1 - Modello organizzativo privacy gdpr
1.1 - Soggetti
1.2 Analisi del rischio e misure per prevenire i rischi privacy
2 - Trasparenza e diritti dell’interessato
2.1 - Diritti in materia di protezione dei dati personali
2.2 - Esercizio dei diritti
2.3 - Modulistica ed informative

TITOLARE DEL TRATTAMENTO

Il Titolare del trattamento è:
Cereal Docks S.p.A. (di seguito anche “TITOLARE”)
Via dell’Innovazione, n. 1, 36043 – Camisano Vicentino (VI)
Tel. +39 0444 419411
email: This email address is being protected from spambots. You need JavaScript enabled to view it.
Posta Elettronica Certificata: This email address is being protected from spambots. You need JavaScript enabled to view it.
P.IVA e Codice Fiscale: 02218040240

RESPONSABILE DELLA PROTEZIONE DEI DATI

Il Responsabile della Protezione dei Dati è:
TZ&A Studio Associato (di seguito anche “DPO”)
Email: This email address is being protected from spambots. You need JavaScript enabled to view it.

Cereal Docks S.p.A. e altre società del ‘Gruppo Cereal Docks’ hanno ritenuto di avvalersi della facoltà prevista dall’art. 37, paragrafo 2, del RGPD di procedere alla nomina condivisa di uno stesso Responsabile per la Protezione dei Dati personali, che agisce in sinergia con il team privacy interno.

Il DPO è domiciliato presso il TITOLARE e potrà essere contattato per qualsiasi esigenza correlata al trattamento dei dati personali di tutti gli interessati.

TEAM PRIVACY

Il TITOLARE ha ritenuto opportuno nominare un “Team privacy” interno formato da soggetti con competenze organizzative, tecniche ed informatiche.
Il Team privacy ha la funzione di supporto all’attività del TITOLARE e del DPO.

SOGGETTI AUTORIZZATI AL TRATTAMENTO (ex art. 29 GDPR)

Il MOP prevede che ciascun dipendente/collaboratore del TITOLARE tratti solamente i dati indispensabili per svolgere le proprie mansioni, in funzione dell’organizzazione interna e soprattutto delle finalità indicate e proposte all’interessato (principio c.d. di “limitazione della finalità e minimizzazione dei dati”, art. 5 comma 1, lett. b) e c) del GDPR). E’ stata predisposta pertanto una segmentazione dei trattamenti, per aree omogenee di soggetti autorizzati al trattamento, vincolandolo i dipendenti/collaboratori preposti a ciascuna area ad un ambito specifico di trattamento. Ciascun soggetto autorizzato ha ricevuto istruzioni specifiche dal TITOLARE relativamente al trattamento dei dati personali. A tal fine, by design, anche il sistema informativo è costituito a “compartimenti stagni”. Il dipendente/collaboratore potrà accedere dalla propria postazione informatica solo ai dati indispensabili per svolgere le proprie mansioni. La designazione alle specifiche aree di trattamento avviene previa attenta analisi della struttura e dell’organizzazione aziendale nonché del flusso dei dati interni ed esterni alla Società, ed è riepilogata in un’apposita matrice interna che individua puntualmente l’ambito di trattamento di ciascuna area.

Il dipendente/collaboratore ha altresì ricevuto un regolamento interno sull’uso degli strumenti informatici e delle regole di condotta, anche etiche, su tutte le informazioni alle quali accede in virtù della sua specifica mansione.

Per garantire in maniera efficace l’adeguamento ai principi in materia di trattamento dei dati personali, il TITOLARE ha altresì previsto corsi di formazione ed aggiornamento in materia ai propri dipendenti/collaboratori che, in virtù delle proprie mansioni, svolgono trattamenti di dati personali.

AMMINISTRATORI DI SISTEMA (INTERNI ED ESTERNI)

Il TITOLARE utilizza sistemi informatici per gestire e organizzare la propria attività. Per tale ragione, da sempre, l’attenzione alla costruzione dei software, le modalità di utilizzo degli stessi e la sicurezza dei dati sono alla base dell’attività del TITOLARE. I soggetti con privilegi di “amministratore” interni all’azienda sono specificatamente nominati e formati. Anche le altre società esterne specializzate che accedono a dati aziendali sono specificatamente nominate Responsabili Esterni e/o Amministratori di Sistema Esterni ai sensi dell’art. 28 del GDPR.

I fornitori di servizi informatici esterni sono scelti con particolare attenzione alla loro professionalità, non solo tecnica, ma anche in relazione al rispetto ed alla protezione dei dati, privilegiando società certificate.

RESPONSABILI DEL TRATTAMENTO (ex art. 28 GDPR)

In linea di principio il TITOLARE gestisce internamente quasi tutte le attività di trattamento. I casi di affidamento in outsourcing a terzi di alcune attività che implicano un trattamento di dati per conto del TITOLARE sono opportunamente indicati all’interno delle singole informative. In questi casi il rapporto con il soggetto terzo è disciplinato mediante un apposito contratto di nomina a “Responsabile del Trattamento” ai sensi dell’art. 28 del GDPR.

Il TITOLARE affida tale attività di trattamento a soggetti esterni che presentano garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate per soddisfare i requisiti previsti dal GDPR e garantire la tutela dei diritti degli interessati.

Secondo i principi della c.d. “accountability” (responsabilizzazione) spetta al TITOLARE implementare una serie di misure – organizzative, fisiche, giuridiche, tecniche ed informatiche – volte a prevenire il rischio di violazione dei diritti e delle libertà personali degli interessati. Per raggiungere questo obiettivo viene effettuata una costante analisi dei rischi, in funzione dei trattamenti, degli strumenti utilizzati, della tipologia e della mole di dati trattati.

REGISTRO DEI TRATTAMENTI (ex art. 30 GDPR) E ANALISI DELL’IMPATTO SULLA PROTEZIONE DEI DATI (ex art. 35 GDPR)

Il MOP prevede un’attenta e costante analisi dei rischi per il trattamento dei dati personali, individuati per ciascuna attività o servizio erogato attraverso un Registro dei Trattamenti ai sensi dell’art. 30 comma 1 del GDPR.

Analizzata l’attività di trattamento svolta dal TITOLARE, si ritiene che ad oggi non vi siano attività a rischio tale da necessitare una specifica valutazione di impatto ai sensi dell’art. 35 del GDPR (c.d. “DPIA”).

L’analisi su rischi informatici e sulle infrastrutture hardware e software aziendali e sulle misure informatiche di adeguamento è stata realizzata sia dal nostro Amministratore di Sistema con appositi tool e check list sia da un’azienda esterna specializzata in sicurezza informatica, che ha effettuato un audit approfondito con test di sicurezza. Gli esiti dell’indagine hanno permesso ai tecnici di migliorare ulteriormente le misure di protezione dai cyber attacchi e dalle minacce informatiche, gradatamente e proporzionalmente al rischio per i diritti e le libertà degli interessati.

• Diritto di essere informato (trasparenza nel trattamento dei dati)

L’interessato ha diritto di essere informato su come il TITOLARE tratta i Suoi dati personali, per quali finalità e su altre informazioni previste dall’art. 13 del GDPR. A tale fine, il TITOLARE ha predisposto dei processi organizzativi che permettono, all’atto di acquisizione o richiesta dei dati personali, il rilascio di un modello di Informativa creato “ad hoc” a seconda della categoria di interessati a cui l’interessato appartiene (dipendente, cliente, fornitore ecc.). Questo documento permette di informare adeguatamente tutti i soggetti cui i dati si riferiscono su come venga effettuato il trattamento da parte del TITOLARE. Il modello di informativa potrà essere richiesto con apposita domanda indirizzata al TITOLARE.

• Diritto di revoca del consenso (art. 13)               

Lei ha il diritto di revocare il consenso in qualsiasi momento per tutti quei trattamenti il cui presupposto di legittimità è una Sua manifestazione di consenso. La revoca del consenso non pregiudica la liceità del trattamento precedente.

• Diritto di accesso ai dati (art. 15)           

Lei potrà richiedere a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato. Lei ha il diritto di richiedere una copia dei dati personali oggetto di trattamento.

• Diritto di rettifica (art. 16)         

Lei ha il diritto di chiedere la rettifica dei dati personali inesatti che la riguardano e di ottenere l’integrazione dei dati personali incompleti.

• Diritto all’oblio (art. 17)             

Lei ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che la riguardano se i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati, se revoca il consenso, se non sussiste alcun motivo legittimo prevalente per procedere al trattamento di profilazione, se i dati sono stati trattati illecitamente, se vi è un obbligo legale di cancellarli; se i dati sono relativi a servizi web resi a minori senza il relativo consenso. La cancellazione può avvenire salvo che sia prevalente il diritto alla libertà di espressione e di informazione, che siano conservati per l’adempimento di un obbligo di legge o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri, per motivi di interesse pubblico nel settore della sanità, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

• Diritto alla limitazione del trattamento (art. 18)            

Lei ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ha contestato l’esattezza dei dati personali (per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali) o se il trattamento sia illecito, ma Lei si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo o se le sono necessari per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, mentre al Titolare non sono più necessari.

• Diritto alla portabilità (art. 20)

Lei ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che la riguardano fornitici ed ha il diritto di trasmetterli a un altro se il trattamento si sia basato sul consenso, sul contratto e se il trattamento sia effettuato con mezzi automatizzati, salvo che il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri e che tale trasmissione non leda il diritto di terzi.

• Diritto di opposizione (art. 21)

Lei ha il diritto in qualsiasi momento di opporsi, in tutto o in parte, al trattamento dei Suoi dati personali qualora il trattamento sia effettuato per il perseguimento di un interesse legittimo del Titolare ovvero per finalità di marketing diretto.

• Diritto di rivolgersi all’autorità Garante per la protezione dei dati personali (art. 77).

Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, se Lei ritiene che il trattamento che la riguarda violi il regolamento in materia di protezione dei dati personali, ha il diritto di proporre reclamo ad un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.

Informative

La protezione dei dati personali rappresenta per Cereal Docks International S.p.A. (di seguito “Cereal Docks” o “Società”) un impegno importante.

L’entrata in vigore del Regolamento (UE) 2016/679 “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” (di seguito “GDPR”) ha fornito l’opportunità per adeguare ulteriormente le attività svolte dalla Società ai principi di trasparenza e tutela dei dati personali, nel rispetto dei diritti e delle libertà fondamentali di tutti gli interessati, siano essi dipendenti, collaboratori, clienti, fornitori o terzi interessati a ricevere informazioni.

Cereal Docks ha così implementato un “Modello Organizzativo Privacy” (MOP) che qui si descrive nelle sue linee generali, finalizzato ad analizzare tutti i trattamenti di dati, ad organizzarli in modo funzionale ed a gestirli in sicurezza e trasparenza. In questa sezione del sito si riportano inoltre le informazioni sui diritti dell’interessato e le modalità di esercizio nei confronti del Titolare.

1 - Modello organizzativo privacy gdpr
1.1 - Soggetti
1.2 Analisi del rischio e misure per prevenire i rischi privacy
2 - Trasparenza e diritti dell’interessato
2.1 - Diritti in materia di protezione dei dati personali
2.2 - Esercizio dei diritti
2.3 - Modulistica ed informative

TITOLARE DEL TRATTAMENTO

Il Titolare del trattamento è:
Cereal Docks International S.p.A. (di seguito anche “TITOLARE”)
Via dell’Innovazione, n. 1, 36043 – Camisano Vicentino (VI)
Tel. +39 0444 419411
email: This email address is being protected from spambots. You need JavaScript enabled to view it.
Posta Elettronica Certificata: This email address is being protected from spambots. You need JavaScript enabled to view it.
P.IVA e Codice Fiscale: 03392950246

RESPONSABILE DELLA PROTEZIONE DEI DATI

Il Responsabile della Protezione dei Dati è:
TZ&A Studio Associato (di seguito anche “DPO”)
Email: This email address is being protected from spambots. You need JavaScript enabled to view it.

Cereal Docks International S.p.A. e altre società del ‘Gruppo Cereal Docks’ hanno ritenuto di avvalersi della facoltà prevista dall’art. 37, paragrafo 2, del RGPD di procedere alla nomina condivisa di uno stesso Responsabile per la Protezione dei Dati personali, che agisce in sinergia con il team privacy interno.

Il DPO è domiciliato presso il TITOLARE e potrà essere contattato per qualsiasi esigenza correlata al trattamento dei dati personali di tutti gli interessati.

TEAM PRIVACY

Il TITOLARE ha ritenuto opportuno nominare un “Team privacy” interno formato da soggetti con competenze organizzative, tecniche ed informatiche.
Il Team privacy ha la funzione di supporto all’attività del TITOLARE e del DPO.

SOGGETTI AUTORIZZATI AL TRATTAMENTO (ex art. 29 GDPR)

Il MOP prevede che ciascun dipendente/collaboratore del TITOLARE tratti solamente i dati indispensabili per svolgere le proprie mansioni, in funzione dell’organizzazione interna e soprattutto delle finalità indicate e proposte all’interessato (principio c.d. di “limitazione della finalità e minimizzazione dei dati”, art. 5 comma 1, lett. b) e c) del GDPR). E’ stata predisposta pertanto una segmentazione dei trattamenti, per aree omogenee di soggetti autorizzati al trattamento, vincolandolo i dipendenti/collaboratori preposti a ciascuna area ad un ambito specifico di trattamento. Ciascun soggetto autorizzato ha ricevuto istruzioni specifiche dal TITOLARE relativamente al trattamento dei dati personali. A tal fine, by design, anche il sistema informativo è costituito a “compartimenti stagni”. Il dipendente/collaboratore potrà accedere dalla propria postazione informatica solo ai dati indispensabili per svolgere le proprie mansioni. La designazione alle specifiche aree di trattamento avviene previa attenta analisi della struttura e dell’organizzazione aziendale nonché del flusso dei dati interni ed esterni alla Società, ed è riepilogata in un’apposita matrice interna che individua puntualmente l’ambito di trattamento di ciascuna area. Il dipendente/collaboratore ha altresì ricevuto un regolamento interno sull’uso degli strumenti informatici e delle regole di condotta, anche etiche, su tutte le informazioni alle quali accede in virtù della sua specifica mansione. Per garantire in maniera efficace l’adeguamento ai principi in materia di trattamento dei dati personali, il TITOLARE ha altresì previsto corsi di formazione ed aggiornamento in materia ai propri dipendenti/collaboratori che, in virtù delle proprie mansioni, svolgono trattamenti di dati personali.

AMMINISTRATORI DI SISTEMA (INTERNI ED ESTERNI)

Il TITOLARE utilizza sistemi informatici per gestire e organizzare la propria attività. Per tale ragione, da sempre, l’attenzione alla costruzione dei software, le modalità di utilizzo degli stessi e la sicurezza dei dati sono alla base dell’attività del TITOLARE. I soggetti con privilegi di “amministratore” interni all’azienda sono specificatamente nominati e formati. Anche le altre società esterne specializzate che accedono a dati aziendali sono specificatamente nominate Responsabili Esterni e/o Amministratori di Sistema Esterni ai sensi dell’art. 28 del GDPR. I fornitori di servizi informatici esterni sono scelti con particolare attenzione alla loro professionalità, non solo tecnica, ma anche in relazione al rispetto ed alla protezione dei dati, privilegiando società certificate.

RESPONSABILI DEL TRATTAMENTO (ex art. 28 GDPR)

In linea di principio il TITOLARE gestisce internamente quasi tutte le attività di trattamento. I casi di affidamento in outsourcing a terzi di alcune attività che implicano un trattamento di dati per conto del TITOLARE sono opportunamente indicati all’interno delle singole informative. In questi casi il rapporto con il soggetto terzo è disciplinato mediante un apposito contratto di nomina a “Responsabile del Trattamento” ai sensi dell’art. 28 del GDPR.

Il TITOLARE affida tale attività di trattamento a soggetti esterni che presentano garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate per soddisfare i requisiti previsti dal GDPR e garantire la tutela dei diritti degli interessati.

Secondo i principi della c.d. “accountability” (responsabilizzazione) spetta al TITOLARE implementare una serie di misure – organizzative, fisiche, giuridiche, tecniche ed informatiche – volte a prevenire il rischio di violazione dei diritti e delle libertà personali degli interessati. Per raggiungere questo obiettivo viene effettuata una costante analisi dei rischi, in funzione dei trattamenti, degli strumenti utilizzati, della tipologia e della mole di dati trattati.

REGISTRO DEI TRATTAMENTI (ex art. 30 GDPR) E ANALISI DELL’IMPATTO SULLA PROTEZIONE DEI DATI (ex art. 35 GDPR)

Il MOP prevede un’attenta e costante analisi dei rischi per il trattamento dei dati personali, individuati per ciascuna attività o servizio erogato attraverso un Registro dei Trattamenti ai sensi dell’art. 30 comma 1 del GDPR.

Analizzata l’attività di trattamento svolta dal TITOLARE, si ritiene che ad oggi non vi siano attività a rischio tale da necessitare una specifica valutazione di impatto ai sensi dell’art. 35 del GDPR (c.d. “DPIA”).

L’analisi su rischi informatici e sulle infrastrutture hardware e software aziendali e sulle misure informatiche di adeguamento è stata realizzata sia dal nostro Amministratore di Sistema con appositi tool e check list sia da un’azienda esterna specializzata in sicurezza informatica, che ha effettuato un audit approfondito con test di sicurezza. Gli esiti dell’indagine hanno permesso ai tecnici di migliorare ulteriormente le misure di protezione dai cyber attacchi e dalle minacce informatiche, gradatamente e proporzionalmente al rischio per i diritti e le libertà degli interessati.

• Diritto di essere informato (trasparenza nel trattamento dei dati)

L’interessato ha diritto di essere informato su come il TITOLARE tratta i Suoi dati personali, per quali finalità e su altre informazioni previste dall’art. 13 del GDPR. A tale fine, il TITOLARE ha predisposto dei processi organizzativi che permettono, all’atto di acquisizione o richiesta dei dati personali, il rilascio di un modello di Informativa creato “ad hoc” a seconda della categoria di interessati a cui l’interessato appartiene (dipendente, cliente, fornitore ecc.). Questo documento permette di informare adeguatamente tutti i soggetti cui i dati si riferiscono su come venga effettuato il trattamento da parte del TITOLARE. Il modello di informativa potrà essere richiesto con apposita domanda indirizzata al TITOLARE.

• Diritto di revoca del consenso (art. 13)               

Lei ha il diritto di revocare il consenso in qualsiasi momento per tutti quei trattamenti il cui presupposto di legittimità è una Sua manifestazione di consenso. La revoca del consenso non pregiudica la liceità del trattamento precedente.

• Diritto di accesso ai dati (art. 15)           

Lei potrà richiedere a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato. Lei ha il diritto di richiedere una copia dei dati personali oggetto di trattamento.

• Diritto di rettifica (art. 16)         

Lei ha il diritto di chiedere la rettifica dei dati personali inesatti che la riguardano e di ottenere l’integrazione dei dati personali incompleti.

• Diritto all’oblio (art. 17)             

Lei ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che la riguardano se i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati, se revoca il consenso, se non sussiste alcun motivo legittimo prevalente per procedere al trattamento di profilazione, se i dati sono stati trattati illecitamente, se vi è un obbligo legale di cancellarli; se i dati sono relativi a servizi web resi a minori senza il relativo consenso. La cancellazione può avvenire salvo che sia prevalente il diritto alla libertà di espressione e di informazione, che siano conservati per l’adempimento di un obbligo di legge o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri, per motivi di interesse pubblico nel settore della sanità, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

• Diritto alla limitazione del trattamento (art. 18)            

Lei ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ha contestato l’esattezza dei dati personali (per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali) o se il trattamento sia illecito, ma Lei si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo o se le sono necessari per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, mentre al Titolare non sono più necessari.

• Diritto alla portabilità (art. 20)

Lei ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che la riguardano fornitici ed ha il diritto di trasmetterli a un altro se il trattamento si sia basato sul consenso, sul contratto e se il trattamento sia effettuato con mezzi automatizzati, salvo che il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri e che tale trasmissione non leda il diritto di terzi.

• Diritto di opposizione (art. 21)

Lei ha il diritto in qualsiasi momento di opporsi, in tutto o in parte, al trattamento dei Suoi dati personali qualora il trattamento sia effettuato per il perseguimento di un interesse legittimo del Titolare ovvero per finalità di marketing diretto.

• Diritto di rivolgersi all’autorità Garante per la protezione dei dati personali (art. 77).

Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, se Lei ritiene che il trattamento che la riguarda violi il regolamento in materia di protezione dei dati personali, ha il diritto di proporre reclamo ad un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.

La protezione dei dati personali rappresenta per Cereal Docks Marghera S.r.l. (di seguito “Cereal Docks” o “Società”) un impegno importante.

L’entrata in vigore del Regolamento (UE) 2016/679 “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” (di seguito “GDPR”) ha fornito l’opportunità per adeguare ulteriormente le attività svolte dalla Società ai principi di trasparenza e tutela dei dati personali, nel rispetto dei diritti e delle libertà fondamentali di tutti gli interessati, siano essi dipendenti, collaboratori, clienti, fornitori o terzi interessati a ricevere informazioni.

Cereal Docks ha così implementato un “Modello Organizzativo Privacy” (MOP) che qui si descrive nelle sue linee generali, finalizzato ad analizzare tutti i trattamenti di dati, ad organizzarli in modo funzionale ed a gestirli in sicurezza e trasparenza. In questa sezione del sito si riportano inoltre le informazioni sui diritti dell’interessato e le modalità di esercizio nei confronti del Titolare.

1 - Modello organizzativo privacy gdpr
1.1 - Soggetti
1.2 Analisi del rischio e misure per prevenire i rischi privacy
2 - Trasparenza e diritti dell’interessato
2.1 - Diritti in materia di protezione dei dati personali
2.2 - Esercizio dei diritti
2.3 - Modulistica ed informative

TITOLARE DEL TRATTAMENTO

Il Titolare del trattamento è:
Cereal Docks Marghera S.r.l. (di seguito anche “TITOLARE”)
Via Banchina Molini, n. 30 – Marghera 30175 – Venezia (VE)
Tel. +39 041 3035400
email: This email address is being protected from spambots. You need JavaScript enabled to view it.
Posta Elettronica Certificata: This email address is being protected from spambots. You need JavaScript enabled to view it.
P.IVA e Codice Fiscale: 04040800270

RESPONSABILE DELLA PROTEZIONE DEI DATI

Il Responsabile della Protezione dei Dati è:
TZ&A Studio Associato (di seguito anche “DPO”)
Email: This email address is being protected from spambots. You need JavaScript enabled to view it.

Cereal Docks Marghera S.r.l. e altre società del ‘Gruppo Cereal Docks’ hanno ritenuto di avvalersi della facoltà prevista dall’art. 37, paragrafo 2, del RGPD di procedere alla nomina condivisa di uno stesso Responsabile per la Protezione dei Dati personali, che agisce in sinergia con il team privacy interno.

Il DPO è domiciliato presso il TITOLARE e potrà essere contattato per qualsiasi esigenza correlata al trattamento dei dati personali di tutti gli interessati.

TEAM PRIVACY

Il TITOLARE ha ritenuto opportuno nominare un “Team privacy” interno formato da soggetti con competenze organizzative, tecniche ed informatiche.
Il Team privacy ha la funzione di supporto all’attività del TITOLARE e del DPO.

SOGGETTI AUTORIZZATI AL TRATTAMENTO (ex art. 29 GDPR)

Il MOP prevede che ciascun dipendente/collaboratore del TITOLARE tratti solamente i dati indispensabili per svolgere le proprie mansioni, in funzione dell’organizzazione interna e soprattutto delle finalità indicate e proposte all’interessato (principio c.d. di “limitazione della finalità e minimizzazione dei dati”, art. 5 comma 1, lett. b) e c) del GDPR). E’ stata predisposta pertanto una segmentazione dei trattamenti, per aree omogenee di soggetti autorizzati al trattamento, vincolandolo i dipendenti/collaboratori preposti a ciascuna area ad un ambito specifico di trattamento. Ciascun soggetto autorizzato ha ricevuto istruzioni specifiche dal TITOLARE relativamente al trattamento dei dati personali. A tal fine, by design, anche il sistema informativo è costituito a “compartimenti stagni”. Il dipendente/collaboratore potrà accedere dalla propria postazione informatica solo ai dati indispensabili per svolgere le proprie mansioni. La designazione alle specifiche aree di trattamento avviene previa attenta analisi della struttura e dell’organizzazione aziendale nonché del flusso dei dati interni ed esterni alla Società, ed è riepilogata in un’apposita matrice interna che individua puntualmente l’ambito di trattamento di ciascuna area.
Il dipendente/collaboratore ha altresì ricevuto un regolamento interno sull’uso degli strumenti informatici e delle regole di condotta, anche etiche, su tutte le informazioni alle quali accede in virtù della sua specifica mansione. Per garantire in maniera efficace l’adeguamento ai principi in materia di trattamento dei dati personali, il TITOLARE ha altresì previsto corsi di formazione ed aggiornamento in materia ai propri dipendenti/collaboratori che, in virtù delle proprie mansioni, svolgono trattamenti di dati personali.

AMMINISTRATORI DI SISTEMA (INTERNI ED ESTERNI)

Il TITOLARE utilizza sistemi informatici per gestire e organizzare la propria attività. Per tale ragione, da sempre, l’attenzione alla costruzione dei software, le modalità di utilizzo degli stessi e la sicurezza dei dati sono alla base dell’attività del TITOLARE. I soggetti con privilegi di “amministratore” interni all’azienda sono specificatamente nominati e formati. Anche le altre società esterne specializzate che accedono a dati aziendali sono specificatamente nominate Responsabili Esterni e/o Amministratori di Sistema Esterni ai sensi dell’art. 28 del GDPR. I fornitori di servizi informatici esterni sono scelti con particolare attenzione alla loro professionalità, non solo tecnica, ma anche in relazione al rispetto ed alla protezione dei dati, privilegiando società certificate.

RESPONSABILI DEL TRATTAMENTO (ex art. 28 GDPR)

In linea di principio il TITOLARE gestisce internamente quasi tutte le attività di trattamento. I casi di affidamento in outsourcing a terzi di alcune attività che implicano un trattamento di dati per conto del TITOLARE sono opportunamente indicati all’interno delle singole informative. In questi casi il rapporto con il soggetto terzo è disciplinato mediante un apposito contratto di nomina a “Responsabile del Trattamento” ai sensi dell’art. 28 del GDPR.

Il TITOLARE affida tale attività di trattamento a soggetti esterni che presentano garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate per soddisfare i requisiti previsti dal GDPR e garantire la tutela dei diritti degli interessati.

Secondo i principi della c.d. “accountability” (responsabilizzazione) spetta al TITOLARE implementare una serie di misure – organizzative, fisiche, giuridiche, tecniche ed informatiche – volte a prevenire il rischio di violazione dei diritti e delle libertà personali degli interessati. Per raggiungere questo obiettivo viene effettuata una costante analisi dei rischi, in funzione dei trattamenti, degli strumenti utilizzati, della tipologia e della mole di dati trattati.

REGISTRO DEI TRATTAMENTI (ex art. 30 GDPR) E ANALISI DELL’IMPATTO SULLA PROTEZIONE DEI DATI (ex art. 35 GDPR)

Il MOP prevede un’attenta e costante analisi dei rischi per il trattamento dei dati personali, individuati per ciascuna attività o servizio erogato attraverso un Registro dei Trattamenti ai sensi dell’art. 30 comma 1 del GDPR.

Analizzata l’attività di trattamento svolta dal TITOLARE, si ritiene che ad oggi non vi siano attività a rischio tale da necessitare una specifica valutazione di impatto ai sensi dell’art. 35 del GDPR (c.d. “DPIA”).

L’analisi su rischi informatici e sulle infrastrutture hardware e software aziendali e sulle misure informatiche di adeguamento è stata realizzata sia dal nostro Amministratore di Sistema con appositi tool e check list sia da un’azienda esterna specializzata in sicurezza informatica, che ha effettuato un audit approfondito con test di sicurezza. Gli esiti dell’indagine hanno permesso ai tecnici di migliorare ulteriormente le misure di protezione dai cyber attacchi e dalle minacce informatiche, gradatamente e proporzionalmente al rischio per i diritti e le libertà degli interessati.

• Diritto di essere informato (trasparenza nel trattamento dei dati)

L’interessato ha diritto di essere informato su come il TITOLARE tratta i Suoi dati personali, per quali finalità e su altre informazioni previste dall’art. 13 del GDPR. A tale fine, il TITOLARE ha predisposto dei processi organizzativi che permettono, all’atto di acquisizione o richiesta dei dati personali, il rilascio di un modello di Informativa creato “ad hoc” a seconda della categoria di interessati a cui l’interessato appartiene (dipendente, cliente, fornitore ecc.). Questo documento permette di informare adeguatamente tutti i soggetti cui i dati si riferiscono su come venga effettuato il trattamento da parte del TITOLARE. Il modello di informativa potrà essere richiesto con apposita domanda indirizzata al TITOLARE.

• Diritto di revoca del consenso (art. 13)               

Lei ha il diritto di revocare il consenso in qualsiasi momento per tutti quei trattamenti il cui presupposto di legittimità è una Sua manifestazione di consenso. La revoca del consenso non pregiudica la liceità del trattamento precedente.

• Diritto di accesso ai dati (art. 15)           

Lei potrà richiedere a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato. Lei ha il diritto di richiedere una copia dei dati personali oggetto di trattamento.

• Diritto di rettifica (art. 16)         

Lei ha il diritto di chiedere la rettifica dei dati personali inesatti che la riguardano e di ottenere l’integrazione dei dati personali incompleti.

• Diritto all’oblio (art. 17)             

Lei ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che la riguardano se i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati, se revoca il consenso, se non sussiste alcun motivo legittimo prevalente per procedere al trattamento di profilazione, se i dati sono stati trattati illecitamente, se vi è un obbligo legale di cancellarli; se i dati sono relativi a servizi web resi a minori senza il relativo consenso. La cancellazione può avvenire salvo che sia prevalente il diritto alla libertà di espressione e di informazione, che siano conservati per l’adempimento di un obbligo di legge o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri, per motivi di interesse pubblico nel settore della sanità, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

• Diritto alla limitazione del trattamento (art. 18)            

Lei ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ha contestato l’esattezza dei dati personali (per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali) o se il trattamento sia illecito, ma Lei si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo o se le sono necessari per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, mentre al Titolare non sono più necessari.

• Diritto alla portabilità (art. 20)

Lei ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che la riguardano fornitici ed ha il diritto di trasmetterli a un altro se il trattamento si sia basato sul consenso, sul contratto e se il trattamento sia effettuato con mezzi automatizzati, salvo che il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri e che tale trasmissione non leda il diritto di terzi.

• Diritto di opposizione (art. 21)

Lei ha il diritto in qualsiasi momento di opporsi, in tutto o in parte, al trattamento dei Suoi dati personali qualora il trattamento sia effettuato per il perseguimento di un interesse legittimo del Titolare ovvero per finalità di marketing diretto.

• Diritto di rivolgersi all’autorità Garante per la protezione dei dati personali (art. 77).

Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, se Lei ritiene che il trattamento che la riguarda violi il regolamento in materia di protezione dei dati personali, ha il diritto di proporre reclamo ad un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.

La protezione dei dati personali rappresenta per Cereal Docks Organic S.r.l. (di seguito “Cereal Docks” o “Società”) un impegno importante.

L’entrata in vigore del Regolamento (UE) 2016/679 “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” (di seguito “GDPR”) ha fornito l’opportunità per adeguare ulteriormente le attività svolte dalla Società ai principi di trasparenza e tutela dei dati personali, nel rispetto dei diritti e delle libertà fondamentali di tutti gli interessati, siano essi dipendenti, collaboratori, clienti, fornitori o terzi interessati a ricevere informazioni.

Cereal Docks ha così implementato un “Modello Organizzativo Privacy” (MOP) che qui si descrive nelle sue linee generali, finalizzato ad analizzare tutti i trattamenti di dati, ad organizzarli in modo funzionale ed a gestirli in sicurezza e trasparenza. In questa sezione del sito si riportano inoltre le informazioni sui diritti dell’interessato e le modalità di esercizio nei confronti del Titolare.

1 - Modello organizzativo privacy gdpr
1.1 - Soggetti
1.2 Analisi del rischio e misure per prevenire i rischi privacy
2 - Trasparenza e diritti dell’interessato
2.1 - Diritti in materia di protezione dei dati personali
2.2 - Esercizio dei diritti
2.3 - Modulistica ed informative

TITOLARE DEL TRATTAMENTO

Il Titolare del trattamento è:
Cereal Docks Organic S.r.l.  (di seguito anche “TITOLARE”)
Via Dell’Innovazione, n. 1, 36043 – Camisano Vicentino (VI)
Tel. +39 0444 419411
email: This email address is being protected from spambots. You need JavaScript enabled to view it.
Posta Elettronica Certificata: This email address is being protected from spambots. You need JavaScript enabled to view it.
P.IVA e Codice Fiscale: 04063200242

TEAM PRIVACY

Il TITOLARE ha ritenuto opportuno nominare un “Team privacy” interno formato da soggetti con competenze organizzative, tecniche ed informatiche.
Il Team privacy ha la funzione di supporto all’attività del TITOLARE.

SOGGETTI AUTORIZZATI AL TRATTAMENTO (ex art. 29 GDPR)

Il MOP prevede che ciascun dipendente/collaboratore del TITOLARE tratti solamente i dati indispensabili per svolgere le proprie mansioni, in funzione dell’organizzazione interna e soprattutto delle finalità indicate e proposte all’interessato (principio c.d. di "limitazione della finalità e minimizzazione dei dati”, art. 5 comma 1, lett. b) e c) del GDPR). E’ stata predisposta pertanto una segmentazione dei trattamenti, per aree omogenee di soggetti autorizzati al trattamento, vincolandolo i dipendenti/collaboratori preposti a ciascuna area ad un ambito specifico di trattamento. Ciascun soggetto autorizzato ha ricevuto istruzioni specifiche dal TITOLARE relativamente al trattamento dei dati personali. A tal fine, by design, anche il sistema informativo è costituito a “compartimenti stagni”. Il dipendente/collaboratore potrà accedere dalla propria postazione informatica solo ai dati indispensabili per svolgere le proprie mansioni. La designazione alle specifiche aree di trattamento avviene previa attenta analisi della struttura e dell’organizzazione aziendale nonché del flusso dei dati interni ed esterni alla Società, ed è riepilogata in un’apposita matrice interna che individua puntualmente l’ambito di trattamento di ciascuna area.
Il dipendente/collaboratore ha altresì ricevuto un regolamento interno sull’uso degli strumenti informatici e delle regole di condotta, anche etiche, su tutte le informazioni alle quali accede in virtù della sua specifica mansione.
Per garantire in maniera efficace l’adeguamento ai principi in materia di trattamento dei dati personali, il TITOLARE ha altresì previsto corsi di formazione ed aggiornamento in materia ai propri dipendenti/collaboratori che, in virtù delle proprie mansioni, svolgono trattamenti di dati personali.

AMMINISTRATORI DI SISTEMA (INTERNI ED ESTERNI)

Il TITOLARE utilizza sistemi informatici per gestire e organizzare la propria attività. Per tale ragione, da sempre, l’attenzione alla costruzione dei software, le modalità di utilizzo degli stessi e la sicurezza dei dati sono alla base dell’attività del TITOLARE. I soggetti con privilegi di “amministratore” interni all’azienda sono specificatamente nominati e formati. Anche le altre società esterne specializzate che accedono a dati aziendali sono specificatamente nominate Responsabili Esterni e/o Amministratori di Sistema Esterni ai sensi dell’art. 28 del GDPR. I fornitori di servizi informatici esterni sono scelti con particolare attenzione alla loro professionalità, non solo tecnica, ma anche in relazione al rispetto ed alla protezione dei dati, privilegiando società certificate.

RESPONSABILI DEL TRATTAMENTO (ex art. 28 GDPR)

In linea di principio il TITOLARE gestisce internamente quasi tutte le attività di trattamento. I casi di affidamento in outsourcing a terzi di alcune attività che implicano un trattamento di dati per conto del TITOLARE sono opportunamente indicati all’interno delle singole informative. In questi casi il rapporto con il soggetto terzo è disciplinato mediante un apposito contratto di nomina a “Responsabile del Trattamento” ai sensi dell’art. 28 del GDPR.

Il TITOLARE affida tale attività di trattamento a soggetti esterni che presentano garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate per soddisfare i requisiti previsti dal GDPR e garantire la tutela dei diritti degli interessati.

Secondo i principi della c.d. “accountability” (responsabilizzazione) spetta al TITOLARE implementare una serie di misure – organizzative, fisiche, giuridiche, tecniche ed informatiche – volte a prevenire il rischio di violazione dei diritti e delle libertà personali degli interessati. Per raggiungere questo obiettivo viene effettuata una costante analisi dei rischi, in funzione dei trattamenti, degli strumenti utilizzati, della tipologia e della mole di dati trattati.

REGISTRO DEI TRATTAMENTI (ex art. 30 GDPR) E ANALISI DELL’IMPATTO SULLA PROTEZIONE DEI DATI (ex art. 35 GDPR)

Il MOP prevede un’attenta e costante analisi dei rischi per il trattamento dei dati personali, individuati per ciascuna attività o servizio erogato attraverso un Registro dei Trattamenti ai sensi dell’art. 30 comma 1 del GDPR.

Analizzata l’attività di trattamento svolta dal TITOLARE, si ritiene che ad oggi non vi siano attività a rischio tale da necessitare una specifica valutazione di impatto ai sensi dell’art. 35 del GDPR (c.d. “DPIA”).

L’analisi su rischi informatici e sulle infrastrutture hardware e software aziendali e sulle misure informatiche di adeguamento è stata realizzata sia dal nostro Amministratore di Sistema con appositi tool e check list sia da un’azienda esterna specializzata in sicurezza informatica, che ha effettuato un audit approfondito con test di sicurezza. Gli esiti dell’indagine hanno permesso ai tecnici di migliorare ulteriormente le misure di protezione dai cyber attacchi e dalle minacce informatiche, gradatamente e proporzionalmente al rischio per i diritti e le libertà degli interessati.

• Diritto di essere informato (trasparenza nel trattamento dei dati)

L’interessato ha diritto di essere informato su come il TITOLARE tratta i Suoi dati personali, per quali finalità e su altre informazioni previste dall’art. 13 del GDPR. A tale fine, il TITOLARE ha predisposto dei processi organizzativi che permettono, all’atto di acquisizione o richiesta dei dati personali, il rilascio di un modello di Informativa creato “ad hoc” a seconda della categoria di interessati a cui l’interessato appartiene (dipendente, cliente, fornitore ecc.). Questo documento permette di informare adeguatamente tutti i soggetti cui i dati si riferiscono su come venga effettuato il trattamento da parte del TITOLARE. Il modello di informativa potrà essere richiesto con apposita domanda indirizzata al TITOLARE.

• Diritto di revoca del consenso (art. 13)               

Lei ha il diritto di revocare il consenso in qualsiasi momento per tutti quei trattamenti il cui presupposto di legittimità è una Sua manifestazione di consenso. La revoca del consenso non pregiudica la liceità del trattamento precedente.

• Diritto di accesso ai dati (art. 15)           

Lei potrà richiedere a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato. Lei ha il diritto di richiedere una copia dei dati personali oggetto di trattamento.

• Diritto di rettifica (art. 16)         

Lei ha il diritto di chiedere la rettifica dei dati personali inesatti che la riguardano e di ottenere l’integrazione dei dati personali incompleti.

• Diritto all’oblio (art. 17)             

Lei ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che la riguardano se i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati, se revoca il consenso, se non sussiste alcun motivo legittimo prevalente per procedere al trattamento di profilazione, se i dati sono stati trattati illecitamente, se vi è un obbligo legale di cancellarli; se i dati sono relativi a servizi web resi a minori senza il relativo consenso. La cancellazione può avvenire salvo che sia prevalente il diritto alla libertà di espressione e di informazione, che siano conservati per l’adempimento di un obbligo di legge o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri, per motivi di interesse pubblico nel settore della sanità, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

• Diritto alla limitazione del trattamento (art. 18)            

Lei ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ha contestato l’esattezza dei dati personali (per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali) o se il trattamento sia illecito, ma Lei si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo o se le sono necessari per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, mentre al Titolare non sono più necessari.

• Diritto alla portabilità (art. 20)

Lei ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che la riguardano fornitici ed ha il diritto di trasmetterli a un altro se il trattamento si sia basato sul consenso, sul contratto e se il trattamento sia effettuato con mezzi automatizzati, salvo che il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri e che tale trasmissione non leda il diritto di terzi.

• Diritto di opposizione (art. 21)

Lei ha il diritto in qualsiasi momento di opporsi, in tutto o in parte, al trattamento dei Suoi dati personali qualora il trattamento sia effettuato per il perseguimento di un interesse legittimo del Titolare ovvero per finalità di marketing diretto.

• Diritto di rivolgersi all’autorità Garante per la protezione dei dati personali (art. 77).

Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, se Lei ritiene che il trattamento che la riguarda violi il regolamento in materia di protezione dei dati personali, ha il diritto di proporre reclamo ad un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.

La protezione dei dati personali rappresenta per Ital Green Oil S.r.l. (di seguito, anche, la “Società”) un impegno importante.

L’entrata in vigore del Regolamento (UE) 2016/679 “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” (di seguito “GDPR”) ha fornito l’opportunità per adeguare ulteriormente le attività svolte dalla Società ai principi di trasparenza e tutela dei dati personali, nel rispetto dei diritti e delle libertà fondamentali di tutti gli interessati, siano essi dipendenti, collaboratori, clienti, fornitori o terzi interessati a ricevere informazioni.

La Società ha così implementato un “Modello Organizzativo Privacy” (di seguito “MOP”) che qui si descrive nelle sue linee generali, finalizzato ad analizzare tutti i trattamenti di dati, ad organizzarli in modo funzionale ed a gestirli in sicurezza e trasparenza. In questa sezione del sito si riportano inoltre le informazioni sui diritti dell’interessato e le modalità di esercizio nei confronti del Titolare.

1 - Modello organizzativo privacy GDPR
1.1 - Soggetti
1.2 Analisi del rischio e misure per prevenire i rischi privacy
2 - Trasparenza e diritti dell’interessato
2.1 - Diritti in materia di protezione dei dati personali
2.2 - Esercizio dei diritti
2.3 - Modulistica ed informative

TITOLARE DEL TRATTAMENTO

Il Titolare del trattamento è:
Ital Green Oil S.r.l.  (di seguito anche “TITOLARE”)
Via Orti, n. 1/A, 37050 – San Pietro di Morubio (VR)
Tel. Stabilimento: +39 045 6998222
Tel. Amministrazione: +39 0444 419411
email: This email address is being protected from spambots. You need JavaScript enabled to view it.
Posta Elettronica Certificata: This email address is being protected from spambots. You need JavaScript enabled to view it.
P.IVA e Codice Fiscale: 06455700721

TEAM PRIVACY

Il TITOLARE ha ritenuto opportuno nominare un “Team privacy” interno formato da soggetti con competenze organizzative, tecniche ed informatiche.
Il Team privacy ha la funzione di supporto all’attività del TITOLARE.

SOGGETTI AUTORIZZATI AL TRATTAMENTO (ex art. 29 GDPR)

Il MOP prevede che ciascun dipendente/collaboratore del TITOLARE tratti solamente i dati indispensabili per svolgere le proprie mansioni, in funzione dell’organizzazione interna e soprattutto delle finalità indicate e proposte all’interessato (principio c.d. di "limitazione della finalità e minimizzazione dei dati”, art. 5 comma 1, lett. b) e c) del GDPR). È stata predisposta pertanto una segmentazione dei trattamenti, per aree omogenee di soggetti autorizzati al trattamento, vincolandolo i dipendenti/collaboratori preposti a ciascuna area ad un ambito specifico di trattamento. Ciascun soggetto autorizzato ha ricevuto istruzioni specifiche dal TITOLARE relativamente al trattamento dei dati personali. A tal fine, by design, anche il sistema informativo è costituito a “compartimenti stagni”. Il dipendente/collaboratore potrà accedere dalla propria postazione informatica solo ai dati indispensabili per svolgere le proprie mansioni. La designazione alle specifiche aree di trattamento avviene previa attenta analisi della struttura e dell’organizzazione aziendale nonché del flusso dei dati interni ed esterni alla Società, ed è riepilogata in un’apposita matrice interna che individua puntualmente l’ambito di trattamento di ciascuna area. Il dipendente/collaboratore ha altresì ricevuto un regolamento interno sull’uso degli strumenti informatici e delle regole di condotta, anche etiche, su tutte le informazioni alle quali accede in virtù della sua specifica mansione.
Per garantire in maniera efficace l’adeguamento ai principi in materia di trattamento dei dati personali, il TITOLARE ha altresì previsto corsi di formazione ed aggiornamento in materia ai propri dipendenti/collaboratori che, in virtù delle proprie mansioni, svolgono trattamenti di dati personali.

AMMINISTRATORI DI SISTEMA (INTERNI ED ESTERNI)

Il TITOLARE utilizza sistemi informatici per gestire e organizzare la propria attività. Per tale ragione, da sempre, l’attenzione alla costruzione dei software, le modalità di utilizzo degli stessi e la sicurezza dei dati sono alla base dell’attività del TITOLARE. I soggetti con privilegi di “amministratore” interni all’azienda sono specificatamente nominati e formati. Anche le altre società esterne specializzate che accedono a dati aziendali sono specificatamente nominate Responsabili Esterni e/o Amministratori di Sistema Esterni ai sensi dell’art. 28 del GDPR. I fornitori di servizi informatici esterni sono scelti con particolare attenzione alla loro professionalità, non solo tecnica, ma anche in relazione al rispetto ed alla protezione dei dati, privilegiando società certificate.

RESPONSABILI DEL TRATTAMENTO (ex art. 28 GDPR)

Preferibilmente il TITOLARE gestisce internamente le attività di trattamento. I casi di affidamento in outsourcing a terzi di alcune attività che implicano un trattamento di dati per conto del TITOLARE sono opportunamente indicati all’interno delle singole informative. In questi casi il rapporto con il soggetto terzo è disciplinato mediante un apposito contratto di nomina a “Responsabile del Trattamento” ai sensi dell’art. 28 del GDPR.
Il TITOLARE affida tale attività di trattamento a soggetti esterni che presentano garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate per soddisfare i requisiti previsti dal GDPR e garantire la tutela dei diritti degli interessati.

Secondo i principi della c.d. “accountability” (responsabilizzazione) spetta al TITOLARE implementare una serie di misure – organizzative, fisiche, giuridiche, tecniche ed informatiche – volte a prevenire il rischio di violazione dei diritti e delle libertà personali degli interessati. Per raggiungere questo obiettivo viene effettuata una costante analisi dei rischi, in funzione dei trattamenti, degli strumenti utilizzati, della tipologia e della mole di dati trattati.

REGISTRO DEI TRATTAMENTI (ex art. 30 GDPR) E ANALISI DELL’IMPATTO SULLA PROTEZIONE DEI DATI (ex art. 35 GDPR)

Il MOP prevede un’attenta e costante analisi dei rischi per il trattamento dei dati personali, individuati per ciascuna attività o servizio erogato attraverso un Registro dei Trattamenti ai sensi dell’art. 30 comma 1 del GDPR.

Analizzata l’attività di trattamento svolta dal TITOLARE, si ritiene che ad oggi non vi siano attività a rischio tale da necessitare una specifica valutazione di impatto ai sensi dell’art. 35 del GDPR (c.d. “DPIA”).

L’analisi su rischi informatici e sulle infrastrutture hardware e software aziendali e sulle misure informatiche di adeguamento è stata realizzata sia dal nostro Amministratore di Sistema con appositi tool e check list sia da un’azienda esterna specializzata in sicurezza informatica, che ha effettuato un audit approfondito con test di sicurezza. Gli esiti dell’indagine hanno permesso ai tecnici di migliorare ulteriormente le misure di protezione dai cyber attacchi e dalle minacce informatiche, gradatamente e proporzionalmente al rischio per i diritti e le libertà degli interessati.

• Diritto di essere informato (trasparenza nel trattamento dei dati)

L’interessato ha diritto di essere informato su come il TITOLARE tratta i Suoi dati personali, per quali finalità e su altre informazioni previste dall’art. 13 del GDPR. A tale fine, il TITOLARE ha predisposto dei processi organizzativi che permettono, all’atto di acquisizione o richiesta dei dati personali, il rilascio di un modello di Informativa creato “ad hoc” a seconda della categoria di interessati a cui l’interessato appartiene (dipendente, cliente, fornitore ecc.). Questo documento permette di informare adeguatamente tutti i soggetti cui i dati si riferiscono su come venga effettuato il trattamento da parte del TITOLARE. Il modello di informativa potrà essere richiesto con apposita domanda indirizzata al TITOLARE.

• Diritto di revoca del consenso (art. 13)               

Lei ha il diritto di revocare il consenso in qualsiasi momento per tutti quei trattamenti il cui presupposto di legittimità è una Sua manifestazione di consenso. La revoca del consenso non pregiudica la liceità del trattamento precedente.

• Diritto di accesso ai dati (art. 15)           

Lei potrà richiedere a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato. Lei ha il diritto di richiedere una copia dei dati personali oggetto di trattamento.

• Diritto di rettifica (art. 16)         

Lei ha il diritto di chiedere la rettifica dei dati personali inesatti che la riguardano e di ottenere l’integrazione dei dati personali incompleti.

• Diritto all’oblio (art. 17)             

Lei ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che la riguardano se i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati, se revoca il consenso, se non sussiste alcun motivo legittimo prevalente per procedere al trattamento di profilazione, se i dati sono stati trattati illecitamente, se vi è un obbligo legale di cancellarli; se i dati sono relativi a servizi web resi a minori senza il relativo consenso. La cancellazione può avvenire salvo che sia prevalente il diritto alla libertà di espressione e di informazione, che siano conservati per l’adempimento di un obbligo di legge o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri, per motivi di interesse pubblico nel settore della sanità, a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

• Diritto alla limitazione del trattamento (art. 18)            

Lei ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ha contestato l’esattezza dei dati personali (per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali) o se il trattamento sia illecito, ma Lei si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo o se le sono necessari per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, mentre al Titolare non sono più necessari.

• Diritto alla portabilità (art. 20)

Lei ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che la riguardano fornitici ed ha il diritto di trasmetterli a un altro se il trattamento si sia basato sul consenso, sul contratto e se il trattamento sia effettuato con mezzi automatizzati, salvo che il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri e che tale trasmissione non leda il diritto di terzi.

• Diritto di opposizione (art. 21)

Lei ha il diritto in qualsiasi momento di opporsi, in tutto o in parte, al trattamento dei Suoi dati personali qualora il trattamento sia effettuato per il perseguimento di un interesse legittimo del Titolare ovvero per finalità di marketing diretto.

• Diritto di rivolgersi all’autorità Garante per la protezione dei dati personali (art. 77).

Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, se Lei ritiene che il trattamento che la riguarda violi il regolamento in materia di protezione dei dati personali, ha il diritto di proporre reclamo ad un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.

Protection of personal data is an important commitment for Cereal Docks S.p.A. (hereinafter “Cereal Docks” or “Company”).

(EU) Regulation 2016/679 “(EU) Regulation 2016/679 of the European Parliament and Council dated 27 April 2016 related to "the protection of natural persons for what concerns their personal data, and the free circulation of that data” (hereinafter “GDPR”) coming into force provided the opportunity to further adapt the activities performed by the Company to the personal data transparency and protection principles, respect of the rights and fundamental freedoms of all the data subjects, whether they were employees, collaborators, customers, suppliers or third parties interested in receiving information.

Cereal Docks therefore implemented its “Privacy Organisational Model” (MOP) described generally below, aimed at analysing all data processing, organising them functionally and managing them securely and transparently. This website section also provides information on data subject rights and how they can be exercised with the Controller.

1 - GDPR Privacy Organisational Model
1.1 - Subjects
1.2 Analysis of the risk and privacy risk prevention measures
2 - Transparency and data subject rights
2.1 - Rights concerning the protection of personal data
2.2 - Exercising rights
2.3 - Forms and information notices

DATA CONTROLLER

The Data Controller is:
Cereal Docks Organic S.r.l.  (hereinafter also “CONTROLLER”)
Via Dell’Innovazione, n. 1, 36043 – Camisano Vicentino (VI)
Tel. +39 0444 419411
email: This email address is being protected from spambots. You need JavaScript enabled to view it.
Certified Electronic Mail: This email address is being protected from spambots. You need JavaScript enabled to view it.
VAT number and Tax Code: 04063200242

TEAM PRIVACY

The CONTROLLER has decided to appoint an internal “Privacy team” of persons with organisational, technical and IT skills.
The Privacy team’s task is to support the activities of the CONTROLLER.

PARTIES AUTHORISED TO PROCESS DATA (pursuant to art. 29 GDPR)

The MOP envisages that each employee/collaborator of the CONTROLLER only processes data that is indispensable for his/her tasks, based on the internal organisation and, above all, the purposes indicated and proposed by the data subject (so-called principle to “purpose limitation and data minimisation”, art. 5 paragraph 1, letter b) and c) of the GDPR). For this purpose, processing has been segmented into uniform areas of processors, limiting employees/collaborators operating in each area to a specific processing area. Each authorised processor has received specific instructions on personal data processing from the CONTROLLER. For that purpose, the design of the IT system is “compartimentalised”. The employee/collaborator can only access data that is indispensable for their jobs from their IT position. The specific processing areas are designated after careful analysis of the structure and company organisation and of the flow of internal and external data to the Company. This is summed up in a specific internal matrix identifying the processing environment of each area. The employee/collaborator has also been given internal regulations on the use of IT instruments and the rules of conduct, including ethical ones, on all information accessed due to his/her specific job. To effectively guarantee adjustment to the personal data processing principles, the CONTROLLER has also envisaged training and updating courses on the subject for employees/collaborators who, due to their jobs, process personal data.

SYSTEM ADMINISTRATORS (INTERNAL AND EXTERNAL)

The CONTROLLER uses computer systems to manage and organise its activities. For that reason, CONTROLLER activities have always been based on care over the construction of software, how it is used, and data security. Parties with “administrator” privileges in the company are specifically appointed and trained. Even the other external specialised companies accessing company data are specifically appointed as External Processors and/or External System Administrators pursuant to art. 28 of the GDPR. The suppliers or external computer services are chosen with care for their professional skills, not purely technical but also related to data protection, favouring certified companies.

PROCESSORS (pursuant to art. 28 GDPR)

In principle, the CONTROLLER manages all processing activities internally. Any outsourcing to third parties of certain activities implying the processing of data on behalf of the CONTROLLER is specifically indicated in the single information notices. In these cases the relationship with the third party is regulated by a specific contract appointing the “Processors” pursuant to art. 28 of the GDPR.

The CONTROLLER entrusts that processing activity to external parties providing sufficient guarantees on implementing suitable technical and organisational measures to meet the GDPR requirements and guarantee protection of data subject rights.

According to the so-called “accountability” principles, the CONTROLLER is responsible for implementing a number of measures – organizational, physical, legal, technical and IT – to prevent the risk of breaching the rights and personal freedoms of the data subjects. To achieve this goal, risks are continuously analysed, based on the processing, instruments used, type and amount of data processed.

RECORDS OF PROCESSING ACTIVITIES (pursuant to art. 30 GDPR) AND DATA PROTECTION IMPACT ASSESSMENT (pursuant to art. 35 GDPR)

The MOP envisages constant, careful analysis of risks for the processing of personal data, identified for each activity or service allocated through Records of Processing pursuant to art. 30 paragraph 1 of the GDPR.

Having analysed the processing performed by the CONTROLLER, it is felt that there are currently no risk activities needing a specific assessment of the impact pursuant to art. 35 of the GDPR (so-called (“DPIA” data processing impact assessment).

The analysis of cyber risks and corporate hardware and software infrastructures and on the IT adjustment measures has been conducted by both our System Administrator using specific tools and check lists and by an external company specialised in cyber security, which conducted an in-depth audit with security tests. The results enabled technicians to further improve measures to protect against cyber attacks and threats, graded and proportional to the risk for the rights and freedoms of data subjects.

• Right to be informed (data processing transparency)

The data subject has the right to be informed of how the CONTROLLER processes his/her personal data, for what purposes and on other information envisaged by art. 13 of the GDPR. For that purpose, the CONTROLLER has prepared organisational processes enabling, when the personal data are acquired or requested, an Information notice form created “ad hoc” to be issued based on the category the data subject belongs to (employee, customer, supplier, etc.). This document suitably notifies all subjects the data refer to on how the CONTROLLER conducts its processing. The information model may be requested with a specific request addressed to the CONTROLLER.

• Right to withdraw consent (art. 13)

You have the right to withdraw your consent at any time for all processing where the legitimacy assumption is a display of your consent. Withdrawing consent does not affect the lawfulness of processing based on consent before its withdrawal.

• Right to access data (art. 15)

You may request a) the purposes of the processing; b) the categories of personal data concerned; c) the recipients or categories of recipient to whom the personal data have been or will be disclosed, in particular recipients in third countries or international organisations; d) where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period; e) the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing; f) the right to lodge a complaint with a supervisory authority; g) where the personal data are not collected from the data subject, any available information as to their source; h) the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject. You have the right to obtain a copy of the personal data being processed.

• Right to rectification (art. 16)

You have the right to obtain rectification of inaccurate personal data concerning you and to have incomplete personal data completed.

• Right to be forgotten (art. 17)

You have the right to obtain erasure of the personal data concerning you from the controller if the data are no longer needed for the purpose for which they were collected or otherwise processed, if consent is withdrawn, if there is no other overriding legitimate grounds for the processing, if the personal data have been unlawfully processed, if there is a legal obligation to erase them; if the data refer to web services provided to minors without the relative consent. The erasure may take place unless the right to freedom of expression and information is prevalent, they are stored to fulfil a legal obligation or to perform a task in the public interest or exercising public powers, on grounds of public interest in the health sector, for filing purposes in the public interest, scientific or historical research or for statistical purposes or to ascertain, exercise or defend a right before the law.

• Right to restriction of processing (art. 18)

You have the right to ask the controller to limit processing when the accuracy of the personal data is contested (for a period enabling the controller to verify the accuracy of the personal data) or if processing is unlawful, but you oppose the erasure of the personal data and request the restriction of their use instead, or if they are needed by you to for the establishment, exercise or defence of legal claims, whereas they are no longer needed by the Controller.

• Right to data portability (art. 20)

You have the right to receive the personal data concerning you which you have provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller if the processing is based on consent, on a contract and if processing is done automatically, unless the processing is needed to perform a task of public interest or is connected to the exercising of public powers, and that their transmission does not adversely affect the rights and freedoms of others.

• Right to object (art. 21)

You have the right, at any time, to fully or partially object to the processing of your personal data if that processing is performed to pursue a legitimate interest of the Controller or for direct marketing purposes.

• Right to lodge a complaint with a Supervisory Authority (art. 77).

Without prejudice to any other administrative or judicial remedy, you shall have the right to lodge a complaint with a supervisory authority, in particular in the Member State of your habitual residence, place of work or place of the alleged infringement if you consider that the processing of personal data relating to you infringes this Regulation.

Protection of personal data is an important commitment for Cereal Docks S.p.A. (hereinafter “Cereal Docks” or “Company”).

(EU) Regulation 2016/679 “(EU) Regulation 2016/679 of the European Parliament and Council dated 27 April 2016 related to "the protection of natural persons for what concerns their personal data, and the free circulation of that data” (hereinafter “GDPR”) coming into force provided the opportunity to further adapt the activities performed by the Company to the personal data transparency and protection principles, respect of the rights and fundamental freedoms of all the data subjects, whether they were employees, collaborators, customers, suppliers or third parties interested in receiving information.

Cereal Docks therefore implemented its “Privacy Organisational Model” (MOP) described generally below, aimed at analysing all data processing, organising them functionally and managing them securely and transparently. This website section also provides information on data subject rights and how they can be exercised with the Controller.

1 - GDPR Privacy Organisational Model
1.1 - Subjects
1.2 Analysis of the risk and privacy risk prevention measures
2 - Transparency and data subject rights
2.1 - Rights concerning the protection of personal data
2.2 - Exercising rights
2.3 - Forms and information notices

DATA CONTROLLER

The Data Controller is:
Cereal Docks Organic S.r.l.  (hereinafter also “CONTROLLER”)
Via Dell’Innovazione, n. 1, 36043 – Camisano Vicentino (VI)
Tel. +39 0444 419411
email: This email address is being protected from spambots. You need JavaScript enabled to view it.
Certified Electronic Mail: This email address is being protected from spambots. You need JavaScript enabled to view it.
VAT number and Tax Code: 04063200242

TEAM PRIVACY

The CONTROLLER has decided to appoint an internal “Privacy team” of persons with organisational, technical and IT skills.
The Privacy team’s task is to support the activities of the CONTROLLER.

PARTIES AUTHORISED TO PROCESS DATA (pursuant to art. 29 GDPR)

The MOP envisages that each employee/collaborator of the CONTROLLER only processes data that is indispensable for his/her tasks, based on the internal organisation and, above all, the purposes indicated and proposed by the data subject (so-called principle to “purpose limitation and data minimisation”, art. 5 paragraph 1, letter b) and c) of the GDPR). For this purpose, processing has been segmented into uniform areas of processors, limiting employees/collaborators operating in each area to a specific processing area. Each authorised processor has received specific instructions on personal data processing from the CONTROLLER. For that purpose, the design of the IT system is “compartimentalised”. The employee/collaborator can only access data that is indispensable for their jobs from their IT position. The specific processing areas are designated after careful analysis of the structure and company organisation and of the flow of internal and external data to the Company. This is summed up in a specific internal matrix identifying the processing environment of each area. The employee/collaborator has also been given internal regulations on the use of IT instruments and the rules of conduct, including ethical ones, on all information accessed due to his/her specific job. To effectively guarantee adjustment to the personal data processing principles, the CONTROLLER has also envisaged training and updating courses on the subject for employees/collaborators who, due to their jobs, process personal data.

SYSTEM ADMINISTRATORS (INTERNAL AND EXTERNAL)

The CONTROLLER uses computer systems to manage and organise its activities. For that reason, CONTROLLER activities have always been based on care over the construction of software, how it is used, and data security. Parties with “administrator” privileges in the company are specifically appointed and trained. Even the other external specialised companies accessing company data are specifically appointed as External Processors and/or External System Administrators pursuant to art. 28 of the GDPR. The suppliers or external computer services are chosen with care for their professional skills, not purely technical but also related to data protection, favouring certified companies.

PROCESSORS (pursuant to art. 28 GDPR)

In principle, the CONTROLLER manages all processing activities internally. Any outsourcing to third parties of certain activities implying the processing of data on behalf of the CONTROLLER is specifically indicated in the single information notices. In these cases the relationship with the third party is regulated by a specific contract appointing the “Processors” pursuant to art. 28 of the GDPR.

The CONTROLLER entrusts that processing activity to external parties providing sufficient guarantees on implementing suitable technical and organisational measures to meet the GDPR requirements and guarantee protection of data subject rights.

According to the so-called “accountability” principles, the CONTROLLER is responsible for implementing a number of measures – organizational, physical, legal, technical and IT – to prevent the risk of breaching the rights and personal freedoms of the data subjects. To achieve this goal, risks are continuously analysed, based on the processing, instruments used, type and amount of data processed.

RECORDS OF PROCESSING ACTIVITIES (pursuant to art. 30 GDPR) AND DATA PROTECTION IMPACT ASSESSMENT (pursuant to art. 35 GDPR)

The MOP envisages constant, careful analysis of risks for the processing of personal data, identified for each activity or service allocated through Records of Processing pursuant to art. 30 paragraph 1 of the GDPR.

Having analysed the processing performed by the CONTROLLER, it is felt that there are currently no risk activities needing a specific assessment of the impact pursuant to art. 35 of the GDPR (so-called (“DPIA” data processing impact assessment).

The analysis of cyber risks and corporate hardware and software infrastructures and on the IT adjustment measures has been conducted by both our System Administrator using specific tools and check lists and by an external company specialised in cyber security, which conducted an in-depth audit with security tests. The results enabled technicians to further improve measures to protect against cyber attacks and threats, graded and proportional to the risk for the rights and freedoms of data subjects.

• Right to be informed (data processing transparency)

The data subject has the right to be informed of how the CONTROLLER processes his/her personal data, for what purposes and on other information envisaged by art. 13 of the GDPR. For that purpose, the CONTROLLER has prepared organisational processes enabling, when the personal data are acquired or requested, an Information notice form created “ad hoc” to be issued based on the category the data subject belongs to (employee, customer, supplier, etc.). This document suitably notifies all subjects the data refer to on how the CONTROLLER conducts its processing. The information model may be requested with a specific request addressed to the CONTROLLER.

• Right to withdraw consent (art. 13)

You have the right to withdraw your consent at any time for all processing where the legitimacy assumption is a display of your consent. Withdrawing consent does not affect the lawfulness of processing based on consent before its withdrawal.

• Right to access data (art. 15)

You may request a) the purposes of the processing; b) the categories of personal data concerned; c) the recipients or categories of recipient to whom the personal data have been or will be disclosed, in particular recipients in third countries or international organisations; d) where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period; e) the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing; f) the right to lodge a complaint with a supervisory authority; g) where the personal data are not collected from the data subject, any available information as to their source; h) the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject. You have the right to obtain a copy of the personal data being processed.

• Right to rectification (art. 16)

You have the right to obtain rectification of inaccurate personal data concerning you and to have incomplete personal data completed.

• Right to be forgotten (art. 17)

You have the right to obtain erasure of the personal data concerning you from the controller if the data are no longer needed for the purpose for which they were collected or otherwise processed, if consent is withdrawn, if there is no other overriding legitimate grounds for the processing, if the personal data have been unlawfully processed, if there is a legal obligation to erase them; if the data refer to web services provided to minors without the relative consent. The erasure may take place unless the right to freedom of expression and information is prevalent, they are stored to fulfil a legal obligation or to perform a task in the public interest or exercising public powers, on grounds of public interest in the health sector, for filing purposes in the public interest, scientific or historical research or for statistical purposes or to ascertain, exercise or defend a right before the law.

• Right to restriction of processing (art. 18)

You have the right to ask the controller to limit processing when the accuracy of the personal data is contested (for a period enabling the controller to verify the accuracy of the personal data) or if processing is unlawful, but you oppose the erasure of the personal data and request the restriction of their use instead, or if they are needed by you to for the establishment, exercise or defence of legal claims, whereas they are no longer needed by the Controller.

• Right to data portability (art. 20)

You have the right to receive the personal data concerning you which you have provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller if the processing is based on consent, on a contract and if processing is done automatically, unless the processing is needed to perform a task of public interest or is connected to the exercising of public powers, and that their transmission does not adversely affect the rights and freedoms of others.

• Right to object (art. 21)

You have the right, at any time, to fully or partially object to the processing of your personal data if that processing is performed to pursue a legitimate interest of the Controller or for direct marketing purposes.

• Right to lodge a complaint with a Supervisory Authority (art. 77).

Without prejudice to any other administrative or judicial remedy, you shall have the right to lodge a complaint with a supervisory authority, in particular in the Member State of your habitual residence, place of work or place of the alleged infringement if you consider that the processing of personal data relating to you infringes this Regulation.

Protection of personal data is an important commitment for Cereal Docks S.p.A. (hereinafter “Cereal Docks” or “Company”).

(EU) Regulation 2016/679 “(EU) Regulation 2016/679 of the European Parliament and Council dated 27 April 2016 related to "the protection of natural persons for what concerns their personal data, and the free circulation of that data” (hereinafter “GDPR”) coming into force provided the opportunity to further adapt the activities performed by the Company to the personal data transparency and protection principles, respect of the rights and fundamental freedoms of all the data subjects, whether they were employees, collaborators, customers, suppliers or third parties interested in receiving information.

Cereal Docks therefore implemented its “Privacy Organisational Model” (MOP) described generally below, aimed at analysing all data processing, organising them functionally and managing them securely and transparently. This website section also provides information on data subject rights and how they can be exercised with the Controller.

1 - GDPR Privacy Organisational Model
1.1 - Subjects
1.2 Analysis of the risk and privacy risk prevention measures
2 - Transparency and data subject rights
2.1 - Rights concerning the protection of personal data
2.2 - Exercising rights
2.3 - Forms and information notices

DATA CONTROLLER

The Data Controller is:
Cereal Docks Organic S.r.l.  (hereinafter also “CONTROLLER”)
Via Dell’Innovazione, n. 1, 36043 – Camisano Vicentino (VI)
Tel. +39 0444 419411
email: This email address is being protected from spambots. You need JavaScript enabled to view it.
Certified Electronic Mail: This email address is being protected from spambots. You need JavaScript enabled to view it.
VAT number and Tax Code: 04063200242

TEAM PRIVACY

The CONTROLLER has decided to appoint an internal “Privacy team” of persons with organisational, technical and IT skills.
The Privacy team’s task is to support the activities of the CONTROLLER.

PARTIES AUTHORISED TO PROCESS DATA (pursuant to art. 29 GDPR)

The MOP envisages that each employee/collaborator of the CONTROLLER only processes data that is indispensable for his/her tasks, based on the internal organisation and, above all, the purposes indicated and proposed by the data subject (so-called principle to “purpose limitation and data minimisation”, art. 5 paragraph 1, letter b) and c) of the GDPR). For this purpose, processing has been segmented into uniform areas of processors, limiting employees/collaborators operating in each area to a specific processing area. Each authorised processor has received specific instructions on personal data processing from the CONTROLLER. For that purpose, the design of the IT system is “compartimentalised”. The employee/collaborator can only access data that is indispensable for their jobs from their IT position. The specific processing areas are designated after careful analysis of the structure and company organisation and of the flow of internal and external data to the Company. This is summed up in a specific internal matrix identifying the processing environment of each area. The employee/collaborator has also been given internal regulations on the use of IT instruments and the rules of conduct, including ethical ones, on all information accessed due to his/her specific job. To effectively guarantee adjustment to the personal data processing principles, the CONTROLLER has also envisaged training and updating courses on the subject for employees/collaborators who, due to their jobs, process personal data.

SYSTEM ADMINISTRATORS (INTERNAL AND EXTERNAL)

The CONTROLLER uses computer systems to manage and organise its activities. For that reason, CONTROLLER activities have always been based on care over the construction of software, how it is used, and data security. Parties with “administrator” privileges in the company are specifically appointed and trained. Even the other external specialised companies accessing company data are specifically appointed as External Processors and/or External System Administrators pursuant to art. 28 of the GDPR. The suppliers or external computer services are chosen with care for their professional skills, not purely technical but also related to data protection, favouring certified companies.

PROCESSORS (pursuant to art. 28 GDPR)

In principle, the CONTROLLER manages all processing activities internally. Any outsourcing to third parties of certain activities implying the processing of data on behalf of the CONTROLLER is specifically indicated in the single information notices. In these cases the relationship with the third party is regulated by a specific contract appointing the “Processors” pursuant to art. 28 of the GDPR.

The CONTROLLER entrusts that processing activity to external parties providing sufficient guarantees on implementing suitable technical and organisational measures to meet the GDPR requirements and guarantee protection of data subject rights.

According to the so-called “accountability” principles, the CONTROLLER is responsible for implementing a number of measures – organizational, physical, legal, technical and IT – to prevent the risk of breaching the rights and personal freedoms of the data subjects. To achieve this goal, risks are continuously analysed, based on the processing, instruments used, type and amount of data processed.

RECORDS OF PROCESSING ACTIVITIES (pursuant to art. 30 GDPR) AND DATA PROTECTION IMPACT ASSESSMENT (pursuant to art. 35 GDPR)

The MOP envisages constant, careful analysis of risks for the processing of personal data, identified for each activity or service allocated through Records of Processing pursuant to art. 30 paragraph 1 of the GDPR.

Having analysed the processing performed by the CONTROLLER, it is felt that there are currently no risk activities needing a specific assessment of the impact pursuant to art. 35 of the GDPR (so-called (“DPIA” data processing impact assessment).

The analysis of cyber risks and corporate hardware and software infrastructures and on the IT adjustment measures has been conducted by both our System Administrator using specific tools and check lists and by an external company specialised in cyber security, which conducted an in-depth audit with security tests. The results enabled technicians to further improve measures to protect against cyber attacks and threats, graded and proportional to the risk for the rights and freedoms of data subjects.

• Right to be informed (data processing transparency)

The data subject has the right to be informed of how the CONTROLLER processes his/her personal data, for what purposes and on other information envisaged by art. 13 of the GDPR. For that purpose, the CONTROLLER has prepared organisational processes enabling, when the personal data are acquired or requested, an Information notice form created “ad hoc” to be issued based on the category the data subject belongs to (employee, customer, supplier, etc.). This document suitably notifies all subjects the data refer to on how the CONTROLLER conducts its processing. The information model may be requested with a specific request addressed to the CONTROLLER.

• Right to withdraw consent (art. 13)

You have the right to withdraw your consent at any time for all processing where the legitimacy assumption is a display of your consent. Withdrawing consent does not affect the lawfulness of processing based on consent before its withdrawal.

• Right to access data (art. 15)

You may request a) the purposes of the processing; b) the categories of personal data concerned; c) the recipients or categories of recipient to whom the personal data have been or will be disclosed, in particular recipients in third countries or international organisations; d) where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period; e) the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing; f) the right to lodge a complaint with a supervisory authority; g) where the personal data are not collected from the data subject, any available information as to their source; h) the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject. You have the right to obtain a copy of the personal data being processed.

• Right to rectification (art. 16)

You have the right to obtain rectification of inaccurate personal data concerning you and to have incomplete personal data completed.

• Right to be forgotten (art. 17)

You have the right to obtain erasure of the personal data concerning you from the controller if the data are no longer needed for the purpose for which they were collected or otherwise processed, if consent is withdrawn, if there is no other overriding legitimate grounds for the processing, if the personal data have been unlawfully processed, if there is a legal obligation to erase them; if the data refer to web services provided to minors without the relative consent. The erasure may take place unless the right to freedom of expression and information is prevalent, they are stored to fulfil a legal obligation or to perform a task in the public interest or exercising public powers, on grounds of public interest in the health sector, for filing purposes in the public interest, scientific or historical research or for statistical purposes or to ascertain, exercise or defend a right before the law.

• Right to restriction of processing (art. 18)

You have the right to ask the controller to limit processing when the accuracy of the personal data is contested (for a period enabling the controller to verify the accuracy of the personal data) or if processing is unlawful, but you oppose the erasure of the personal data and request the restriction of their use instead, or if they are needed by you to for the establishment, exercise or defence of legal claims, whereas they are no longer needed by the Controller.

• Right to data portability (art. 20)

You have the right to receive the personal data concerning you which you have provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller if the processing is based on consent, on a contract and if processing is done automatically, unless the processing is needed to perform a task of public interest or is connected to the exercising of public powers, and that their transmission does not adversely affect the rights and freedoms of others.

• Right to object (art. 21)

You have the right, at any time, to fully or partially object to the processing of your personal data if that processing is performed to pursue a legitimate interest of the Controller or for direct marketing purposes.

• Right to lodge a complaint with a Supervisory Authority (art. 77).

Without prejudice to any other administrative or judicial remedy, you shall have the right to lodge a complaint with a supervisory authority, in particular in the Member State of your habitual residence, place of work or place of the alleged infringement if you consider that the processing of personal data relating to you infringes this Regulation.

Protection of personal data is an important commitment for Cereal Docks S.p.A. (hereinafter “Cereal Docks” or “Company”).

(EU) Regulation 2016/679 “(EU) Regulation 2016/679 of the European Parliament and Council dated 27 April 2016 related to "the protection of natural persons for what concerns their personal data, and the free circulation of that data” (hereinafter “GDPR”) coming into force provided the opportunity to further adapt the activities performed by the Company to the personal data transparency and protection principles, respect of the rights and fundamental freedoms of all the data subjects, whether they were employees, collaborators, customers, suppliers or third parties interested in receiving information.

Cereal Docks therefore implemented its “Privacy Organisational Model” (MOP) described generally below, aimed at analysing all data processing, organising them functionally and managing them securely and transparently. This website section also provides information on data subject rights and how they can be exercised with the Controller.

1 - GDPR Privacy Organisational Model
1.1 - Subjects
1.2 Analysis of the risk and privacy risk prevention measures
2 - Transparency and data subject rights
2.1 - Rights concerning the protection of personal data
2.2 - Exercising rights
2.3 - Forms and information notices

DATA CONTROLLER

The Data Controller is:
Cereal Docks Organic S.r.l.  (hereinafter also “CONTROLLER”)
Via Dell’Innovazione, n. 1, 36043 – Camisano Vicentino (VI)
Tel. +39 0444 419411
email: This email address is being protected from spambots. You need JavaScript enabled to view it.
Certified Electronic Mail: This email address is being protected from spambots. You need JavaScript enabled to view it.
VAT number and Tax Code: 04063200242

TEAM PRIVACY

The CONTROLLER has decided to appoint an internal “Privacy team” of persons with organisational, technical and IT skills.
The Privacy team’s task is to support the activities of the CONTROLLER.

PARTIES AUTHORISED TO PROCESS DATA (pursuant to art. 29 GDPR)

The MOP envisages that each employee/collaborator of the CONTROLLER only processes data that is indispensable for his/her tasks, based on the internal organisation and, above all, the purposes indicated and proposed by the data subject (so-called principle to “purpose limitation and data minimisation”, art. 5 paragraph 1, letter b) and c) of the GDPR). For this purpose, processing has been segmented into uniform areas of processors, limiting employees/collaborators operating in each area to a specific processing area. Each authorised processor has received specific instructions on personal data processing from the CONTROLLER. For that purpose, the design of the IT system is “compartimentalised”. The employee/collaborator can only access data that is indispensable for their jobs from their IT position. The specific processing areas are designated after careful analysis of the structure and company organisation and of the flow of internal and external data to the Company. This is summed up in a specific internal matrix identifying the processing environment of each area. The employee/collaborator has also been given internal regulations on the use of IT instruments and the rules of conduct, including ethical ones, on all information accessed due to his/her specific job. To effectively guarantee adjustment to the personal data processing principles, the CONTROLLER has also envisaged training and updating courses on the subject for employees/collaborators who, due to their jobs, process personal data.

SYSTEM ADMINISTRATORS (INTERNAL AND EXTERNAL)

The CONTROLLER uses computer systems to manage and organise its activities. For that reason, CONTROLLER activities have always been based on care over the construction of software, how it is used, and data security. Parties with “administrator” privileges in the company are specifically appointed and trained. Even the other external specialised companies accessing company data are specifically appointed as External Processors and/or External System Administrators pursuant to art. 28 of the GDPR. The suppliers or external computer services are chosen with care for their professional skills, not purely technical but also related to data protection, favouring certified companies.

PROCESSORS (pursuant to art. 28 GDPR)

In principle, the CONTROLLER manages all processing activities internally. Any outsourcing to third parties of certain activities implying the processing of data on behalf of the CONTROLLER is specifically indicated in the single information notices. In these cases the relationship with the third party is regulated by a specific contract appointing the “Processors” pursuant to art. 28 of the GDPR.

The CONTROLLER entrusts that processing activity to external parties providing sufficient guarantees on implementing suitable technical and organisational measures to meet the GDPR requirements and guarantee protection of data subject rights.

According to the so-called “accountability” principles, the CONTROLLER is responsible for implementing a number of measures – organizational, physical, legal, technical and IT – to prevent the risk of breaching the rights and personal freedoms of the data subjects. To achieve this goal, risks are continuously analysed, based on the processing, instruments used, type and amount of data processed.

RECORDS OF PROCESSING ACTIVITIES (pursuant to art. 30 GDPR) AND DATA PROTECTION IMPACT ASSESSMENT (pursuant to art. 35 GDPR)

The MOP envisages constant, careful analysis of risks for the processing of personal data, identified for each activity or service allocated through Records of Processing pursuant to art. 30 paragraph 1 of the GDPR.

Having analysed the processing performed by the CONTROLLER, it is felt that there are currently no risk activities needing a specific assessment of the impact pursuant to art. 35 of the GDPR (so-called (“DPIA” data processing impact assessment).

The analysis of cyber risks and corporate hardware and software infrastructures and on the IT adjustment measures has been conducted by both our System Administrator using specific tools and check lists and by an external company specialised in cyber security, which conducted an in-depth audit with security tests. The results enabled technicians to further improve measures to protect against cyber attacks and threats, graded and proportional to the risk for the rights and freedoms of data subjects.

• Right to be informed (data processing transparency)

The data subject has the right to be informed of how the CONTROLLER processes his/her personal data, for what purposes and on other information envisaged by art. 13 of the GDPR. For that purpose, the CONTROLLER has prepared organisational processes enabling, when the personal data are acquired or requested, an Information notice form created “ad hoc” to be issued based on the category the data subject belongs to (employee, customer, supplier, etc.). This document suitably notifies all subjects the data refer to on how the CONTROLLER conducts its processing. The information model may be requested with a specific request addressed to the CONTROLLER.

• Right to withdraw consent (art. 13)

You have the right to withdraw your consent at any time for all processing where the legitimacy assumption is a display of your consent. Withdrawing consent does not affect the lawfulness of processing based on consent before its withdrawal.

• Right to access data (art. 15)

You may request a) the purposes of the processing; b) the categories of personal data concerned; c) the recipients or categories of recipient to whom the personal data have been or will be disclosed, in particular recipients in third countries or international organisations; d) where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period; e) the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing; f) the right to lodge a complaint with a supervisory authority; g) where the personal data are not collected from the data subject, any available information as to their source; h) the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject. You have the right to obtain a copy of the personal data being processed.

• Right to rectification (art. 16)

You have the right to obtain rectification of inaccurate personal data concerning you and to have incomplete personal data completed.

• Right to be forgotten (art. 17)

You have the right to obtain erasure of the personal data concerning you from the controller if the data are no longer needed for the purpose for which they were collected or otherwise processed, if consent is withdrawn, if there is no other overriding legitimate grounds for the processing, if the personal data have been unlawfully processed, if there is a legal obligation to erase them; if the data refer to web services provided to minors without the relative consent. The erasure may take place unless the right to freedom of expression and information is prevalent, they are stored to fulfil a legal obligation or to perform a task in the public interest or exercising public powers, on grounds of public interest in the health sector, for filing purposes in the public interest, scientific or historical research or for statistical purposes or to ascertain, exercise or defend a right before the law.

• Right to restriction of processing (art. 18)

You have the right to ask the controller to limit processing when the accuracy of the personal data is contested (for a period enabling the controller to verify the accuracy of the personal data) or if processing is unlawful, but you oppose the erasure of the personal data and request the restriction of their use instead, or if they are needed by you to for the establishment, exercise or defence of legal claims, whereas they are no longer needed by the Controller.

• Right to data portability (art. 20)

You have the right to receive the personal data concerning you which you have provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller if the processing is based on consent, on a contract and if processing is done automatically, unless the processing is needed to perform a task of public interest or is connected to the exercising of public powers, and that their transmission does not adversely affect the rights and freedoms of others.

• Right to object (art. 21)

You have the right, at any time, to fully or partially object to the processing of your personal data if that processing is performed to pursue a legitimate interest of the Controller or for direct marketing purposes.

• Right to lodge a complaint with a Supervisory Authority (art. 77).

Without prejudice to any other administrative or judicial remedy, you shall have the right to lodge a complaint with a supervisory authority, in particular in the Member State of your habitual residence, place of work or place of the alleged infringement if you consider that the processing of personal data relating to you infringes this Regulation.