Il presente regolamento ha lo scopo di stabilire le regole e le procedure interne per l'attuazione del (GDPR). REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)
DEFINIZIONI, DIRITTI E OBBLIGHI
- Ai fini del RGPD, per dati personali si intendono tutti i dati che consentono di identificare un individuo, come ad esempio nome, indirizzo, IP, codice fiscale, numero di utenza del Servizio Sanitario, abitudini di consumo.
- Il GDPR si applica solo ai dati delle persone fisiche, non delle aziende.
- Il responsabile del trattamento dei dati in azienda è il direttore.
- Gli interessati hanno i seguenti diritti:
a) Diritto di accesso
b) Diritto di rettifica
c) Diritto di cancellazione
d) Diritto alla limitazione del trattamento
e) Diritto alla portabilità dei dati
f) Diritto di opposizione e decisioni individuali automatizzate
- Qualora l'interessato desideri esercitare uno di questi diritti, il responsabile del trattamento cercherà di rispondere nel più breve tempo possibile, con un massimo di 30 giorni a disposizione, e risponderà in modo chiaro, conciso e sufficiente.
- Il responsabile del trattamento deve prevedere regole per facilitare l'esercizio dei diritti dell'interessato.
- (Obbligo di informazione): al momento della raccolta dei dati gli interessati devono essere informati di quanto segue:
a) l'identità e i dati di contatto del responsabile del trattamento
b) Le finalità del trattamento dei dati personali
c) Destinazione
d) La base giuridica del trattamento
e) i destinatari o le categorie di destinatari dei dati personali, se esistenti
f) La durata di conservazione
g) Il trasferimento verso paesi terzi, se applicabile
h) Esistenza del diritto di accesso, rettifica, cancellazione e limitazione del trattamento
i) L'esistenza del diritto di opporsi al trattamento
j) L'informazione che è possibile ritirare il consenso in qualsiasi momento
k) L'esistenza del diritto di non essere sottoposti a decisioni automatizzate, compresa la profilazione.
l) Il diritto alla portabilità dei dati
m) Il diritto di sapere di una violazione dei dati
n) Il diritto di presentare un reclamo a un'autorità di controllo
- I dati personali devono essere trattati in modo lecito, equo e trasparente nei confronti dell'interessato.
- Le persone devono essere in grado di capire come vengono raccolti, utilizzati, consultati o altrimenti trattati i dati personali che le riguardano e la misura in cui i dati personali vengono o verranno trattati.
- Le procedure devono essere adeguate, pertinenti e limitate a quanto necessario in relazione alle finalità per le quali sono trattate.
- I dati personali possono essere trattati solo quando lo scopo del trattamento non può essere raggiunto con altri mezzi.
- Le procedure devono essere accurate e aggiornate se necessario.
- Devono essere adottate tutte le misure ragionevoli per garantire che i dati inesatti, tenuto conto delle finalità per cui sono trattati, siano cancellati senza indugio.
- I dati devono essere conservati in una forma che consenta l'identificazione degli interessati per un periodo di tempo non superiore a quello necessario per le finalità per cui sono trattati.
- Il titolare del trattamento deve attuare una politica di manutenzione, archiviazione e cancellazione dei dati per garantire che i dati non vengano conservati più a lungo dello stretto necessario.
- I dati saranno trattati in modo da garantirne la sicurezza, compresa la protezione da un trattamento non autorizzato o illegale e dalla perdita, dalla distruzione o dal danneggiamento accidentale, adottando misure tecniche o organizzative adeguate.
- Il responsabile del trattamento deve essere in grado di dimostrare che l'interessato ha dato liberamente il proprio consenso informato. Un consenso orale o anche un consenso tacito o di altro tipo non offre queste garanzie, in quanto non fornisce la prova di essere stato dato liberamente, specifico, informato, esplicito e inequivocabile.
- Il responsabile del trattamento dei dati personali deve garantire che:
a) Che i dati personali in vostro possesso siano legittimi e limitati a quanto necessario.
b) Che i dati siano aggiornati, sicuri e riservati.
c) Che ha formalizzato politiche interne, procedure, codici di condotta e istruzioni che possono essere messe a disposizione degli enti di vigilanza.
d) Che dispone di sistemi per monitorare il rispetto delle politiche e delle procedure.
e) Implementare il meccanismo permanente e dinamico di verifica della conformità al GDPR.
f) Dimostrare con prove il rispetto del RGPD
g) Promuovere audit come parte del monitoraggio continuo per verificare l'efficacia delle misure implementate e, se necessario, modificarle.
- Il responsabile del trattamento dei dati è tenuto a notificare all'organo di controllo, che in Portogallo è la Commissione nazionale per la protezione dei dati, tutte le violazioni dei dati che comportano un rischio per l'interessato, e tale notifica deve essere effettuata entro 72 ore.
ATTUAZIONE DEL REGOLAMENTO
- I dati personali che vengono raccolti in azienda sono:
a) Nome, indirizzo, numero di telefono, indirizzo e-mail dei clienti acquirenti e venditori
b) Nome, codice fiscale, numero di documento d'identità, stato civile e indirizzo di dipendenti e collaboratori
- I dati sono ottenuti in diversi modi:
a) Attraverso un contratto sottoscritto con il cliente venditore, il collaboratore e il dipendente
b) Attraverso il contatto via e-mail da parte dei clienti, oppure visitando il nostro sito web dove gli interessati inseriscono i loro dati personali
c) Attraverso la telefonata all'azienda
d) Tramite visita fisica del negozio
- Quando si raccolgono dati tramite contratti o si raccolgono dati con un contatto diretto con la persona, questa viene informata dei suoi diritti e le viene chiesto il consenso al trattamento dei dati.
- In caso di contatto telefonico, il dipendente che raccoglie i dati informa l'interessato che poi invierà un'e-mail con i dati dell'interessato, chiedendogli di rispondere dando il suo consenso esplicito al trattamento dei dati.
- Tutti i dati raccolti vengono inseriti nel software CRM della società Janela Digital Lda.
- I dati sono criptati.
- Il direttore João Andrade, responsabile del trattamento dei dati, Betty Andrade e Liliana Correia sono gli unici ad avere accesso a tutti i dati.
- Inoltre, ogni consulente ha accesso ai dati del cliente che gli ha consegnato l'immobile per la mediazione e ai dati del cliente acquirente che manifesta interesse per l'immobile a cui si è rivolto.
- Tutte le persone dell'azienda che hanno accesso ai dati personali devono essere informate delle norme contenute nel RGPD e delle conseguenze per il loro trattamento indebito.
- Tutti i dati contenuti nei documenti fisici, siano essi moduli di visita dei clienti, contratti di mediazione, copie di contratti di affitto, compravendita o altro, sono conservati in una copertina e chiusi a chiave in un armadio blindato, la cui chiave è accessibile solo a João Andrade, Betty Andrade e Liliana Correia.
- Ogni 30 giorni il titolare del trattamento dovrà verificare la sicurezza fisica dei documenti cartacei e la crittografia dei dati informatici di cui sopra.
- Infine, dovrebbe migliorare l'attuazione del regolamento.
- Ogni 30 giorni deve cancellare i dati il cui periodo di conservazione è scaduto.