Dichiarazione sulla protezione dei dati del CRB

1.   Protezione dei dati presso il CRB

La promozione della sostenibilità e, più in generale, della fiducia nel settore della costruzione è, dal punto di vista strategico, l'obiettivo principale delle attività del CRB. Pertanto, consideriamo il comportamento conforme alla protezione dei dati come un importante presupposto nei confronti di tutti i gruppi di riferimento e lo applichiamo di conseguenza. Nel rilevamento e nel trattamento dei dati personali ci atteniamo alle disposizioni della Legge federale sulla protezione dei dati (LPD) e proteggiamo i relativi dati mediante l'adozione di adeguati provvedimenti. In particolare, sulla protezione dei dati valgono le disposizioni sottoelencate, che rimangono in vigore anche oltre la data di un'eventuale cessazione del rapporto contrattuale con il CRB.

2.   Rilevamento dei dati personali

2.1 Scopi di carattere generale del rilevamento dei dati personali
I dati personali vengono rilevati, elaborati e salvati solo nella misura in cui questi siano necessari per la fornitura di prestazioni di servizi, per la sicurezza di operazioni e infrastrutture, per la fatturazione e per lo sviluppo e la cura dei rapporti di clientela, in particolare per garantire un'elevata e costantemente migliorata qualità delle prestazioni di servizio. Questo include anche l'elaborazione per soddisfare i requisiti giuridici. Inoltre, trattiamo anche i dati personali dei nostri clienti per comunicare con loro, per rispondere alle richieste e per inviare loro newsletter, informazioni, inviti a eventi, corsi, conferenze o convegni e, se necessario, per documentare quanto sopra elencato.

2.2 Dati rilevati
I dati dei clienti e i dati per la gestione dei mandati, i dati dei mandanti, i dati di prestazione e di fatturazione nonché le informazioni supplementari (dati menzionati al punto 2.1), sono rilevati nel sistema ERP di CRB (Enterprise Resource Planning System). In particolare, il CRB utilizza una soluzione cloud a questo scopo, commercializzata con il nome di SAP Business by Design (ByD). Il sistema ERB del CRB permette di rilevare i seguenti dati personali, in modo più o meno completo a seconda dei casi: Numero cliente, nome cliente (nome e cognome), nome aggiuntivo se necessario, numero d’identificazione dell'impresa IDI, forma giuridica, codice territorio, numero di collaboratori, gruppo clienti, settore, stato di socio, abbonamento per il Bulletin CRB, numero di telefono e fax, sito web, indirizzo e-mail, lingua, via e n., località, NPA, paese e le eventuali indicazioni per indirizzi di fatturazione modificati.

Inoltre, se necessario, vengono elencate le persone di contatto per ogni numero di cliente, per le quali, oltre alle informazioni di cui sopra, viene indicato: genere, data di nascita, stato civile, tipo di rapporto con il CRB (p.es. attivo o appartenenza a gruppi e campagne di indirizzo), titolo accademico, indirizzo privato (con gli stessi dettagli degli indirizzi aziendali di cui sopra), VIP (p.es. direttore, presidente del comitato, membro del comitato). Nonché le eventuali indicazioni relative alla persona di contatto, l'azienda, eventuali collegamenti trasversali e ulteriori informazioni da registri pubblici, eventuali persone assegnate e contenuti delle richieste, ecc.

Tutti i dati di cui sopra possono essere impostati come attivi, obsoleti, bloccati o cancellati in conformità con i requisiti giuridici. Le informazioni sull'indirizzo includono anche le indicazioni della persona che ha eseguito l'ultima mutazione.

Vengono anche rilevati i dati di persone che fanno domanda di assunzione al CRB. Questi dati sono registrati in software d'ufficio convenzionali esclusivamente nel settore delle risorse umane. I relativi documenti sono conservati in un'area separata e criptata di CRBinside (cfr. punto 4.4) e sono accessibili esclusivamente alle persone coinvolte nel processo di valutazione. Il download di tali file per scopi diversi dal processo di valutazione è espressamente vietato. Dopo che il processo di valutazione è stato completato, i dati vengono trasferiti negli archivi del personale, che sono anche disponibili solo per il settore delle risorse umane in file opportunamente separati e sicuri, oppure vengono cancellati completamente.

3.   Trattamento dei dati personali

3.1 Conservazione e sicurezza dei dati
I dati personali del punto 2 sono trattati dal CRB con la dovuta accuratezza e nel quadro delle disposizioni di legge. Tutte le informazioni dei clienti registrate nel sistema ERP del CRB sono custodite nell'ambito di misure di sicurezza adottate in Svizzera e/o negli Stati dell'UE (Unione Europea).

Il CRB desidera sottolineare che ogni volta che vengono richiesti/assegnati un nome utente e una password specifici per il cliente, questi devono essere conosciuti esclusivamente dagli utenti che devono mantenerli segreti e non devono trasmetterli a terzi (nemmeno a terzi già registrati).

3.2 Trasmissione di dati
Il CRB, nel rispetto delle condizioni di utilizzo per la rispettiva offerta di prestazioni, può trasferire tutti i dati personali o parte di essi a terzi, in particolare ai responsabili dell'elaborazione degli ordini, ai fornitori di servizi informatici e altri fornitori di applicazioni informatiche o supporto e altre prestazioni, per conto del CRB, per gli scopi elencati nella presente dichiarazione sulla protezione dei dati. Con la sua registrazione al servizio corrispondente e con l'utilizzo della prestazione di servizio, l'utente autorizza le condizioni di utilizzo e la trasmissione dei suoi dati ad un partner terzo, nella misura in cui questi siano necessari per l'adempimento delle prestazioni e/o per l'incasso di eventuali crediti.

Se il CRB si rivolge a terzi per l'adempimento della prestazione, il CRB è legittimato a rendere accessibili ai terzi coinvolti i dati necessari all'adempimento della prestazione, imponendo l'obbligo di tutela della protezione dei dati nella stessa misura in cui lo stesso vale per il CRB. Se l'utente elabora dati di terzi nell'utilizzo degli standard CRB, resta responsabile unico nei confronti di queste persone.

3.3 Prodotti di altri produttori
Il CRB distribuisce e utilizza prodotti di altri produttori. In questo contesto, il CRB conclude pure dei contratti a nome di altri produttori. I clienti che concludono tali contratti tramite il CRB riconoscono e accettano che i loro dati (p.es. nome, indirizzo, numero di licenza e di cliente, ecc.) saranno resi noti al CRB e ai rispettivi produttori. Allo stesso modo, prima dell'uso di questi prodotti, i clienti devono, di regola, prendere atto e accettare separatamente le corrispondenti condizioni d'uso di altri produttori.

4.   Disposizioni relative all'utilizzo di pagine internet del CRB, webshop, applicazioni e servizi web nonché standard, newsletter e canali social media del CRB

4.1 Disposizioni generali per utilizzo online
Con l’accesso online agli standard, ai servizi e alle applicazioni web e/o alle pagine internet del CRB nonché a suoi strumenti di progettazione, collaborazione e comunicazione, il CRB riceve informazioni sull’uso concreto dei dati da parte degli utenti. L’utente prende atto e conseguentemente accetta che il CRB utilizzi e valuti le informazioni ottenute allo scopo di eseguire analisi riguardo all’uso degli standard CRB, dei servizi e delle applicazioni web CRB, delle pagine internet CRB, delle e-newsletter e dei canali social media del CRB. L'analisi e l'utilizzo di queste informazioni avvengono esclusivamente per scopi interni al CRB. Il rilevamento delle informazioni relative all’acquisizione e all’uso dei dati CRB da parte dell’utente avviene solitamente attraverso il programma applicativo installato presso l’utente stesso per l’accesso alla banca dati CRB. A seconda del tipo di programma, l’utente può decidere se e/o quali informazioni, rilevate presso di lui, sul suo utilizzo dei dati, vengono trasmesse al CRB. Il CRB utilizzerà queste informazioni per scopi statistici e per analisi di mercato, con l'obiettivo di migliorare l’offerta e di offrire prodotti su misura agli utenti. Il passaggio di questi dati a terzi avviene esclusivamente in forma anonima, in modo da non essere riconducibile all’utente. Le specifiche concrete e rilevanti per la protezione dei dati delle varie offerte online del CRB sono spiegate di seguito.

4.2 Pagine internet del CRB
Per le pagine internet del CRB viene utilizzato Google Analytics, un servizio di analisi Web di Google Inc. («Google»). Google Analytics utilizza i cosiddetti «cookie», banche dati che possono essere salvati nel computer dell’utente e che permettono un’analisi dell’utilizzo delle pagine internet. Le informazioni generate attraverso cookie sull'utilizzo dei siti internet (compreso l'indirizzo IP) vengono trasferite e salvate su un server di Google negli USA. Google utilizzerà queste informazioni per analizzare l’utilizzo delle pagine internet, per compilare report delle attività sulle pagine internet per il gestore e per fornire altre prestazioni di servizio collegate all’utilizzo di internet e dei suoi siti. Inoltre Google trasmetterà eventualmente queste informazioni a terzi, se prescritto dalla legge o se i terzi trattano questi dati per conto di Google. In nessun caso Google metterà in relazione gli indirizzi IP dell’utente con altri dati di Google. L’utente può impedire l’installazione dei cookie tramite la relativa impostazione del proprio browser software; si rende noto tuttavia, che in questo caso non potranno essere completamente utilizzate tutte le funzioni dei siti web. Con l’utilizzo delle pagine internet del CRB, l’utente si dichiara d’accordo con il trattamento dei dati rilevati su di lui da parte di Google nel modo sopra descritto e per lo scopo sopra indicato.

4.3 Webshop del CRB
Oltre alle disposizioni di cui sopra relative alle pagine Internet del CRB, le indicazioni specifiche dell'utente sono necessarie per l'elaborazione delle ordinazioni, l'amministrazione delle licenze per il cliente, ecc. Queste indicazioni sono inserite dagli utenti in un formulario di iscrizione previsto a questo scopo. Confermando i suoi dati, questi saranno trasmessi al CRB e registrati nel sistema ERP del CRB (cfr. SAP-ByD) e trattati risp. salvati, protetti e curati in conformità alla prassi consueta.

4.4 CRBinside
La piattaforma CRBinside (crbch.sharepoint.com) è una piattaforma in internet che il CRB mette gratuitamente a disposizione di terzi per la collaborazione digitale in gruppi di lavoro e di progetto e comprende i necessari dati, materiali (piani, immagini, grafici, ecc.) e informazioni del CRB. L'utilizzo di CRBinside avviene esclusivamente nell'ambito di disposizioni separate per l’utilizzo, valide per tutti i tipi di utilizzo della piattaforma e delle aree correlate. Utenti sono tutte le persone e le aziende che si sono registrate sulla piattaforma CRBinside. Con l'accesso a CRBinside, gli utenti confermano di aver compreso queste disposizioni e le riconoscono come vincolanti. L'acquisto e l'utilizzo degli standard CRB non concernono queste disposizioni per l’utilizzo. A tal fine sono determinanti le Condizioni generali di vendita del CRB (CGV del CRB).

4.5 Applicazioni web del CRB
Il CRB fornisce le cosiddette applicazioni web per vari scopi applicativi. Per ottenere la licenza per queste applicazioni web, gli utenti si registrano direttamente nel formulario di registrazione nell'applicazione web corrispondente o richiedono la licenza d'uso tramite un'ordinazione con relativa registrazione nel webshop del CRB. Nel caso di una registrazione effettuata direttamente nell'applicazione web, viene inviata un'e-mail al servizio clienti CRB e lì registrata nell'ERP del CRB. Nel caso di una registrazione o di un ordine tramite il webshop del CRB, il successivo trattamento dei dati è analogo alla procedura descritta per il webshop del CRB. Il CRB fornisce agli utenti registrati con singole applicazioni web, la possibilità di presentare sé stessi e/o i loro progetti e/o i dati del progetto al CRB e/o ad altri utenti registrati delle applicazioni web CRB, mediante maschere predefinite nelle applicazioni web CRB. Le diverse applicazioni web CRB costituiscono una piattaforma di contatto e di informazione che permette agli utenti registrati il trattamento di informazioni su progetti propri e la ricezione di informazioni su progetti di altri utenti e di prendere contatto e scambiarsi informazioni con altri utenti. L'utilizzo delle applicazioni web CRB presuppone una registrazione (cfr. di cui sopra). Con la registrazione, l'utente può fornire informazioni su di sé o sulla propria azienda; le informazioni fornite devono essere veritiere e corrispondere alla realtà. Il CRB si riserva il diritto di rimuovere informazioni dell'utente non corrette e non rispondenti al vero. I dati forniti dall’utente sulle applicazioni web CRB riguardo a sé stesso, alla sua azienda, così come ai suoi progetti possono essere utilizzati illimitatamente dal CRB per la costituzione e per la messa a disposizione di altre funzioni e/o offerte. In particolar modo, i partner di progetto indicati dall'utente possono essere invitati dal CRB a registrarsi a loro volta sulle applicazioni web CRB. L'utente può utilizzare le informazioni fornite da altri utenti su progetti e partnerdi progetto esclusivamente per scopi di informazione e di contatto. Ogni altro utilizzo di informazioni e dati disponibili sulle applicazioni web CRB è consentito solo previo consenso scritto del CRB. 

4.6 Servizi web del CRB
Con i suoi servizi web, il CRB supporta lo sviluppo delle attività commerciali. Ciò mediante l'Identity and Access Management (IAM) così come con il servizio di licenza centralizzato e la seguente fruizione dei dati. Quando si utilizzano questi servizi web, i dati cliente del detentore di licenza possono essere collegati ai dati del cliente memorizzati in ERP CRB attraverso le informazioni del numero di cliente e della chiave di licenza. Queste identificazioni devono essere necessarie e possibili. Vengono però usate solo sporadicamente e su base casuale per scopi di controllo o se sussiste un sospetto di uso improprio degli standard del CRB. D'altra parte, il CRB supporta anche l'applicazione concreta di alcuni prodotti propri attraverso servizi web. Questo vale, per esempio, per l'assicurazione della qualità degli elenchi delle prestazioni secondo il Catalogo delle posizioni normalizzate CPN e lo scambio elettronico di dati previsto a questo scopo. Questo viene eseguito per mezzo di un cosiddetto programma di controllo, che è disponibile o usato sia in locale che centralizzato, cioè online. Quando si accede online ai servizi web del CRB, i dati cliente del detentore di licenza possono essere collegati ai dati del cliente memorizzati in ERP CRB attraverso le informazioni del numero di cliente e della chiave di licenza. Queste identificazioni devono essere necessarie e possibili. Vengono però usate solo sporadicamente e su base casuale per scopi di controllo o se sussiste un sospetto di uso improprio degli standard del CRB. Altre identificazioni, per esempio sui documenti elaborati come informazioni concrete sui progetti e sui partecipanti al progetto, non sono visibili.

4.7 E-newsletter del CRB
Il CRB utilizza applicazioni di terzi per comunicare informazioni (e-newsletter) e anche per ottenere informazioni (strumento di sondaggio e-newsletter). Si tratta di varie applicazioni web come Mailchimp, Survey-Monkey, Zoom, ecc. Per il trattamento concreto e l'interazione da parte degli utenti di queste applicazioni web, le condizioni di utilizzo e le dichiarazioni di protezione dei dati fornite dai fornitori di queste applicazioni web si applicano in aggiunta alla presente dichiarazione. Queste condizioni e dichiarazioni devono essere lette e approvate separatamente da tutti gli utenti nel quadro della procedura di login. Il CRB ha la visione dei dati personali registrati dagli utenti e li trasferisce nell''ERP CRB. I dati vengono poi gestiti come sopra descritto. I dati dell'utente che rimangono fino alla sospensione dell'utilizzo delle applicazioni web saranno salvati in conformità con le dichiarazioni sulla protezione dei dati dell'applicazione web in questione e successivamente cancellati.

4.8 Canali social media del CRB
Il trattamento dei dati personali sopra descritto è paragonabile a quello dei dati personali che possono essere resi accessibili nei canali dei social media utilizzati dal CRB come Linkedin, Facebook, twitter e youtube (di norma, si tratta solo di link che rimandano ai dati personali corrispondenti). Anche in questo caso, oltre alla presente direttiva sulla protezione dei dati del CRB, si applicano le rispettive disposizioni di utilizzo e di protezione dei dati dei singoli fornitori. Un trasferimento di dati personali dai vari canali di social media al sistema ERP del CRB non ha luogo. Se l'utilizzo di un canale di social media viene interrotto, i dati memorizzati dal CRB non saranno più disponibili e le disposizioni sulla protezione dei dati dei fornitori dei canali di social media in questione saranno nuovamente ed esclusivamente applicabili.

5. Consenso per il rilevamento e il trattamento di dati personali

I gruppi di riferimento che forniscono al CRB dati personali, indipendentemente dalla forma di trasmissione, accettano che il CRB possa raccogliere e trattare i dati da loro forniti in conformità con le indicazioni di questa dichiarazione sulla protezione dei dati.

6.   Diritti degli interessati dal rilevamento e dal trattamento dei dati

Le persone, delle quali trattiamo i dati, hanno il diritto di accesso secondo l'art. 8 della Legge federale sulla protezione dei dati del 19.06.1992 o, dopo la sua entrata in vigore, secondo l'art. 25 della Legge federale sulla protezione dei dati del 25.09.2020. Nella misura in cui il trattamento si basa sul consenso, tutti gli interessati hanno il diritto di revocare questo consenso in qualsiasi momento senza effetto retroattivo. Le persone delle quali trattiamo i dati possono anche far valere gli altri diritti secondo la Legge federale sulla protezione dei dati. Per l'esercizio di tali diritti, gli interessati possono rivolgersi all'indirizzo indicato a fondo pagina. Il CRB elaborerà queste richieste in conformità con la Legge federale sulla protezione dei dati e potrà anche rifiutarle o soddisfarle solo in misura limitata in conformità con le disposizioni di legge.

7.   Informazioni, contatto e adattamenti relativi a questa dichiarazione sulla protezione dei dati

7.1 privacy@crb.ch
Presso il CRB, l'ufficio informazioni responsabile della protezione dei dati è facilmente raggiungibile all'indirizzo privacy@crb.ch. Ovviamente, è pure possibile prendere contatto tramite posta o di persona. Le coordinate a tale scopo sono: CRB, Datenschutzbeauftragte(r), Steinstrasse 21, Casella postale, 8036 Zurigo, Tel.: 044 456 45 45, privacy@crb.ch

7.2 Adattamenti a questa dichiarazione sulla protezione dei dati
Poiché il nostro modo di lavorare e i nostri gruppi di riferimento cambiano costantemente e si prevede l'uso di altri strumenti o di strumenti aggiuntivi, soprattutto nel settore del software, la presente dichiarazione sulla protezione dei dati sarà adattata di conseguenza. La versione in vigore e attualizzata di volta in volta, è disponibile nella nostra sede e pubblicata su crb.ch. Una panoramica relativa al decorso delle elaborazioni è disponibile sul sito www.crb.ch.

7.3 Panoramica delle elaborazioni
La versione N. 001 attualmente in vigore è stata pubblicata il 1° gennaio 2022.