Protezione dei dati personali

Il Gruppo STEF (nel prosieguo STEF), specializzato nel trasporto e nella logistica per prodotti a temperatura controllata e nel trasporto marittimo di passeggeri e merci, è consapevole dei rischi connessi alla raccolta e all’uso di dati personali per la sfera privata di ognuno e pone particolare attenzione alla protezione di tali dati e al rispetto della privacy.
La Policy generale in materia di protezione dei dati personali esplicita quindi gli impegni assunti da STEF e dalle sue Filiali e da tutti i loro dipendenti al fine di permettere una raccolta e uso responsabile dei dati personali nel quadro rigoroso delle attività del Gruppo.

1 Principi e regole applicabili alla protezione di Dati Personali

STEF e le sue Filiali raccolgono e trattano i Dati Personali in conformità alla legge e ai regolamenti e normative europee in vigore, e in particolare, al Regolamento generale sulla protezione dei dati (GDPR) e alle varie leggi e regolamenti nazionali del paesi in cui operano le Filiali del Gruppo.

Definizioni:
- Dati personali:
Ogni informazione che permetta di identificare direttamente o indirettamente una persona fisica.

- Titolare del Trattamento:
Persona, servizio o entità che determina le finalità e i mezzi del trattamento.

- Responsabile del Trattamento:
Persona fisica,  persona giuridica o ente che tratta i Dati Personali per conto del Titolare del Trattamento (fornitore di servizi IT, subappaltatore per il trasporto, subappaltatore per la logistica agenzia di comunicazione, ecc.).

- Filiali:
Società incluse nel perimetro di consolidamento di STEF SA, sia in Francia sia nei paesi in cui il Gruppo opera, in particolare Spagna, Italia, Portogallo, Svizzera, Belgio e Paesi Bassi.

- Trattamento:
Ogni operazione o insieme di operazioni applicate ai Dati Personali quali la raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, modifica, estrazione, consultazione, uso, trasmissione.

- Interessati:
Persone fisiche i cui Dati Personali sono trattati.

1.1 Titolare del Trattamento dei dati

Il Titolare del Trattamento dei dati personali è la società STEF SA o le sue Filiali come da definizione che precede.
Può essere contattato come segue:
- Tramite il modulo di contatto disponibile sul sito STEF.com o sul sito STEF del paese di riferimento, alla sezione Contatti, selezionando la voce “Desidero esercitare i miei diritti in riferimento al trattamento dei miei dati personali (GDPR)”.
- Per posta, al seguente indirizzo:
STEF SA
RGPD
93 boulevard Malesherbes
75008 Parigi

Il Titolare del Trattamento si impegna a proteggere i Dati Personali in conformità con la presente Policy generale in materia di protezione dei dati personali.

Nel caso in cui l'integrità, la riservatezza o la sicurezza dei Dati Personali degli Interessati fosse compromessa, il Titolare del Trattamento potrà informarli con qualsiasi mezzo, ove necessario e in conformità alla normativa in vigore.

1.2 Finalità del trattamento

I Dati Personali trattati da STEF sono raccolti e utilizzati per finalità, o scopi specifici di cui gli interessati sono informati.
Ogni operazione di trattamento ha le proprie finalità.

L’unico scopo di tali operazioni di trattamento è di permettere a STEF di fornire e ottimizzare i servizi di trasporto e logistica di prodotti a temperatura controllata, trasporto marittimo di passeggeri e merci e la produzione di prodotti e servizi informatici accessori alle proprie attività commerciali.

Dette operazioni di trattamento soddisfano le esigenze di reclutamento, comunicazione commerciale, informativa, consegna, tracciabilità delle merci, monitoraggio della qualità dei servizi, gestione del personale, gestione interna delle attività e dei servizi, ecc.

Le finalità possibili includono, in via meramente esemplificativa, quanto segue:
- L'uso dei nostri siti web e degli strumenti informatici,

- La fornitura delle informazioni o dei servizi richiesti (in particolare: l'invio di newsletter, offerte commerciali, studi, campagne di email marketing, ecc.),

- La raccolta di informazioni che ci permettono di migliorare i nostri prodotti e servizi,

- La comunicazione di vari eventi legati a STEF, ivi compresi gli aggiornamenti dei servizi, prodotti e supporto clienti,

- La comunicazione attraverso i social network soltanto per esigenze legate alle attività del Gruppo,

- La trasmissione di fatture e documentazione relativa alla realizzazione della nostra attività, con qualunque mezzo (forma scritta, digitale, elettronica, ecc.),

- La gestione delle assunzioni, gestione amministrativa del personale (gestione degli orari di lavoro, pianificazione, trasferte, congedi, assenze, ecc.), redazione di dichiarazioni e conformità agli obblighi legali e di normativa locale in materia, segnatamente, di prelievo degli oneri di previdenza sociale, gestione del database, gestione dei libri paga, gestione di eventuali regimi di previdenza sociale, di pensione complementare, formazione e gestione della carriera, valutazione professionale, controllo dell'attività dei dipendenti e il rispetto delle regole applicabili all’interno dell'azienda, indagini interne e procedimenti disciplinari, gestione della procedura di cessazione del contratto di lavoro, gestione della telecomunicazioni, gestione dell'uso di veicoli di servizio o aziendali, gestione della directory interna e della rete Intranet aziendale.

- La raccolta, la comunicazione, lo scambio, la trasmissione di tutta la documentazione commerciale, finanziaria, contrattuale, legale, sociale, normativa,

- La realizzazione di studi di marketing solo per uso interno,

- La messa in sicurezza di tutti i nostri siti e veicoli, strumenti e mezzi tecnici operando in conformità alle norme di sicurezza e protezione, o secondo quanto richiesto ai sensi di legge.

- La gestione, il controllo e l'ottimizzazione dei servizi di trasporto e logistica prestati dal Gruppo e dalle sue Filiali,

- E tutti gli altri usi necessari per il funzionamento delle nostre attività come descritto in precedenza.

I Dati Personali raccolti sono utilizzati solo per le finalità sopra indicate e non possono essere usati per finalità diverse da quelle stabilite per ogni trattamento.

1.3 Liceità del trattamento (basi giuridiche)

Il Trattamento dei Dati Personali degli Interessati da parte di STEF è giustificato dalle seguenti basi giuridiche:
- esecuzione di un contratto che lega gli Interessati a STEF; oppure
- esecuzione di misure precontrattuali prese su richiesta degli Interessati; oppure
- rispetto di obbligo legale; oppure
- perseguimento dei legittimi interessi di STEF.

1.4 Consenso

In assenza di almeno una delle basi giuridiche indicate al punto 1.3, è richiesto il consenso specifico ed esplicito, comprensibile e chiaro degli Interessati prima di ogni operazione di trattamento.
I consensi richiesti sono raccolti e gestiti in conformità alla procedura di gestione dei consensi del gruppo.

1.5 Categorie di dati 

Le categorie di Dati Personali raccolti variano in funzione di ciascuna operazione di trattamento.
Tuttavia, indipendentemente dal trattamento effettuato, STEF non raccoglie i seguenti dati: informazioni su origine razziale, opinioni politiche, credo religioso, filosofico o razziale, orientamento sessuale, dati genetici.
Ove siano trattati uno o più dei dati summenzionati, gli stessi saranno trattati solo su base occasionale da STEF e nel rigoroso rispetto dei requisiti stabiliti nel Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 6 gennaio 2016 (GDPR).

1.6 Limitazione dei dati raccolti (proporzione e rilevanza)

Sono raccolti solo i Dati Personali strettamente necessari per le finalità specificate.

STEF si adopera per minimizzare e limitare i dati così raccolti e per mantenerli aggiornati.

1.7 Termini di conservazione e cancellazione

I termini di conservazione sono determinati secondo i seguenti criteri:
- Esigenze operative: periodo durante il quale i dati sono necessari per assicurare la prestazione completa dei servizi forniti da STEF,

- Requisiti legali e regolamentari: periodo durante il quale STEF è tenuta a conservare considerando i propri obblighi legali e regolamentari.

I dati riguardanti il dipendente saranno conservati per la durata del suo impiego in azienda e oltre, nei limiti dei termini di prescrizione applicabili.

In assenza di un termine di conservazione specifico, i Dati Personali raccolti sono conservati per un periodo limitato di tempo necessario per le finalità indicate, e che non può superare i 5 anni dalla fine del trattamento in oggetto.

Alla fine del periodo di conservazione specificato, i dati sono cancellati o anonimizzati.

1.8 Destinatari dei dati

I Dati Personali raccolti, in funzione del trattamento effettuato, potranno essere utilizzati per oggetto di una comunicazione ai seguenti destinatari:
- I dipartimenti/uffici interessati delle filiali del Gruppo STEF,
- Terzi che hanno stipulato un contratto con il Gruppo STEF e che operano come Responsabili del Trattamento,
- Enti pubblici e/o di regolamentazione di diritto pubblico o privato.

Oltre ai destinatari indicati sopra, non sarà trasmesso alcun dato in assenza del previo consenso esplicito degli interessati.

1.9 Sicurezza e riservatezza

STEF implementa misure di protezione dei dati adeguate alla natura dei dati trattati e alle attività del Gruppo.
Sono previste adeguate misure di sicurezza fisica, tecnica e organizzativa per garantire una riservatezza ottimale dei dati e, in particolare, per evitare qualsiasi accesso non autorizzato.
Per quanto riguarda le misure tecniche di sicurezza, queste sono oggetto di una Policy sulla sicurezza dei sistemi IT (PSSI).

STEF richiede a qualsiasi Responsabile del Trattamento di fornire le garanzie necessarie per assicurare, almeno lo stesso livello di sicurezza, protezione e riservatezza dei dati personali e il rispetto dei regolamento GDPR.

In alcuni casi, i dati possono essere trasferiti a paesi al di fuori dell’Unione Europea. STEF assicura in tal caso che siano implementati strumenti giuridici atti a garantire, conformemente alle disposizioni degli articoli 45 e 46 del GDPR, che i paesi che ricevono questi dati abbiano un livello di protezione adeguato.

1.10 Diritti degli interessati

STEF adotta i mezzi necessari affinché gli interessati possano esercitare i propri diritti sui Dati Personali raccolti in modo efficace.

Sintesi dei diritti principali:
-    Diritto di accesso e comunicazione dei dati:
Gli Interessati hanno il diritto di accedere ai Dati Personali che li riguardano.

-    Diritto di rettifica/cancellazione dei dati:
La legislazione autorizza gli Interessati a richiedere la rettifica, l'aggiornamento o la cancellazione dei dati che li riguardano che risultino imprecisi, errati, incompleti o obsoleti, a seconda del caso.

-    Diritto di opposizione:
Gli Interessati possono opporsi all'uso dei propri dati personali, ma solo in una delle seguenti due situazioni:
1. Quando l'esercizio di tale diritto è basato su motivi legittimi,
2. Quando l'esercizio di tale diritto mira a impedire che i dati raccolti siano utilizzati per finalità di prospezione commerciale.

-    Diritto alla portabilità dei dati:
Gli Interessati hanno la possibilità di recuperare i Dati Personali forniti al Titolare del Trattamento affinché siano riutilizzati.

-    Diritto a non essere soggetti a una decisione basata esclusivamente su un processo automatizzato:
Gli Interessati hanno il diritto di non essere soggetti a una decisione fondata esclusivamente su un processo automatizzato se la decisione produce effetti giuridici che li riguardano o li influenzano in modo significativo.

Modalità di esercizio dei suddetti diritti:

Le modalità di contatto di STEF di cui al punto 1.1 permettono a ciascun interessato di esercitare i propri diritti sui propri dati.

Formalizzazione delle richieste:
- Se sono trasmesse a mezzo posta, devono essere inviate necessariamente per lettera raccomandata con avviso di ricevimento.

Elementi e informazioni da indicare nelle richieste:
- Copia di qualsiasi documento ufficiale che fornisca una prova incontestabile dell’identità del richiedente, e riconosciuto dalla legge come tale. Questa prova è richiesta a causa dell’obbligo di sicurezza e riservatezza nel trattamento dei dati che ricade sul Titolare del Trattamento.

- Per quanto possibile, le richieste devono includere l'identificativo e/o l'indirizzo e-mail utilizzato per accedere al sistema STEF, i Dati Personali trasmessi, il contesto in cui sono stati raccolti e/o la natura dei legami degli Interessati con STEF (dipendenti, rappresentante di un cliente, ecc.).

- L'oggetto del diritto esercitato deve essere selezionato direttamente nel modulo di contatto tra le opzioni proposte.

- Nell'interesse della sicurezza dei dati, ogni richiesta sarà oggetto di una conferma di ricezione all'indirizzo e-mail o postale del richiedente sulla base delle informazioni esistente. Si procederà poi alla conferma dell’identità dell’Interessato che presenta la richiesta tramite un link link nell’e-mail inviata o a mezzo posta.

Tempi di risposta:
- Il Titolare del Trattamento si impegna a rispondere a tutte le richieste debitamente formalizzate e documentate entro un termine ragionevole, che non può superare i 2 mesi a decorrere dal ricevimento della richiesta.
- La data di ricevimento considerata per il calcolo del termine che precede corrisponde alla data di invio del modulo o alla data di consegna della raccomandata con avviso di ricevimento se la richiesta è trasmessa via posta.

2 Monitoraggio della Policy generale in materia di protezione dei dati personali e pratiche

La presente Policy generale in materia di protezione dei dati personali di STEF è accessibile a tutti sui vari siti di STEF, in particolare sul sito www.stef.com.
Inoltre, per quanto riguarda il trasporto marittimo di merci e passeggeri, la Policy generale in materia di protezione dei dati personali della Filiale incaricata di detta attività è disponibile all’indirizzo www.lamerdionale.fr.

La Policy è regolarmente aggiornata per dar conto delle modifiche legislative e regolamentari in materia di protezione dei dati così come dell’evoluzione del Gruppo nella propria organizzazione e attività.
Di conseguenza, gli Interessati sono invitati a consultare regolarmente la presente Policy generale in materia di protezione dei dati personali per informarsi sulle ultime modifiche eventualmente apportate.

Il trattamento dei Dati Personali raccolti da STEF è regolato dalla presente Policy, integrata dalla Policy sulla sicurezza dei sistemi IT (PSSI), dalle policy sulla privacy specifiche per ogni sito web del Gruppo e da tutte le procedure e regole interne relative ai principi di cui al presente documento.

I principi di “privacy by design”, ossia il principio che impone di considerare la sicurezza dei Dati Personali dalla progettazione, e di “privacy by default”, ossia il principio di limitazione dei Dati Personali, sono integrati nelle procedure di sviluppo e implementazione dei nuovi sistemi IT di STEF.

Monitoraggio della conformità ed evoluzione delle pratiche:

La conformità dei sistemi alle norme nazionali ed europee per la gestione e la sicurezza dei dati personali è soggetta a regolare verifica da parte delle funzioni interne di STEF.

Sono introdotti regolarmente miglioramenti nel funzionamento dei sistemi e nell’organizzazione dei
Dati Personali sulla base delle evoluzioni regolamentari, giuridiche e tecniche nonché delle richieste di esercizio dei diritti al fine di garantire la massima sicurezza possibile dei Dati Personali raccolti e trattati così come l’efficacia dell’esercizio dei diritti degli Interessati.

Policy generale in materia di protezione dei dati personali aggiornata il 01/12/2018