Informazioni sul trattamento dei dati personali ai sensi degli articoli 13 e 14 del Regolamento UE 2016/679 per il servizio di formazione erogato attraverso la Piattaforma Cyber Guru.
Gentile Collaboratore,
ad integrazione delle informazioni sul trattamento dei tuoi dati personali effettuato dal Tuo datore di lavoro, quale titolare del trattamento, per finalità legate alla gestione del rapporto di lavoro, con la presente informativa desideriamo, nel rispetto del principio di progressività, fornirti specifiche e dettagliate informazioni sull’utilizzo del portale “Cyber Guru” per la formazione continua dei nostri dipendenti e collaboratori in materia di cyber security. In particolare, la formazione viene erogata mediante un innovativo sistema di e-learning pensato per il personale non-specialistico delle organizzazioni pubbliche e private fondato su metodologie di formazione innovative che tengono conto delle modalità di apprendimento digitale maggiormente efficaci. Il sistema coinvolge tutta l’organizzazione in un percorso di apprendimento educativo e stimolante, che si caratterizza per un approccio “a rilascio costante e graduale”. Ulteriore soluzione riguarda un’attività di training anti-Phishing che produce risultati efficaci grazie alla sua particolare metodologia di training-on-the-job e alle caratteristiche di automazione coadiuvate da algoritmi machine learning.
Titolare del trattamento è il Tuo datore di lavoro o Committente i cui dati di contatto potrai acquisire accedendo al sito web istituzionale.
Responsabile del trattamento (ambiti di comunicazione dei dati personali). Per l’erogazione delle attività formative mediante il portale indicato, il Tuo datore di lavoro o Committente ha sottoscritto uno specifico contratto con la società CYBER GURU s.r.l. designandola quale Responsabile del trattamento ai sensi dell’art. 28 del GDPR richiedendo il rispetto della normativa sulla protezione dei dati personali e delle adeguate misure di sicurezza tra le quali, in particolare, la sicurezza degli strumenti informatici utilizzati e l’autorizzazione degli incaricati del trattamento. La società Responsabile provvederà direttamente e/o per il tramite di ulteriori Sub-responsabili, all’erogazione delle attività formative qui descritte.Per la gestione degli accessi e del sistema di autenticazione al portale, i dati personali potranno essere trattati da soggetti terzi eroganti servizi di single sign on (SSO). I dati, in questo caso, saranno pseudonimizzati mediante applicazione di un codice “token”).
Finalità e base giuridica del trattamento. Le specifiche finalità rilevanti per il trattamento in parola riguardano una puntuale attività di formazione sui temi della cyber security e, in particolare, sulla consapevolezza che i nostri dipendenti devono avere per utilizzare al meglio gli strumenti lavorativi e ridurre il rischio che attacchi informatici e/o diverse criticità possano realizzarsi. La finalità, pertanto, risiede nella formazione continua e specifica che il datore di lavoro eroga in favore dei propri dipendenti sia quale componente di un rapporto contrattuale, sia quale strumento per tutelare un proprio legittimo interesse rappresentato dalla sicurezza dei propri sistemi (formazione intesa quale misura organizzativa anche ai sensi degli articoli 29 e 32 del GDPR) nonché, alla luce dell’obbligo previsto dalle citate disposizioni normative, di istruire puntualmente chiunque tratti dati personali e agisca sotto la sua autorità. Per i motivi esposti, quindi, non è necessario richiedere il Tuo esplicito consenso per il trattamento descritto.
Categorie e flusso di dati personali. Per il perseguimento delle finalità specificate, la Società, o un suo delegato, comunicherà al Responsabile designato i seguenti dati personali: nome, cognome, email, funzione aziendale. Non sono oggetto di trattamento le categorie particolari di dati personali (dati sensibili).
Soggetti autorizzati. Potranno avere accesso ai tuoi dati personali solo i soggetti specificamente autorizzati nel rispetto del principio di necessità. In particolare: il Responsabile del trattamento e gli eventuali sub-responsabili potranno avere accesso alle informazioni personali (nome, cognome, email, funzione aziendale, risultati dei test) necessarie per la creazione del profilo utente per l’erogazione dell’attività formativa. In considerazione dell’organizzazione, potrà essere creato un profilo Team Leader (interno all’azienda coincidente con il responsabile dell’Ufficio) che potrà avere accesso alle informazioni relative ai livelli di apprendimento (in forma aggregata) degli utenti e un profilo Supervisor (interno all’azienda) che potrà avere accesso alle informazioni sul percorso formativo di tutti gli utenti. Ciò al fine di acquisire informazioni in merito alla formazione erogata. Le informazioni di ritorno che il titolare del trattamento potrà ottenere sull’esito degli attacchi di phishing sono informazioni anonimizzate per solo fini statistici (numero di tentativi di attacco andati a buon fine su numero di interessati coinvolti, ecc.).
Trasferimento extra UE. I dati personali nell’ambito del trattamento in esame, non saranno trasferiti verso Paesi extra UE o Organizzazioni internazionali ma saranno trattati, direttamente o per il tramite di Responsabili, all’interno del territorio dell’UE (Dublino)
Periodo di conservazione. I dati sono conservati in base al tempo strettamente necessario a raggiungere le finalità indicate nella presente informativa. I dati personali saranno cancellati trascorsi 90 giorni dalla conclusione del contratto.
Diritti dell’interessato. Ti ricordiamo che potrai in ogni momento esercitare i diritti previsti dagli artt. 15 – 22 del GDPR inviando una semplice richiesta al Titolare del trattamento o contattando il Data Protection Officer eventualmente nominato. Ti ricordiamo, infine, che puoi anche presentare un reclamo all’Autorità di Controllo.
Trattamenti automatizzati. La società responsabile del trattamento non effettua trattamenti basati su un processo decisionale automatizzato, ivi compresa la profilazione. La società proprietaria della piattaforma di formazione effettua trattamenti automatizzati finalizzati all’invio degli attacchi di phishing sulla base del grado di risposta dei discenti profilando gli stessi per abilitare gli stadi di avanzamento degli attacchi di phishing.
Avvertenza Traduzioni Automatiche
La presente Informativa Privacy è redatta in lingua italiana e in lingua inglese. Entrambe le versioni sono considerate ufficiali e hanno pari valore legale. Eventuali versioni in lingue diverse dall’italiano e dall’inglese, rese disponibili tramite strumenti di traduzione automatica (inclusi quelli integrati in piattaforme digitali), non sono considerate versioni ufficiali e non hanno valore giuridico. Tali traduzioni sono fornite unicamente a scopo informativo.