Información sobre el tratamiento de datos personales de acuerdo con los artículos 13 y 14 del Reglamento UE 2016/679 para el servicio de formación proporcionado a través de la Plataforma Cyber Guru.
Estimado Colaborador,
como complemento a la información sobre el tratamiento de tus datos personales realizado por tu empleador, como responsable del tratamiento, para fines relacionados con la gestión de la relación laboral, con este aviso deseamos, en cumplimiento del principio de progresividad, proporcionarte información específica y detallada sobre el uso del portal “Cyber Guru” para la formación continua de nuestros empleados y colaboradores en materia de ciberseguridad. En particular, la formación se proporciona mediante un innovador sistema de e-learning diseñado para el personal no especializado de organizaciones públicas y privadas, basado en metodologías de formación innovadoras que tienen en cuenta las modalidades de aprendizaje digital más efectivas. El sistema involucra a toda la organización en un proceso de aprendizaje educativo y estimulante, que se caracteriza por un enfoque de “liberación constante y gradual”. Otra solución se refiere a una actividad de entrenamiento anti-phishing que produce resultados efectivos gracias a su particular metodología de entrenamiento en el trabajo y a las características de automatización apoyadas por algoritmos de aprendizaje automático.
Responsable del tratamiento es tu empleador o Cliente cuyos datos de contacto puedes adquirir accediendo al sitio web institucional.
Encargado del tratamiento (ámbitos de comunicación de los datos personales). Para la prestación de las actividades formativas mediante el portal indicado, tu empleador o Cliente ha suscrito un contrato específico con la empresa CYBER GURU s.r.l. designándola como Encargado del tratamiento de acuerdo con el art. 28 del GDPR solicitando el cumplimiento de la normativa sobre protección de datos personales y de las medidas de seguridad adecuadas, entre las cuales, en particular, la seguridad de las herramientas informáticas utilizadas y la autorización de los encargados del tratamiento. La empresa Encargada proporcionará directamente y/o a través de otros Sub-encargados, la prestación de las actividades formativas aquí descritas. Para la gestión de los accesos y del sistema de autenticación al portal, los datos personales podrán ser tratados por terceros que proporcionen servicios de inicio de sesión único (SSO). Los datos, en este caso, serán seudonimizados mediante la aplicación de un código “token”).
Finalidad y base jurídica del tratamiento. Las finalidades específicas relevantes para el tratamiento en cuestión se refieren a una actividad puntual de formación sobre temas de ciberseguridad y, en particular, sobre la conciencia que nuestros empleados deben tener para utilizar mejor las herramientas laborales y reducir el riesgo de que se produzcan ataques informáticos y/o diversas críticas. La finalidad, por lo tanto, reside en la formación continua y específica que el empleador proporciona a favor de sus empleados tanto como componente de una relación contractual, como herramienta para proteger un interés legítimo propio representado por la seguridad de sus sistemas (formación entendida como medida organizativa también de acuerdo con los artículos 29 y 32 del GDPR) así como, a la luz de la obligación prevista por las disposiciones normativas mencionadas, de instruir puntualmente a cualquiera que trate datos personales y actúe bajo su autoridad. Por los motivos expuestos, por lo tanto, no es necesario solicitar tu consentimiento explícito para el tratamiento descrito.
Categorías y flujo de datos personales. Para el logro de las finalidades especificadas, la Sociedad, o su delegado, comunicará al Encargado designado los siguientes datos personales: nombre, apellido, correo electrónico, función empresarial. No son objeto de tratamiento las categorías particulares de datos personales (datos sensibles).
Sujetos autorizados. Podrán tener acceso a tus datos personales solo los sujetos específicamente autorizados en cumplimiento del principio de necesidad. En particular: el Encargado del tratamiento y los eventuales sub-encargados podrán tener acceso a la información personal (nombre, apellido, correo electrónico, función empresarial, resultados de las pruebas) necesaria para la creación del perfil de usuario para la prestación de la actividad formativa. En consideración de la organización, podrá ser creado un perfil de Líder de Equipo (interno a la empresa coincidente con el responsable de la Oficina) que podrá tener acceso a la información relativa a los niveles de aprendizaje (en forma agregada) de los usuarios y un perfil de Supervisor (interno a la empresa) que podrá tener acceso a la información sobre el recorrido formativo de todos los usuarios. Esto con el fin de adquirir información sobre la formación proporcionada. La información de retorno que el responsable del tratamiento podrá obtener sobre el resultado de los ataques de phishing son informaciones anonimizadas solo para fines estadísticos (número de intentos de ataque exitosos sobre el número de interesados involucrados, etc.).
Transferencia fuera de la UE. Los datos personales en el ámbito del tratamiento en cuestión, no serán transferidos a países fuera de la UE u organizaciones internacionales, sino que serán tratados, directamente o a través de Encargados, dentro del territorio de la UE (Dublín)
Periodo de conservación. Los datos se conservan en base al tiempo estrictamente necesario para alcanzar las finalidades indicadas en este aviso. Los datos personales serán eliminados transcurridos 90 días desde la conclusión del contrato.
Derechos del interesado. Te recordamos que podrás en cualquier momento ejercer los derechos previstos por los arts. 15 – 22 del GDPR enviando una simple solicitud al Responsable del tratamiento o contactando al Delegado de Protección de Datos eventualmente nombrado. Te recordamos, finalmente, que también puedes presentar una reclamación ante la Autoridad de Control.
Tratamientos automatizados. La empresa responsable del tratamiento no realiza tratamientos basados en un proceso de toma de decisiones automatizado, incluida la elaboración de perfiles. La empresa propietaria de la plataforma de formación realiza tratamientos automatizados destinados al envío de ataques de phishing en base al grado de respuesta de los estudiantes perfilando a los mismos para habilitar las etapas de avance de los ataques de phishing.
Advertencia Traducciones Automáticas
Este Aviso de Privacidad está redactado en idioma italiano y en inglés. Ambas versiones se consideran oficiales y tienen el mismo valor legal. Las versiones en idiomas diferentes al italiano y al inglés, disponibles a través de herramientas de traducción automática (incluidas las integradas en plataformas digitales), no se consideran versiones oficiales y no tienen valor legal. Estas traducciones se proporcionan únicamente con fines informativos.