dell'ultimo accesso
    • Data dell'ultima disconnessione
    • Quale interfaccia/prodotto è collegata/o all'account
    • Se il flag Mostra pagina di accoglienza è impostato su vero o su falso
    • Se il flag Forza reimpostazione password è impostato su vero o su falso
    • Domicilio fiscale
    • Se l'account del cliente indica eventuali viaggi
    • Se l'account del cliente indica un conducente attivo
    • Se l'account del cliente ha abbandonato l'azienda
    • Se le informazioni di contatto sono aggiornate
  • Data di ultima modifica dell'account
  • Impostazioni viaggio
  • ID numerico che identifica l'unità di tracciamento
  • ID numerico che identifica l'ufficio principale
  • ID numerico che identifica il veicolo

Nessuna informazione personale come nomi, numeri di telefono e indirizzi e-mail sarà trasferita al data lake. 

Le posizioni sono anonimizzate in modo che non sia possibile identificare l'indirizzo dell'individuo dietro un data point né l'esatta posizione del data point originale. I luoghi di inizio e fine del viaggio vengono raggruppati con quelli di altre unità di tracciamento in modo che non ci siano località da cui parte o in cui si ferma un'unica unità di tracciamento e che non sia possibile ricondurre una singola località di inizio o fine del viaggio a un individuo identificabile.

In termini più tecnici 

I viaggi vengono anonimizzati assegnando un codice geohash alle località di inizio e fine. L'assegnazione del codice geohash converte una posizione (abbinamento latitudine e longitudine) in un codice hash che identifica un rettangolo su una griglia sovrapposta alla mappa terrestre. La dimensione della griglia dipende dalla lunghezza del codice geohash  (vedere https://en.wikipedia.org/wiki/Geohash).

Il processo di anonimizzazione è iterativo e inizia con un codice geohash di valore elevato (rettangolo di piccole dimensioni). Il codice geohash va da 12 caratteri (area di 7 centimetri quadrati) fino a 1 carattere (area di 25.009.930 chilometri quadrati) Se all'interno di un rettangolo di valore 12 solo una scheda SIM ha una posizione, allora il valore geohash viene ridotto di uno e il processo viene ripetuto fino a quando altre schede SIM hanno una posizione con lo stesso codice geohash o fino a quando il valore geohash è pari a 4. A quel punto, la dimensione dell'area rappresentata è di 762 chilometri quadrati (rif. Figura 1).

L'anonimizzazione viene usata anche quando i dati di localizzazione vengono venduti a o condivisi con utenti terzi. In tal caso si utilizza un approccio simile per anonimizzare i dati.

geohashing ENG

Figura 1 - Geohashing, quadrati verdi come nuova posizione (in sostituzione delle posizioni rosse all'interno del quadrato)

Trattamento dei dati

Accordo per il responsabile del trattamento dati 

Oltre a termini e condizioni e informativa sulla privacy, tutti i clienti di ABAX devono sottoscrivere un accordo per il responsabile del trattamento dei dati.  

La documentazione per tutti i nostri mercati è disponibile qui: https://www.abax.com/terms-and-conditions

Sub-responsabili del trattamento in ABAX

Il GDPR stabilisce due forme alternative di autorizzazione che occorre ottenere dal titolare del trattamento dei dati prima che il responsabile del trattamento possa coinvolgere un sub-responsabile: 

  1. Autorizzazione preventiva per l'uso di un sub-responsabile. Questa alternativa è idonea quando i compiti/servizi che il responsabile del trattamento fornisce al titolare del trattamento sono di natura specifica, ad esempio quando il sub-responsabile viene assunto per fornire servizi specifici per un cliente o per un piccolo gruppo di clienti. Normalmente si tratta del caso in cui la soluzione offerta dal responsabile del trattamento deve essere personalizzata in base alle necessità del titolare del trattamento.
  2. Autorizzazione generale per l'uso di un sub-responsabile. Questa alternativa è idonea quando i servizi offerti dal responsabile del trattamento al titolare del trattamento sono gli stessi, o sostanzialmente gli stessi, per un elevato numero di clienti. In questi casi, il responsabile del trattamento deve tenere informato il titolare del trattamento sull'uso del sub-responsabile del trattamento e di eventuali cambiamenti del sub-responsabile utilizzato prima di assumere un nuovo sub-responsabile. Il titolare del trattamento ha sempre il diritto di opporsi all'uso di determinati sub-responsabili.

ABAX si avvale dell'opzione dell'autorizzazione generale per i clienti che utilizzano i suoi servizi. ABAX sviluppa e migliora in modo continuo i suoi servizi. Funzionalità nuove o migliorate possono richiedere l'uso di nuovi sub-responsabili del trattamento. Se ABAX dovesse ottenere l'approvazione scritta da tutti i suoi clienti, sarebbe impossibile realizzare nuovi sviluppi. 

Una panoramica aggiornata dei sub-responsabili del trattamento che utilizziamo è disponibile al link https://www.abax.com/terms-and-conditions

Privacy

Come gestiamo la privacy nel nostro servizio? 

Proattività e prevenzione

La privacy per progettazione affronta le questioni dei rischi per la privacy in modo proattivo. I problemi possono essere prevenuti prima che si verifichino, e devono essere adottate misure per mitigare i potenziali rischi persino prima che si manifestino. Inoltre, occorre riconoscere e migliorare in fase precoce le pratiche insufficienti in materia di sicurezza e privacy, prima che causino eventuali danni.

A tale scopo, è necessario impegnarsi ad applicare sistematicamente gli standard di privacy richiesti dal GDPR, in particolare il requisito di eseguire le valutazioni di impatto sulla protezione dei dati prima di avviare le operazioni di trattamento. Le responsabilità dei titolari del trattamento e dei responsabili del trattamento sono inoltre chiaramente elencate e devono essere rispettate. Tutto ciò richiede un rigoroso impegno ad un'adeguata implementazione.

Privacy per impostazione predefinita 

Il principio della privacy per impostazione predefinita impone di proteggere i dati degli utenti senza richiedere alcun intervento da parte loro. Gli individui non devono essere obbligati ad agire in alcun modo per garantire la sicurezza dei loro dati, che devono essere sicuri per impostazione predefinita.

Questo principio è affermato negli articoli 25 e 32 del GDPR, mentre i DPO (responsabili della protezione dei dati) sono incaricati di garantire il rispetto di dette regole. Il GDPR include soprattutto tre elementi basilari della privacy come impostazione predefinita, tra cui:

Specificazione dello scopo: è necessario notificare agli utenti gli scopi per cui i loro dati saranno usati

Limitazione della raccolta: la raccolta dei dati personali deve essere legale e trasparente

Minimizzazione dei dati: deve essere raccolta la minore quantità di dati possibile e solo a scopo di trattamento immediato.

Privacy incorporata nella progettazione

Durante la creazione di tecnologie che saranno usate dalle aziende e dai servizi online, è necessario prestare la dovuta attenzione a progettarle in modo che la protezione della privacy rimanga parte integrante del sistema.

Ancora prima che il sistema raggiunga gli utenti finali, tutte le appropriate misure di protezione della privacy devono essere già in atto. Le funzionalità per gli utenti non devono essere influenzate da queste misure di protezione della privacy e i sistemi devono essere realizzati in modo che configurazioni potenzialmente errate o errori non incidano negativamente sulla privacy. Ancora una volta, questo principio è sancito soprattutto negli articoli 25 e 32 oltre che varie Premesse.

Piena funzionalità – Somma positiva 

L'obiettivo della privacy per progettazione è di creare una situazione vantaggiosa per tutti i soggetti coinvolti. L'idea è che queste misure di protezione della privacy creino benefici sia per le aziende che per gli utenti. Invece di una situazione a somma zero, in cui solo gli utenti si avvantaggiano a scapito delle aziende e viceversa, queste misure di privacy per progettazione puntano a creare effetti netti positivi senza generare questo tipo di compromessi.

Sicurezza end-to-end 

La sicurezza e la privacy dei dati devono essere garantite dal punto di raccolta fino alla distruzione finale dei dati. La protezione e la responsabilità per i dati devono essere mantenute in ogni punto del loro ciclo di vita.

Il GDPR è particolarmente rigoroso a riguardo. Le sue numerose disposizioni su raccolta, archiviazione e distruzione dei dati rappresentano pienamente lo spirito di questa regola. L'obiettivo è garantire l'assenza di lacune nella sicurezza dei dati poiché la sicurezza è considerata una controparte essenziale della privacy.

Quindi, il GDPR richiede l'uso di diversi metodi per garantire la responsabilità (ad esempio la conservazione della documentazione) e la sicurezza (anonimizzazione, controllo accessi, ecc.).

Visibilità e trasparenza

L'elemento chiave per la responsabilità (e la conformità al GDPR) è la trasparenza. Tutti i soggetti interessati, i partner e i co-responsabili del trattamento devono essere controllati, verificati e aperti a verifiche esterne. Senza trasparenza e visibilità, non esiste modo per accertare veramente se i principi di privacy per progettazione siano stati adeguatamente implementati.

Rispetto per la privacy 

Il modo migliore per realizzare ottimi risultati nell'implementazione della privacy per progettazione è creare prodotti pensati appositamente per gli utenti finali. Questi prodotti devono essere progettati per soddisfare le esigenze degli utenti e includere possibilità che consentano loro di controllare e supervisionare con semplicità il modo in cui i loro dati vengono trattati.

Come si protegge la privacy durante l'introduzione di nuove funzioni?

Anche prima di decidere l'implementazione di una nuova funzione o un nuovo prodotto, valutiamo attentamente gli aspetti relativi alla privacy. In caso di dubbi, chiediamo aiuto al nostro DPO e ai nostri consulenti legali (studi legali). Inoltre, i nostri collaudatori del software prestano estrema attenzione agli aspetti relativi alla privacy e tutti i potenziali rischi vengono chiusi prima del lancio di una funzione sul mercato.

Assistente alla privacy 

Affida a noi i tuoi problemi di privacy. A causa delle disposizioni del GDPR, i tuoi dipendenti ora hanno il diritto di richiedere quali sono i dati personali che li riguardano in tuo possesso oltre ad avere il diritto all'oblio. Alcuni dei tuoi dipendenti probabilmente avanzeranno queste richieste. Hai tempo per gestire tutte le richieste dei tuoi dipendenti o desideri che ce ne occupiamo noi per te? Con l'Assistente alla privacy gestiremo gran parte del dialogo sulla privacy con i tuoi dipendenti in modo che tu possa concentrarti sulla conduzione di un'attività di successo.

L'Assistente alla privacy si occuperà dei compiti seguenti: 
  • Garantire che la tua azienda utilizzi i prodotti e i servizi ABAX in modo da  mantenere la conformità con il GDPR
  • Gestire le richieste dei dipendenti in modo che tu possa concentrarti sulla tua attività 
  • Informare i tuoi dipendenti in modo facile e nel rispetto della conformità con documenti  personalizzati specifici per la tua attività

Sicurezza delle informazioni

ABAX considera la sicurezza come una priorità assoluta. Di seguito elenchiamo alcune delle domande più comuni che i nostri clienti pongono sul nostro sito abax.com in merito alla sicurezza delle informazioni.

Dove archivia ABAX i dati dei suoi clienti? 

I dati del cliente sono la nostra risorsa più preziosa, quindi le nostre soluzioni di archiviazione devono essere sicure e affidabili. Usiamo una combinazione tra data center di nostra proprietà e fornitori di cloud pubblico. Il nostro data center principale si trova in Svezia. L'elenco dei nostri fornitori di cloud pubblico è disponibile nella nostra lista regolarmente aggiornata di sub-responsabili del trattamento dati all'indirizzo https://www.abax.com/terms-and-conditions

Quali metodi usa ABAX per crittografare i nostri dati una volta archiviati? 

I dati archiviati nel nostro data center vengono memorizzati su dischi rigidi a crittografia automatica così da garantire ai clienti la sicurezza dei loro dati da noi detenuti.

Quali metodi usa ABAX per crittografare i dati in transito verso i suoi clienti? 

Quando usi i nostri prodotti, attraverso il tuo browser web o la nostra app, tutte le comunicazioni vengono crittografate mediante crittografia TLS standard del settore. La barra degli indirizzi del tuo browser mostrerà il simbolo di un lucchetto indicando che la tua connessione è crittografata.

A quale tipo di standard di sicurezza è conforme ABAX? 

Rispettiamo la conformità con il sistema di gestione della sicurezza delle informazioni standard ISO 27001. Questo standard include una gamma di controlli per garantire che tutte le operazioni di trattamento vengano eseguite in sicurezza e in modo da non mettere a rischio i dati dei nostri clienti. 

A quali fornitori ABAX trasferisce solitamente i dati? 

Il nostro hardware comunica attraverso la rete mobile utilizzando Telenor e la sua rete globale di partner. Vari fornitori di servizi internet (ISP) agevolano la comunicazione tra i nostri clienti e i nostri sistemi attraverso soluzioni completamente ridondanti. L'infrastruttura di ABAX è connessa alle autostrade di Internet presso diversi punti di interscambio fondamentali.  

In quale modo ABAX garantisce la sicurezza sui suoi server? 

Per garantire che i nostri server rimangano sicuri, organizziamo sempre le nostre infrastrutture in base agli standard del settore e  alle migliori pratiche. Manteniamo aggiornate tutte le strutture con gli ultimi patch di sicurezza rilasciati dai nostri fornitori. 

Quali sono le routine di backup che ABAX segue per i suoi clienti? 

Eseguiamo backup regolari per tutti i preziosi dati dei nostri clienti archiviandoli in un luogo sicuro fuori sede. In qualità di nostro cliente, questo per te comporta la possibilità di recuperare i tuoi dati e ridurre al minimo eventuali perdite di dati in caso di disastro.

In quale modo ABAX protegge i dati dei clienti nelle sue reti? 

Per garantire la costante sicurezza dei nostri server, usiamo la segmentazione della rete, il che significa che suddividiamo la nostra rete in segmenti più piccoli. In questo modo proteggiamo la nostra infrastruttura dagli attacchi informatici.

In quale modo ABAX garantisce il controllo degli accessi ai suoi server e sistemi? 

Ci avvaliamo di un metodo ampiamente usato di  controllo degli accessi chiamato POLP o principio del privilegio minimo. In pratica, questo significa che limitiamo l'accesso agli account nel nostro sistema concedendo solo l'accesso minimo necessario per eseguire compiti specifici. Per garantire il rispetto dei principi POLP, eseguiamo regolari verifiche su tutti gli account e sui relativi diritti di accesso nell'ambito delle nostre procedure di conformità ISO 27001.

Onboarding

Adozione del servizio: agisci correttamente fin dall'inizio 

Stabilisci uno scopo valido per il servizio 

Quando inizi a usare il servizio ABAX, devi ricordarti di implementarlo correttamente per essere certo di rispettare le normative sulla privacy. Ciò significa che la tua azienda deve avere  una solida base giuridica per trattare i dati, ai sensi del Regolamento generale sulla protezione dei dati (GDPR), Articolo 6 (a)–(f), che stabilisce: 

Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

(a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

(b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'adozione di misure precontrattuali adottate su richiesta dello stesso;

(c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

(d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;

(e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;

(f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

All'interno dei diversi settori di attività di ABAX, alcuni scopi proposti possono essere pertinenti e usati per i nostri clienti.

SCOPI SUGGERITI PER IL SERVIZIO ABAX TRIPLOG 

Documentazione per le autorità fiscali 

ABAX Triplog viene implementato per documentare l'uso aziendale dei veicoli conformemente alle normative emesse dalle autorità fiscali. Per i veicoli commerciali sarà disponibile documentazione corrente su tutti i viaggi completati. Saranno stabilite delle routine per garantire la conformità con le normative attuali.

Separazione dei viaggi privati e aziendali a scopi fiscali

ABAX Triplog viene usato per separare i viaggi privati dai viaggi aziendali per scopi fiscali. La classificazione dei viaggi viene effettuata dal conducente, dall'amministratore e/o automaticamente dal sistema.

Domande del cliente

È possibile usare i dati di ABAX Triplog per contribuire alla risoluzione di quesiti e reclami del cliente. L'operazione può essere completata solo a seguito di uno specifico quesito del cliente e solo per risolvere quel particolare quesito.

Sicurezza

ABAX Triplog can be used to locate an employee if the employer has lost contact and suspects that an accident has occurred.

Invoicing customers

È possibile usare Triplog per localizzare un dipendente se il dipendente ha perso il contatto e si sospetta che sia accaduto un incidente.

Fatturazione clienti

È possibile usare i dati di ABAX Triplog come base per addebitare i viaggi (tempo e chilometraggio) ai clienti.

Fogli presenze errati

È possibile usare Triplog se si sospetta effettivamente che un foglio presenza sia errato. Il dipendente in questione avrà l'opportunità di presenziare durante il controllo e riceverà anche l'offerta di assistenza da un rappresentante dei dipendenti o da un'altra parte.

Efficienza

ABAX Fleet Management traccia la posizione attuale dei tuoi veicoli. Può essere usato per indirizzare il veicolo localizzato nella posizione più vicina a un lavoro.

Pianificazione del percorso

ABAX Fleet Management può mostrare tutti i viaggi compiuti in un determinato giorno sulla mappa. Questa funzione può essere usata per ottimizzare i percorsi di guida.

Riduzione dell'impatto ambientale

ABAX Driving Behaviour può assegnare un punteggio ai conducenti per il loro comportamento alla guida. I punteggi di guida più elevati riducono l'impatto ambientale.

Responsabilità sociale

ABAX Driving Behaviour può essere usato per insegnare ai conducenti a guidare in modo più sicuro ed efficiente.

Miglioramento degli standard di guida

ABAX Driving Behaviour può essere usato per insegnare ai conducenti a guidare in modo più sicuro ed efficiente, riducendo quindi il numero di incidenti.

Riduzione dei costi relativi alla flotta 

ABAX Driving Behaviour può aiutare a ottimizzare le prestazioni di guida per ridurre i costi relativi a carburante e manutenzione.

 

SCOPI SUGGERITI PER ABAX EQUIPMENT CONTROL 

Monitoraggio e tracciabilità

È possibile usare ABAX Equipment Control per localizzare e recuperare le apparecchiature perse.

Efficienza

È possibile usare ABAX Equipment Control per localizzare apparecchiature specifiche per un lavoro specifico. 

Risparmi

ABAX Equipment Control può registrare l'uso delle apparecchiature automatiche. Questi dati possono essere usati per ridurre l'uso eccessivo.

Fatturazione dell'uso effettivo

ABAX Equipment Control può registrare l'uso delle apparecchiature automatiche. Il proprietario può usare questi dati per fatturare al cliente l'uso effettivo.

Fatturazione per l'uso in un'area

ABAX Equipment Control può registrare l'uso delle apparecchiature automatiche in un'area specifica. Il proprietario può usare questi dati per fatturare al cliente le ore in un progetto.

Monitoraggio dell'assistenza

È possibile usare i dati di ABAX Equipment Control per monitorare gli interventi di manutenzione effettuati su un'apparecchiatura. Le notifiche della manutenzione possono essere inviate via e-mail o messaggio di testo dal sistema.

Elementi importanti da ricordare 

Quando si implementa un nuovo sistema dotato di misure di controllo, le autorità raccomandano alle aziende di coinvolgere i dipendenti sin dalle prime fasi del processo. (Normalmente, per questo coinvolgimento sarebbe altamente indicato un trustee)

L'amministrazione della società deve organizzare un meeting con il trustee e/o altro soggetto aziendale di competenza per discutere le varie misure di controllo che un servizio come ABAX traccerà. 

Inoltre, l'azienda deve dichiarare lo scopo di tali misure di controllo, le possibili conseguenze che una misura può causare (ad esempio, come funziona la tecnologia e quali dati vengono misurati e segnalati all'amministratore) nonché la durata (normalmente un periodo contrattuale).

Le informazioni possono essere comunicate ai dipendenti verbalmente o per iscritto. In alcuni casi la società può svolgere una riunione informativa per garantire che tutti i dipendenti siano informati e per accertarsi di ricevere input dai dipendenti. 

Spetta ai nostri clienti specificare uno scopo per trattare i dati nel modo che più si adatta alla loro attività. Gli scopi suggeriti sono solo suggerimenti; i nostri clienti possono specificare altri scopi maggiormente adatti ai loro requisiti. Ai sensi del Working Environment Act (Legge sull'ambiente di lavoro), si raccomanda di coinvolgere i dipendenti durante l'implementazione dei servizi ABAX in modo da facilitarne l'adozione in tutta l'azienda.

Ogni scopo deve essere conforme alla base giuridica stabilita nel GDPR (Articolo 6 (a)–(f)). Quali sono gli elementi importanti da ricordare? I seguenti elementi fondamentali dovrebbero essere rilevanti per i nostri clienti durante l'implementazione dello scopo/i e della base giuridica per il trattamento dei dati. 

Ricorda che:

  • Per poter trattare i dati personali devi avere una base giuridica valida.
  • Ai fini del trattamento, hai a disposizione sei basi giuridiche. Non esiste una base giuridica "migliore" o più importante delle altre. La base giuridica più appropriata da usare dipenderà dal tuo scopo e dalla tua relazione.
  • La maggior parte delle basi giuridiche richiede che il trattamento sia "necessario" per uno scopo specifico. Se puoi ragionevolmente raggiungere lo stesso scopo senza il trattamento dei dati, la base giuridica non sussiste.
  • Devi determinare la tua base giuridica prima di iniziare il trattamento, inoltre devi documentarla. Abbiamo uno strumento interattivo per aiutarti.
  • Accertati di agire correttamente da subito: non devi specificare una base giuridica diversa in un momento successivo senza una valida ragione. In particolare non puoi passare dal consenso a una base giuridica diversa.
  • La tua informativa sulla privacy deve includere la tua base giuridica per il trattamento oltre allo scopo o agli scopi per il trattamento dei dati.
  • Se il tuo scopo cambia, devi essere in grado di continuare il trattamento ai sensi della base giuridica originale nel caso in cui il nuovo scopo sia compatibile con quello iniziale (a meno che la tua base giuridica originale fosse il consenso).
  • Se stai trattando una categoria speciale di dati, devi individuare una base giuridica per il trattamento generale e una condizione aggiuntiva per il trattamento di questo tipo di dati.
  • Se stai trattando dati relativi a condanne penali o reati, devi individuare una base giuridica per il trattamento generale e una condizione aggiuntiva per il trattamento di questo tipo di dati.

Posso usare i dati nel sistema per fare tutto quello che voglio? 

Quando implementi il servizio ABAX devi specificare esattamente a quale scopo vuoi utilizzare i dati. Non puoi usare i dati e le informazioni che hai a disposizione in alcun modo diverso dallo scopo specificato.

Se modifichi lo scopo o se specifichi uno scopo ulteriore, devi svolgere un'altra riunione con il trustee/dipendente pertinente e garantire che tutti i dipendenti siano informati di conseguenza. Naturalmente, il nuovo scopo deve essere valido e deve avere una chiara connessione con la base giuridica nel GDPR.

L'azienda deve comunicare lo scopo che descrive l'uso esatto cui i dati saranno destinati e non l'uso possibile. In altre parole, lo scopo deve essere specificato e comunicato e non può essere troppo ampio o vago. Lo scopo specificato determina l'uso al quale i dati saranno destinati. Usare i dati per scopi diversi da quello specificato costituisce una violazione delle normative sulla privacy. 

Valutazione di impatto sulla protezione dei dati (DPIA)

Il Garante per la protezione dei dati personali del Regno Unito afferma che: una valutazione delle conseguenze della privacy (Valutazione di impatto sulla protezione dei dati - DPIA) garantirà la salvaguardia della privacy di coloro che sono registrati nella soluzione.  Si tratta di un dovere ai sensi delle nuove normative sulla privacy. L'Articolo 35 definisce quando è richiesta l'esecuzione di una DPIA, cosa deve contenere e chi se ne deve occupare.

I nostri clienti che introducono ABAX in azienda devono considerare se è opportuno completare una valutazione delle conseguenze della privacy. Alcuni esempi che richiedono una DPIA includono:
- Il trattamento dei dati di localizzazione congiuntamente ad almeno un altro criterio
- Una compilazione sistematica della localizzazione dell'interessato e dei dati sul traffico provenienti dagli operatori delle telecomunicazioni oppure il trattamento di dati personali relativi all'uso della rete delle telecomunicazioni o dei servizi dell'operatore delle telecomunicazioni da parte dell'abbonato. (Informazioni altamente personali e monitoraggio sistematico.)
- Il trattamento dei dati di localizzazione in combinazione con un gruppo di dipendenti.

In caso di dubbi, il Garante per la protezione dei personali del Regno Unito definisce sul suo sito web  quali attività di trattamento richiedono sempre l'esecuzione di una DPIA.
Le indicazioni su come effettuare una DPIA sono disponibili qui. 

Tecnologia

Il GDPR nella nostra tecnologia

Cessazione e cancellazione

La cessazione da cui consegue la cancellazione si applica ai dati che appartengono ai clienti che cessano il loro contratto e che non hanno acquistato Data Storage. Data Storage è un prodotto che il cliente può acquistare. Con l'acquisto di questo spazio di archiviazione garantiamo la conservazione dei dati del cliente in un archivio sicuro dopo la cessazione del contratto. La cancellazione dei dati può essere richiesta per tutti i dati all'interno del contratto del cliente oppure può essere richiesta da un singolo utente/conducente dell'azienda cliente. Quando un singolo utente/conducente richiede la cancellazione, saranno cancellati solo i dati relativi a questo specifico utente/conducente. La cancellazione per un singolo utente si attiva attraverso l'"Assistente alla privacy" (rif. Figura 2). L'utente specifica quale tipo di dati cancellare compilando un modulo (le aziende possono creare un modulo standard per facilitare il processo agli utenti).  Quando il contratto di un cliente cessa, tutti i dati relativi ai suoi utenti/conducenti saranno cancellati. 

Come ulteriore controllo di qualità, creiamo una "lista di pulizia" che contiene tutti i clienti da cancellare. Su questa lista viene eseguito un controllo di conferma in cui procediamo a rimuovere dall'elenco i clienti che per qualche ragione non devono essere cancellati (rinnovo del contratto, ecc). 

Quando riceviamo una richiesta di cancellazione, dobbiamo cancellare i dati entro 30 giorni. Questa regola è valida sia per la cancellazione completa del cliente che per la cancellazione di un singolo utente.

Quando inizia la cancellazione, usiamo un servizio specifico che invia comandi a tutti i nostri servizi in diversi settori. I comandi determineranno la cancellazione dei dati che possono essere collegati a una persona (dati di privacy) in tutti i settori per l'attuale cliente o utente.

Prima della cancellazione estraiamo probabili data point preziosi eseguendoli attraverso il nostro data lake. Attraverso le routine del nostro data lake, anonimizziamo i dati in modo che non possano essere riassociati ad alcun cliente o utente. Per il futuro prevediamo di automatizzare il data lake quando riceviamo i dati dalle unità di tracciamento. I dati anonimizzati vengono conservati a scopi di analisi anche se viene richiesta la cancellazione (rif. Anonimizzazione). 

termination

Figura 2 Processo di cessazione-cancellazione

Cookies