MyGold SpA

POLICY DI GESTIONE DEL RISCHIO PRIVACY

ai sensi degli artt. 24, 25 e 32 del Reg. UE 2016/679 (GDPR)

e del D. Lgs. 196/2003 mod. D. Lgs. 101/2018 · Legge 7/2000 · D. Lgs. 231/2007

Versione: Marzo 2026

Licenza OPO: Banca d’Italia n. 5008800

Contatto privacy: info@mygold.world

 

Trasparenza, proporzionalità e accountability nella gestione dei dati personali dei nostri clienti

 

 

GDPR

Reg. UE 2016/679

Accountability e Risk-Based

Privacy

by Design

Art. 25 GDPR

72 ore

Data Breach

Notifica Garante Privacy

DPIA

Valutazione impatto

Trattamenti ad alto rischio

 

1.

INTRODUZIONE

 

MyGold SpA (di seguito MyGold o la Società), in qualità di Titolare del trattamento ai sensi dell’art. 4 n. 7 del Reg. UE 2016/679 (GDPR), si impegna a garantire la protezione dei dati personali dei propri clienti e di tutti i soggetti i cui dati sono trattati nell’ambito dei servizi di intermediazione e custodia di oro fisico e metalli preziosi.

La presente Policy di Gestione del Rischio Privacy descrive, in modo trasparente e comprensibile, l’approccio adottato da MyGold SpA per identificare, valutare e gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei dati personali, in conformità con il principio di accountability sancito dall’art. 5, par. 2, del GDPR.

 

Il presente documento è pubblicato sul sito www.mygold.world nella sezione “Privacy”, insieme all’Informativa sul Trattamento dei Dati Personali e alla Cookie Policy, al fine di garantire la massima trasparenza nei confronti degli interessati.

 

2.

RIFERIMENTI NORMATIVI

 

La presente Policy è redatta in conformità al seguente quadro normativo:

 

Normativa

Descrizione

Reg. UE 2016/679 (GDPR)

Protezione dei dati personali

Legge 17 gennaio 2000, n. 7

Disciplina del commercio dell’oro — obblighi di identificazione e conservazione dei dati degli operatori OPO e dei clienti

D.Lgs. 231/2007 (AML)

Antiriciclaggio — obblighi di raccolta, conservazione e segnalazione dei dati personali connessi alle procedure KYC/KYB; conservazione 10 anni

ISO/IEC 27001:2022

Standard internazionale per i sistemi di gestione della sicurezza delle informazioni — riferimento per le misure tecniche e organizzative adottate

 

3.

IL NOSTRO APPROCCIO ALLA GESTIONE DEL RISCHIO PRIVACY

 

MyGold SpA adotta un approccio sistematico e documentato alla gestione del rischio privacy, basato sui principi di proporzionalità e accountability previsti dal GDPR. Questo significa che:

  • Valutiamo i rischi per i diritti e le libertà delle persone prima di avviare qualsiasi nuovo trattamento di dati personali;
  • Adottiamo misure di sicurezza tecniche e organizzative proporzionate al livello di rischio rilevato (art. 32 GDPR);
  • Per i trattamenti che presentano un rischio elevato, conduciamo una Valutazione di Impatto sulla Protezione dei Dati (DPIA) ai sensi dell’art. 35 GDPR;
  • Il DPO supervisiona il processo di valutazione del rischio;
  • Rivediamo periodicamente la nostra valutazione del rischio per tener conto di nuovi trattamenti, modifiche normative o nuove minacce alla sicurezza.

 

4.

TRATTAMENTI AD ALTO RISCHIO E VALUTAZIONE DI IMPATTO (DPIA)

 

In considerazione della natura dei servizi offerti — intermediazione e custodia di oro fisico, gestione di piani di accumulo, adempimenti AML — alcuni trattamenti effettuati da MyGold presentano caratteristiche che li qualificano come ad alto rischio per i diritti e le libertà degli interessati, richiedendo la conduzione di una DPIA ai sensi dell’art. 35 del GDPR.

Le DPIA sono redatte e aggiornate periodicamente con il coinvolgimento del Responsabile Compliance. Qualora una DPIA evidenziasse un rischio residuo elevato nonostante le misure adottate, MyGold procederà alla consultazione preventiva del Garante per la Protezione dei Dati Personali ai sensi dell’art. 36 GDPR prima di avviare o proseguire il trattamento.

 

5.

MISURE DI SICUREZZA ADOTTATE

 

Ai sensi dell’art. 32 del GDPR, MyGold adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio, tenendo conto dello stato dell’arte, dei costi di attuazione e della natura, dell’oggetto, del contesto e delle finalità del trattamento.

 

5.1  Misure tecniche

Senza entrare nei dettagli operativi riservati, MyGold SpA garantisce l’adozione delle seguenti misure di sicurezza tecnica:

  • cifratura dei dati personali in transito e a riposo;
  • sistemi di autenticazione sicura per l’accesso alla piattaforma;
  • controllo degli accessi ai dati;
  • monitoraggio continuo della sicurezza dei sistemi informatici;
  • procedure di backup e di ripristino in caso di incidente;
  • test periodici di sicurezza delle infrastrutture informatiche.

 

5.2  Misure organizzative

  • Nomina del Titolare del trattamento con responsabilità formale sulla compliance privacy;
  • Designazione del Responsabile Compliance come referente interno per le questioni privacy operative;
  • Registro dei Trattamenti aggiornato ai sensi dell’art. 30 GDPR;
  • Formazione periodica del personale in materia di protezione dei dati personali e procedure AML;
  • Procedure documentate per la gestione delle violazioni dei dati personali (data breach — cfr. Art. 6);
  • Contratti di responsabilità del trattamento (DPA, art. 28 GDPR) con tutti i fornitori che trattano dati per conto di MyGold;
  • Applicazione dei principi di Privacy by Design e Privacy by Default (art. 25 GDPR) per ogni nuovo servizio o modifica significativa ai trattamenti;
  • Sistema ISMS certificato ISO/IEC 27001:2022 — riferimento per tutte le misure di sicurezza delle informazioni.

 

6.

GESTIONE DELLE VIOLAZIONI DEI DATI PERSONALI (DATA BREACH)

 

In caso di violazione dei dati personali (data breach), la società si impegna a:

  • valutare tempestivamente la natura e la portata della violazione e il rischio per i diritti e le libertà degli interessati;
  • notificare la violazione al Garante per la Protezione dei Dati Personali entro 72 ore dal momento in cui ne è venuta a conoscenza, qualora la violazione possa comportare un rischio per i diritti e le libertà delle persone fisiche (art. 33 GDPR);
  • comunicare la violazione agli interessati senza ingiustificato ritardo, qualora il rischio per i loro diritti e libertà sia elevato (art. 34 GDPR), con indicazione della natura della violazione e delle misure adottate o proposte;
  • documentare tutte le violazioni nel Registro degli incidenti, incluse quelle che non richiedono notifica al Garante (art. 33, par. 5 GDPR).

 

7.

PRIVACY BY DESIGN E PRIVACY BY DEFAULT

 

MyGold integra la protezione dei dati personali fin dalla progettazione di ogni nuovo servizio o modifica significativa ai trattamenti esistenti (Privacy by Design), ai sensi dell’art. 25 GDPR. Per impostazione predefinita (Privacy by Default), vengono trattati solo i dati personali strettamente necessari per ciascuna finalità specifica, limitando la raccolta, l’accesso, la conservazione d la diffusione dei dati al minimo indispensabile.

Prima del lancio di nuovi trattamenti che possano presentare un rischio elevato per i diritti e le libertà degli interessati, MyGold conduce una Valutazione di Impatto (DPIA) con il coinvolgimento del DPO.

 

8.

AGGIORNAMENTI DELLA POLICY

 

La presente Policy è soggetta a revisione annuale da parte del Titolare del trattamento e del Responsabile Compliance, ovvero al verificarsi di modifiche normative rilevanti o di nuovi trattamenti che richiedano una nuova valutazione del rischio.

La versione aggiornata è sempre disponibile su www.mygold.world nella sezione “Privacy”.

T&C Banco Metalli
Piani conto deposito
T&C MYGOLD spa
Certifications
Metals Bank
Markets

Arquitech – United Kingdom

Tesora International – USA

MyGOLD supports