Milano, 15 maggio 2018 INFORMATIVA AI SENSI DELLA LEGGE SULLA PROTEZIONE DEI DATI PERSONALI PER RAPPORTI CONTRATTUALI – SOCIETA’ ME-SOURCE

Oggetto: Informativa ai sensi del Provv. 479 del 17.9.2015 e artt. 7 e 13-22 Regolamento Europeo 2016/679.

Premessa
La presente comunicazione, a seguire, intende esclusivamente costituire un'informazione completa ed esauriente circa sulle modalità di trattamento dei dati e le relative misure di sicurezza messe in atto dalla nostra società.

Le norme indicate regolano la riservatezza dei dati personali ed impongono una serie di obblighi in capo a chi tratta informazioni riferite ad altri soggetti. Tra gli adempimenti da rispettare ci sono quelli di:
- Informare la persona e/o la società a cui i dati si riferiscono in merito all’utilizzo che viene fatto delle relative informazioni

Il Regolamento Europeo 2016/679, intendono come «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

In osservanza alle disposizioni citate La informiamo che:

• I dati a Voi relativi, qualificati come personali dalla legge in oggetto, che Vi saranno richiesti e/o che ci verranno comunicati da terzi, vengono trattati in relazione alle esigenze contrattuali e per l’adempimento degli obblighi legali e contrattuali dalle stesse derivanti.

• In particolare per quanto concerne i Vs dati economici si precisa che gli stessi saranno acquisiti e trattati secondo il disposto degli artt. 13 e 14 Reg. Europeo 2016/679 e la loro conservazione sarà in linea con quanto indicato dagli artt. 16 - 22 Reg. Europeo 2016/679.

• I dati personali in questione saranno trattati su supporto elettronico e su supporto cartaceo, da soggetti autorizzati all’assolvimento di tali compiti, costantemente identificati, opportunamente istruiti e resi edotti dei vincoli imposti dal Reg. Europeo 2016/679, con l’impiego di misure di sicurezza atte a garantire la riservatezza del soggetto interessato i cui dati si riferiscono e ad evitare l’indebito accesso a soggetti terzi o a personale non autorizzato;

I dati personali, com’é facile comprendere, sono indispensabili per la prosecuzione del rapporto contrattuale esistente o per l’instaurazione di un nuovo rapporto

Tutti i dati predetti verranno conservati anche dopo la cessazione del rapporto contrattuale per l’espletamento di tutti gli eventuali adempimenti connessi o derivanti dalla conclusione del rapporto stesso e per finalità commerciali.

Per consentire la più completa cognizione della problematica, in allegato alla presente viene unita una copia del testo degli artt. 16 - 22 del Reg. Europeo 2016/679 inerenti i Vostri diritti in relazione al trattamento dei dati.

Circa il Provvedimento 479 sopra citato definito come "Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale". Si evidenzia quanto segue.
I punti salienti di tale provvedimento riguardano:
• la definizione e i requisiti dell'informazione commerciale (artt.1 e 2) ("dato relativo ad aspetti patrimoniali, economici, finanziari, creditizi, industriali e produttivi di un soggetto")
• le sue fonti di provenienza e le modalità di trattamento (art.3)
• l'informativa agli interessati (art.4)
• l'utilizzazioni delle informazioni suddette (art.7)
• la conservazione delle stesse (art.8)

A questo proposito si precisa che la società:
• non tratta dati relativi a propri clienti definiti (ex Reg. Europeo 2016/679) come sensibili o giudiziari
• che, in ogni caso, i dati di cui sopra possono riguardare sia un interessato come persona fisica sia altre persone fisiche legate allo stesso sul piano giuridico e/o economico sia, infine, entità giuridiche dallo stesso rappresentate
• che i dati possono essere acquisiti presso il soggetto censito o presso fonti pubbliche assicurandone l'esattezza e la pertinenza per il fine perseguito
• che ne annota scrupolosamente la provenienza
• che ne provvede affinché ne sia predisposto l'eventuale aggiornamento
• che, per quanto concerne, l'utilizzo e la conservazione dei dati suddetti provenienti da fonti pubbliche si attiene alle disposizioni circa la loro conoscibilità e/o pubblicazione nelle fonti stesse da cui provengono
Infine, in termini di informativa agli interessati, si fa presente quanto segue:
• la responsabilità del trattamento è condivisa fra tutti gli incaricati ai quali sono state fornite precise istruzione sulle modalità di trattamento, sui loro compiti e sulle misure di sicurezza da mettere in atto
• l'informativa è stata predisposta e distribuita sia ai clienti continuativi della società sia ai clienti che solo saltuariamente si avvalgono dei suoi servizi
• come già per i dati personali di altro tipo, anche per i dati economici è possibile esercitare i diritti di cui agli artt. 16 e 17 Reg. Europeo 2016/679 nelle modalità già a Voi comunicate in precedenza

La società, inoltre, nel pieno rispetto della privacy dei propri clienti ed in linea con le norme europee in materia (GDPR 2016/679) fa presente quanto segue:
• La società ha provveduto a redigere un Documento sulla propria Privacy policy dove si mettono chiaramente in evidenza i principi salienti adottati e di futura adozione per la protezione dei dati da perdita e/o sottrazione e la cui responsabilità è in carico al Titolare del trattamento (S- Monotti Graziadei).
• La società si impegna a mantenere la piena riservatezza dei dati personali raccolti durante l'espletamento dei rapporti contrattuali mettendo in atto tutte le misure necessarie allo scopo (indicate in allegato) oltre a provvedere alla loro continua revisione (ex art. 32 d) e adattamento.
• La società si impegna a rispondere tempestivamente ad ogni chiarimento sulla protezione dei dati in essere e in caso di perdita dei dati
• La società si impegna a mettere in atto tutte le misure necessarie per far fronte ai diritti degli interessati ex artt. 13-20 del GDPR 2016/679
• La società si impegna a supportare i propri clienti nei casi di perdita di dati (ex artt. 33 e 34)
• La società, infine, si rende pienamente disponibile per il proprio supporto alla compilazione del Vostro Documento di Impatto per la Protezione dei dati (DPIA - ex artt. 35 (7) e 84).

Per ogni chiarimento contattate: privacy@me-source.com


Allegato 1 - Regolamento Europeo 2016/679
Articolo 16

Diritto di rettifica

1. L'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

Articolo 17

Diritto alla cancellazione («diritto all'oblio»)

1. L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
b) l'interessato revoca il consenso su cui si basa il trattamento conformemente all'articolo 6, paragrafo 1, lettera a), o all'articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
c) l'interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell'articolo 21, paragrafo 2;
d) i dati personali sono stati trattati illecitamente;
e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento;
f) i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione di cui all'articolo 8, paragrafo 1.
2. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
3. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:
a) per l'esercizio del diritto alla libertà di espressione e di informazione;
b) per l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell'articolo 9, paragrafo 2, lettere h) e i), e dell'articolo 9, paragrafo 3;
d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all'articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o
e) per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

Articolo 18

Diritto di limitazione di trattamento

1. L'interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
a) l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l'esattezza di tali dati personali;
b) il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo;
c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;
d) l'interessato si è opposto al trattamento ai sensi dell'articolo 21, paragrafo 1, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato.
2. Se il trattamento è limitato a norma del paragrafo 1, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell'interessato o per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un'altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell'Unione o di uno Stato membro.
3. L'interessato che ha ottenuto la limitazione del trattamento a norma del paragrafo 1 è informato dal titolare del trattamento prima che detta limitazione sia revocata.


Articolo 19

Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento

1. Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell'articolo 16, dell'articolo 17, paragrafo 1, e dell'articolo 18, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all'interessato tali destinatari qualora l'interessato lo richieda.

Articolo 20

Diritto alla portabilità dei dati

1. L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:
a) il trattamento si basi sul consenso ai sensi dell'articolo 6, paragrafo 1, lettera a), o dell'articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell'articolo 6, paragrafo 1, lettera b); e
b) il trattamento sia effettuato con mezzi automatizzati.
2. Nell'esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l'interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all'altro, se tecnicamente fattibile.
3. L'esercizio del diritto di cui al paragrafo 1 del presente articolo lascia impregiudicato l'articolo 17. Tale diritto non si applica al trattamento necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento.
4. Il diritto di cui al paragrafo 1 non deve ledere i diritti e le libertà altrui.

Articolo 21

Diritto di opposizione

1. L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell'articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
2. Qualora i dati personali siano trattati per finalità di marketing diretto, l'interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.
3. Qualora l'interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento per tali finalità.
4. Il diritto di cui ai paragrafi 1 e 2 è esplicitamente portato all'attenzione dell'interessato ed è presentato chiaramente e separatamente da qualsiasi altra informazione al più tardi al momento della prima comunicazione con l'interessato.
5. Nel contesto dell'utilizzo di servizi della società dell'informazione e fatta salva la direttiva 2002/58/CE, l'interessato può esercitare il proprio diritto di opposizione con mezzi automatizzati che utilizzano specifiche tecniche.
6. Qualora i dati personali siano trattati a fini di ricerca scientifica o storica o a fini statistici a norma dell'articolo 89, paragrafo 1, l'interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguarda, salvo se il trattamento è necessario per l'esecuzione di un compito di interesse pubblico.

Articolo 22

Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione

1. L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
2. Il paragrafo 1 non si applica nel caso in cui la decisione:
a) sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento;
b) sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato;
c) si basi sul consenso esplicito dell'interessato.
3. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, almeno il diritto di ottenere l'intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
4. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, a meno che non sia d'applicazione l'articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato.


Allegato 2 - Misure di sicurezza adottate dalla società

Facciamo presente che la nostra società, ai sensi della normativa citata, ha provveduto a redigere la documentazione ufficiale di legge che teniamo a Vostra disposizione.
In ottemperanza al disposto di legge, Vi comunichiamo di aver adottato e documentato le seguenti misure:

Nomina dei Responsabili esterni del trattamento dei dati
La società ha provveduto a tale nomina assegnando a entità esterne il trattamento di alcuni dati richiedendo loro di fornire le misure di sicurezza attivate allo scopo.

Amministratori di sistema
La società ha provveduto a Nominare Amministratori di sistema le società o persone adibite alle attività previste ed indicate dal Provvedimento in materia dandone, ove richiesto, dovuta comunicazione alle parti interessate.

Misure per l’integrità e disponibilità dei dati
L’elaborazione dei Vs dati avviene attraverso apposito sw applicativo specifico che permette l’accesso separato agli archivi propri di ogni azienda.
Abbiamo predisposto adeguate misure per il salvataggio giornaliero dei Vs dati su supporti esterni. Tali misure sono state documentate ed è stato assegnato il compito a nostro personale incaricato.
Tali supporti sono mantenuti in armadi chiusi con copie corrispondenti ad ogni giorno della settimana nel quale è stato fatto il salvataggio dei dati stessi.
La chiave degli armadi è stata assegnata al nostro personale incaricato che ha la responsabilità della custodia delle copie stesse.
Le copie sono utilizzate a rotazione settimanale e sono contrassegnate con etichetta che identifica il giorno del relativo salvataggio.
I supporti sono utilizzati per un periodo non superiore ai 6 mesi, dopo di che sono sostituiti con nuovi supporti al fine di evitare l’impossibilità di lettura degli stessi in caso di bisogno.

Custodia di copie di sicurezza
Oltre a quanto già indicato al punto 4 precedente, facciamo presente che la nostra azienda dedica altrettanta attenzione anche alla custodia dei documenti cartacei contenenti dati personali. Tali documenti sono contenuti, in originale e in copia, in armadi chiusi a chiave a disposizione del solo personale addetto al loro trattamento.
Le procedure sono, secondo il disposto di legge, verificate ed eventualmente aggiornate almeno una volta all’anno.
Si ricorda inoltre che tutte le attrezzature e la documentazione trattata è coperta da polizza assicurativa contro i danni derivante da distruzione totale o parziale degli stessi.

Dismissione di supporti rimovibili
I supporti contenenti Vostri dati personali sono gestiti secondo il disposto di legge cioè si provvede a cancellarne il contenuto prima della loro definitiva dismissione o, nel caso di supporti fissi all’interno di attrezzature informatiche, a cancellarne il contenuto prima di trasferire l’attrezzatura stessa all’esterno dell’azienda per manutenzione o riparazione.

Cifratura e separazione dei dati sanitari
I dati sanitari attinenti il personale sono trattati separatamente dagli altri dati personali e comuni.
Tale trattamento separato assicura al contempo l’accesso agli stessi solo per le necessità e le finalità del trattamento (art 2 e 3 della legge) con le modalità consentite (art. 11) ed osservando il disposto di legge in caso di cessazione del trattamento (art. 16).

Trattamento senza l’ausilio di supporti elettronici
Alcuni trattamenti di dati che la nostra azienda effettua sono gestiti senza l’ausilio di mezzi elettronici, utilizzano cioè modulistica e supporti cartacei.
In questi casi l’azienda osserva le regole disposte dalla legge in materia per i diversi aspetti previsti:
Le operazioni sono state affidate a nostro personale incaricato
Il personale è stato opportunamente formato al trattamento, alla custodia e all’accesso agli stessi
I documenti trattati sono mantenuti in originale e in copia in appositi armadi chiusi a chiave
La chiave è a disposizione del solo personale addetto
Sono state impartite precise disposizioni in caso di accesso fuori orario di lavoro

Sistema di autenticazione delle informazioni
Ogni dipendente incaricato del trattamento di dati personali e sensibili dispone di una propria pw di accesso alle elaborazioni degli stessi.
Tale pw è gestita sotto la responsabilità dei singoli che hanno ricevuto regole scritte per le modalità di gestione nei diversi momenti della loro attività: normale periodo di lavoro, assenza limitata, assenza prolungata, passaggio ad altra attività, dimissione.
La struttura delle password segue il disposto di legge per quanto concerne la sua lunghezza minima e la sua modifica periodica in funzione della tipologia dei dati trattati.
Tali regole sono oggetto di aggiornamento almeno annuale secondo il disposto di legge.

Sistema di autorizzazione
In aggiunta alla creazione e distribuzioni di password, il nostro personale incaricato al trattamento dei dati personali, è stato autorizzato a specifiche operazioni sui Vostri dati e ne ha, quindi, ricevuto autorizzazione all’accesso ai programmi e alle funzioni applicative che ne permettono il trattamento.
Tali autorizzazioni sono appositamente documentate e sono state trasferite per iscritto agli incaricati al trattamento.

Lista di tutti gli incaricati al trattamento dei dati personali o di gruppi di essi
La nostra azienda ha provveduto a redigere una lista di incaricati al trattamento dei dati personali dei nostri clienti.
Tale lista è tenuta aggiornata, secondo il disposto di legge, con cadenza annuale.

Descrizione del sw anti intrusione
Tutte le nostre attrezzature informatiche che lo richiedono hanno installato apposito sw anti virus.
Tale sw è aggiornato attraverso un contratto di manutenzione attivato con una società esterna specializzata.
L’aggiornamento avviene in forma continua attraverso l’accesso agli ultimi rilasci via Web.
Il passaggio alle versioni successive avviene regolarmente al momento della loro disponibilità e, ad ogni modo, entro la scadenza semestrale prevista dalla legge.

Documentazione dell’aggiornamento dei programmi
I programmi che permettono il trattamento dei Vostri dati personali sono costantemente aggiornati, oltre che per l’inserimento di nuove funzionalità applicative e tecnologiche, anche per gli aspetti della sicurezza nel trattamento dei dati.
Abbiamo richiesto ai nostri fornitori dei programmi suddetti la documentazione relativa a eventuali nuove funzioni di sicurezza. Tali aggiornamenti, quando pervenuti, sono riportati nella nostra documentazione con regolarità e con scadenza, come previsto dalla legge, semestrale.

Procedure di salvataggio dei dati
Come già indicato in un punto precedente, il personale addetto al salvataggio dei Vostri dati personali segue specifiche procedure definite e documentate.
Tali procedure regolano la frequenza del salvataggio stesso (giornaliera e, quindi, abbondantemente entro il limite massimo settimanale definito dalla legge), le modalità in caso di normale operazioni ed in caso di emergenza, le registrazioni richieste, la custodia delle copie ottenute, il loro mantenimento, il loro test periodico, il loro riutilizzo, la loro dismissione.
Tali regole sono oggetto di verifica periodica al fine di analizzare eventuali miglioramenti operativi e/o tecnologici da apportare.

Dichiarazione scritta della conformità degli interventi esterni
La nostra azienda ha in atto contratti di assistenza hw e sw con società esterne fornitrici di attrezzature informatiche e di programmi applicativi particolarmente adatti a far fronte alle nostre esigenze.
A tali società è stata richiesta la Dichiarazione in oggetto che si è provveduto ad allegare alla nostra documentazione ufficiale di legge.





DATA PROTECTION NOTICE ACCORDING TO THE LAW FOR THE GENERAL DATA PROTECTION REGULATION OF PERSONAL DATA (G.D.P.R) IN CONTRACTUAL RELATIONSHIPS - COMPANY ME-SOURCE

Subject: Data Protection Notice according to the Prov. 479 of 17.9.2015 and Articles 7 and 13-22 European Regulation 2016/679.

Introduction

The present communication, which follows, intends to exclusively provide complete and comprehensive information on the modalities of data processing and the security measures used by our company.

The indicated rules regulate the confidentiality of personal data and impose a series of obligations to those who draft information reported of other subjects. Among the implementations to respect there are those of:
- Informing the person and/or the company, to which the data refers to, with regards to the use of the concerned information

European Regulations 2016/679, considers “processing” as: any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;

According to the above mentioned dispositions, we would like to inform you that:

• Your data, considered by the law as personal data, which will be required and/or which will be communicated to third parties, are processed according to the contract needs and to ensure compliance with legal and contract obligations deriving from them.

• In particular, as far as your economic data are concerned, they will be acquired and processed according to Articles 13 and 14 of the European Reg. 2016/679 and their storage will be according to what is indicated in Articles 16 – 22 of the European Reg. 2016/679.

• These personal data will be processed on electronic and paper supports, by parties authorized to the perform these tasks, consistently identified, properly trained and informed about the restraints set up in the European Reg. 2016/679, along with the employment of security measures apt to guarantee the confidentiality of the data subject, to which the data refers to, and to avoid the undue access by third parties or unauthorized staff;

Personal data, as it is easy to understand are essential for the continuation of the current contract or for the establishment of a new relation

All these data will be preserved even after the termination of the contract in order to pursue the fulfilments related to or deriving from the termination of the contract and for commercial purposes.
To allow the most complete knowledge on this issue, the annex includes a copy of the text of Articles 16-22 of European Reg. 2016/679 about your rights with regards to the processing of your data.

As for the above mentioned Provision 479 defined as the "Code of ethics and conduct in processing personal data for commercial purposes”. Attention is drawn to the following points.
The main points that the aforementioned provision is concerned with are:
• the definition and requirements of the commercial information (Articles 1 and 2) ("data related to financial, economic, financial, credit, industrial and productive aspects of a subject)
• its sources of origin and the methods of processing (Article 3)
• the provision of information to data subjects (Article 4)
• the use of such information (Article 7)
• the storage of the information (Article 8)

In this regard it must be specified that the company:
• does not process data of their clients that are defined as sensitive or judicial (former European Reg. 2016/679)
• that, in any case, the above mentioned data may concern both a natural individual or other natural individuals connected on the same legal and/or economic level, both, ultimately, legal entities represented by that individual
• that the data can be acquired from the surveyed subject or from public sources guaranteeing the exactness and relevancy for the pursued aim
• that the origin of the data is scrupulously noted
• that the data is taken care of until it is further updated
• that, with regards to the use and the storage of data coming from public sources, it complies with the instructions of the knowledge and/or publication of the same sources from which they come from
Finally, with regards to the informative report of data subjects, attention is drawn to the following:
• the responsibility of the data processing is shared among all those in charge who received specific instructions on the modalities of the processing, on their tasks and the security measures to put into place
• the informative report was prepared and distributed both to the regular customers of the company and to those customers that that are not using our services on a regular basis
• as it has already been the case for personal data of other types, as well as for economic data, it is possible to exercise the rights of Articles 16 and 17 of the European Reg. 2016/679 according to the methods that were previously communicated to you
The company, moreover, for the utmost respect of the privacy of their own customers and according to the concerned European regulation (GDPR 2016/679), communicates the following:
• The company has drafted a Document on their own Privacy policy where they have put clearly in evidence, the main principles already adopted and those of future adoption, for the protection of data derived from loss and/or removal and who is responsible and in charge as the Data controller (S- Monotti Graziadei).
• The company is committed to maintaining full confidentiality of personal data collected during the completion of contractual relationships taking all necessary measures for this purpose (indicated in the annex) beyond taking care of the continuous review (former Article 32 d) and updates of the data.
• The company is committed to replying in a timely manner to any clarification required on the existing protection of data and in the case of data loss.
• The company is committed to implementing all the measures necessary to meet the rights of the data subjects pursuant to Articles 13-20 of the GDPR 2016/679
• The company is committed to supporting their own customers in the cases of data loss (former Articles 33 and 34)
• The company, finally, is completely available to support you in the compilation of your Data Protection Impact Assessment (DPIA – former Articles 35 (7) and 84).

For any clarifications please contact: privacy@me-source.com


Annex 1- European Regulation 2016/679

Article 16

Right to rectification


1. The data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. Taking into account the purposes of the processing, the data subject shall have the right to have incomplete personal data completed, including by means of providing a supplementary statement.

Article 17

Right to erasure (‘right to be forgotten’)

1. The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:
(a) the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;
(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or point (a) of Article 9(2), and where there is no other legal ground for the processing;
(c) the data subject objects to the processing pursuant to Article 21(1) and there are no overriding legitimate grounds for the processing, or the data subject objects to the processing pursuant to Article 21(2);
(d) the personal data have been unlawfully processed;
(e) the personal data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject;
(f) the personal data have been collected in relation to the offer of information society services referred to in Article 8(1).
2. Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.
3. Paragraphs 1 and 2 shall not apply to the extent that processing is necessary:
(a) for exercising the right of freedom of expression and information;
(b) for compliance with a legal obligation which requires processing by Union or Member State law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;
(c) for reasons of public interest in the area of public health in accordance with points (h) and (i) of Article 9(2) as well as Article 9(3);
(d) for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) in so far as the right referred to in paragraph 1 is likely to render impossible or seriously impair the achievement of the objectives of that processing; or
(e) for the establishment, exercise or defence of legal claims.

Article 18

Right to restriction of processing

1. The data subject shall have the right to obtain from the controller restriction of processing where one of the following applies:
(a) the accuracy of the personal data is contested by the data subject, for a period enabling the controller to verify the accuracy of the personal data;
(b) the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of their use instead;
(c) the controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise or defence of legal claims;
(d) the data subject has objected to processing pursuant to Article 21(1) pending the verification whether the legitimate grounds of the controller override those of the data subject.
2. Where processing has been restricted under paragraph 1, such personal data shall, with the exception of storage, only be processed with the data subject's consent or for the establishment, exercise or defence of legal claims or for the protection of the rights of another natural or legal person or for reasons of important public interest of the Union or of a Member State.
3. A data subject who has obtained restriction of processing pursuant to paragraph 1 shall be informed by the controller before the restriction of processing is lifted.

Article 19

Notification obligation regarding rectification or erasure of personal data or restriction of processing

1. The controller shall communicate any rectification or erasure of personal data or restriction of processing carried out in accordance with Article 16, Article 17(1) and Article 18 to each recipient to whom the personal data have been disclosed, unless this proves impossible or involves disproportionate effort. The controller shall inform the data subject about those recipients if the data subject requests it.

Article 20

Right to data portability

1. The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and
machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:
(a) the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and
(b) the processing is carried out by automated means.
2. In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.
3. The exercise of the right referred to in paragraph 1 of this Article shall be without prejudice to Article 17. That right shall not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller.
4. The right referred to in paragraph 1 shall not adversely affect the rights and freedoms of others.

Article 21

Right to object

1. The data subject shall have the right to object, on grounds relating to his or her particular situation, at any time to processing of personal data concerning him or her which is based on point (e) or (f) of Article 6(1), including profiling based on those provisions. The controller shall no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims.
2. Where personal data are processed for direct marketing purposes, the data subject shall have the right to object at any time to processing of personal data concerning him or her for such marketing, which includes profiling to the extent that it is related to such direct marketing.
3. Where the data subject objects to processing for direct marketing purposes, the personal data shall no longer be processed for such purposes.
4. At the latest at the time of the first communication with the data subject, the right referred to in paragraphs 1 and 2 shall be explicitly brought to the attention of the data subject and shall be presented clearly and separately from any other information.
5. In the context of the use of information society services, and notwithstanding Directive 2002/58/EC, the data subject may exercise his or her right to object by automated means using technical specifications.
6. Where personal data are processed for scientific or historical research purposes or statistical purposes pursuant to Article 89(1), the data subject, on grounds relating to his or her particular situation, shall have the right to object to processing of personal data concerning him or her, unless the processing is necessary for the performance of a task carried out for reasons of public interest.

Article 22

Automated individual decision-making, including profiling


1. The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.
2. Paragraph 1 shall not apply if the decision:
(a) is necessary for entering into, or performance of, a contract between the data subject and a data controller;
(b) is authorised by Union or Member State law to which the controller is subject and which also lays down suitable measures to safeguard the data subject's rights and freedoms and legitimate interests; or
(c) is based on the data subject's explicit consent.
3. In the cases referred to in points (a) and (c) of paragraph 2, the data controller shall implement suitable measures to safeguard the data subject's rights and freedoms and legitimate interests, at least the right to obtain human intervention on the part of the controller, to express his or her point of view and to contest the decision.
4. Decisions referred to in paragraph 2 shall not be based on special categories of personal data referred to in Article 9(1), unless point (a) or (g) of Article 9(2) applies and suitable measures to safeguard the data subject's rights and freedoms and legitimate interests are in place.


Annex 2 - Safety measures adopted by the company

We communicate that our company, according to the regulation mentioned, has arranged to write up the official documentation of law that we have at your disposable.
Pursuing the legal provision, we communicate that we have adopted and documented the following measures:

1. Nomination of external data processors
The company has arranged for such nomination, assigning to external entities the processing of some data, demanding they supply the security measures activated to this scope.

2. System Administrator
The company has arranged to appoint as System Administrators the companies or the persons engaged in the activities envisaged and indicated in the Provision on this matter, giving, when requested, due notice to the interested parties.

3. Measures for data integrity and availability
• The processing of your data is done through a specific software application that allows separate access to the archives of each company.
• We have prepared appropriate measures for externally backing up your data on a daily basis. These measures have been documented and the task assigned to our staff.
• The aforementioned back up is kept in locked cabinets with corresponding copies from the day of the week in which the data has been saved.
• The key to the cabinets has been assigned to our dedicated staff who are responsible for the safekeeping of said copies.
• The copies are used on a weekly rotation and are marked with a label that identifies the day of the related saving.
• The backups are used for a maximum period of 6 months, after which they are replaced with new backups with the aim of avoiding that they are note readable anymore in case of need.

4. Safekeeping of security copies
• In addition to what has already been stated in point 4 above, we point out that our company devotes the same attention to the safekeeping of paper documents containing personal data. Such documents are kept, in original format and in copy, in key-locked cabinets. The documents are available only to the staff assigned to their processing.
• The procedures are, according to the legal provisions, verified and eventually updated at least once a year.
• We would also like to remember that all the processed equipment and documentation are covered by an insurance policy against any damages deriving from their partial or total destruction.

5. Dismissal of removable backup devices
• The backup devices containing your personal data are managed according to the law, that is any content will be deleted before their definitive dismissal or, in the event of fixed backup devices within information technology equipment, any content will be deleted before transferring said equipment outside of the company for maintenance or repair.

6. Coding and separation of the health data
• The health data concerning the staff are processed separately from other personal and common data.
• Such separate processing is only to assure that they are concurrently available for the necessary access for processing purposes (Articles 2 and 3 of the Law) with the allowed methods (Article 11) and observing the legal provision in the case of data processing termination (Article 16).

7. Processing without the aid of electronic devices
• Some data processing that our company carries out are managed without the aid of electronic devices, that is they use paper forms and platforms.
• In these cases, the company complies to the rules arranged by the law of the various foreseen aspects:
• The operations have been entrusted to our staff in charge
• The staff have been specifically trained for processing, safekeeping and accessing paper forms and platforms
• The processed documents are safeguarded in original form and in copy in designated locked cabinets
• The key is available only to the designated members of staff
• These staff received precise instructions for the case of access outside working hours

8. Information authentication system
• Every employee in charge of the processing of personal and sensitive data has a personal password to access data processing.
• Said password is managed under the responsibility of those who have received written rules for the management methods in the various moments of their activity: normal period of job, limited absence, extended absence, passage to other job, resignations.
• The structure of the password follows the law as much as concerns of its minimal length and its periodic modification according to the type of data being processed.
• Such rules are subject to update at least once a year as required by law.

9. Authorization system
• Besides the creation and distributions of passwords, our staff in charge of the processing of personal data, have been authorized to specific operations on your data and they have, therefore, received authorization to the access of the programs and the application functions that allow their processing.
• Such authorizations are specifically documented and have been transferred to a written form to the people in charge to the processing.

10. A list of all the people in charge of the processing of personal data or set of data
• Our company has arranged for the list of staff in charge of the processing of personal data of our customers to be written down.
• Such list is kept updated, according to legal provisions, on a yearly basis.

11. Description of the anti-intrusion software
• All our IT equipment that require it have an appropriate anti virus software installed.
• Such software is updated through a maintenance contract activated with an external technical company.
• The update is continuous thanks to the access to the last web releases.
• The transfer to subsequent versions happens regularly at the time of their availability and, in any case, within the 6 months expiration timeline as requested by law.

12. Documentation of programs update
• The programs that allow the processing of your personal data are constantly updated, with regards to the insertion of new applications and technological functionalities, and also with regards to the aspects of data treatment security.
• We have requested our suppliers of the aforesaid programs to provide any documentation of eventual new security functions. Such updates, when performed, are noted on our documentation on a regular basis and every six months, as requested by law.

13. Procedures of data saving
• As it has already been indicated in a previous point, the staff assigned to the saving of your personal data follows specific procedures that are defined and documented.
• Such procedures regulate the frequency of the saving procedure (daily, therefore, abundantly within a weekly timeline as requested by law), the procedures in case of normal operations and in emergency cases, the requested recordings, the safekeeping of the obtained copies, their maintenance, their periodic test, theirs re-use, their dismissal.
• Such rules are subject to periodic verification aimed at analysing any operational and/or technological improvement to be performed.

14. Written declaration of the conformity of the external interventions
• Our company has contracts of hardware and software assistance with external suppliers of IT equipment and application programs particularly suited to deal with our needs.
• Our company requested to these suppliers the Declaration in question that it is attached to our official legal documentation.