Privacy Policy

Objetivos y definiciones

Controlador de datos

WEDDINGITALY Srl (en adelante, también el "Responsable del tratamiento" o la "Organización"), de conformidad con el Reglamento UE 2016/679 y el Decreto Legislativo 196/2003, Código de Protección de Datos Personales (en adelante, también el "Código de Privacidad"), es el responsable del tratamiento de los datos relativos a personas físicas identificadas o identificables que debe utilizar en el ejercicio de sus actividades para la consecución de sus fines institucionales.

Este documento contextualiza las actividades de tratamiento de datos personales del Responsable del Tratamiento y describe el «Modelo Organizativo de Privacidad» adoptado por la Organización, es decir, el conjunto de directrices, disposiciones operativas y documentación interna destinadas a regular el tratamiento de datos personales por parte de la Organización.

La estructura organizativa consiste en una oficina abierta al público en Viale Venezia 6, 33100 Udine.

Definiciones

Reglamento : Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por el que se deroga la Directiva 95/46/CE (en adelante, también denominado «RGPD» - Reglamento General de Protección de Datos), Decreto Legislativo 2003/196 (modificado por el Decreto Legislativo 2018/101), en adelante también denominado «Código de Privacidad».

Responsable del tratamiento de datos : La persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y los medios del tratamiento de datos personales.

Encargado del tratamiento de datos : Persona física o jurídica, autoridad pública, agencia u otro organismo que trata datos personales por cuenta del responsable del tratamiento.

Datos personales : Información relativa a una persona física identificada o identificable (el interesado).

Categorías especiales de datos personales : Se trata de datos que pueden revelar el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas o la afiliación sindical, así como el procesamiento de datos genéticos, datos Datos biométricos destinados a identificar de forma unívoca a una persona física, datos relativos a la salud, la vida sexual o la orientación sexual de la persona.
Tal como establece el Decreto Legislativo 101/2028 en su art. 22(2), también pueden denominarse «datos sensibles».

Datos biométricos : Datos personales resultantes de un tratamiento técnico específico relativo a las características físicas, fisiológicas o de comportamiento de una persona física que permiten o confirman la identificación unívoca de dicha persona, como por ejemplo, la imagen facial o los datos dactiloscópicos.

Datos de salud : Datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.

Interesado : La persona física a la que se refieren los datos personales;Autorizado para procesar datos : persona física formalmente autorizada para llevar a cabo operaciones de procesamiento por el Responsable del Tratamiento o el Encargado del Tratamiento (incluidas las personas designadas )

Tratamiento : Cualquier operación o conjunto de operaciones que se realice sobre datos personales o conjuntos de datos personales, ya sea por medios automatizados o no, como la recogida, el registro, la organización, la estructuración, el almacenamiento, la adaptación o modificación, la recuperación, la consulta, el uso, la divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, la alineación o combinación, la restricción, la supresión o la destrucción.

Terceros países : Países fuera del Espacio Económico Europeo (Noruega, Islandia, Liechtenstein).

Ámbito de aplicación

Esta política de privacidad se aplica a la Organización en su conjunto, a todos sus órganos y estructuras en todos los niveles.

La implementación de esta política de privacidad es obligatoria para todo el personal interno y los colaboradores externos que procesan datos personales.

En los acuerdos con terceros que puedan procesar datos personales de la Organización, el Responsable del Tratamiento evalúa qué secciones de esta política incluir como instrucciones o compromisos asumidos por el tercero.

El Responsable del Tratamiento difunde el conocimiento de esta política de privacidad dentro de la organización mediante la disponibilidad de la documentación pertinente para los destinatarios y la realización de actividades de capacitación para quienes participan, en diversas funciones, en las operaciones de procesamiento de datos personales.

Principios

El responsable del tratamiento se compromete a garantizar que los datos personales se traten de conformidad con las disposiciones legales y, según el principio de responsabilidad , debe poder demostrar y justificar siempre las decisiones adoptadas en materia de seguridad de los datos personales.

Los principios aplicables al tratamiento constituyen la base del RGPD y se recogen, en particular, en los artículos 5 y 25 del Reglamento. El artículo 5 establece que los datos personales deben:

  • tratado de forma lícita, justa y transparente en relación con el interesado (principio de licitud, equidad y transparencia);
  • recopilados con fines específicos, explícitos y legítimos, y posteriormente procesados de una manera que no sea incompatible con esos fines (principio de limitación de la finalidad);
  • adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan (minimización de datos);
  • preciso y, cuando sea necesario, actualizado (precisión);
  • conservados de forma que permita la identificación de los interesados durante no más tiempo del necesario para los fines para los que se tratan los datos personales (limitación del plazo de conservación);
  • tratados de forma que se garantice la seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidentales, mediante la aplicación de medidas técnicas u organizativas apropiadas (integridad y confidencialidad);
  • El artículo 25 del RGPD exige al responsable del tratamiento que, antes de iniciar cualquier tratamiento, implemente medidas de seguridad técnicas y organizativas para garantizar la protección de los datos desde la fase de diseño de dichas actividades y por defecto.

Estas directrices se aplican no solo al tratamiento de datos personales del que la organización es responsable del tratamiento, sino también a todo el tratamiento realizado en nombre de terceros responsables del tratamiento para los que la organización ha sido designada como encargada del tratamiento, a menos que se reciban instrucciones más restrictivas de los propios responsables del tratamiento.

Al encomendar partes del tratamiento a terceros (encargados del tratamiento), el responsable del tratamiento exige garantías de protección similares y la adopción de medidas de seguridad adecuadas. En estos casos, las secciones pertinentes de esta política se facilitan a los encargados del tratamiento en forma de instrucciones vinculantes, de conformidad con el artículo 28 del RGPD.

Contexto del tratamiento

Tipo de datos personales y sujetos de datos

La organización procesa sistemáticamente los datos personales de empleados y colaboradores, así como los datos de clientes y proveedores. La clientela está compuesta principalmente por personas físicas.

Cuando sea necesario, los datos conforme al artículo 9 del RGPD (categorías especiales de datos personales) también podrán ser tratados para garantizar los derechos de los interesados y del responsable del tratamiento en materia de empleo, seguridad social y derecho de protección social.

Los servicios prestados implican el tratamiento de datos personales necesarios para la ejecución del contrato con los clientes. Al organizar bodas y eventos solicitados por los clientes, cuando sea necesario, también se podrán tratar datos sensibles de los interesados, en particular datos de salud y datos sobre creencias religiosas o filosóficas.

Con el consentimiento expreso de los interesados, será posible recopilar imágenes y grabaciones audiovisuales que los muestren durante la ceremonia o eventos relacionados con fines promocionales del Responsable del Tratamiento.

Archivos de datos personales

Los archivos en papel [1] se encuentran en la sede del Responsable del Tratamiento de Datos, mientras que los archivos de producción informatizados se almacenan en los espacios en la nube proporcionados por Microsoft (Responsable del Tratamiento de Datos) con la suite "Microsoft 365" que utiliza la Organización.

El servicio en la nube de Microsoft ofrece redundancias en cuanto al almacenamiento; en cualquier caso, el propietario mantiene un archivo de copia de seguridad gestionado por el administrador.

Para consultar la lista de medidas de seguridad adoptadas por la Organización, consulte la parte final de las evaluaciones de riesgos (sección 09 del MOP).

Seguridad de los tratamientos

Riesgos del tratamiento

En cumplimiento del RGPD, el Responsable del Tratamiento ha seleccionado las medidas de seguridad que se adoptarán tras evaluar los riesgos asociados al tratamiento de los datos personales de los empleados. La evaluación de riesgos se realiza siguiendo el marco propuesto por ENISA [1] (Agencia Europea de Ciberseguridad), que también propone una serie de medidas de seguridad clasificadas por nivel de riesgo. Estas medidas están vinculadas en gran medida a los controles propuestos en el marco de certificación ISO/IEC 27001:2022 para sistemas de gestión de la seguridad de la información. El nivel de riesgo global se consideró medio.

Nota: Si se detectan anomalías en el uso de los servicios y sistemas informáticos, el Responsable del Tratamiento podrá iniciar comprobaciones graduales. Si las anomalías persisten y existen necesidades documentadas, estas comprobaciones podrán centrarse también en usuarios individuales. Dichas comprobaciones se realizarán de conformidad con el Estatuto de los Trabajadores y respetando su dignidad. El personal está obligado a utilizar los servicios y herramientas informáticas de la empresa para fines laborales, y no para el tratamiento de sus datos personales, con el fin de proteger su privacidad, sus derechos y sus libertades.

Legalidad y corrección

En cumplimiento de los principios de legalidad y equidad, el responsable del tratamiento procesa los datos personales informando adecuadamente a los interesados mediante documentos elaborados de conformidad con los artículos 13 y 14 del RGPD e implementando instrucciones internas específicas para garantizar que los interesados puedan ejercer los derechos previstos en los artículos 15 a 22, 7 y 77 del RGPD. 

Los denominados «avisos informativos» e instrucciones para la gestión del ejercicio de los derechos de los interesados se revisan al menos anualmente.

Limitación de la finalidad y minimización de datos

Las finalidades del tratamiento se indican claramente en los avisos informativos y se limitan a lo necesario para la ejecución de los contratos entre el Responsable del Tratamiento y los interesados. Al menos anualmente, el Responsable del Tratamiento verifica que la documentación informativa para los interesados describe con exactitud las finalidades perseguidas y que el volumen de datos tratados no excede lo necesario.

Limitaciones en la precisión y el almacenamiento de los datos

Los datos se recopilan y almacenan de forma que se garantice su exactitud hasta el final de su tratamiento. En función de la finalidad del almacenamiento, el Responsable del Tratamiento establece un periodo de conservación (o un criterio para determinarlo) e informa a los interesados en los avisos de privacidad. Los periodos de conservación establecidos por el Responsable del Tratamiento se indican en los Registros de Tratamiento. En caso necesario, el Responsable del Tratamiento también indica en el mismo documento los motivos para determinar dicho periodo.

Integridad y confidencialidad

La organización es consciente de que los datos del personal (o de los familiares de los titulares de los datos) y los datos de los clientes pueden ser sensibles, por lo que adopta las medidas de seguridad técnicas y organizativas adecuadas. 

Las personas autorizadas para procesar datos o designadas para funciones específicas de privacidad se comprometen a mantener la confidencialidad y, al menos anualmente, realizan sesiones de formación y sensibilización para concienciar sobre los riesgos de seguridad y cómo abordarlos, así como sobre las instrucciones internas.

Mediante acuerdos específicos de designación de encargados del tratamiento de datos u otros acuerdos de protección de datos suscritos con terceros, el Responsable del Tratamiento pretende garantizar niveles de seguridad similares para los datos que vayan a ser tratados por dichos terceros.

Implementación de las normas internas

Las normas para el tratamiento de datos personales bajo la autoridad del Responsable del Tratamiento, WEDDINGITALY Srl, se establecen en la documentación del MOP (Modelo Organizativo de Privacidad), específicamente en los siguientes documentos:

  • Designación de autoridades de procesamiento de datos (sección P04)
  • Designación de responsables del tratamiento de datos (sección P08)
  • Reglamento interno (sección P10).

El cumplimiento y la aplicación de las normas son responsabilidad de las siguientes partes:

  • El Responsable del Tratamiento de Datos, quien, como tal, establece los métodos para la difusión del contenido de las políticas y reglamentos internos que implementan las disposiciones contenidas en dichos documentos.
    El Responsable del Tratamiento de Datos también es responsable de:
    - realizar análisis de riesgos utilizando metodologías apropiadas y adoptar medidas de gestión de riesgos;
    - establecer las normas de conducta necesarias para el desarrollo seguro de las actividades de la empresa;
    - verificar las brechas de seguridad, tomar las contramedidas necesarias y controlar la exposición de la empresa a las principales amenazas y riesgos;
    - organizar capacitaciones y promover la concienciación del personal sobre todos los asuntos relacionados con la calidad, la seguridad y la protección de la información;
    - comprobar periódicamente la eficacia y la eficiencia de las medidas de seguridad.
  • Todo el personal que, en cualquier capacidad, colabore con la empresa y participe de alguna manera en el tratamiento de datos e información comprendidos en el ámbito del Modelo Organizativo de Privacidad. El personal es responsable, dentro de sus respectivas áreas de responsabilidad, del tratamiento conforme a las instrucciones recibidas y de la notificación de cualquier anomalía o infracción (incluso potenciales) de esta política de la que tenga conocimiento. El incumplimiento de las instrucciones recibidas del Responsable del Tratamiento en relación con el tratamiento de datos personales expone a quienes estén autorizados a tratar datos a sanciones disciplinarias y, en los casos más graves, a responsabilidad civil y penal.
  • Todas las partes externas que mantienen relaciones y colaboran con la empresa y que deben garantizar el cumplimiento de los requisitos contenidos en la política de privacidad, como, por ejemplo, los colaboradores o proveedores externos que puedan procesar datos en nombre o bajo la autoridad del Responsable del Tratamiento de Datos.

Supervisión del modelo organizativo de “privacidad”

La dirección de la empresa revisa la eficacia y eficiencia del Modelo Organizativo de Privacidad (MOP) al menos una vez al año para garantizar su correcta actualización y brindar el apoyo necesario para la implementación de las mejoras pertinentes. Este proceso continuo tiene en cuenta los avances normativos y tecnológicos, los costos de gestión y las necesidades cambiantes de la organización.

El responsable del tratamiento de datos prevé revisar esta política involucrando a las personas pertinentes de la empresa y, si fuera necesario, recurriendo a consultores externos.

Las actividades de revisión deben incluir el estado de las acciones preventivas y correctivas y el cumplimiento de los procedimientos conforme a las disposiciones de esta política.

El resultado del proceso de revisión periódica incluye todas las decisiones y acciones tomadas para mejorar el Modelo Organizativo de Privacidad.

Información y formación

El Responsable del Tratamiento de Datos solo podrá lograr un tratamiento de datos conforme a la normativa[2] y coherente con el contexto prestando especial atención a la formación de su personal. Para ello, el Modelo Organizativo de Privacidad se pone a disposición tanto del personal existente como de los nuevos empleados al incorporarse. 

Las actualizaciones del Modelo Organizativo de Privacidad se comunican al personal periódicamente mediante los métodos que se consideren más eficaces. 

Con el fin de crear un entorno propicio para la protección de datos y formar adecuadamente al personal que desempeña funciones específicas en la gestión de datos personales, el Responsable del Tratamiento de Datos:

  • adopta un plan de formación destinado a todo el personal de la empresa;
  • prevé la provisión de módulos específicos en función del rol desempeñado y de los cambios de puesto de trabajo;
  • adopta un plan de formación anual sobre temas relacionados con la privacidad que se imparte a todos los empleados de la empresa;
  • conserva la documentación y los formularios distribuidos que certifican la participación en las sesiones de formación y las evaluaciones de los conocimientos adquiridos.

La formación de los sujetos autorizados para procesar datos y, cuando se considere necesario, de otras figuras clave en el Modelo Organizativo de Privacidad, concierne en particular a:

  • los aspectos generales de la normativa sobre protección de datos personales;
  • las amenazas, vulnerabilidades, probabilidad de ocurrencia y, en consecuencia, los riesgos que amenazan los datos procesados;
  • las consecuencias derivadas de una violación de datos personales (Violación de Datos);
  • los procedimientos que se deben seguir en caso de una violación de datos personales;
  • medidas preventivas para evitar o al menos reducir la probabilidad de que se produzcan infracciones y medidas para mitigar los daños en caso de que se produzcan;
  • los aspectos específicos de la normativa de protección de datos personales en el/los sector/es relevantes para el Responsable del Tratamiento;
  • el uso seguro de las herramientas y sistemas informáticos y cualquier normativa definida por el Responsable del Tratamiento de Datos.

La formación debe documentarse de conformidad con el principio de responsabilidad establecido en el artículo 5, apartado 2, del RGPD, y los resultados de esta actividad deben estar siempre disponibles.

Los órganos rectores

Weddingitaly es una sociedad de responsabilidad limitada unipersonal. Sin embargo, la estructura organizativa simplificada debe establecer lo necesario para lograr las siguientes obligaciones/objetivos:

  • garantizar que se identifiquen todos los objetivos de seguridad de la información y que sean coherentes con el contexto operativo;
  • establecer las funciones y responsabilidades relacionadas con la implementación y el mantenimiento del Modelo Organizativo de Privacidad;
  • proporcionar recursos suficientes para la planificación, implementación, organización, control, revisión, gestión y mejora continua del Modelo Organizativo de Privacidad;
  • garantizar que la protección de datos esté integrada en todos los procesos empresariales desde el diseño;
  • Activar programas para difundir la concienciación y la cultura de la seguridad de la información.

El Responsable del Tratamiento de Datos reconoce su responsabilidad conforme a la legislación aplicable y se compromete a proteger los datos personales que se le confían contra pérdidas, uso indebido o acceso no autorizado.

Organigrama y sistema de nombramientos

Controlador de datos

El Responsable del Tratamiento de Datos debe garantizar la identificación precisa de las funciones y responsabilidades en materia de privacidad, tanto interna como externamente a la organización, con especial referencia a las nominaciones y designaciones de las siguientes personas:

Responsables del tratamiento de datos

Los encargados del tratamiento son personas físicas o jurídicas que tratan datos personales en nombre del responsable del tratamiento, quien sigue siendo responsable de los daños y perjuicios que puedan sufrir los interesados a causa del tratamiento. Por este motivo, el responsable del tratamiento selecciona a los encargados del tratamiento entre aquellos que cumplen los requisitos necesarios y ofrecen garantías adecuadas para realizar el tratamiento de conformidad con la normativa. El encargado del tratamiento solo podrá subcontratar a otro encargado del tratamiento (subencargado del tratamiento) imponiéndole las mismas obligaciones que tiene con el responsable del tratamiento. Si el subencargado del tratamiento incumple sus obligaciones de protección de datos, el encargado del tratamiento seguirá siendo plenamente responsable ante el responsable del tratamiento por el cumplimiento de dichas obligaciones por parte del subencargado. 

El responsable del tratamiento designa a los encargados del tratamiento mediante un acuerdo específico de protección de datos que contiene, como mínimo, todos los elementos exigidos por el artículo 28 del RGPD. De conformidad con el artículo 28 del RGPD, el encargado del tratamiento sigue siendo plenamente responsable ante el responsable del tratamiento por el cumplimiento de las obligaciones del subencargado. El artículo 82(2) del RGPD establece que “ un encargado del tratamiento solo será responsable de los daños causados por el tratamiento cuando no haya cumplido las obligaciones del presente Reglamento dirigidas específicamente a los encargados del tratamiento o haya actuado fuera o en contra de las instrucciones legítimas del responsable del tratamiento ”.

Autorizado para su procesamiento

El Responsable del Tratamiento designa formalmente a las personas autorizadas para procesar datos de conformidad con el art. 29 del RGPD y les proporciona instrucciones para el procesamiento, de acuerdo con las normas y procedimientos internos.

Las personas autorizadas procesan datos personales relacionados con su área operativa y actúan bajo la autoridad del Responsable del Tratamiento, siguiendo las instrucciones proporcionadas por este, prestando especial atención a los procedimientos que rigen el uso de las bases de datos a las que tienen acceso.

Las personas autorizadas para procesar datos son:

  • comunicar al Responsable del Tratamiento cualquier solicitud recibida del interesado en relación con el ejercicio de sus derechos garantizados por el RGPD;
  • notifican al Responsable del Tratamiento de Datos si una operación de procesamiento no cumple con las instrucciones recibidas;
  • informe al Responsable del Tratamiento de Datos sobre cualquier acceso no autorizado u otros incidentes, incluso sospechosos, a datos personales, bases de datos o sistemas informáticos que puedan comprometer la confidencialidad, la integridad o la disponibilidad de los datos personales;
  • participan en los eventos de formación organizados por el Responsable del Tratamiento de Datos en materia de protección de datos;
  • se comprometen a mantener la confidencialidad de los datos personales de los que tengan conocimiento en el desempeño de sus funciones.

Designado para funciones específicas

El Responsable del Tratamiento de Datos, dentro de su estructura organizativa, designa a personas específicas para que realicen funciones o tareas específicas relacionadas con la protección de datos personales de conformidad con el artículo 2-quaterdecies del Código.

El administrador del sistema

La persona profesional que, en el ámbito de las tecnologías de la información, mantiene, configura y gestiona un sistema de procesamiento de datos o sus componentes, incluidos sistemas de software complejos (administrador de sistemas), una base de datos (administrador de bases de datos) o redes y equipos de telecomunicaciones de seguridad (administrador de redes), es designada como la persona autorizada para procesar datos con la denominación de Administrador de Sistemas.

La asignación de las funciones de administrador del sistema se produce tras evaluar la experiencia, la capacidad y la fiabilidad de la persona designada, que debe ofrecer garantías adecuadas de pleno cumplimiento de las disposiciones aplicables, incluidas las relativas a la seguridad[3].

El nombramiento de un Administrador de Sistemas debe ser individual, constar explícitamente por escrito y describir detalladamente el alcance de las operaciones permitidas según el perfil de autorización asignado.

El Administrador de Sistemas puede utilizar cuentas autorizadas para acceder a uno o más sistemas con privilegios superiores a los de un usuario común. Por ejemplo, el Administrador de Sistemas tiene la facultad de crear, modificar y eliminar usuarios o entidades autorizadas para acceder a los servicios o herramientas informáticas del Responsable del Tratamiento de Datos, y/o puede otorgar o denegar el acceso a recursos específicos a determinados usuarios o entidades.

Si el administrador es ajeno a la organización, se considerará la designación de esa persona como Encargado del Tratamiento de Datos.

Medidas de seguridad generales

La responsabilidad de garantizar la protección de todos los datos procesados recae en los roles pertinentes dentro de la Organización.

Se debe prestar especial atención al uso de servicios y dispositivos informáticos debido a su importancia y omnipresencia, así como a la constante evolución de la tecnología, que plantea nuevos riesgos potenciales.

Los sistemas deben protegerse tanto física como lógicamente.

En función de la complejidad de los sistemas informáticos utilizados, el Responsable del Tratamiento de Datos podrá establecer normativas internas específicas.

Las directrices que rigen las decisiones en materia de seguridad informática son, una vez más, los principios del RGPD.

Deben implementarse todas las medidas proporcionales al contexto del tratamiento que puedan garantizar la confidencialidad de los datos (principalmente medidas de autenticación y autorización), su integridad y su disponibilidad (por ejemplo, sistemas de copia de seguridad adecuados, comprobaciones de integridad, procedimientos de recuperación ante desastres).

En este contexto específico, las medidas de seguridad adoptadas por el Responsable del Tratamiento de Datos se indican en la parte final de las Evaluaciones de Riesgos (sección P.09).


Notas

[1] Manual sobre seguridad en el tratamiento de datos personales – ENISA – 29 de enero de 2018.

[2] Artículo 29 del Reglamento – “Tratamiento bajo la autoridad del responsable o del encargado del tratamiento ” El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del propio responsable, que tenga acceso a datos personales, no podrán tratar dichos datos salvo siguiendo instrucciones del responsable, a menos que así lo exija la legislación de la Unión o de un Estado miembro.
Art. 2 quaterdecies del Código de Privacidad – “Asignación de funciones y tareas a personas designadas” El responsable del tratamiento o el encargado del tratamiento podrá disponer, bajo su propia responsabilidad y dentro de su estructura organizativa, que determinadas tareas y funciones relacionadas con el tratamiento de datos personales se asignen a personas físicas expresamente designadas que actúen bajo su autoridad.

[3] Disposición del Garante de 27 de noviembre de 2008 relativa a las atribuciones de las funciones de administrador del sistema.


[1] Realizar los cambios necesarios.