INFORMATIVA PRIVACY FINALIZZATA ALL’AUTORIZZAZIONE AL TRATTAMENTO DI DATI PERSONALI
Ai sensi del combinato disposto del Decreto Legislativo 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali” (Testo Unico in materia di Privacy)
e del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016
relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali
nonché alla libera circolazione di tali dati da qui in poi anche soltanto “GDPR”
P R E M E S S O
-
che il GDPR, pubblicato nella Gazzetta Ufficiale dell’Unione Europea (GUUE) L. 119 del 4 maggio 2016 e, ai sensi dell’art. 99 del GDPR, è entrato in vigore il 25 maggio 2016 e si applicherà obbligatoriamente in ciascuno Stato membro a far data dal 25 maggio 2018;
-
che, fino all’emanazione di provvedimenti diretti ad adeguare il quadro normativo nazionale alle disposizioni del Regolamento UE n. 679/2016 (GDPR), si rende necessaria, anche, l’applicazione del Codice della Privacy (D.lgs.n.196/2003), ancorché, nei limiti di quanto ciò non risulterà incompatibile con le previsioni contenute nel GDPR stesso;
-
che, pertanto, fermo restando quanto già previsto e disciplinato dal D.lgs.n.196/2003, il GDPR, con le eccezioni previste all’articolo 2, trova applicazione al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi;
-
che, secondo quanto previsto dall’art. 5 GDPR (“Principi applicabili al trattamento di dati personali”), i dati personali dell’interessato sono trattati secondo principi di
-
di liceità ovvero rispetto delle norme; di correttezza ovvero rispetto di norme etiche, deontologiche non codificate; e di trasparenza ovvero garanzia di consapevolezza dell’interessato, tracciabilità del dato e disclosure in ogni momento a richiesta dell’interessato (lettera a);
-
di “limitazione della finalità” ovvero raccolti per finalità determinate, esplicite e legittime oltre che successivamente trattati con modalità non incompatibili con tali finalità (lettera b);
-
di “minimizzazione dei dati” ovvero raccolti in modo adeguato, pertinente e limitato a quanto necessario rispetto alle finalità per le quali gli stessi dati sono trattati (lettera c);
-
di “esattezza” ovvero raccolti in modo esatto e, se necessario, aggiornati oltre che cancellati o rettificati in caso di loro accertata inesattezza (lettera d);
-
di “limitazione della conservazione” ovvero conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore a quello funzionale al conseguimento delle finalità per le quali gli stessi dati sono trattati (lettera e);
-
di “integrità e riservatezza” ovvero trattati in modo da garantire una adeguata sicurezza dei dati personali, compresa la loro protezione attraverso misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti o dalla perdita, distruzione o dal danno accidentali (lettera f);
-
che, in particolare, il trattamento è “lecito” se, e nella misura in cui, cfr. art. 6 GDPR (“Liceità del trattamento”) ricorra almeno una delle seguenti condizioni:
-
l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità (lettera a);
-
il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso (lettera b);
-
il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento (lettera c);
-
il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica (lettera d);
-
il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (lettera e);
-
il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore (lettera f).
tutto quanto sopra premesso, in ottemperanza al disposto normativo di cui all’art. 13 (“Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato”) – Sezione 2 (“Informazioni e accesso ai dati personali”) del GDPR, e di cui all’art. 13 (“Informativa”) del D.lgs.n.196/2003
Identificazione del “Titolare del Trattamento”
(cfr. definizione “Titolare del trattamento” punto 7 – art. 4 “Definizioni” GDPR: “persona fisica o giuridica, autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” e definizione “Titolare” lettera f) – art. 4 “Definizioni” D.lgs.n.196/2003: “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente associazione od organismo, cui competono anche unitamente a ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”):
Oggetto e Modalità del Trattamento:
(cfr. definizione “Trattamento” – art. 4 “Definizioni” GDPR: “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicati a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione meditante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” e definizione “Trattamento” – lettera a) art. 4, D.lgs.n.196/2003: “qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche, se non registrati in una banca dati” cfr. definizione di “Dato Personale” punto 1 – art. 4 “Definizioni” GDPR: “qualsiasi informazione riguardante una persona identificata o identificabile (“interessato”) considerandosi per “identificabile” la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, generica, psichica, economica, culturale o sociale”); e definizione “Dato Personale” – lettera b), art. 4, D.lgs.n.196/2003: “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”;
Il titolare tratta i dati personali identificativi forniti dall’interessato.
Il trattamento dei dati personali è realizzato sulla base delle operazioni indicate all’articolo 4, n.2), GDPR e dall’art. 4, lettera a), D.lgs.n.196/2003 e precisamente: raccolta, anche, attraverso l’ausilio di strumenti elettronici ed automatizzati; registrazione per scopi determinati, espliciti e legittimi ed utilizzo in ulteriori operazioni di trattamento, comunque, compatibili con tali scopi; organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati.
I dati verranno trattati nel rispetto della sicurezza e riservatezza necessaire e saranno sottoposti a trattamento sia cartaceo che elettronico e/o automatizzato.
Il Titolare tratterà i dati personali per il tempo necessario per adempiere alle finalità di cui sopra avendo cura di conservarli, comunque, nei limiti di quanto di seguito specificato.
Finalità del trattamento a cui sono destinati i dati personali:
I dati vengono qui raccolti e trattati:
-
senza consenso espresso (cfr. art. 24, D.lgs.n.196/2003 e cfr. art. 6 GDPR), per le seguenti finalità di Servizio:
-
concludere i contratti per i servizi del Titolare
-
adempiere agli obblighi precontrattuali, contrattuali e fiscali derivanti da rapporti in essere con l’interessato;
-
adempiere agli obblighi previsti dalla legge, da un regolamento, dalla normativa comunitaria o da un ordine dell’Autorità;
-
prevenire o scoprire attività fraudolente o abusi dannosi per il sito web;
-
esercitare i diritti del Titolare, ad esempio il diritto di difesa in giudizio.
-
solo previo specifico e distinto consenso (cfr. art. 7 GDPR), per le seguenti finalità di Marketing:
-
inviare via e-mail, posta e/o sms e/o contatti telefonici, newsletter, comunicazioni commerciali e/o materiale pubblicitario su prodotti o servizi offerti dal Titolare e rilevazione del grado di soddisfazione sulla qualità dei servizi offerti, segnalando che, ove l’interessato fosse già nostro cliente, potremo inviare comunicazioni commerciali relative a servizi e prodotti del Titolare analoghi a quelli di cui l’interessato ha già usufruito, salvo opposizione (cfr. art. 21 GDPR);
-
inviare a mezzo e-mail, posta e/o sms e/o contatti telefonici, comunicazioni commerciali e/o promozionali di soggetti terzi (ad esempio: business partner, compagnie assicurative, etc.);
Precisazioni in ordine al trattamento per “Finalità di Marketing” e di “Profilazione”
A beneficio dell’interessato, si precisa quanto segue:
-
I dati personali raccolti saranno trattati anche per perseguire finalità di promozione commerciale, comunicazione pubblicitaria, sollecitazione a comportamenti di acquisto, ricerche di mercato, sondaggi (anche telefonici, on-line o mediante formulari), elaborazioni statistiche (in forma identificativa), altre ricerche campionarie di marketing in senso lato di prodotti e/o servizi riferibili alla Società (di seguito, complessivamente, “Trattamento per Finalità di Marketing”) sia attraverso marketing “generico” sia “profilato” conseguente cioè all’ “attività di profilazione”(cfr. definizione “Profilazione” – art. 4 “Definizioni”: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica […]”)
-
In ogni caso, anche laddove l’interessato abbia prestato il consenso, resterà comunque libero in ogni momento di revocarlo, modificando le impostazioni dei consensi nell’area “Comunicazione e Privacy” del sito. A seguito della ricezione di tale richiesta di opt-out, il Titolare del Trattamento procederà tempestivamente alla rimozione e cancellazione dei dati dai database utilizzati per il “Trattamento per Finalità di Marketing” e di “Profilazione” e informerà per le medesime finalità di cancellazione eventuali terzi cui i dati siano stati comunicati.
-
Nel caso sia richiesta – per le finalità sopra illustrate – l’indicazione del numero di utenza telefonica dell’interessato e questi abbia prestato il consenso opzionale e specifico (che copre anche il trattamento di tale dato personale) per le finalità di promozione commerciale, di marketing e di profilazione sopra illustrate, il Titolare del Trattamento informa l’interessato che potrà legalmente trattare l’utenza telefonica per scopi marketing e di profilazione anche se essa risulti iscritta al Registro Pubblico delle Opposizioni, in quanto tratta da fonte diversa dagli elenchi telefonici pubblici e coperta da specifico consenso, salvo il diritto di opposizione successiva al trattamento ove sia formalmente revocato il consenso.
-
Si informa specificatamente e separatamente, come richiesto dall’art. 21 del GDPR che l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità e che qualora l’interessato si opponga al trattamento per finalità di marketing diretto e profilazione, i dati personali non potranno più essere oggetto di trattamento per tali finalità.
Diritti dell’interessato:
In conformità a quanto previsto dall’art. 7, D.lgs.n.196/2003 e GDPR l’interessato potrà esercitare i seguenti diritti
-
chiedere al titolare del trattamento l’accesso ai dati personali onde poter avere conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, ottenere tutte le necessarie informazioni secondo quanto meglio previsto e disciplinato dall’articolo 15 “Diritto di accesso dell’interessato” GDPR, e articolo 7, comma 1, D.lgs.n.196/2003;
-
chiedere al titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano come anche l’integrazione di quelli incompleti secondo quanto meglio previsto e disciplinato dall’articolo 16 “Diritto di rettifica” GDPR e articolo 7, comma 3, lettera a), D.lgs.n.196/2003;
-
chiedere al titolare del trattamento la cancellazione dei dati personali che lo riguardano nell’eventualità in cui i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati (lettera a); l’interessato abbia revocato il consenso o non sussiste fondamento giuridico per il trattamento (lettera b); l’interessato si sia opposto al trattamento ex art. 21, paragrafi 1 o 2, e non sussistano motivi prevalenti per procedere, comunque, al trattamento (lettera c); il trattamento sia illecito (lettera d); la cancellazione dei dati costituisca adempimento di obbligo legale a cui è soggetto il titolare del trattamento (lettera e); laddove sussista l’ipotesi prevista dall’articolo 8, paragrafo 1 (lettera f), il tutto – in ogni caso – secondo quanto meglio previsto e disciplinato dall’articolo 17 “Diritto alla cancellazione (“diritto all’oblio”) GDPR e articolo 7, comma 3, lettera b), D.lgs.n.196/2003;
-
ottenere dal titolare del trattamento la limitazione del trattamento stesso allorquando: l’interessato contesti l’esattezza dei dati personali (in questo caso nei limiti del tempo necessario a verificare l’esattezza di tali dati – lettera a); in ipotesi di trattamento illecito, l’interessato si opponga – però – alla cancellazione dei dati chiedendo, invece, che ne sia limitato l’utilizzo (lettera b); a prescindere dal fatto che il titolare del trattamento non ne abbia più bisogno per i fini del trattamento stesso, l’interessato abbia necessità di mantenere il dato per finalità di accertamento, esercizio o difesa in sede giudiziaria (lettera c); l’interessato si sia opposto al trattamento ex art. 21, paragrafo 1, in attesa della verifica sull’eventuale prevalenza dei motivi legittimi del titolare rispetto a quelli dell’interessato (lettera d), il tutto – in ogni caso – secondo quanto meglio previsto e disciplinate all’articolo 18 “Diritto di limitazione di trattamento”;
-
in qualsiasi momento, per motivi connessi alla sua particolare situazione, opporsi al trattamento dei dati personali che lo riguardano, ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni, oltre che nel caso di trattamento dei dati per finalità di marketing compresa, anche, in questo caso la profilazione nella misura in cui sia connessa a tale marketing diretto. Il tutto, in ogni caso, secondo quanto meglio previsto e disciplinato all’articolo 21 “Diritto di opposizione” GDPR e articolo 7, comma 4, lettere a) e b), D.lgs.n.196/2003;
-
ottenere la portabilità dei dati secondo quanto meglio previsto e disciplinate all’articolo 20 “Diritto alla portabilità dei dati”;
-
in qualsiasi momento, revocare il proprio consenso al trattamento dei dati senza che ciò possa pregiudicare le liceità del trattamento basato sul consenso prima della revoca. Il tutto, in ogni caso, secondo quanto meglio previsto e disciplinato dall’articolo 7 “Condizioni per il consenso”.
-
proporre reclamo ad una Autorità di controllo con il compito di sorvegliare l’applicazione del GDPR al fine di tutelare i diritti e le libertà fondamenti delle persone fisiche con riguardo al trattamento dei dati personali. Il tutto, in ogni caso, secondo quanto meglio previsto e disciplinato dagli articoli 51 e segg. “Autorità di controllo”;