Dichiarazione sulla protezione dei dati del CRB
1. Protezione dei dati presso il CRB
La promozione della sostenibilità e, più in generale, della fiducia nel settore della costruzione è, dal punto di vista strategico, l'obiettivo principale delle attività del CRB. Pertanto, consideriamo il comporta-mento conforme alla protezione dei dati come un importante presupposto nei confronti di tutti i gruppi di riferimento e lo applichiamo di conseguenza. Nel rilevamento e nel trattamento dei dati personali ci atteniamo alle disposizioni della Legge federale sulla protezione dei dati (LPD) e proteggiamo i relativi dati mediante l'adozione di provvedimenti adeguati. In particolare, sulla protezione dei dati valgono le disposizioni sottoelencate, che rimangono in vigore anche oltre la data di un'eventuale cessazione del rapporto d'affari con il CRB.
2. Rilevamento dei dati personali
2.1 Scopi di carattere generale del rilevamento dei dati personali
I dati personali vengono rilevati, elaborati e salvati solo nella misura in cui questi siano necessari per la fornitura di prestazioni di servizi, per la sicurezza di operazioni e infrastrutture, per la fatturazione e per lo sviluppo e la cura dei rapporti di clientela, in particolare per garantire un'elevata e costantemente migliorata qualità delle prestazioni di servizio. Ciò include anche l'elaborazione per soddisfare i requisiti giuridici. Inoltre, vengono trattati anche i dati personali dei clienti per comunicare con loro, per rispondere alle richieste e per inviare loro newsletter, informazioni, inviti a eventi, corsi, conferenze o convegni e, se necessario, per documentare quanto sopra elencato.
2.2 Dati rilevati
I dati dei clienti e i dati per la gestione dei mandati, i dati dei mandanti, i dati di prestazione e di fatturazione nonché le informazioni supplementari (dati menzionati al punto 2.1), sono rilevati nel sistema ERP di CRB (Enterprise Resource Planning System). In particolare, il CRB utilizza una soluzione cloud a questo scopo, commercializzata con il nome di SAP Business by Design (ByD). Il sistema ERB del CRB permette di rilevare i seguenti dati personali, in modo più o meno completo a seconda dei casi:
Numero cliente, nome cliente (nome e cognome), nome aggiuntivo se necessario, numero d’identificazione dell'impresa IDI, forma giuridica, codice territorio, numero di collaboratori, gruppo clienti, settore, stato di socio, abbonamento per il Bulletin CRB, numero di telefono e fax, sito web, indirizzo e-mail, lingua, via e n., località, NPA, paese e le eventuali indicazioni per indirizzo di fatturazione diverso.
Inoltre, se necessario, vengono elencate le persone di contatto per ogni numero di cliente, per le quali, oltre alle informazioni di cui sopra, viene indicato: genere, data di nascita, stato civile, tipo di rapporto con il CRB (p.es. attivo o appartenenza a gruppi e campagne di indirizzo), titolo accademico, indirizzo privato (con gli stessi dettagli degli indirizzi aziendali di cui sopra), VIP (p.es. direttore, presidente del comitato, membro del comitato). Nonché le eventuali indicazioni relative alla persona di contatto, l'azienda, eventuali collegamenti trasversali e ulteriori informazioni da registri pubblici, eventuali perso-ne assegnate e contenuti delle richieste, ecc.
Tutti i dati di cui sopra possono essere impostati come attivi, obsoleti, bloccati o cancellati in conformità con i requisiti giuridici. Le informazioni sull'indirizzo includono anche le indicazioni della persona che ha eseguito l'ultima mutazione.
Rientrano in questi dati personali anche ii dati di persone che fanno domanda di assunzione al CRB. Questi dati sono registrati in software d'ufficio convenzionali esclusivamente nel settore delle risorse umane. I relativi documenti sono conservati in un'area separata e criptata di CRBinside (cfr. punto 4.4) e sono accessibili esclusivamente alle persone coinvolte nel processo di valutazione. Il download di tali file è espressamente vietato. Dopo che il processo di valutazione è stato completato, i dati vengono trasferiti negli archivi del personale, che sono anche disponibili solo per il settore delle risorse umane in file opportunamente separati e sicuri, oppure vengono cancellati completamente.
3. Trattamento dei dati personali
3.1 Conservazione e sicurezza dei dati
I dati personali del punto 2 sono trattati dal CRB con la dovuta accuratezza e nel quadro delle disposizioni di legge. Tutte le informazioni dei clienti registrate nel sistema ERP del CRB sono custodite nell'ambito di misure di sicurezza adottate in Svizzera e/o negli Stati dell'UE (Unione Europea).
Il CRB desidera sottolineare che ogni volta che vengono richiesti/assegnati un nome utente e una password specifici per il cliente, questi devono essere conosciuti esclusivamente dagli utenti che devono mantenerli segreti e non devono trasmetterli a terzi (nemmeno a terzi già registrati).
3.2 Trasmissione di dati
In relazione all'adempimento di prestazioni, il CRB può trasferire tutti i dati personali o parte di essi a terzi, in particolare ai responsabili dell'elaborazione degli ordini, ai fornitori di servizi informatici e altri fornitori di applicazioni informatiche o di supporto e di altre prestazioni di servizio, per conto del CRB, per gli scopi elencati nella presente dichiarazione sulla protezione dei dati, nel rispetto delle condizioni di utilizzo per la rispettiva offerta di prestazioni. Con la sua registrazione al servizio corrispondente e con l'utilizzo della prestazione di servizio, l'utente autorizza le condizioni di utilizzo e la trasmissione dei suoi dati di utente ad un partner terzo, nella misura in cui questi siano necessari per l'adempimento delle prestazioni e/o per l'incasso di eventuali crediti.
Se il CRB si rivolge a terzi per l'adempimento della prestazione, il CRB è legittimato a rendere accessibili ai terzi coinvolti i dati necessari all'adempimento della prestazione, imponendo l'obbligo di tutela della protezione dei dati nella stessa misura in cui lo stesso vale per il CRB. Se l'utente elabora dati di terzi nell'utilizzo degli standard CRB, resta responsabile unico nei confronti di queste persone.
3.3 Prodotti di altri produttori
Il CRB distribuisce i prodotti di altri produttori. In questo contesto, il CRB conclude pure dei contratti a nome di altri produttori. I clienti che concludono tali contratti tramite il CRB riconoscono e accettano che le loro coordinate (p.es. nome, indirizzo, numero di licenza e di cliente, ecc.) saranno resi noti al CRB e ai rispettivi produttori.
4. Disposizioni relative all'utilizzo di pagine internet, webshop, e-book, applicazioni e servizi web, standard, newsletter e canali social media del CRB
4.1 Disposizioni generali per utilizzo online
Con l’accesso online agli standard, ai servizi e alle applicazioni web, agli e-book e/o alle pagine internet del CRB nonché a suoi strumenti di progettazione, collaborazione e comunicazione, il CRB riceve informa-zioni sull’uso concreto dei dati da parte degli utenti. L’utente prende atto e conseguentemente accetta che il CRB utilizzi e valuti le informa-zioni ottenute allo scopo di eseguire analisi riguardo all’uso degli standard CRB, dei servizi e delle applicazioni web CRB, delle pagine internet CRB, delle e-newsletter e dei canali social media del CRB. L'analisi e l'utilizzo di queste informazioni avvengono esclusivamente per scopi interni al CRB. Il rilevamento delle informazioni relative all’acquisizione e all’uso dei dati CRB da parte dell’utente avviene solitamente attraverso il programma applicativo installato presso l’utente stesso per l’accesso alla banca dati CRB. A seconda del tipo di programma, l’utente può decidere se e/o quali informazioni, rilevate presso di lui, sul suo utilizzo dei dati, vengono trasmesse al CRB. Il CRB utilizzerà queste informazioni per scopi statistici e per analisi di mercato, con l'obiettivo di migliorare l’offerta e di offrire prodotti su misura agli utenti. Il passaggio di questi dati a terzi avviene esclusivamente in forma anonima, in modo da non essere riconducibile all’utente. Le specifiche concrete e rilevanti per la protezione dei dati delle varie offerte online del CRB sono spiegate di seguito.
4.2 Pagine internet del CRB
Per le pagine internet del CRB viene utilizzato Google Analytics, un servizio di analisi Web di Google Inc. («Google»). Google Analytics utilizza i cosiddetti «cookie», banche dati che possono essere salvati nel computer dell’utente e che permettono un’analisi dell’utilizzo delle pagine internet. Le informazioni generate attraverso cookie sull'utilizzo dei siti internet (compreso l'indirizzo IP) vengono trasferite e salvate su un server di Google negli USA. Google utilizzerà queste informa-zioni per analizzare l’utilizzo delle pagine internet, per compilare report delle attività sulle pagine internet per il gestore e per fornire altre prestazioni di servizio collegate all’utilizzo di internet e dei suoi siti. Inoltre Google trasmetterà eventualmente queste informazioni a terzi, se prescritto dalla legge o se i terzi trattano questi dati per conto di Google. In nessun caso Google metterà in relazione gli indirizzi IP dell’utente con altri dati di Google. L’utente può impedire l’installazione dei cookie tramite la relativa impostazione del proprio browser soft-ware; si rende noto, tuttavia, che in questo caso non potranno essere completamente utilizzate tutte le funzioni dei siti web. Con l’utilizzo delle pagine internet del CRB, l’utente si dichiara d’accordo con l’elaborazione dei dati rilevati su di lui da parte di Google, nel modo sopra descritto e per lo scopo sopra indicato.
4.3 Webshop del CRB
Oltre alle disposizioni di cui sopra relative alle pagine Internet del CRB, le indicazioni specifiche dell'utente sono necessarie per l'elabo-razione delle ordinazioni, l'amministrazione delle licenze per il cliente, ecc. Queste indicazioni sono inserite dagli utenti in un formulario di iscrizione previsto a questo scopo. Confermando i suoi dati, questi saranno trasmessi al CRB e registrati nel sistema ERP del CRB (cfr. SAP-ByD) e trattati risp. salvati, protetti e curati in conformità alla prassi consueta.
4.4 CRBinside
La piattaforma CRBinside (crb.ch.sharepoint.com) è una piattaforma in internet che il CRB mette gratuitamente a disposizione di terzi per la collaborazione digitale in gruppi di lavoro e di progetto e comprende i necessari dati, materiali (piani, immagini, grafici, ecc.) e informazioni del CRB. L'utilizzo di CRBinside avviene esclusivamente nell'ambito di disposizioni separate per l’utilizzo, valide per tutti i tipi di utilizzo della piattaforma e delle aree correlate. Utenti sono tutte le persone e le aziende che si sono registrate sulla piattaforma CRBinside. Con l'accesso a CRBinside, gli utenti confermano di aver compreso queste disposizioni e le riconoscono come vincolanti. L'acquisto e l'utilizzo degli standard CRB non concernono queste disposizioni per l’utilizzo. A tal fine sono determinanti le Condizioni generali di vendita del CRB (CGV del CRB).
4.5 Applicazioni web del CRB
Il CRB fornisce le cosiddette applicazioni web per vari scopi applicati-vi. Per ottenere la licenza per queste applicazioni web, gli utenti si registrano direttamente nel formulario di registrazione nell'applicazione web corrispondente o richiedono la licenza d'uso tramite un'ordinazio-ne con relativa registrazione nel webshop del CRB. Nel caso di una registrazione effettuata direttamente nell'applicazione web, viene inviata un'e-mail al servizio clienti CRB e lì registrata nell'ERP del CRB. Nel caso di una registrazione o di un ordine tramite il webshop del CRB, il successivo trattamento dei dati è analogo alla procedura descritta per il webshop del CRB. La pubblicazione delle informazioni deve avvenire con il consenso delle persone interessate e il rispetto delle disposizioni in materia di protezione dei dati deve essere garanti-to. Il CRB non si assume alcuna responsabilità in merito e, in caso di rivendicazioni nei confronti del CRB, sarà ritenuto pienamente indenne e manlevato dall'utente responsabile. Il CRB fornisce agli utenti registrati con singole applicazioni web, la possibilità di presentare sé stessi e/o i loro progetti e/o i dati del progetto al CRB e/o ad altri utenti registrati delle applicazioni web CRB, mediante maschere predefinite nelle applicazioni web CRB. Le diverse applicazioni web CRB costituiscono una piattaforma di contatto e di informazione che permette agli utenti registrati il trattamento di informazioni su progetti propri e la ricezione di informazioni su progetti di altri utenti e di prendere contatto e scambiarsi informazioni con altri utenti. L'utilizzo delle applicazioni web CRB presuppone una registrazione (cfr. di cui sopra). Con la registrazione, l'utente può fornire informazioni su di sé o sulla propria azienda; le informazioni fornite devono essere veritiere e corrispondere alla realtà. In particolare, nel caso di servizi e applica-zioni web che possono essere utilizzati gratuitamente, le informazioni sui progetti degli utenti, quali dati, modelli, descrizioni, classificazioni, ecc., vengono riutilizzate in forma anonima e possono essere pubbli-cate dal CRB a proprio nome e/o utilizzate per la raccolta di valori e/o valutazioni statistiche che il CRB può pubblicare a proprio nome. Il CRB si riserva il diritto di rimuovere informazioni dell'utente non corrette e non rispondenti al vero. I dati forniti dall’utente sulle appli-cazioni web CRB riguardo a se stesso, alla sua azienda, così come ai suoi progetti possono essere utilizzati illimitatamente dal CRB per la costituzione e per la messa a disposizione di altre funzioni e/o offerte. Allo stesso modo, i partner di progetto indicati dall'utente possono essere invitati dal CRB a registrarsi a loro volta sulle applicazioni web CRB. L'utente può utilizzare le informazioni fornite da altri utenti su progetti e partner di progetto esclusivamente per scopi di informazio-ne e di contatto. Ogni altro utilizzo di informazioni e dati disponibili sulle applicazioni web CRB è consentito solo previo consenso scritto del CRB.
4.6 Servizi web del CRB
Con i suoi servizi web, il CRB supporta lo sviluppo delle attività commerciali. Ciò mediante l'Identity and Access Management (IAM) così come con il servizio di licenza centralizzato e la successiva fruizione dei dati. Quando si utilizzano questi servizi web, i dati cliente del detentore di licenza possono essere collegati ai dati del cliente memorizzati in ERP CRB attraverso le informazioni del numero di cliente e della chiave di licenza. Queste identificazioni devono essere necessarie e possibili. Vengono però usate solo sporadicamente e su base casuale per scopi di controllo o se sussiste un sospetto di uso improprio degli standard del CRB. D'altra parte, il CRB supporta anche l'applicazione concreta di alcuni prodotti propri attraverso servizi web. Questo vale, per esempio, per l'assicurazione della qualità degli elenchi delle prestazioni secondo il Catalogo delle posizioni normalizzate CPN e lo scambio elettronico di dati previsto a questo scopo. Ciò viene eseguito per mezzo di un cosiddetto programma di controllo, che è disponibile o usato sia in locale che centralizzato, cioè online. Quando si accede online ai servizi web del CRB, i dati cliente del detentore di licenza possono essere collegati ai dati del cliente memorizzati in ERP CRB attraverso le informazioni del numero di cliente e della chiave di licenza. Queste identificazioni devono essere necessarie e possibili. Vengono però usate solo sporadica-mente e su base casuale per scopi di controllo o se sussiste un sospetto di uso improprio degli standard del CRB. Altre identificazio-ni, per esempio sui documenti elaborati come informazioni concrete sui progetti e sui partecipanti al progetto, non sono visibili.
4.7 E-Book del CRB
Gli e-book del CRB sono gestiti da un'applicazione fornita da terzi. Per la richiesta e l'ottenimento di un e-book del CRB, è necessario che il fornitore terzo sia a conoscenza degli accessi Product Activation Key (PAK) specifici del cliente. Pertanto il fornitore terzo può ottenere informazioni come gli intervalli di utilizzo, ecc. sugli accessi effettuati tramite PAK. Non è invece possibile un collegamento ai dati relativi all'indirizzo del cliente. Questo può essere effettuato solo in combina-zione con le informazioni dell'indirizzo depositate presso il CRB, che l'azienda non fornisce.
4.8 E-newsletter del CRB
Il CRB utilizza applicazioni di terzi per comunicare informazioni (e-newsletter) e anche per ottenere informazioni (strumento di sondaggio e-newsletter). Si tratta di varie applicazioni web come Mailchimp, Survey-Monkey, Zoom, ecc. Per il trattamento concreto e l'interazione da parte degli utenti di queste applicazioni web, le dichiarazioni di protezione dei dati fornite dai fornitori di queste applicazioni web si applicano in aggiunta alla presente dichiarazione. Queste condizioni e dichiarazioni devono essere lette e approvate separatamente da tutti gli utenti nel quadro della procedura di login. Il CRB ha la visione dei dati personali registrati dagli utenti e li trasferisce nell''ERP CRB. I dati vengono poi gestiti come sopra descritto. I dati dell'utente che rimangono fino alla sospensione dell'utilizzo delle applicazioni web saranno salvati in conformità con le dichiarazioni sulla protezione dei dati dell'applicazione web in questione e successivamente cancellati.
4.9 Canali social media del CRB
Il trattamento dei dati personali sopra descritto è paragonabile a quello dei dati personali che possono essere resi accessibili nei canali dei social media utilizzati dal CRB (di norma, si tratta solo di link che rimandano ai dati personali corrispondenti), come Linkedin. Facebook, Twitter e YouTube. Anche in questo caso, oltre alla presente dichiarazione sulla protezione dei dati del CRB, si applicano le rispettive disposizioni di utilizzo e di protezione dei dati dei singoli fornitori. Non ha luogo un trasferimento di dati personali dai vari canali di social media al sistema ERP del CRB. Se l'utilizzo di un canale di social media viene interrotto, i dati memorizzati dal CRB non saranno più disponibili e le disposizioni sulla protezione dei dati dei fornitori dei canali di social media in questione saranno nuovamente ed esclusivamente applicabili.
5. Consenso per il rilevamento e il trattamento di dati personali
I gruppi di riferimento che forniscono al CRB dati personali, indipendentemente dalla forma di trasmissione, riconoscono e accettano che il CRB possa raccogliere e trattare i dati da loro forniti in conformità con le indicazioni di questa dichiarazione sulla protezione dei dati.
6. Diritti degli interessati dal rilevamento e dal trattamento dei dati
Le persone, delle quali trattiamo i dati, hanno il diritto di accesso secondo l'art. 25 della Legge federale sulla protezione dei dati del 25.09.2020. Nella misura in cui il trattamento si basa sul consenso, tutti gli interessati hanno il diritto di revocare questo consenso in qualsiasi momento senza effetto retroattivo. Le persone delle quali trattiamo i dati possono anche far valere gli altri diritti secondo la Legge federale sulla protezione dei dati. Per l'esercizio di tali diritti, gli interessati possono rivolgersi all'indirizzo indicato a fondo pagina. Il CRB elaborerà queste richieste in conformità con la Legge federale sulla protezione dei dati e potrà anche rifiutarle o soddisfarle solo in misura limitata in conformità con le disposizioni di legge.
7. Informazioni, contatto e adattamenti relativi a questa dichiarazione sulla protezione dei dati
7.1 privacy@crb.ch
Presso il CRB, l'ufficio informazioni responsabile della protezione dei dati è facilmente raggiungibile all'indirizzo privacy@crb.ch. Ovviamente, è pure possibile prendere contatto tramite posta o di persona. Le coordinate a tale scopo sono:
CRB, Datenschutzverantwortliche(r), Steinstrasse 21, Casella postale, 8036 Zurigo, Tel.: 044 456 45 45,
privacy@crb.ch
7.2 Adattamenti a questa dichiarazione sulla protezione dei dati
Poiché il nostro modo di lavorare e i nostri gruppi di riferimento cambiano costantemente e si prevede l'uso di altri strumenti o di strumenti aggiuntivi, soprattutto nel settore del software, la presente dichiarazione sulla protezione dei dati sarà adattata di conseguenza. La versione in vigore, e attualizzata di volta in volta, è disponibile nella nostra sede e pubblicata su crb.ch. Una panoramica relativa al decorso degli adeguamenti è disponibile sul sito www.crb.ch.
7.3 Panoramica delle elaborazioni
La versione N. 003 attualmente in vigore è stata pubblicata il 29 settembre 2023.
