• Si sta visualizzando una versione tradotta automaticamente di questo sito web
Italiano
Italiano English (UK) العربية 简体中文 繁體中文 Français Português do Brasil Español Español de México 日本語 한국어 Русский Deutsch Türkçe
Prospetto informativo
Contattateci
Politiche

GDPR Politica di protezione dei dati

Scopo

Malvern International si impegna a condurre la propria attività in conformità con tutte le leggi e i regolamenti applicabili in materia di protezione dei dati e in linea con i più elevati standard di condotta etica.

Questa politica definisce i comportamenti e gli standard previsti per i dipendenti di Malvern International e per le terze parti in relazione alla raccolta, all'uso, alla conservazione, al trasferimento, alla divulgazione e alla distruzione dei dati personali degli interessati.

I dati personali sono tutte le informazioni che “riguardano” una persona vivente identificabile. I dati personali sono soggetti a determinate garanzie legali e ad altre normative che impongono restrizioni sul modo in cui le organizzazioni possono trattare i dati personali. Malvern International è responsabile di garantire la conformità ai requisiti di protezione dei dati delineati in questa Politica. La mancata osservanza può esporre Malvern International a reclami, azioni normative, multe e/o danni reputazionali. L'azione deliberata di violazione di questa politica può anche costituire un reato penale.

Qualsiasi violazione di questa politica sarà trattata seriamente da Malvern International e potrà essere presa in considerazione nell'ambito della procedura disciplinare. Per facilitare la comprensione di questa politica, di seguito viene spiegata la seguente terminologia:

Un responsabile del trattamento dei dati è un'azienda che stabilisce quando, perché e come trattare i dati personali. In qualità di Titolare del trattamento dei dati, l'Azienda è responsabile della definizione di prassi e politiche in linea con i dati
legge sulla protezione. Siamo il Titolare del trattamento di tutti i Dati personali relativi al nostro Personale aziendale e dei Dati personali utilizzati nella nostra attività per i nostri scopi commerciali.

Categoria speciale significaQualsiasi dato personale che includa dettagli su: razza o origine etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati generici, dati biometrici, dati relativi alla salute, sesso, orientamento sessuale o vita sessuale.

Personale dell'azienda: tutti i dipendenti, i lavoratori (compresi gli appaltatori, i lavoratori interinali e i consulenti), i direttori, i soci e altri soggetti (compresi i volontari, gli stagisti e gli apprendisti).

Dati dell'interessato: un individuo vivente, identificato o identificabile di cui deteniamo i Dati personali. Gli interessati possono essere cittadini o residenti di qualsiasi paese e possono avere diritti legali sui loro dati personali. Potreste essere voi, i vostri colleghi, clienti e fornitori o qualsiasi altra persona.

Legislazione sulla protezione dei datiLa normativa in vigore è quella relativa alla protezione dei dati personali o al rispetto della privacy di un individuo. La legislazione attualmente in vigore è (i) il Regolamento generale sulla protezione dei dati (“GDPR”) che si applica nel caso in cui ci rivolgiamo o vendiamo a persone con sede in un paese dell'UE o del SEE e trattiamo i loro dati personali.

Il RGPD del Regno Unito e il Data Protection Act 2018, che si applica a qualsiasi soggetto interessato residente nel Regno Unito.

Il Data (Use & Access) Act 2025 che integra ed espande aspetti specifici del UK-GDPR e dell'attuale quadro di protezione dei dati.

Dati personali: qualsiasi informazione che identifichi un Soggetto interessato o informazioni relative a un Soggetto interessato che possiamo identificare (direttamente o indirettamente) da tali dati.

Violazione dei dati personaliQualsiasi violazione della sicurezza che comporti la distruzione accidentale o illegale, la perdita, l'alterazione o la divulgazione non autorizzata dei dati personali.

Avvertenze sulla privacy (anche denominati avvisi di trattamento equo) o politiche sulla privacy: avvisi separati che contengono informazioni che possono essere fornite agli interessati quando la Società raccoglie informazioni su di loro.

Elaborazione o Processo: qualsiasi attività che comporti l'utilizzo di Dati personali.

Ambito di applicazione della politica

Questa politica si applica a tutte le entità di Malvern International in cui vengono trattati i dati personali di un soggetto.

Questa politica si applica a tutti i trattamenti di dati personali in forma elettrica (compresi la posta elettronica e i documenti creati con software di elaborazione testi) o quando sono conservati in archivi manuali strutturati in modo da consentire un accesso immediato alle informazioni sulle persone.

Applicazione della politica
Il team di leadership deve garantire che tutti i dipendenti di Malvern International responsabili del trattamento dei dati personali siano a conoscenza e rispettino i contenuti di questa politica. Inoltre, Malvern International si assicurerà che tutte le Terze Parti incaricate di trattare i dati personali per loro conto siano a conoscenza e rispettino i contenuti di questa politica. Verranno richieste adeguate garanzie di tale conformità a tutte le Terze Parti, siano esse aziende o individui, prima di concedere loro l'accesso ai dati personali controllati da Malvern International.

Principi di protezione dei dati
Quando trattiamo dati personali, dobbiamo seguire i principi di protezione dei dati che stabiliscono gli obblighi da rispettare. Tutto il personale è tenuto ad aderire a questi principi, che sono illustrati di seguito.

  • Liceità, correttezza e trasparenza - Tutti i dati personali devono essere trattati in modo lecito, equo e trasparente, il che significa che dobbiamo comunicare all'interessato quale trattamento avverrà (trasparenza) e che deve essere equo, necessario e proporzionato. Tutto il personale è tenuto a garantire che l'uso dei dati personali sia ragionevole e previsto. Dobbiamo tenere un registro scritto di quali dati personali trattiamo e perché li trattiamo. Il Responsabile della protezione dei dati è responsabile della tenuta di questo registro e condurrà controlli periodici per assicurarsi che il registro sia aggiornato.
    • Limitazione delle finalità - I dati personali devono essere raccolti per finalità specifiche, esplicite e legittime e non devono essere ulteriormente elaborati in modo incompatibile con tali finalità. Ciò significa che dobbiamo specificare esattamente per cosa saranno utilizzati i dati personali raccolti e limitare il trattamento di tali dati personali solo a quanto necessario per soddisfare lo scopo specificato. Lo scopo per cui i dati personali vengono raccolti ed elaborati sarà indicato nelle relative informative sulla privacy. Se è necessario utilizzare i dati personali per una nuova finalità, occorre informare il responsabile della protezione dei dati e seguire i consigli per garantire la conformità continua. Se la nuova finalità è già contemplata in una delle nostre informative sulla privacy, potrebbe non essere necessario aggiornarla; tuttavia, se è necessario aggiornare la nostra informativa sulla privacy prima che la nuova attività abbia luogo, occorre farlo il prima possibile.
    • Minimizzazione dei dati - I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario in relazione agli scopi per cui vengono trattati. Ciò significa che Malvern International non deve conservare alcun dato personale al di là di quanto richiesto.
    • Accuratezza - I dati personali devono essere accurati e aggiornati. Ciò significa che Malvern International deve disporre di processi per identificare e risolvere i dati personali obsoleti, errati e ridondanti. Tutto il personale è responsabile di garantire l'accuratezza dei registri all'interno delle proprie aree di lavoro.
    • Limitazione della conservazione - I dati personali devono essere conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario per gli scopi per i quali i dati personali sono trattati. Ciò significa che Malvern International deve, ove possibile, conservare i dati personali in modo da limitare o impedire l'identificazione dell'interessato. Come organizzazione, dobbiamo assicurarci di conservare i dati personali solo per il tempo necessario. Ciò significa che dobbiamo seguire le migliori pratiche di gestione dei registri e cancellare i dati quando non abbiamo più uno scopo per conservarli. Il Responsabile della protezione dei dati e i membri del Senior Management Team sono responsabili dell'attuazione dei processi di gestione dei dati, compresa la conservazione dei dati.
      che stabilisce quali sono i dati personali in nostro possesso e per quanto tempo li conserviamo prima che vengano rivisti per verificarne la pertinenza o cancellati se necessario.
    • Integrità e riservatezza - I dati personali devono essere trattati in modo da garantire un'adeguata sicurezza dei dati personali, compresa la protezione da trattamenti non autorizzati o illegali e da perdite, distruzioni o danni accidentali. Malvern International deve utilizzare misure tecniche e organizzative adeguate per garantire che l'integrità e la riservatezza dei dati personali siano mantenute in ogni momento. Tutto il personale ha la responsabilità di assicurarsi di seguire tutte le politiche o i requisiti di processo progettati per proteggere la sicurezza e la riservatezza dei dati. Il personale non deve tentare di aggirare i controlli di sicurezza messi in atto a tale scopo.
    • Tutto il personale ha un ruolo fondamentale nel proteggere la sicurezza dei nostri dati, in particolare il personale:
      • non devono condividere la propria password o le proprie credenziali Malvern International con nessun altro.
      • non devono condividere, caricare o inoltrare dati su Malvern International a terzi, a meno che non sia un requisito diretto del loro ruolo.
      • non deve disabilitare, o tentare di disabilitare, qualsiasi disposizione antivirus o controllo di sicurezza su qualsiasi sistema o computer di Malvern International.
  • Responsabilità - Malvern International e il suo personale sono responsabili e in grado di dimostrare la conformità alla legislazione.

Raccolta dati

Fonti di dati

I dati personali devono essere raccolti direttamente dall'interessato, a meno che non si applichi una delle seguenti condizioni:

  • La natura dello scopo commerciale richiede la raccolta dei dati personali da altre persone o enti.
  • La raccolta deve essere effettuata in circostanze di emergenza per tutelare gli interessi vitali dell'interessato o per prevenire gravi perdite o lesioni a un'altra persona.

Se i dati personali vengono raccolti da una persona diversa dall'interessato, quest'ultimo deve essere informato della raccolta, a meno che non si applichi una delle seguenti condizioni:

  • L'interessato aveva ricevuto le informazioni richieste con altri mezzi.
  • Le informazioni devono rimanere riservate a causa dell'obbligo del segreto professionale.
  • Una legge nazionale prevede espressamente la raccolta, il trattamento o il trasferimento dei dati personali.

Nel caso in cui sia stata stabilita la necessità di notificare l'interessato, la notifica deve avvenire tempestivamente, ma non oltre un mese di calendario dalla prima raccolta o registrazione dei dati personali, al momento della prima comunicazione se utilizzati per comunicare con l'interessato, al momento della divulgazione se divulgati ad un altro destinatario.

Notifica dell'interessato

Malvern International, quando richiesto dalla legge applicabile, dal contratto o quando ritiene che sia ragionevolmente opportuno farlo, fornirà agli interessati informazioni sullo scopo del trattamento dei loro dati personali.

Quando si chiede a un interessato di dare il consenso al trattamento dei suoi dati personali, e quando si raccolgono dati personali dall'interessato, verranno fornite tutte le informazioni appropriate, in modo da richiamare l'attenzione su di esse, a meno che non si applichi una delle seguenti condizioni:

  • L'interessato dispone già delle informazioni.
  • Ai requisiti di divulgazione e/o consenso si applica un'esenzione legale.
  • L'informativa può essere fornita elettronicamente o per iscritto.

Avvisi sulla privacy per il personale

Malvern International fornirà al Personale della Società una nota sulla privacy relativa alla raccolta e al trattamento dei loro dati personali.

Malvern International includerà anche una nota sulla privacy online per i potenziali terzi diversi dal personale della Società e una ‘nota sui cookie’ online che soddisfi i requisiti della legge applicabile.

Profilazione e processo decisionale automatizzato

Malvern International non effettua attualmente profilazione e processi decisionali automatizzati. Qualora si rendesse necessario procedere alla profilazione e al processo decisionale automatizzato, ciò avverrà solo per stipulare o eseguire un contratto con l'interessato o qualora ciò sia autorizzato dalla legge. In tali casi, l'interessato avrà la possibilità di:

  • Esprimere il proprio punto di vista
  • Ottenere una spiegazione della decisione automatizzata
  • Esaminare la logica utilizzata dal sistema automatizzato
  • Integrare il sistema automatizzato con dati aggiuntivi
  • Chiedere a un operatore umano di effettuare una revisione della decisione automatizzata.
  • Contestare la decisione automatizzata
  • opporsi all'esecuzione del processo decisionale automatizzato.

La profilazione e il processo decisionale automatizzato sono fortemente limitati dalla legge sulla protezione dei dati e devono essere eseguiti solo dopo aver completato una valutazione dell'impatto sulla protezione dei dati. Il personale non è autorizzato a svolgere attività che comportino una profilazione o un processo decisionale automatizzato senza aver prima richiesto la consulenza e il supporto del Responsabile della protezione dei dati.

Marketing digitale

Malvern International invierà materiale promozionale o di marketing diretto a qualsiasi contatto attraverso canali digitali come telefoni cellulari, e-mail e internet solo se tale materiale è conforme alla legge sulla protezione dei dati. Chiunque sia associato a Malvern International e desideri realizzare una campagna di marketing digitale senza ottenere il consenso preventivo dell'interessato deve prima ottenere l'approvazione del Responsabile della protezione dei dati.

Nel caso in cui il trattamento dei dati personali sia approvato per finalità di marketing digitale, l'interessato deve essere informato, al momento del primo contatto, che ha il diritto di opporsi, in qualsiasi fase, al trattamento dei propri dati per tali finalità. Se l'interessato si oppone, il trattamento dei suoi dati personali a fini di marketing digitale deve cessare immediatamente e i suoi dati devono essere conservati in una lista di soppressione con una registrazione della sua decisione di opt-out, piuttosto che essere completamente cancellati.

Va notato che quando il marketing digitale viene effettuato in un contesto ‘business to business’, non vi è alcun obbligo legale di ottenere un'indicazione di consenso per effettuare marketing digitale a singoli individui, a condizione che venga data loro l'opportunità di rinunciare.

Conservazione dei dati
Per garantire un trattamento equo, i dati personali non saranno conservati da Malvern International più a lungo di quanto necessario in relazione agli scopi per i quali sono stati originariamente raccolti o per i quali sono stati ulteriormente elaborati.

Il periodo di tempo per il quale Malvern International ha bisogno di conservare i dati personali è indicato nell'Appendice 1. Questo tiene conto dei requisiti legali e commerciali che influenzano i periodi di conservazione. Questo tiene conto dei requisiti legali, contrattuali e aziendali che influenzano i periodi di conservazione. Tutti i dati personali devono essere cancellati o distrutti il prima possibile se è stato confermato che non è più necessario conservarli, a meno che non ci sia uno scopo legittimo per non farlo. Qualsiasi decisione di non distruggere o cancellare i dati personali in linea con la guida alla conservazione di cui all'Appendice 1 deve essere documentata per iscritto e approvata dall'Amministratore delegato.

Protezione dei dati
Malvern International adotterà misure fisiche, tecniche e organizzative per garantire la sicurezza dei dati personali. Ciò include la prevenzione di perdite o danni, alterazioni, accessi o elaborazioni non autorizzate e altri rischi a cui può essere esposto in virtù dell'azione umana o dell'ambiente fisico o naturale.

L'insieme minimo di misure di sicurezza che Malvern International deve adottare è previsto come segue:

  • Impedire alle persone non autorizzate di accedere ai sistemi di elaborazione dati in cui vengono trattati i dati personali.
  • Impedire alle persone autorizzate a utilizzare un sistema di elaborazione dati di accedere ai dati personali al di là delle necessità e delle autorizzazioni.
  • Garantire che i dati personali trasmessi elettronicamente durante il trasporto non possano essere letti, copiati, modificati o rimossi senza autorizzazione.
  • Garantire la presenza di registri di accesso per stabilire se e da chi i dati personali sono stati inseriti, modificati o rimossi da un sistema di elaborazione dati.
  • Garantire che, nel caso in cui il trattamento sia effettuato da un responsabile del trattamento, i dati possano essere trattati solo in conformità alle istruzioni del titolare del trattamento.
  • Garantire la protezione dei dati personali contro la distruzione o la perdita indesiderata.
  • Garantire che i dati personali raccolti per scopi diversi possano essere trattati separatamente.
  • Garantire che i dati personali non vengano conservati più a lungo del necessario.
  • Garantire che il personale aziendale appropriato sia istruito sui principali requisiti di conformità alla legislazione sulla protezione dei dati e su come garantire la sicurezza dei dati personali in conformità con la presente politica.

Responsabilità del personale aziendale

Tutti coloro che lavorano per, o per conto di, Malvern International hanno la responsabilità di garantire che i dati siano raccolti, archiviati e gestiti in modo appropriato, in linea con questa politica e le politiche associate.

Il CEO e l'HR Business Partner sono responsabili della revisione di questa politica e dell'aggiornamento del Consiglio di Amministrazione sulle responsabilità di Malvern International in materia di protezione dei dati e su eventuali rischi in relazione al trattamento dei dati. Qualsiasi domanda relativa a questa politica o alla protezione dei dati deve essere rivolta a questa persona.

Il personale dell'azienda deve:

  • accedere ai Dati personali solo se ne hanno bisogno per il lavoro che svolgono per Malvern International e solo se autorizzati a farlo. Dovranno utilizzare i dati solo per lo scopo legittimo specificato per cui sono stati ottenuti.
  • non condividere i Dati personali in modo informale.
  • mantenere i Dati personali al sicuro e non condividerli con persone non autorizzate.
  • rivedere regolarmente e, se necessario o richiesto, aggiornare i Dati personali di cui si occupano. Ciò include la comunicazione di eventuali modifiche dei propri dati di contatto.
  • non fare copie non necessarie dei Dati personali e conservare e smaltire le copie in modo sicuro.
  • utilizzare password forti e non condividere le proprie password con altre persone.
  • dovrebbero bloccare lo schermo del computer quando non sono alla scrivania.
  • non portare via i Dati personali dai locali della Società senza l'autorizzazione del proprio responsabile o dell'HR Business Partner.
  • chiedere aiuto all'HR Business Partner in caso di dubbi sulla protezione dei dati o se notate aree di protezione dei dati o di sicurezza che possiamo migliorare.

I dati personali devono essere criptati prima di essere trasferiti elettronicamente a contatti esterni autorizzati. Per ulteriori informazioni sulle modalità di trasferimento, rivolgersi all'ufficio IT.

Considerare l'anonimizzazione dei dati o l'uso di chiavi/codici separati in modo che l'interessato non possa essere identificato.

I dati personali non devono essere salvati su computer personali o altri dispositivi non appartenenti a Malvern International.

I dati personali non devono mai essere trasferiti al di fuori dello Spazio Economico Europeo se non in conformità con la legge e con l'autorizzazione dell'Amministratore Delegato.

I cassetti delle scrivanie e gli schedari devono essere chiusi a chiave. Non lasciare in giro carta con dati personali.

I dati personali devono essere distrutti e smaltiti in modo sicuro quando non sono più necessari.

Applicazione delle politiche

Qualsiasi violazione deliberata o negligente di questa politica da parte del personale dell'azienda può comportare un'azione disciplinare nei confronti di tale personale, in conformità con la nostra procedura disciplinare.

È un reato penale nascondere o distruggere i Dati personali che fanno parte di una richiesta di accesso (vedi sotto). Tale comportamento costituirebbe inoltre una grave mancanza ai sensi della nostra procedura disciplinare, che potrebbe comportare il licenziamento.

Si noti che, sebbene la presente politica fornisca degli esempi, non si tratta in alcun modo di un elenco esaustivo e l'utente potrebbe essere informato di volta in volta di altre regole specifiche.

Diritti dell'interessato e richieste dell'interessato

I soggetti interessati (compreso il personale dell'azienda) hanno una serie di diritti in relazione ai loro dati personali trattati da Malvern International. Tali diritti saranno dettagliati nell'informativa sulla privacy relativa al soggetto interessato. Il Personale dell'Azienda riceverà una nota sulla privacy. I terzi potranno accedere alle informative sulla privacy online o richiederne direttamente una copia.

Malvern International stabilirà un sistema per consentire e facilitare l'esercizio dei diritti degli interessati relativi a:

  • Accesso alle informazioni
  • Obiezione al trattamento
  • Obiezione al processo decisionale automatizzato e alla profilazione
  • Limitazione del trattamento
  • Portabilità dei dati
  • Rettifica dei dati
  • Cancellazione dei dati

Se un individuo presenta una richiesta relativa a uno qualsiasi dei diritti sopra elencati, Malvern International prenderà in considerazione ogni richiesta in conformità con tutte le leggi e i regolamenti applicabili in materia di protezione dei dati. Se un membro del personale riceve una richiesta, non può gestirla da solo e deve informare il responsabile della protezione dei dati il prima possibile.

Gli interessati possono presentare una richiesta relativa ai loro diritti purché sia scritta. Tuttavia, gli interessati sono incoraggiati a richiedere e utilizzare il modulo di richiesta dei dati (disponibile presso le Risorse Umane) e a presentarlo all'ufficio Risorse Umane. Ciò garantirà che la richiesta venga ricevuta dalle persone giuste all'interno di Malvern International e possa essere elaborata tempestivamente.

Gli interessati dovranno verificare la propria identità al momento della presentazione della richiesta. In caso contrario, la richiesta potrebbe non essere completata.

Gli interessati hanno il diritto di ottenere le seguenti informazioni sui propri dati personali:

  • Le finalità della raccolta, dell'elaborazione, dell'utilizzo e della conservazione dei loro dati personali.
  • L'origine dei dati personali, se non sono stati ottenuti dall'interessato.
  • Le categorie di dati personali conservati per l'interessato.
  • I destinatari o le categorie di destinatari a cui i dati personali sono stati o possono essere trasmessi, insieme all'ubicazione di tali destinatari.
  • Il periodo di conservazione previsto per i dati personali o la motivazione per determinare il periodo di conservazione.
  • L'uso di qualsiasi processo decisionale automatizzato, compresa la profilazione.
  • Il diritto dell'interessato di opporsi al trattamento dei propri dati personali, di presentare un reclamo all'autorità di protezione dei dati, di richiedere la rettifica o la cancellazione dei propri dati personali, di richiedere la limitazione del trattamento dei propri dati personali.

Tutte le richieste di accesso o rettifica dei dati personali devono essere indirizzate all'Ufficio Risorse Umane, che registrerà ogni richiesta man mano che viene ricevuta. La risposta a ogni richiesta sarà fornita entro 30 giorni dal ricevimento della richiesta scritta dell'interessato. Un'adeguata verifica deve confermare che il richiedente è l'interessato o il suo rappresentante legale autorizzato. Gli interessati hanno il diritto di richiedere a Malvern International di correggere o integrare dati personali errati, fuorvianti, obsoleti o incompleti.

Se Malvern International non può rispondere alla richiesta entro 30 giorni, si impegnerà a fornire quanto segue entro il tempo specificato:

  • Una conferma di ricezione della richiesta.
  • Tutte le informazioni reperite fino ad oggi.
  • I dettagli di qualsiasi informazione o modifica richiesta che non verrà fornita all'interessato, i motivi del rifiuto e le procedure disponibili per impugnare la decisione.
  • Una data stimata entro la quale saranno fornite le risposte rimanenti (non oltre 3 mesi dalla data di presentazione della richiesta iniziale).
  • Una stima degli eventuali costi a carico dell'interessato (ad esempio, se la richiesta è di natura eccessiva).
  • Il nome e le informazioni di contatto della persona che l'interessato deve contattare per il follow-up.

Si noti che possono verificarsi situazioni in cui fornire le informazioni richieste da un interessato significherebbe rivelare dati personali di un'altra persona. In questi casi, le informazioni devono essere ridotte o omesse nella misura in cui ciò sia necessario o opportuno per tutelare i diritti di tale persona.

Richieste e divulgazioni da parte delle forze dell'ordine
In determinate circostanze, è consentito condividere i dati personali senza che l'interessato ne sia a conoscenza o abbia dato il proprio consenso. Ciò avviene quando la divulgazione dei dati personali è necessaria per una delle seguenti finalità:

  • La prevenzione o l'individuazione del crimine.
  • L'arresto o il perseguimento dei trasgressori.
  • L'accertamento o la riscossione di un'imposta o di un dazio.
  • Per ordine di una Corte o di una norma di legge.

Se Malvern International elabora i dati personali per uno di questi scopi, può applicare un'eccezione alle regole di trattamento delineate in questa politica, ma solo nella misura in cui non farlo pregiudicherebbe il caso in questione.

Formazione sulla protezione dei dati

A tutti i dipendenti di Malvern International che hanno accesso ai dati personali verranno illustrate le responsabilità previste da questa politica nell'ambito della formazione del personale. Malvern International fornirà regolarmente al proprio personale una formazione sulla protezione dei dati e una guida alle procedure; il completamento di questa formazione è obbligatorio.

Trasferimenti tra i siti di Malvern International

Affinché Malvern International possa svolgere efficacemente le sue operazioni tra i vari siti, può capitare che sia necessario trasferire i dati personali da un sito all'altro, per consentire l'accesso ai dati personali da una località estera. In tal caso, il sito che invia i dati personali rimane responsabile della protezione di tali dati personali e della conformità con i trasferimenti di dati al di fuori dello Spazio economico europeo. Tutto il personale deve assicurarsi che il trasferimento dei dati avvenga con mezzi ufficiali e autorizzati. Il personale non è autorizzato a condividere i dati in modo informale utilizzando piattaforme personali come WhatsApp o altri servizi di messaggistica istantanea,

Trasferimenti a terzi

Malvern International trasferirà i dati personali a terzi o ne consentirà l'accesso solo quando avrà la certezza che le informazioni saranno trattate legittimamente e protette in modo appropriato dal destinatario. In caso di trattamento da parte di terzi, Malvern International identificherà innanzitutto se, in base alla legge applicabile, la terza parte è considerata un controllore o un responsabile del trattamento dei dati personali trasferiti.

Nel caso in cui la terza parte sia considerata un responsabile del trattamento dei dati, verrà stipulato un accordo appropriato con il responsabile del trattamento per chiarire le responsabilità di ciascuna parte in relazione ai dati personali trasferiti.

Nel caso in cui la terza parte sia considerata un responsabile del trattamento dei dati, Malvern International cercherà di stipulare un accordo di trattamento adeguato con il responsabile del trattamento dei dati. L'accordo richiederà al responsabile del trattamento di proteggere i dati personali da ulteriori divulgazioni e di trattare i dati personali solo in conformità alle istruzioni di Malvern International. Inoltre, l'accordo richiederà al responsabile del trattamento di implementare misure tecniche e organizzative adeguate per proteggere i dati personali, nonché procedure per la notifica delle violazioni dei dati personali.

Quando Malvern International esternalizza i servizi a una terza parte, si accerterà se la terza parte tratterà i dati personali per suo conto e se l'esternalizzazione comporterà trasferimenti di dati personali da paesi terzi. In entrambi i casi, si assicurerà di includere nell'accordo di outsourcing disposizioni adeguate per tale trattamento e per i trasferimenti da paesi terzi.

Gestione dei reclami

Gli interessati che presentano un reclamo in merito al trattamento dei propri dati personali devono rivolgersi alla casella di posta elettronica per la protezione dei dati. gdpr@malvernplc.com

Segnalazione delle violazioni

Chiunque sospetti che si sia verificata una violazione dei dati personali a causa del furto o dell'esposizione di dati personali deve informare immediatamente il Responsabile della protezione dei dati fornendo una descrizione dell'accaduto. La notifica dell'incidente può essere effettuata via e-mail all'indirizzo gdpr@malvernplc.com

Il Responsabile della protezione dei dati indagherà su tutti gli incidenti segnalati per confermare se si è verificata o meno una violazione dei dati personali. Se viene confermata una violazione dei dati personali, il Responsabile della protezione dei dati seguirà la procedura autorizzata pertinente in base alla criticità e alla quantità dei dati personali coinvolti. In caso di gravi violazioni di dati personali, Malvern International avvierà e presiederà un team di pronto intervento per coordinare e gestire la risposta alla violazione dei dati personali.