1. Panoramica

1.1 OBIETTIVO

La Politica di Gestione delle Richieste dei Soggetti Interessati (DSR) e dei Cookies e del Consenso di Albaugh (di seguito, "la Società") disciplina l'accettazione, la valutazione, la risposta e la registrazione di Albaugh in relazione alle DSR. Le DSR possono essere presentate ad Albaugh in base a diverse Leggi Applicabili, e questa politica è stata creata per regolare il processo di accettazione e risposta a tali richieste nel rispetto delle Leggi Applicabili. Inoltre, questa politica fornisce linee guida su quando è necessario ottenere il consenso, il linguaggio che deve essere utilizzato e come deve essere mantenuta la documentazione.

1.2 AMBITO DI APPLICAZIONE

Questa politica si applica a tutti i membri della forza lavoro di Albaugh, che include lavoratori dipendenti, consulenti. Albaugh richiederà che tutte le terze parti che utilizzano hardware, software, reti, applicazioni, dati, proprietà intellettuale gestiti e di proprietà di Albaugh, nonché tutte le risorse associate, rispettino gli standard legali applicabili. Questa politica si applica ad Albaugh e alle sue Affiliazioni.

2. Definizioni

Leggi Applicabili - Qualsiasi legge, regola o regolamento statale, federale o straniero(a) applicabile al trattamento delle Informazioni Personali.

Responsabile del Trattamento - L'entità che determina le finalità e i mezzi del trattamento delle Informazioni Personali. Il Responsabile del Trattamento può essere indicato come "Azienda" secondo le Leggi Applicabili.

Interessato - Una persona identificata o identificabile a cui si riferiscono le Informazioni Personali.

Richiesta del Soggetto Interessato (“DSR”) - Il mezzo attraverso il quale i soggetti interessati richiedono che l'organizzazione divulghi quali Informazioni Personali detiene su di loro e come l'organizzazione le utilizza o intende utilizzarle.

Informazioni Personali (“PI”) - Qualsiasi informazione relativa a una persona naturale o a un 'Soggetto Interessato', che può essere utilizzata per identificare direttamente o indirettamente la persona. Le Informazioni Personali possono includere informazioni indicate come “Dati Personali” o “Informazioni personali identificabili” (PII) in alcune giurisdizioni.

Trattamento - Qualsiasi operazione o insieme di operazioni che viene effettuato sulle Informazioni Personali, sia automaticamente che non, come raccolta, registrazione, organizzazione, conservazione, adattamento o modifica, recupero, consultazione, divulgazione tramite trasmissione, diffusione o altro tipo di messa a disposizione, allineamento o combinazione, blocco, cancellazione o distruzione.

Responsabile del Trattamento - Un'entità che elabora Informazioni Personali per conto del Responsabile del Trattamento. Il Responsabile del Trattamento può essere indicato come "Fornitore di Servizi" secondo le Leggi Applicabili.

3. Richieste del Soggetto Interessato

3.1 RICHIESTE IN AMBITO

A seconda della Legge Applicabile nel luogo di residenza dei soggetti interessati (ad esempio, clienti, consumatori, dipendenti, ecc.), i soggetti interessati possono affermare i seguenti diritti relativi alle PI:

• Accesso e Portabilità: Il diritto di richiedere che Albaugh fornisca un rapporto sulle PI detenute dall'azienda. Il rapporto potrebbe includere:
• Le categorie di PI che Albaugh ha raccolto su quel consumatore;
• Le categorie di fonti da cui è stata raccolta la PI;
• Lo scopo commerciale o aziendale della raccolta o della vendita di PI;
• Le categorie di terze parti con cui Albaugh condivide la PI;
• I particolari pezzi di PI che Albaugh ha raccolto su quel consumatore.
• Retifica: Il diritto di richiedere che Albaugh rettifichi le PI incorrette o incomplete.
• Cancellazione: Il diritto di richiedere che Albaugh elimini o cancelli le PI.
• Ad esempio, le richieste possono essere negate se è necessario conservare le PI in determinate circostanze, inclusi, ma non limitati a:
• adempiere a un obbligo legale;
• stabilire, esercitare o difendere diritti legali; o
• svolgere un compito nell'interesse pubblico o nell'esercizio di un'autorità ufficiale;
• Ritiro del consenso: Il diritto di ritirare il consenso al trattamento delle PI da parte di Albaugh (vedi sezione “Cookies e Gestione del Consenso” di seguito).
• Comunicazioni di marketing: Il diritto di optare per non ricevere comunicazioni di marketing da Albaugh.
• Obiezione: Il diritto per i Soggetti Interessati di opporsi al trattamento delle PI che li riguarda.
• Limitazione del trattamento: Il diritto di limitare o opporsi al trattamento o al trasferimento delle PI da parte di Albaugh in determinate circostanze.
• Decisioni individuali automatizzate: Il diritto di non essere soggetti a decisioni basate esclusivamente sul trattamento automatizzato delle PI, compreso il profilaggio.
• Non discriminazione: Il diritto di non subire discriminazioni per aver esercitato i diritti sopra indicati. Albaugh non intraprenderà azioni punitive o discriminatorie nei confronti di alcun consumatore che scelga di esercitare uno qualsiasi dei diritti sopra elencati. Di conseguenza, Albaugh non può negare ai singoli i suoi servizi e prodotti. La Legge Applicabile potrebbe vietare pratiche che siano usuraie, coercitive o ingiuste in tal senso.

3.2 REQUISITI DSR

Indipendentemente dalla normativa sotto la quale viene effettuata una DSR, esistono elementi comuni del programma di risposta DSR di Albaugh; ove applicabile per legge, questi devono essere attuati da Albaugh come segue: 

Accettazione

Il processo mediante il quale le DSR possono essere presentate dalle persone fisiche ad Albaugh è delineato e fornito alle persone attraverso le Avvisi sulla Privacy pubblicati da Albaugh.

Documentazione e Monitoraggio delle Richieste Ricevute

Albaugh garantirà che tutte le DSR ricevute siano documentate per scopi di riconoscimento interno della loro ricezione. Albaugh garantirà inoltre che lo stato di completamento sia poi monitorato (ovvero, dalla ricezione al rifiuto o al completamento) per ciascuna richiesta al fine di garantire che venga emessa una risposta soddisfacente in linea con i requisiti normativi e le scadenze.

Formazione e Consapevolezza

Albaugh assicura che tutte le persone responsabili della gestione delle DSR in entrata e delle richieste esterne (ad esempio, richieste che richiedono la cooperazione di terzi) siano informate di tutti i requisiti normativi applicabili e delle procedure interne di Albaugh.

Tempistiche di Risposta e di Riconoscimento

Albaugh risponderà alle richieste in conformità alle tempistiche normative pertinenti. Ciò potrebbe includere il riconoscimento della ricezione delle richieste prima che venga presa una determinazione sull'accettazione o il rifiuto della richiesta e prima che la richiesta venga soddisfatta.

Valutazione della Base Legale

Come parte del processo di risposta DSR, Albaugh accetterà o rifiuterà le DSR in base a una valutazione della base legale della richiesta ai sensi delle Leggi Applicabili. In caso di rifiuto di una DSR,

Albaugh comunicherà al soggetto interessato il motivo per cui non vi è un obbligo legale di completare la richiesta.

Verifica dell'Identità

La determinazione della base legale della richiesta e ogni risposta successiva al richiedente includerà, come ritenuto necessario in conformità con la legge applicabile, una procedura di verifica dell'identità prima che venga divulgata qualsiasi informazione.

Valutazione Legale e Verifica dell'Identità delle Richieste di Terzi

Quando un soggetto interessato utilizza un agente per presentare una DSR, Albaugh potrebbe richiedere che il soggetto interessato segua passaggi aggiuntivi per mantenere la conformità.

Rifiuto di una Richiesta

Albaugh si assicura che tutte le informazioni relative alla decisione di respingere la richiesta e che sono richieste in base alle Leggi Applicabili, siano fornite alla parte richiedente e siano conservate in conformità con i requisiti normativi. Le circostanze in cui Albaugh potrebbe respingere la richiesta includono, ma non si limitano a, l'incapacità di convalidare l'identità del Soggetto Interessato e altre limitazioni riguardanti la conformità con altre Leggi Applicabili (come leggi dell'Unione Europea o degli Stati membri, leggi federali degli Stati Uniti, ecc.).

Soddisfazione della Richiesta

Albaugh, al fine di garantire il completamento del processo DSR, dispone di politiche e procedure che richiedono che la segnalazione (o la modifica appropriata) delle PI sia effettuata nell'organizzazione. Albaugh garantisce inoltre che i suoi sistemi e eventuali terze parti applicabili eseguano correttamente e soddisfino gli obblighi del processo DSR approvato da Albaugh.

Antidiscriminazione

Albaugh non discrimina le persone che esercitano i diritti loro garantiti dalle normative applicabili in nessuna circostanza. Questa non discriminazione include, ma non si limita a, non negare beni o servizi al richiedente; non addebitare prezzi o tariffe diverse per beni o servizi, inclusi sconti o altri benefici o infliggere penalità, e non fornire un livello o una qualità diversi di beni o servizi ai singoli richiedenti, né suggerire che gli individui rice

4. Cookie e Consenso

4.1 ASPETTI REGOLAMENTARI

Il termine "consenso" appare in quasi tutte le normative sulla protezione dei dati in vigore in tutto il mondo. La maggior parte dei paesi, ad eccezione degli Stati Uniti, richiede il consenso "opt-in" liberamente dato dal soggetto dei dati da cui Albaugh sta raccogliendo informazioni. Le Leggi Applicabili definiscono tipicamente il "consenso" come "qualsiasi indicazione liberamente data, specifica, informata e non equivoca dei desideri del Soggetto Interessato mediante la quale egli o lei, con una dichiarazione o con un'azione chiaramente positiva, manifesta il consenso al trattamento dei Dati Personali che lo riguardano".

Le Leggi Applicabili dettano le basi legali che un'organizzazione può invocare quando raccoglie e elabora i dati personali; ciò include il "consenso". Albaugh deve garantire che se dichiara il "consenso" come base legale per una particolare attività di trattamento dei dati, il ragionamento sia coerente durante tutto il processo e non possa essere cambiato in un'altra base legale in seguito (tuttavia, possono essere citate inizialmente più basi legali).

Le Leggi Applicabili forniscono le seguenti condizioni riguardanti il "consenso":

Liberamente Concesso:

• Il soddisfacimento di una disposizione o servizio non deve richiedere il consenso per elaborare i dati personali che non sono necessari per soddisfare quella particolare disposizione o servizio.
• Deve essere offerta una scelta genuina o libera al Soggetto dei Dati.

Specifico:

• Se il consenso è acquisito nel contesto di una dichiarazione scritta che riguarda altre questioni, la sezione di consenso deve essere chiaramente distinguibile dal resto.
• I Soggetti dei Dati devono acconsentire a ciascuna attività di trattamento dei dati separatamente.

Informato:

• I Soggetti dei Dati devono essere informati, in linguaggio semplice, su chi sta elaborando i loro dati, quali attività di elaborazione si svolgeranno e lo scopo dell'elaborazione dei dati; ciò deve essere espresso prima che il consenso venga inizialmente acquisito.

Non Equivoco:

• Il consenso del Soggetto dei Dati al trattamento dei suoi dati personali deve essere dimostrabile.
• Il silenzio o l'inattività non sarebbero accettabili, un Soggetto dei Dati deve consapevolmente "optare" selezionando chiaramente una casella, scegliendo un'impostazione tecnica o fornendo una dichiarazione chiara di consenso.

Può Essere Revocato:

• Il Soggetto dei Dati deve sempre avere il diritto di revocare facilmente il proprio consenso (cioè, opt-out) in qualsiasi momento; questo diritto deve essere espresso prima che il consenso venga inizialmente acquisito.

4.2 "VENDITA" DI INFORMAZIONI PERSONALI

La "vendita" si riferisce alla cessione, all'affitto, alla divulgazione, alla diffusione, alla messa a disposizione, al trasferimento o alla comunicazione in altro modo, oralmente, per iscritto, o tramite mezzi elettronici o altri mezzi di PI che il consumatore non ha intenzionalmente diretto a essere condivisa con un terzo. I trasferimenti di PI a terzi, indipendentemente da considerazioni monetarie, possono essere classificati come "vendita" ai sensi delle Leggi Applicabili. Pertanto, una "vendita" di informazioni personali richiede il consenso.

4.2.1 Regola del Non Vendere

In base a determinate Leggi Applicabili, i Consumatori hanno il diritto di dire alle imprese di non "vendere" le loro PI. I requisiti specifici della Regola del Non Vendere includono quanto segue:

• Tutti i siti web devono avere una pagina chiamata "Non vendere le mie informazioni personali" che consente ai consumatori di optare per l'"opt-out" della "vendita" delle loro PI.
• Il link alla pagina "Non vendere le mie informazioni personali" deve essere presente sulla homepage del sito web (è anche una pratica migliore rendere il link visibile su tutte le pagine web).
• I consumatori devono poter fare "opt-out" senza creare un account sul sito web.
• La privacy policy del sito web deve includere un linguaggio che descrive i diritti dei consumatori e un link alla pagina "Non vendere le mie informazioni personali".
• Dopo che un consumatore fa "opt-out", non può essere sollecitato a far "vendere" le sue PI per 12 mesi.

Albaugh non si impegna nella vendita di PI. Se un qualsiasi sito web di Albaugh raccoglie PI da vendere a un terzo, il sito web deve includere una pagina "Non vendere le mie informazioni personali".

4.2.2 Minori e Vendita di Informazioni Personali

Albaugh non deve vendere consapevolmente la PI dei consumatori di età inferiore ai 16 anni. I consumatori tra i 13 e i 16 anni o i genitori/tutori (per i consumatori sotto i 13 anni) devono specificamente "opt-in" o dare "consenso" alla "vendita" delle loro (o dei loro figli) PI.

I servizi e i prodotti di Albaugh non sono destinati a individui di età inferiore ai diciotto (18) anni. Albaugh non raccoglie e utilizza consapevolmente PI relative a minori.

4.3 REQUISITI DELLA POLITICA

Albaugh è tenuta ad ottenere il consenso dai Soggetti Interessati in conformità alle Leggi Applicabili. Quando il consenso è richiesto, devono essere presenti i seguenti elementi:

• Capacità di dimostrare che il Soggetto Interessato ha fornito un consenso esplicito al trattamento delle proprie PI.
• Capacità di dimostrare che il Soggetto Interessato ha acconsentito al trattamento delle proprie PI per uno o più scopi specifici.
• Il consenso è facilmente distinguibile da qualsiasi altra questione relativa al Soggetto Interessato.
• Il consenso è in una forma intelligibile ed facilmente accessibile, utilizzando un linguaggio chiaro e semplice.
• Il Soggetto Interessato è stato informato del suo diritto di revocare il consenso prima di averlo dato.
• Il trattamento dei dati è limitato al contratto vincolato dal consenso esplicito fornito dal Soggetto Interessato.
• I registri dei consensi sono conservati, ove applicabile, in conformità con le politiche interne di conservazione dei dati e gli obblighi normativi.

Inoltre, il responsabile dell'IT regionale e il responsabile della conformità regionale verificheranno le procedure di consenso di Albaugh rispetto a eventuali ulteriori leggi e regolamenti locali applicabili.

4.4 ECCEZIONI

Ogni eccezione alla politica deve essere approvata dal Consiglio Generale.

4.5 APPLICAZIONE DELLA POLITICA

Qualsiasi dipendente che violi questa politica potrebbe essere soggetto a provvedimenti disciplinari, fino al licenziamento.

5. Cronologia della revisione del documento e approvazione