IdSurvey e GDPR

Data Protection, GDPR and Information Security

Come rispettiamo il GDPR in veste di responsabili del trattamento

Sicurezza dei dati

Garantiamo la sicurezza dei dati, adottando tutte le misure di sicurezza adeguate al rischio, come dispone l’articolo 32 del GDPR e non solo: garantiamo la riservatezza dei trattamenti (vincolando alla riservatezza i nostri dipendenti), e abbiamo adottato politiche sulle violazioni di dati personali per avvisare senza ingiustificato ritardo il titolare del trattamento di tutte le violazioni di dati di cui dovessimo venire a conoscenza, Infine, una volta terminata la prestazione di servizi, secondo le istruzioni ricevute dal titolare gli consentiamo di esportare o cancellare tutti i dati dai nostri sistemi e non ne conserveremo alcuna copia.

Avvisare, assistere e consigliare il titolare

Collaboriamo col titolare del trattamento dei dati personali avvisandolo, assistendolo e consigliandolo in merito al funzionamento dei nostri sistemi. Presteremo assistenza al titolare per consentirgli di evadere le richieste inerenti l’esercizio dei diritti degli interessati e, tenendo conto della natura del trattamento e delle informazioni a nostra disposizione, aiuteremo il titolare a garantire la conformità con i requisiti di sicurezza del trattamento, notifica delle violazioni di dati e valutazioni di impatto sulla protezione dei dati.

Privacy by design e by default

Consapevoli degli obblighi che gravano sul Titolare in ordine ai principi di privacy by design e privacy by default, ai sensi dell’articolo 25 del Regolamento, e della strumentalità che caratterizza il ruolo del responsabile, abbiamo messo in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato. In particolare:
  • sin dalla fase di progettazione dei nostri sistemi, mettiamo in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati come la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati (privacy by design);
  • mettiamo in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. (privacy by default). Ad esempio:
    • mettiamo a disposizione la possibilità di gestire ed eliminare ogni tipo di dato;
    • consentiamo di impostare password complesse che rispecchino requisiti di sicurezza elevati;
    • consentiamo di impostare una scadenza delle password;
    • consentiamo di creare utenti con permessi personalizzati;
    • consentiamo di permettere la visualizzazione e modifica di qualsiasi dato relativo ai nominativi;
    • consentiamo la visualizzazione di tutti i dati raccolti delle interviste completate dagli utenti;
    • consentiamo di impostare testi di privacy personalizzati con flag di accettazione.
Guarda le caratteristiche e certificazioni della nostra infrastruttura OnCloud.

Siamo obbligati a nominare un responsabile per la protezione dei dati (RPD o DPO)?

Non siamo obbligati a nominare un DPO: La nomina, infatti, è obbligatoria in tre ipotesi:
  • il l trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
  • l’attività principale, effettuata per conto del titolare, comporta il monitoraggio regolare e sistematico degli interessati su larga scala;
  • l’attività principale effettuata per conto del titolare consiste nel trattamento di dati sensibili (categorie particolari di dati personali) o giudiziari (dati relativi a condanne penali e a reati) su larga scala.
Le indicazioni per definire meglio il campo di obbligatorietà della designazione del DPO si traggono dalle Linee – guida sui responsabili della protezione dei dati (RPD o DPO) pubblicate dal Gruppo di Lavoro Articolo 29 che, al paragrafo 2.2, si dedica alla designazione del DPO da parte del responsabile, fornendo anche alcuni esempi. Poiché la nostra attività principale non è rappresentata da trattamenti su larga scala come quelli sopra descritti, non siamo soggetti all’obbligo di nomina.

Siamo disponibili a sottoscrivere accordi sul trattamento

Ci rendiamo disponibili a fornire o sottoscrivere accordi che prevedano (per iscritto):
  • l’oggetto e la durata della prestazione che il responsabile effettuerà per conto del titolare;
  • la natura e la finalità del trattamento;
  • il tipo di dati personali trattati per conto del titolare;
  • le categorie di interessati;
  • gli obblighi e i diritti del titolare del trattamento;
  • gli obblighi e i diritti del responsabile del trattamento, come previsti dall’articolo 28 del Regolamento.

Siamo dotati di un registro delle attività di trattamento

Come previsto dal Regolamento, teniamo un registro dei trattamenti che effettuiamo per conto del titolare. Il registro, teniamo per iscritto, contiene:
  • il nome e i dati di contatto di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento;
  • le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, e la documentazione delle garanzie adeguate su cui si fondano;
  • una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 del Regolamento.

Obblighi del responsabile che nomini un sub-responsabile

Siamo consapevoli che il responsabile del trattamento può designare un altro responsabile del trattamento solo previa autorizzazione scritta del titolare del trattamento. Comunichiamo i dati dei nostri subresponsabili al momento della sottoscrizione dell’accordo sul trattamento, che prevederà la delega per la le successive nomine. Imponiamo al sub-responsabile, mediante un contratto, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto stipulato tra il titolare del trattamento e il responsabile del trattamento.

Violazione dei dati

La violazione dei dati personali è una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Ove venissimo a conoscenza di una violazione, ne informeremo il titolare del trattamento senza ingiustificato ritardo. Abbiamo adottato una politica aziendale che ci permette di assistere il titolare nel garantire la conformità dei trattamenti alle norme che presiedono alla loro sicurezza, comprese quelle inerenti alla violazione dei dati personali.

Ruolo del responsabile nella valutazione di impatto

A dover effettuare la valutazione di impatto sulla protezione dei dati a norma dell’articolo 35 RGPD è il titolare, e la relativa responsabilità gli pende in capo e non può essere traslata sul responsabile. Tuttavia prestiamo assistenza al titolare nella conduzione della DPIA fornendo ogni informazione necessaria, come previsto nell’accordo sul trattamento.

Knowledge base

Accedi alla knowledge base per conoscere le soluzioni e le strategie per la configurazione e costruzione dei questionari.

Guida e documentazione

IdSurvey dispone di una guida integrata per ogni singola funzione del survey software, così puoi facilmente scoprire tutte le funzioni.

Help Desk support 24/7

Grazie alla tua area ticket potrai richiedere assistenza 7 giorni su 7, 24 ore su 24. Uno dei nostri esperti ti risponderà in brevissimo tempo.

Methodologies compared: advantages and disadvantages of data collection via telephone, web and on field. (CATI, CAWI and CAPI)

CATI

CATI methodology (Computer Assisted Telephone Interview) improved telephone interviewing process. In fact, a software automatically support and lead the interviewer during data collection. Thus, they see questions on the screen followed by possible answers. For this reason, it has several advantages:
  • high quality of collected data: you avoid any interviewer misinterpretation or incorrect question administering;
  • time reduction: automatic callback managed by the system. The interviewer can also directly insert the data with no use of paper;
  • more accuracy: being completely automated, there’s no room for mistakes or unclear compiling;
  • complete control on interviews progress: you can check in real time completed, incomplete and dropped interviews.

CAWI

Web revolution has been crucial to market research evolution. This is particularly true for CAWI methodology (Computer Assisted Web Interviewing). Back in the days, with CAWI you could reach just around 20% of the population. So it was used just for limited purposes. Today, you reach wide and generic population (an entire country, a multinational corporation…). A link is sent to the respondents via email. They just follow the link to complete the questionnaire. Main characteristics of CAWI method are:
  • 1. the software autonomously send the emails and takes care of their following classification. Finished questionnaires are marked as complete.
  • 2. the respondent is invited via email and clicks on the link to answer the questionnaire. Obviously you need to have all email addresses of your respondents to carry on a CAWI survey.

CAPI

CAPI method (Computer Assisted Personal Interview) is the tech evolution of Face to Face research. An interviewer collects the data in a face to face meeting with the respondent. Using a mobile device or PC even offline, the interviewer carry on the interview and send back the answers in real time. Data are immediately sent to the main server. CAPI is used a lot in Mystery Client research: mystery clients can discreetely complete their task in their smartphone or mobile device.

Observations on CATI CAWI CAPI Surveys

To sum up, we compared CATI CAWI CAPI Surveys. And each one of them represented a step forward for market research. Now it’s time for some observations on the actual effectiveness of these methodologies. CAWI methodology has several advantages but requires all respondents to have an email account and a basic knowledge of computers to correctly complete the questionnaire. CAPI methodology’s biggest quality is the real face to face interaction between respondent and interviewer. In contrast, the average number of completed interviews in a working day is usually lower than CATI. CATI methodology guarantees the benefits of the other two techniques above. Specifically, an heterogeneous target and the call agent that can help the respondent during the interview. But CATI is still the most expensive method because of higher costs linked to the call center, the interviewers and phone traffic.