La promozione della sostenibilità e, più in generale, della fiducia nel settore della costruzione è, dal punto di vista strategico, l'obiettivo principale delle attività del CRB. Pertanto, consideriamo il comportamento conforme alla protezione dei dati come un importante presupposto nei confronti di tutti i gruppi di riferimento e lo applichiamo di conseguenza. Nel rilevamento e nel trattamento dei dati personali ci atteniamo alle disposizioni della Legge federale sulla protezione dei dati (LPD) e proteggiamo i relativi dati mediante l'adozione di provvedimenti adeguati. In particolare, sulla protezione dei dati valgono le disposizioni sottoelencate, che rimangono in vigore anche oltre la data di un'eventuale cessazione del rapporto d'affari con il CRB.
Per semplificare la leggibilità, di seguito viene utilizzata solo la forma maschile. In ogni caso, tutte le denominazioni personali si riferiscono sempre a tutti i generi.
2.1 Scopi di carattere generale del rilevamento dei dati personali
I dati personali vengono rilevati, elaborati e salvati solo nella misura in cui questi siano necessari per la fornitura di prestazioni di servizi, per la sicurezza di operazioni e infrastrutture, per la fatturazione e per lo sviluppo e la cura dei rapporti di clientela, in particolare per garantire un'elevata e costantemente migliorata qualità delle prestazioni di servizio. Questi vengono elaborati in modo da soddisfare i requisiti giuridici. Inoltre, vengono trattati anche i dati personali dei clienti per comunicare con loro, per rispondere alle richieste e per inviare loro newsletter, informazioni, inviti a eventi, corsi, conferenze o convegni e, se necessario, per documentare quanto sopra elencato.
I dati dei clienti e i dati per la gestione dei mandati, i dati dei mandanti, i dati di prestazioni e di fatturazione nonché le informazioni supplementari menzionati al punto 2.1, sono rilevati nel nostro Enterprise-Resource-Planning-System (sistema ERP di CRB). In particolare, il CRB utilizza una soluzione cloud a questo scopo, commercializzata con il nome di SAP Business by Design (ByD). Il sistema ERB del CRB permette di rilevare i seguenti dati personali, in modo più o meno completo a seconda dei casi:
Numero cliente, nome cliente (nome e cognome), nome aggiuntivo se necessario, numero d’identificazione dell'impresa IDI, forma giuridica, codice territorio, numero di collaboratori, gruppo clienti, settore, stato di socio, abbonamento per il Bulletin CRB, numero di telefono e fax, indirizzo del sito web, indirizzo e-mail, lingua, via e n., località, NPA, paese e le eventuali indicazioni per indirizzo di fatturazione diverso.
Inoltre, se necessario, vengono elencate le persone di contatto per ogni numero di cliente, per le quali, oltre alle informazioni di cui sopra, viene indicato: genere, data di nascita, stato civile, tipo di rapporto con il CRB (p.es. attivo o appartenenza a gruppi e campagne di indirizzo), titolo accademico, indirizzo privato (con gli stessi dettagli degli indirizzi aziendali di cui sopra), VIP (p.es. direttore, presidente del comitato, membro del comitato) nonché i dati di contatto dell'interlocutore, dell'azienda di appartenenza, di eventuali collegamenti trasversali, di ulteriori informazioni di base tratte da registri pubblici, di eventuali persone di riferimento e del contenuto delle richieste di informazioni, ecc.
Tutti i dati di cui sopra possono essere impostati come attivi, obsoleti, bloccati o cancellati in conformità con i requisiti giuridici. Le informazioni sull'indirizzo includono anche le indicazioni della persona che ha eseguito l'ultima mutazione. Rientrano in questi dati personali anche i dati di persone che fanno domanda di assunzione al CRB. Questi dati sono registrati in programmi Office convenzionali esclusivamente nel settore delle risorse umane. I relativi documenti sono conservati in un'area separata e criptata di CRBinside (cfr. punto 4.4) e sono accessibili esclusivamente alle persone coinvolte nel processo di valutazione. Il download di tali file è espressamente vietato. Dopo che il processo di valutazione è stato completato, i dati vengono trasferiti nelle cartelle personali, che sono pure disponibili solo per il reparto delle risorse umane in archivi opportunamente separati e sicuri, oppure vengono cancellati completamente.
3.1 Conservazione e sicurezza dei dati
Il CRB tratta i dati personali raccolti in conformità al punto 2 con la dovuta attenzione e nell'ambito delle disposizioni di legge. Tutte le informazioni dei clienti registrate nel sistema ERP del CRB sono custodite nell'ambito di misure di sicurezza adottate in Svizzera e/o negli Stati dell'UE (Unione Europea).
Per diverse attività di trattamento (in particolare per l'invio di newsletter, la conduzione di sondaggi o webinar (v. punto 4.8) nonché per l'iscrizione ai corsi di formazione continua del CRB), vengono utilizzati strumenti i cui server possono trovarsi non solo in Svizzera e nell'Unione Europea (UE), ma anche negli Stati Uniti (USA) e nel Regno Unito (UK). Vengono adottate diverse misure per garantire che i dati rimangano protetti dal diritto svizzero in materia di protezione dei dati. In particolare, sono incluse le necessarie clausole contrattuali tipo (SCC) per garantire un'adeguata protezione dei dati.
Il CRB desidera sottolineare che ogni volta che vengono richiesti/assegnati un nome utente e una password specifici per il cliente, questi devono essere conosciuti esclusivamente dagli utenti che devono mantenerli segreti e non devono trasmetterli a terzi (nemmeno a terzi già registrati).
In relazione all'adempimento di prestazioni, il CRB può trasferire tutti i dati personali o parte di essi a terzi, in particolare ai responsabili dell'elaborazione degli ordini, ai fornitori di servizi informatici e altri fornitori di applicazioni informatiche o di supporto e di altre prestazioni di servizio, per conto del CRB, per gli scopi elencati nella presente dichiarazione sulla protezione dei dati, nel rispetto delle condizioni di utilizzo per la rispettiva offerta di prestazioni. Con la sua registrazione al servizio corrispondente e ricorrendo alla prestazione di servizio, l'utente autorizza le condizioni di utilizzo e la trasmissione dei suoi dati di utente ad un partner terzo, nella misura in cui questi siano necessari per l'adempimento delle prestazioni e/o per l'incasso di eventuali crediti.
Se il CRB si rivolge a terzi per l'adempimento della prestazione, il CRB è legittimato a rendere accessibili ai terzi coinvolti i dati necessari all'adempimento della prestazione, imponendo l'obbligo di tutela della protezione dei dati nella stessa misura in cui lo stesso vale per il CRB. Se l'utente elabora dati di terzi nell'utilizzo degli standard CRB, resta responsabile unico nei confronti di queste persone.
Il CRB distribuisce i prodotti di altri produttori. In questo contesto, il CRB conclude pure dei contratti a nome di altri produttori. I clienti che concludono tali contratti tramite il CRB riconoscono e accettano che i loro dati (p.es. nome, indirizzo, numero di licenza e di cliente) saranno resi noti al CRB e ai rispettivi produttori.
Con l’accesso online agli standard, ai servizi e alle applicazioni web, agli e-book e/o alle pagine internet del CRB nonché a suoi strumenti di progettazione, collaborazione e comunicazione, il CRB riceve informazioni sull’uso concreto dei dati da parte degli utenti. L’utente prende atto e conseguentemente accetta che il CRB utilizzi e valuti le informazioni ottenute allo scopo di eseguire analisi riguardo all’uso degli standard, dei servizi e delle applicazioni web, delle pagine internet, delle e-newsletter e dei canali social media del CRB. L'analisi e l'utilizzo di queste informazioni avvengono esclusivamente per scopi interni al CRB. Il rilevamento delle informazioni relative all’acquisizione e all’uso dei dati CRB da parte dell’utente avviene solitamente attraverso il programma applicativo installato presso l’utente stesso per l’accesso alla banca dati CRB. A seconda del tipo di programma, l’utente può decidere se e/o quali informazioni, rilevate presso di lui, sul suo utilizzo dei dati, vengano trasmesse al CRB. Il CRB utilizzerà queste informazioni per scopi statistici e per analisi di mercato, con l'obiettivo di migliorare l’offerta e di offrire prodotti su misura agli utenti. Il passaggio di questi dati a terzi avviene esclusivamente in forma anonima, in modo da non essere riconducibile all’utente. Le specifiche concrete e rilevanti per la protezione dei dati delle varie offerte online del CRB sono spiegate di seguito.
Per le pagine internet del CRB viene utilizzato Google Analytics, un servizio di analisi Web di Google Inc. («Google»). Google Analytics utilizza i cosiddetti "cookie". Si tratta di file di testo che possono essere salvati nel computer dell’utente e che permettono un’analisi dell’utilizzo delle pagine internet. Le informazioni generate attraverso cookie sull'utilizzo dei siti internet (compreso l'indirizzo IP) vengono trasferite e salvate su un server di Google negli USA. Google utilizzerà queste informazioni per analizzare l’utilizzo delle pagine internet, per compilare report delle attività sulle pagine internet per il gestore e per fornire altre prestazioni di servizio collegate all’utilizzo di internet e dei suoi siti. Inoltre Google trasmetterà eventualmente queste informazioni a terzi, se la legge lo prevede o se i terzi trattano questi dati per conto di Google. In nessun caso Google metterà in relazione gli indirizzi IP dell’utente con altri dati di Google. L’utente può impedire l’installazione dei cookie tramite la relativa impostazione del proprio browser software; si rende noto, tuttavia, che in questo caso non potranno essere completamente utilizzate tutte le funzioni dei siti web. Con l’utilizzo delle pagine internet del CRB, l’utente si dichiara d’accordo con l’elaborazione dei dati rilevati su di lui da parte di Google, nel modo sopra descritto e per lo scopo sopra indicato.
Oltre alle disposizioni di cui sopra relative alle pagine Internet del CRB, le indicazioni specifiche dell'utente sono necessarie per l'elaborazione delle ordinazioni, l'amministrazione delle licenze per il cliente, ecc. Queste indicazioni sono inserite dall'utente in un formulario di iscrizione previsto a questo scopo. Confermando i suoi dati, questi saranno trasmessi al CRB, registrati nel sistema ERP del CRB (ByD) e trattati risp. salvati, protetti e curati in conformità alla prassi consueta.
La piattaforma CRBinside (crb.ch.sharepoint.com) è una piattaforma in internet che il CRB mette gratuitamente a disposizione di terzi per la collaborazione digitale in gruppi di lavoro e di progetto e comprende i necessari dati, materiali (piani, immagini, grafici, ecc.) e informazioni. L'utilizzo di CRBinside avviene esclusivamente nell'ambito di disposizioni separate per l’utilizzo, valide per tutti i tipi di utilizzo della piattaforma e delle aree correlate. Utenti sono tutte le persone e le aziende che si sono registrate sulla piattaforma CRBinside. Con l'accesso a CRBinside, gli utenti confermano di aver compreso queste disposizioni e le riconoscono come vincolanti. L'acquisto e l'utilizzo degli standard CRB non concernono queste disposizioni per l’utilizzo. A tal fine sono determinanti le Condizioni generali di vendita del CRB (CGV del CRB).
Il CRB fornisce le cosiddette applicazioni web per vari scopi applicativi. Per ottenere la licenza per queste applicazioni web, gli utenti si registrano direttamente nel formulario di registrazione nell'applicazione web corrispondente o richiedono la licenza d'uso tramite un'ordinazione con relativa registrazione nel webshop del CRB. Nel caso di una registrazione effettuata direttamente nell'applicazione web, viene inviata un'e-mail al servizio clienti CRB e lì registrata nell'ERP del CRB. Nel caso di una registrazione o di un ordine tramite il webshop del CRB, il successivo trattamento dei dati è analogo alla procedura descritta per il webshop del CRB. Le informazioni devono essere pubblicate con il consenso degli interessati e nel rispetto delle norme sulla protezione dei dati. Il CRB non si assume alcuna responsabilità in merito e, in caso di rivendicazioni nei confronti del CRB, sarà ritenuto pienamente indenne e manlevato dall'utente responsabile. Il CRB fornisce agli utenti regi-strati con singole applicazioni web, la possibilità di presentare sé stessi e/o i loro progetti e/o i dati del progetto al CRB e/o ad altri utenti registrati delle applicazioni web CRB, mediante maschere predefinite nelle applicazioni web CRB. Le diverse applicazioni web CRB costituiscono una piattaforma di contatto e di informazione che permette agli utenti registrati il trattamento di informazioni su progetti propri e la ricezione di informazioni su progetti di altri utenti e di prendere contatto e scambiarsi informazioni con altri utenti. L'utilizzo delle applicazioni web CRB presuppone una registrazione (cfr. di cui sopra). Con la registrazione, l'utente può fornire informazioni su di sé o sulla propria azienda; le informazioni fornite devono essere veritiere e corrispondere alla realtà. In particolare, nel caso di servizi e applicazioni web che possono essere utilizzati gratuitamente, le informazioni sui progetti degli utenti, quali dati, modelli, descrizioni e classificazioni, vengono riutilizzate in forma anonima e possono essere pubblicate dal CRB a proprio nome e/o utilizzate per la raccolta di valori e/o valutazioni statistiche che il CRB può pubblicare a proprio nome. Il CRB si riserva il diritto di rimuovere informazioni dell'utente non corrette e non rispondenti al vero. I dati forniti dall’utente sulle applicazioni web CRB riguardo a se stesso, alla sua azienda, così come ai suoi progetti possono essere utilizzati illimitatamente dal CRB per la costituzione e per la messa a disposizione di altre funzioni e/o offerte. Allo stesso modo, i partner di progetto indicati dall'utente possono essere invitati dal CRB a registrarsi a loro volta sulle applicazioni web CRB. L'utente può utilizzare le informazioni fornite da altri utenti su progetti e partner di progetto esclusivamente per scopi di informazione e di contatto. Ogni altro utilizzo di informazioni e dati disponibili sulle applicazioni web CRB è consentito solo previo consenso scritto del CRB.
Con i suoi servizi web, il CRB supporta lo sviluppo delle attività commerciali. Questo include la Identity and Access Management (IAM), il servizio di licenza centrale e il conseguente accesso ai dati. Quando si utilizzano questi servizi web, i dati cliente del detentore di licenza possono essere collegati ai dati del cliente memorizzati in ERP CRB attraverso le informazioni del numero di cliente e della chiave di licenza. Queste identificazioni devono essere necessarie e possibili. Vengono però usate solo sporadicamente e su base casuale per scopi di controllo o se sussiste un sospetto di uso improprio degli standard del CRB. D'altra parte, il CRB supporta anche l'applicazione concreta di alcuni prodotti propri attraverso servizi web. Questo vale, per esempio, per l'assicurazione della qualità degli elenchi delle prestazioni secondo il Catalogo delle posizioni normalizzate CPN e lo scambio elettronico di dati previsto a questo scopo. Ciò viene eseguito per mezzo di un cosiddetto programma di controllo, che è disponibile o usato sia in locale che centralizzato, cioè online. Non è possibile trarre ulteriori informazioni, per esempio sui documenti elaborati, sui dettagli specifici dei progetti o sui partecipanti ai progetti.
Gli e-book del CRB sono gestiti da un'applicazione fornita da terzi. Per la richiesta e l'ottenimento di un e-book del CRB, è necessario che il fornitore terzo sia a conoscenza degli accessi Product Activation Key (PAK) specifici del cliente. Pertanto il fornitore terzo può ottenere informazioni come gli intervalli di utilizzo. Non è invece possibile un collegamento ai dati relativi all'indirizzo del cliente. Questo potrebbe essere effettuato solo in combinazione con le informazioni dell'indirizzo depositate presso il CRB, che l'azienda non fornisce.
Il CRB utilizza applicazioni di terzi per diffondere e ottenere informazioni (e-newsletter, sondaggi e webinar, ecc.). Si tratta di vari strumenti quali Mailchimp (Intuit Inc., USA), Microsoft 365 (insb. Forms), Q-SET o Zoom. Per il trattamento concreto e l'interazione da parte degli utenti di queste applicazioni web, le dichiarazioni sulla protezione dei dati fornite dai fornitori di queste applicazioni web si applicano in aggiunta alla dichiarazione sulla protezione dei dati del CRB. Occorre prendere atto separatamente di queste condizioni e dichiarazioni da parte di tutti gli utenti nel quadro della procedura di login. Il CRB ha la visione dei dati personali registrati dagli utenti e li trasferisce nell''ERP CRB. I dati vengono quindi gestiti come sopra descritto. I dati dell'utente che rimangono fino alla sospensione dell'utilizzo delle applicazioni web saranno salvati in conformità con le dichiarazioni sulla protezione dei dati dell'applicazione web in questione e successivamente cancellati.
Il trattamento dei dati personali sopra descritto è paragonabile a quello dei dati personali che possono essere resi accessibili nei canali dei social media utilizzati dal CRB come LinkedIn, Facebook, X e YouTube (di norma, si tratta solo di link che rimandano ai dati personali corrispondenti). Anche in questo caso, oltre alla presente dichiarazione sulla protezione dei dati del CRB, si applicano le rispettive disposizioni di utilizzo e di protezione dei dati dei singoli fornitori. Un trasferimento di dati personali dai vari canali di social media al sistema ERP del CRB non ha luogo. Se l'utilizzo di un canale di social media viene interrotto, i dati memorizzati dal CRB non saranno più disponibili e le disposizioni sulla protezione dei dati dei fornitori dei canali di social media in questione saranno nuovamente ed esclusivamente applicabili.
I gruppi di riferimento che forniscono al CRB dati personali, indipendentemente dalla forma di trasmissione, riconoscono e accettano che il CRB possa raccogliere e trattare i dati da loro forniti in conformità con le indicazioni della presente dichiarazione sulla protezione dei dati.
Le persone, delle quali trattiamo i dati, hanno il diritto di accesso secondo l'art. 25 della Legge federale sulla protezione dei dati (LPD). Nella misura in cui il trattamento si basa sul consenso, tutti gli interessati hanno il diritto di revocare questo consenso in qualsiasi momento senza effetto retroattivo. Le persone delle quali trattiamo i dati possono anche far valere gli altri diritti secondo la LPD. Per l'esercizio di tali diritti, gli interessati possono rivolgersi all'indirizzo indicato a fondo pagina. Il CRB elaborerà queste richieste in conformità alla LPD e potrà anche rifiutarle o soddisfarle solo in misura limitata in conformità con le disposizioni di legge.
7.1 privacy@crb.ch
Presso il CRB, l'ufficio informazioni responsabile della protezione dei dati è facilmente raggiungibile all'indirizzo privacy@crb.ch. Ovviamente, è pure possibile prendere contatto tramite posta o di persona. Le coordinate a tale scopo sono:
CRB, Datenschutzverantwortliche(r), Steinstrasse 21, Casella postale, 8036 Zurigo, Tel.: 044 456 45 45,
privacy@crb.ch
Poiché il nostro modo di lavorare e i nostri gruppi di riferimento cambiano costantemente e si prevede l'uso di altri strumenti o di strumenti aggiuntivi, soprattutto nel settore del software, la presente dichiarazione sulla protezione dei dati sarà adattata di conseguenza. La versione in vigore, e attualizzata di volta in volta, è disponibile nella nostra sede e pubblicata su crb.ch. Una panoramica relativa al decorso degli adeguamenti è disponibile sul sito crb.ch.
La versione N. 005 attualmente in vigore è stata pubblicata nel maggio 2024.