Informations sur le traitement des données personnelles conformément aux articles 13 et 14 du Règlement UE 2016/679 pour le service de formation dispensé via la Plateforme Cyber Guru.
Cher Collaborateur,
en complément des informations sur le traitement de vos données personnelles effectué par votre employeur, en tant que responsable du traitement, à des fins liées à la gestion de la relation de travail, avec la présente note d'information, nous souhaitons, dans le respect du principe de progressivité, vous fournir des informations spécifiques et détaillées sur l'utilisation du portail « Cyber Guru » pour la formation continue de nos employés et collaborateurs en matière de cybersécurité. En particulier, la formation est dispensée par le biais d'un système innovant d'e-learning conçu pour le personnel non spécialisé des organisations publiques et privées, basé sur des méthodologies de formation innovantes qui tiennent compte des modes d'apprentissage numérique les plus efficaces. Le système implique toute l'organisation dans un parcours d'apprentissage éducatif et stimulant, qui se caractérise par une approche « à diffusion constante et progressive ». Une autre solution concerne une activité de formation anti-phishing qui produit des résultats efficaces grâce à sa méthodologie particulière de formation sur le tas et aux caractéristiques d'automatisation soutenues par des algorithmes d'apprentissage automatique.
Responsable du traitement est votre employeur ou donneur d'ordre dont vous pouvez obtenir les coordonnées en accédant au site web institutionnel.
Responsable du traitement (domaines de communication des données personnelles). Pour la fourniture des activités de formation via le portail indiqué, votre employeur ou donneur d'ordre a signé un contrat spécifique avec la société CYBER GURU s.r.l. la désignant comme Responsable du traitement conformément à l'art. 28 du RGPD, exigeant le respect de la législation sur la protection des données personnelles et des mesures de sécurité appropriées, parmi lesquelles, en particulier, la sécurité des outils informatiques utilisés et l'autorisation des personnes chargées du traitement. La société Responsable assurera directement et/ou par l'intermédiaire d'autres Sous-responsables, la fourniture des activités de formation décrites ici. Pour la gestion des accès et du système d'authentification au portail, les données personnelles peuvent être traitées par des tiers fournissant des services de single sign on (SSO). Les données, dans ce cas, seront pseudonymisées par l'application d'un code « token »).
Finalités et base juridique du traitement. Les finalités spécifiques pertinentes pour le traitement en question concernent une activité de formation précise sur les thèmes de la cybersécurité et, en particulier, sur la sensibilisation que nos employés doivent avoir pour utiliser au mieux les outils de travail et réduire le risque que des attaques informatiques et/ou diverses problématiques puissent se réaliser. La finalité réside donc dans la formation continue et spécifique que l'employeur dispense en faveur de ses employés, à la fois en tant que composante d'une relation contractuelle et en tant qu'outil pour protéger un intérêt légitime propre représenté par la sécurité de ses systèmes (formation entendue comme mesure organisationnelle également au sens des articles 29 et 32 du RGPD) ainsi que, à la lumière de l'obligation prévue par les dispositions légales susmentionnées, d'instruire précisément toute personne traitant des données personnelles et agissant sous son autorité. Pour les raisons exposées, il n'est donc pas nécessaire de demander votre consentement explicite pour le traitement décrit.
Catégories et flux de données personnelles. Pour atteindre les finalités spécifiées, la Société, ou son délégué, communiquera au Responsable désigné les données personnelles suivantes : nom, prénom, email, fonction dans l'entreprise. Les catégories particulières de données personnelles (données sensibles) ne font pas l'objet de traitement.
Personnes autorisées. Seules les personnes spécifiquement autorisées dans le respect du principe de nécessité pourront avoir accès à vos données personnelles. En particulier : le Responsable du traitement et les éventuels sous-responsables pourront avoir accès aux informations personnelles (nom, prénom, email, fonction dans l'entreprise, résultats des tests) nécessaires à la création du profil utilisateur pour la fourniture de l'activité de formation. En fonction de l'organisation, un profil de Team Leader (interne à l'entreprise coïncidant avec le responsable du bureau) pourra être créé, qui pourra avoir accès aux informations relatives aux niveaux d'apprentissage (sous forme agrégée) des utilisateurs, et un profil de Superviseur (interne à l'entreprise) qui pourra avoir accès aux informations sur le parcours de formation de tous les utilisateurs. Cela afin d'acquérir des informations concernant la formation dispensée. Les informations de retour que le responsable du traitement pourra obtenir sur le résultat des attaques de phishing sont des informations anonymisées à des fins statistiques uniquement (nombre de tentatives d'attaque réussies sur le nombre de personnes concernées, etc.).
Transfert hors UE. Les données personnelles dans le cadre du traitement en question ne seront pas transférées vers des pays hors UE ou des organisations internationales, mais seront traitées, directement ou par l'intermédiaire de Responsables, sur le territoire de l'UE (Dublin).
Période de conservation. Les données sont conservées en fonction du temps strictement nécessaire pour atteindre les finalités indiquées dans la présente note d'information. Les données personnelles seront supprimées 90 jours après la conclusion du contrat.
Droits de la personne concernée. Nous vous rappelons que vous pouvez à tout moment exercer les droits prévus par les articles 15 à 22 du RGPD en envoyant une simple demande au Responsable du traitement ou en contactant le Délégué à la Protection des Données éventuellement nommé. Nous vous rappelons également que vous pouvez déposer une plainte auprès de l'Autorité de Contrôle.
Traitements automatisés. La société responsable du traitement n'effectue pas de traitements basés sur un processus décisionnel automatisé, y compris le profilage. La société propriétaire de la plateforme de formation effectue des traitements automatisés visant à l'envoi des attaques de phishing en fonction du degré de réponse des apprenants, en les profilant pour activer les étapes d'avancement des attaques de phishing.
Avertissement Traductions Automatiques
La présente Note d'Information sur la Protection de la Vie Privée est rédigée en langue italienne et en langue anglaise. Les deux versions sont considérées comme officielles et ont la même valeur légale. Les versions éventuelles dans des langues autres que l'italien et l'anglais, mises à disposition par le biais d'outils de traduction automatique (y compris ceux intégrés dans des plateformes numériques), ne sont pas considérées comme des versions officielles et n'ont pas de valeur juridique. Ces traductions sont fournies uniquement à titre informatif.