Data Protection: l'approccio al GDPR

Il 25 maggio 2018 è entrato in vigore il regolamento generale sulla protezione dei dati: a questo riguardo GPTW tiene a sottolineare il nostro approccio di tutela dei vostri dati.

1. Introduzione

Nella conduzione delle indagini sui dipendenti, l'anonimato e la riservatezza sono i prerequisiti più importanti per i dipendenti che forniscono un loro feedback onesto nei confronti della propria organizzazione. Pertanto, l’attuazione di misure affidabili per la protezione dei dati e la sicurezza dei dati ha un valore fondamentale per Great Place to Work® Institute Italia s.r.l.  (da qui in avanti: GPTW).
Di seguito, viene presentato il processo di GPTW per garantire la protezione dei dati e l'anonimato di tutti i partecipanti al sondaggio.
L’avvio di un sondaggio tra i dipendenti, per cui un'azienda fornisce a GPTW i contatti dei propri dipendenti, necessita di un accordo su come gestire l'elaborazione dei dati e la sicurezza dei dati [in conformità con l'articolo 28 del Regolamento generale sulla protezione dei dati (di seguito: GDPR)]. Nel caso specifico, è richiesto un accordo sulla protezione dei dati tra il cliente e GPTW. A tale scopo.

2. Condurre l’analisi di clima di Great Place to Work® tra i collaboratori

Offriamo diversi modi per condurre un’indagine, o sondaggio, o survey tra i collaboratori dei propri clienti. Ogni azienda decide autonomamente quale tipo di implementazione è la più appropriata.

2.1. Indagine on-line

• Quando si conduce un sondaggio online, è obbligatorio un accordo su come gestire l'elaborazione e la sicurezza dei dati tra l'azienda che somministra un sondaggio di Great Place to Work® ai propri impiegati e GPTW.
• Prima di iniziare l’indagine, la società fornisce a GPTW gli indirizzi e-mail corrispondenti ai dipendenti selezionati per partecipare. Facoltativamente, gli indirizzi e-mail sono collegati alle informazioni in base alle unità organizzative. Pertanto, i risultati ottenuti possono essere valutati sulla base di unità organizzative collegate.
• GPTW invita i dipendenti a partecipare al sondaggio tramite e-mail. Queste e-mail contengono un collegamento personalizzato con il quale i dipendenti vengono indirizzati al questionario online. La società e ciascun singolo dipendente devono, rispettivamente, garantire che le e-mail di invito non vengano inoltrate all'interno dell'azienda o a terzi.
• Il questionario online viene elaborato e i dati forniti vengono archiviati direttamente su server in uso da The Trust Lab Limited che si trova in Irlanda. In conformità con l'articolo 28 del GDPR, esiste un accordo su come gestire l'elaborazione e la sicurezza dei dati. Tutti i questionari online sono modulabili e privi di barriere per i dispositivi mobili.
• Il sito Web del questionario online è crittografato. In particolare, ciò significa che la trasmissione delle risposte al server di sondaggio è crittografata. La crittografia supporta sia la crittografia standard a 128 bit che quella a 256 bit ad alto livello. Questi sono standard di sicurezza che corrispondono alla crittografia utilizzata nel banking online. L'intercettazione o la registrazione delle risposte dei dipendenti è quasi impossibile.
• Dopo il completamento dell'indagine e prima di ulteriori elaborazioni e rapporti, i dati dell'indagine sono separati dai dati personali del partecipante (ad es. Nome, indirizzo e-mail). Questa procedura garantisce che non sia possibile trarre conclusioni sulle risposte fornite dai singoli partecipanti.
• In ogni caso, l'invio o l'utilizzo da parte di terzi dei dati personali sono severamente vietati. Tutti i dati personali vengono cancellati di default 365 giorni dopo il termine dell’indagine. È possibile concordare un periodo di cancellazione più breve ovvero più lungo.

2.2. Questionari cartacei

• Circa una settimana prima dell'inizio del sondaggio, GPTW invia il numero desiderato di questionari carta-matita e buste stampate e.
• I questionari cartacei non sono personalizzati. Questi questionari contengono semplicemente un nome aziendale stampato e, se applicabile, un'unità organizzativa aggiuntiva e / o linea di business e / o Paese - ciascuno in combinazione con numeri corrispondenti. Pertanto, non è possibile trarre conclusioni sui singoli partecipanti, nemmeno sulla base dei numeri stampati e / o dei codici QR.
• Generalmente, i documenti di indagine sono distribuiti a tutti i dipendenti invitati insieme a una lettera di accompagnamento corrispondente.
• I questionari cartacei verranno restituiti in forma anonima a GPTW utilizzando buste stampate e preaffrancate che saranno fornite da GPTW.
• In alternativa, i questionari cartacei possono essere raccolti direttamente dal cliente. A tal fine, buste sigillate vengono inserite in contenitori o urne che saranno forniti dalla società. In questo caso, l'azienda deve aderire a determinati standard per garantire la partecipazione anonima al sondaggio e deve documentare l’aderenza alla precisa metodologia di GPTW (ad esempio, sigillare urne, "monitoraggio" di urne e restituzione dei questionari da parte di persone di fiducia dedicate).

2.3. Sondaggio tramite credenziali di accesso (log-in e password)

• Un’indagine tramite credenziali è un sondaggio online che non richiede indirizzi e-mail individuali. I dipendenti invitati hanno accesso al sondaggio tramite un codice di accesso individuale, che può essere inserito accedendo a questi indirizzi internet: www.onemanyany.com, www.gptwsurveys.com. E’ comunque sempre possibile personalizzare l’indirizzo di accesso alla survey da parte del cliente.

• Ogni dipendente invitato riceve il link alla surey e il suo codice di accesso individuale. Questi possono essere ricevuti in busta chiusa o scelti autonomamente da un’urna in modo casuale.
• Di solito, le buste sigillate sono non codificate o personalizzate. Il campo dell’indirizzo contiene solo il nome stampato della società e, se applicabile, un'unità organizzativa specifica, l'industria o il Paese. Pertanto, non è possibile trarre conclusioni sulle singole persone (nemmeno con i numeri corrispondenti).
• Come regola generale, le credenziali di accesso vengono distribuite dalle organizzazioni clienti ai loro dipendenti attraverso sessioni di ricezione delle medesime. La compilazione è invece possibile, in momenti diversi, su totem messi a disposizione dell’azienda o su computer/smartphone personali.

3. Analisi dei dati provenienti dall'indagine Great Place to Work®

Il questionario di analisi di clima per i dipendenti di Great Place to Work® contiene:

  • Domande chiuse: valutazione di affermazioni come "I dipendenti qui sono pagati in modo appropriato" sulla base di diverse opzioni di risposta ("quasi sempre vero", "spesso vero", ecc.)

  • Domande aperte: campi di testo liberi

  • Domande demografiche: dichiarazione di appartenenza a determinati gruppi di età, sesso, ecc.

La risposta a ciascuna delle domande del sondaggio è volontaria. La valutazione finale e la reportistica si basano esclusivamente sulla raccolta di dati anonimi ("dati grezzi") che non contengono dati personali.
Per i sondaggi online, è generalmente possibile combinare successivamente le risposte fornite con i dati personali (nome, indirizzo e-mail) fino all'eliminazione dei dati personali, ovvero 365 giorni dopo il completamento del sondaggio. Tuttavia, questa opzione viene utilizzata solo in casi eccezionali (ad esempio, se richiesto qualità del processo di valutazione) ed è generalmente responsabilità del Operation Manager di GPTW coinvolto. Lo stesso vale per i sondaggi tramite credenziali di accesso per i quali vengono utilizzate user e password univoche.
Nessun dato personale (ad es. Nome, indirizzo, indirizzo e-mail) è disponibile per il sondaggio cartaceo. Una volta ricevuti da GPTW, i questionari cartacei vengono scansionati o elaborati mediante digitazione manuale controllata. La raccolta dei dati viene effettuata da GPTW o da un fornitore di servizi esterno con il quale è stato stipulato un accordo su come gestire l'elaborazione dei dati e la sicurezza dei dati. Viene generato un set di dati da utilizzare per le analisi statistiche. I questionari vengono distrutti dopo 12 mesi di conservazione. Se il cliente desidera che i questionari originali siano mantenuti più a lungo, ad esempio per le indagini di follow-up, è necessaria una richiesta scritta e firmata che sarà archiviata da GPTW.
Per tutte le relazioni di valutazione e dei risultati, i risultati dell'indagine dei dipendenti sono presentati esclusivamente in forma aggregata (domande chiuse e demografiche). I risultati non contengono risposte riconoscibili date da singole persone. A tale scopo, viene definito un limite di aggregazione, ovvero un numero minimo di rispondenti, al di sotto del quale non vengono visualizzati risultati. Il valore predefinito è un limite di cinque risposte (dipendenti). Eventuali variazioni di tali limiti di valutazione possono essere regolati nell'ambito di un accordo individuale e solo in aumento.
Questo limite di valutazione si osserva anche se per una valutazione vengono combinate diverse caratteristiche demografiche o organizzative, ad esempio i risultati per tutti gli uomini di una certa fascia d'età o per tutti i dirigenti di una determinata divisione aziendale. Al fine di raggiungere un’immediata sicurezza ancora maggiore tra i rispondenti, le caratteristiche demografiche combinate possono essere completamente escluse dall'analisi dei dati.
Per impostazione predefinita, le risposte date alle domande aperte vengono riportate alla lettera, cioè senza anonimizzazione di nomi o altri riferimenti che consentono l’individuazione persone. Il questionario contiene un "avviso" molto chiaro che richiama l'attenzione del partecipante al sondaggio su questo fatto e inoltre istruisce gli studenti a non dare nomi o descrivere fatti in modo tale da poter trarre conclusioni su altri individui. E’ sempre possibile richiedere un'anonimizzazione delle domande aperte  come servizio aggiuntivo.

È possibile raggruppare le risposte a domande aperte in base a singole unità organizzative o informazioni demografiche se almeno cinque persone di tali unità organizzative o gruppi demografici hanno preso parte al sondaggio.
I report vengono caricati nel portale di download GPTW o mandati via email al responsabile di progetto dell’azienda cliente. L'accesso al portale è protetto da un nome utente e una password. Dopo il completamento di tutte le analisi dei dati, le credenziali per accedere al portale di download GPTW verrà inviato via e-mail. Il link alla pagina di download verrà inviato in una e-mail separata.
GPTW non fornisce alcun "dato grezzo" con il quale l'azienda può effettuare le proprie valutazioni e quindi eludere il limite di valutazione previsto di almeno cinque persone. Se una società desidera avere accesso ai dati grezzi, questa procedura deve essere regolata in un accordo separato e i collaboratori dovranno essere avvertiti che i dati dei singoli potranno essere visualizzati dall’azienda committente.
I dati grezzi anonimizzati del sondaggio tra dipendenti di Great Place to Work® possono essere utilizzati ed elaborati per analisi comparative e pubblicazioni da GPTW Italia, da organizzazioni partner nella rete mondiale GPTW e nel contesto di collaborazioni di ricerca con università e altri istituti di ricerca.

4. Luoghi, tempi di stoccaggio e diritti di accesso

Dati personali, dati di sondaggi anonimi ("dati grezzi") e report sui risultati sono memorizzati nelle seguenti posizioni:

  • Server di GPTW Italia, Milano, Italia, via Gaspare Gozzi, 5

  • Server dei sondaggi di The Trust Lab Limited: The Telehouse London (UK) Data Center (fornitore di servizi)

  • Bear Service srl in via Gaudenzio Ferrari 21 a Saronno

Il salvataggio e il trattamento dei dati personali ha luogo esclusivamente nell'Unione Europea ed è, come da contratto firmato con le organizzazioni clienti, valevole per 365 giorni dal momento di chiusura della survey di clima.

Se non ci sono accordi diversi tra le parti, al termine dei 365 giorni non è più possibile risalire a nessun dato personale riguardante i sondaggi di clima.
Il fornitore di servizi IT Trust Lab Limited offre i seguenti servizi per GPTW:

  • Hosting di sondaggi online,

  • sviluppo e hosting di strumenti per la valutazione dei risultati del sondaggio e la produzione di risultati,

  •  fornitura di report sui risultati per i nostri clienti tramite un portale di download.

La società intrattiene rapporti commerciali con The Trust Lab Limited da oltre dieci anni. La cooperazione è regolata, tra le altre cose, da un accordo su come gestire l'elaborazione dei dati e la sicurezza dei dati.
L'accesso ai dati personali – di solitamente il nome, l'indirizzo e-mail e l'incarico organizzativo dei dipendenti - è limitato a una cerchia di non più di 4 Operation Manager e 5 Project Manager presso GPTW Italia. Questi Operation e Project Manager sono incaricati dal Responsabile del trattamento dei dati e coordinati, per quanto attiene alla gestione dei dati personali dal DPO.

Inoltre, gli amministratori di sistema di GPTW e i dipendenti autorizzati dei nostri fornitore di servizi The Trust Lab Limited e Bear Service srl hanno accesso a questi dati.

5. Infrastruttura IT e standard di sicurezza di Great Place to Work® Italia

  • Il server si trova nell'edificio di GPTW Institute Italia srl ​​a Milano, Italia

  •  L'accesso è concesso solo per gli amministratori e la direzione

  • Componenti dell'infrastruttura per la maggior parte ridondanti e sistemi server (protetti da UPS con protezione da sovratensione)

  • Concetto di backup multilivello con separazione logica e spaziale

  • Backup dei server di Milano son tenuti su cloud presso Bear Service srl in via Gaudenzio Ferrari 21 a Saronno.

  • Gestione centralizzata aggiornata di AV e patch

  • Sistemi hosted per software di collaborazione (Exchange, SharePoint)

  • Crittografia allo stato dell'arte (trasmissione dati, dispositivi mobili, Wifi, VPN, e-mail)

  • Principio del privilegio minimo (autorizzazione e concetto di ruolo, separazione del sistema e dati)

  • Viene utilizzato solo il software supportato dal produttore

  • Dispositivi con un servizio hardware valido da parte del produttore (in parte per notebook in tutto il mondo)

6. Infrastruttura IT e standard di sicurezza di TRUST LAB - ONEMAYANY, Irlanda

  • I server si trovano a Londra, Regno Unito (nel momento in cui la Brexit diventerà operativa, il server si troverà in Polonia, all'interno dell'Unione Europea)

  •  I server sono protetti da un firewall

  •  L'accesso alla stanza del server è possibile solo per gli amministratori selezionati

  • Accesso al sondaggio online e ai risultati (download) via HTTP o HTTPS

  • I project manager GPTW possono accedere solo agli strumenti di progettazione e reporting del questionario tramite HTTPS

  • Siti web del sondaggio e dei link di test: http://oma0.com , http://www.onemanyany.com , https://www.onemanyany.com

  • Indirizzo IP del sito Web: 212.124.202.98

  • Le e-mail di invito vengono solitamente inviate dal mittente: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. dal server di posta elettronica con indirizzo IP 212.124.202.102 (il mittente può essere personalizzato dal controllore di dati)

  • Oggetto e-mail usuale: Best Workplaces Italia 20XX - Indagine Trust Index © (l'oggetto dell'email può essere personalizzato acquistare il controller dei dati)

  • Gli amministratori di sistema e gli amministratori di database di One Many Any (Trust Lab), di Bear Service s.r.l. e di GPTW Italia possono accedere al server tramite VPN. 

7. Il  Culture Audit© di Great Place to Work®

Il Culture Audit© di Great Place to Work® è un questionario di politiche e programmi che le aziende implementano per dare forma alla loro cultura organizzativa. Le domande del Culture Audit© sono basate su nove aree selezionate di lavoro sulle risorse umane e comprendono tre parti: (i) domande generali sulla società, (ii) una descrizione dettagliata delle politiche organizzative e dei programmi e (iii) ulteriori dati statistici su argomenti specifici. 

Con l'aiuto di Culture Audit ©, le aziende ricevono feedback sulla qualità delle loro politiche HR e programmi individuali rispetto a datori di lavoro eccellenti. Oltre ai risultati del sondaggio tra i dipendenti di Great Place to Work®, il Culture Audit© è un criterio di valutazione fondamentale nel processo di selezione dei "I migliori datori di lavoro italiani" e dei migliori luoghi di lavoro per caratteristiche specifiche o territoriali (donne, millennials, Eueropei, mondiali ecc.).
Solo i seguenti dati personali sono rilevanti per il Culture Audit©:

  • Dati di contatto di una persona che elabora l'audit, i dati di accesso individuali per questa persona a un questionario online

  • Opzionale: contattare i dati di un'altra persona per ulteriori informazioni

  • Nomi dell'attuale gestione aziendale e dell'attuale gestione del personale.

Il processo di Culture Audit© è condotto come un sondaggio offline. Nell'ambito di questo questionario, ciascuna società partecipante fornisce dati statistici e presenta le proprie policy e programmi in forma di testo. È anche possibile caricare/inviare materiali relativi a singoli policy e programmi via e-mail o tramite gli usuali strumenti di condivisione (Dropbox / Onedrive / Drive, ecc.).
Tutti i dati aziendali memorizzati vengono valutati da un team di valutatori presso GPTW. In linea di principio, solo il team di valutazione o i dipendenti di GPTW hanno accesso ai dati.
I dati di Great Place to Work® Culture Audit© possono essere utilizzati ed elaborati per analisi comparative e pubblicazioni di GPTW Italia e organizzazioni partner nella rete mondiale GPTW, nonché nel contesto di collaborazioni di ricerca con Università e altri istituti di ricerca. La riservatezza dei dati memorizzati è protetta in ogni momento. La pubblicazione di informazioni parte del Culture Audit©.
Né i dati sensibili né i dati personali vengono elaborati o archiviati nei Culture Audit©.

8. Trasferimento internazionale di dati

GPTW è un business globale. Per offrire i nostri servizi, potremmo aver bisogno di trasferire dati anonimi o anonimizzati tra diversi Paesi, compresi gli Stati Uniti, dove si trova la nostra sede principale. Quando trasferiamo dati in altri Paesi, proteggeremo tali informazioni come descritto in questo documento e garantiamo ai clienti e al responsabile del trattamento che nessun dato personale verrà trasferito al di fuori del Paese in cui è stato raccolto. I dati trasferiti in altri Paesi sono anonimi o resi anonimi prima del trasferimento. Il trasferimento dei dati è a scopo di ricerca e per la pubblicazione delle classifiche internazionali Best Workplaces ™ di Great Place to Work®. 

GPTW Inc. rispetta i requisiti legali applicabili fornendo adeguate garanzie per il trasferimento di informazioni verso paesi al di fuori dell'Area Economica Europea ("SEE") o Svizzera.
GPTW Incorporated è conforme al Privacy Shield Framework UE-USA e allo Swiss Privacy Privacy Shield Framework, come stabilito dal Dipartimento del Commercio degli Stati Uniti in merito alla raccolta, uso e conservazione di informazioni personali trasferite dall'Unione Europea e dalla Svizzera alla Stati Uniti. GPTW ha certificato che aderisce ai Principi di Privacy Shield. In caso di conflitto tra i termini della presente politica sulla privacy e i principi dello scudo per la privacy, i principi dello scudo per la privacy regoleranno. Per ulteriori informazioni sul programma Privacy Shield e per visualizzare la nostra certificazione, consultare https://www.privacyshield.gov .
In ottemperanza ai dettami dei Privacy Shield Principles, GPTW si impegna a risolvere le controversie relative alla nostra raccolta o all'utilizzo dei vostri dati personali. I cittadini UE e svizzeri che avessero domande o reclami riguardanti la nostra politica di Privacy Shield, dovranno contattare preventivamente GPTW all'indirizzo: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. ; o scrivici a:
Responsabile della privacy globale Great Place To Work® Institute, Inc. 222 Kearny Street, Suite 800, San Francis-co, CA 94108
GPTW si è inoltre impegnata a cooperare con il panel istituito dalle autorità di protezione dei dati dell'UE (DPA) e dal Commissario Federale Svizzero per la protezione dei dati e l'informazione (FDPIC) in merito alle denunce irrisolte dei Privacy Shield Principles  riguardanti i dati delle risorse umane trasferiti dall'UE e dalla Svizzera nel contesto del rapporto di lavoro.
GPTW riceve ed elabora le informazioni personali provenienti da o relative agli Affiliati GPTW e ad altre entità legalmente separate in un contesto di fornitura di prodotti, servizi e supporto a tali entità. Le informazioni personali ricevute da GPTW saranno trattate in conformità con le loro istruzioni o in conformità alle disposizioni contrattuali di GPTW con loro coerenti con i requisiti dei Privacy Shield Principles. GPTW agisce come data processor rispetto a queste informazioni.

9. Nomina del DPO

Il DPO (Data Processor Officer) scelto da Great Place to Work Italia s.r.l. per la sua estesa esperienza sia con GPTW sia come gestore di dati di terzi, ha i seguenti compiti:

a)      informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR;

b)      sorvegliare l'osservanza del GDPR, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c)      fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento;

d)      cooperare con l'autorità garante e fungere da punto di contatto per questioni connesse al trattamento dei dati personali,

e)      al DPO è possibile chiedere la cancellazione dei propri dati personali scrivendo al seguente indirizzo: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. . Il DPO si adopererà nel minor tempo possibile alla cancellazione di ogni riferimento personale e in ogni caso non andrà oltre i limiti di legge previsti in il 30 giorni dalla richiesta.

 

Nell'eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo.

 

IL DPO è Roberto Donno

Great Place to Work Institute Italia s.r.l.,
Via Gaspare Gozzi, 5, 20129, Milano
tel. +39 02 36768650
mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

 

 

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito.

Se continui ad utilizzare questo sito acconsenti all'utilizzo dei cookie e ai termini indicati nella Privacy Policy, in rispetto della normativa sul GDPR Per saperne di piu'

Approvo