PRIVACY POLICY
-
Introduzione
- La presente privacy policy (“Policy”) descrive le attività di trattamento di dati personali degli utenti (“Dati”) che consultano il sito www.fondazionedonmerici.it (“Sito”).
- La presente informativa è resta ai sensi dell’art. 13 e 14 del regolamento (UE) n. 2016/679 (di seguito GDPR).
- La presente informativa costituisce un documento separato rispetto alla cookie policy del sito in considerazione delle specifiche richieste dal provvedimento del Garante Privacy del 10.06.2021; unificare i due documenti comporterebbe la creazione di un documento troppo ampio e quindi poco leggibile per l’utente.
-
Termini e definizioni
- Dato personale: Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
- Titolare del trattamento: soggetto che stabilisce le finalità e le modalità del trattamento dei dati personali.
- Responsabile (esterno) del trattamento: la persona fisica o giuridica, autorità pubblica o organismo che tratta i dati per conto del titolare del trattamento.
- RID: Riservatezza, Integrità e Disponibilità, ossia i tre requisiti fondamentali della sicurezza delle informazioni – Riservatezza: Principio tale per cui l’informazione deve essere accessibile solo a chi è autorizzato a conoscerla, e che le informazioni devono essere protette sia durante la trasmissione che durante la memorizzazione. Integrità: Principio tale per cui le informazioni devono essere trattate in modo che siano difese da manomissioni e modifiche non autorizzate. Proprietà del dato di essere corretto e valido. L’integrità implica la completezza (presenza dell’informazione della sua totalità), l’accuratezza (informazione priva di errori) e la validità dell’informazione (informazione derivante da fonti valide e autorizzate). Disponibilità: Principio tale per cui le informazioni siano raggiungibili ed utilizzabili quando richiesto da soggetti autorizzati, nei tempi, nei luoghi e nelle modalità adeguate alle necessità operative.
- Utente: Soggetto che consulta il sito e utilizza i servizi dallo stesso proposti.
- Incaricato al trattamento/personale: soggetto, dipendente o collaboratore del Titolare, che ha accesso ai dati personali e che, come addetto autorizzato, svolge l’attività di trattamento sugli stessi secondo specifiche istruzioni formalmente impartite dal Titolare del trattamento e su autorità dello stesso.
- Soggetto interessato: Persona fisica identificata o identificabile, a cui fanno riferimento i dati personali raccolti/trattati dalla Società. Ad esempio, a seconda dei contesti, soggetto interessato può essere l’Utente che consulta un sito internet, il dipendente, il cliente, il fornitore, etc. Sono esclusi dalla definizione di soggetto interessato le persone giuridiche.
- Trattamento: Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
- La raccolta consiste nell’attività di acquisizione del dato.
- La registrazione consiste nella memorizzazione dei dati su un qualsiasi supporto.
- L’organizzazione consiste nella classificazione dei dati secondo un metodo pre-scelto.
- La strutturazione consiste nell’attività di distribuzione dei dati secondi schemi precisi.
- La conservazione consiste nel mantenere memorizzate le informazioni su un qualsiasi supporto.
- La consultazione è la lettura dei dati personali. Anche la semplice visualizzazione dei dati è un trattamento che può rientrare nell’operazione di consultazione.
- L’elaborazione consiste nell’attività con la quale il dato personale subisce una modifica sostanziale.
- La modificazione differisce dall’elaborazione in quanto può riguardare anche solo parte minima del dato personale.
- La selezione consiste nell’individuazione di dati personali nell’ambito di gruppi di dati già memorizzati.
- L’estrazione consiste nell’attività di estrapolazione di dati da gruppi già memorizzati.
- Il raffronto è un’operazione di confronto tra dati, sia in conseguenza di elaborazione che di selezione o consultazione.
- L’utilizzo è un’attività generica che ricopre qualsiasi tipo di impiego dei dati.
- Comunicazione consiste nel dare conoscenza di dati personali ad uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati. In caso di comunicazione il dato viene trasferito a terzi.
- Diffusione dare conoscenza dei dati a soggetti indeterminati, in qualunque forma anche mediante la loro messa a disposizione o consultazione. Si ha, quindi, diffusione anche quando si pubblica online, ad esempio una fotografia su un social network. In assenza di consenso tale attività deve ritenersi illecita.
- L’interconnessione consiste nell’utilizzo di più banche dati, e si riferisce all’impiego di strumenti elettronici.
- Il blocco consiste nella conservazione con sospensione temporanea di ogni altra operazione di trattamento.
- La cancellazione consiste nell’eliminazione di dati tramite utilizzo di strumenti elettronici.
- La distruzione è l’attività di eliminazione definitiva dei dati.
-
Estremi identificativi del Titolare.
- Il Presidente Alessandro Polver, in qualità di Titolare del trattamento (di seguito “Titolare”), tratta i Dati di cui in appresso.
- Il Titolare del trattamento è contattabile ai seguenti recapiti:
- tel.: +390365551288
- E-mail: info@fondazionedonmerici.it – p.e.c.: s.infanziadonamerici@pec.it
- Servizio postale: via Don Angelo Merici 11 – 25080 Solarolo (BS)
-
Soggetti interessati.
- Utenti che consultano il Sito.
-
Tipologia di dati trattati
- La visita e la consultazione del Sito non comportano in genere raccolta e trattamento dei Dati se non che per i Dati volontariamente forniti e i Cookies di cui alla cookie policy.
- Dati volontariamente forniti dall’Utente: Dati forniti quando l’Utente interagisce con le funzionalità del Sito (per es. attraverso la compilazione dei form per la presa di contatto o per chiedere un consulto). In questo caso saranno trattati i seguenti dati: nome, cognome, indirizzo e-mail della persona fisica Utente o del legale rappresentante/referente dell’Utente utilizzatore del servizio e gli ulteriori che l’Utente riterrà di inserire nei form per la presa di contatto o per chiedere un consulto. La fonte da cui provengono i Dati è l’Utente.
- I Dati raccolti dai Cookies tecnici necessari per il corretto funzionamento del banner a comparsa immediata secondo il provvedimento del Garante del 10.06.2021 come meglio precisato dalla cookie policy.
- La visita e la consultazione del Sito non comportano in genere raccolta e trattamento dei Dati se non che per i Dati volontariamente forniti e i Cookies di cui alla cookie policy.
-
Eventuale raccolta di Dati ulteriori rispetto alle categorie indicate
- Il Titolare potrà anche trovarsi nella necessità di richiedere ulteriori Dati e sottoporre gli stessi ad operazioni di trattamento ed a comunicarli agli enti indicati nel paragrafo titolato “Ambito di circolazione dei Dati” per le stesse causali precisate.
- Si tratterà, in tali circostanze, di Dati il cui conferimento:
- è imposto da leggi, regolamenti o decisioni di autorità;
- è necessario e strumentale alla gestione ed esecuzione del servizio richiesto dall’Utente;
- è necessario per perseguire l’interesse legittimo del Titolare siccome precisato all’art. 7 della presente informativa.
- Per questa ultima categoria di ipotesi saranno richiesti o raccolti e saranno trasmessi ai soggetti sopra specificati soltanto i Dati essenziali alla indicata finalità.
-
Finalità d’uso dei Dati e fondamento di legittimità
- I Dati sono trattati per gli scopi legittimi di seguito determinati con i relativi fondamenti:
- Esercizio di diritto di difesa ex art. 9 par. 2 lett. e-f) GDPR per i dati particolari che l’Utente riterrà di inserire nei form per la presa di contatto o per chiedere un consulto;
- Esecuzione del contratto o di misure precontrattuali adottate su richiesta dell’interessato per gli altri dati forniti spontaneamente:
- al fine di una valutazione della possibilità di instaurare un rapporto contrattuale,
- Finalità ad esse strettamente correlate;
- Legittimo interesse del Titolare per tutti i dati:
- La difesa in giudizio anche in sede amministrativa o in procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti.
- Obblighi di legge del Titolare per tutti i dati:
- L’adempimento e l’esecuzione di specifici compiti derivanti dalle leggi, dalla normativa comunitaria, dai regolamenti in particolare ai fini dell’instaurazione, gestione ed estinzione del rapporto.
- In aggiunta, i Dati sono utilizzati per compiere tutte le attività a queste strumentali e accessorie e comunque necessarie al perseguimento delle finalità dette (la registrazione, l’archiviazione dei Dati, la consultazione etc.)
- I Dati sono trattati per gli scopi legittimi di seguito determinati con i relativi fondamenti:
-
Natura del conferimento
- Il trattamento dei Dati previsto è del tutto strumentale alle finalità sopra citate.
- Il conferimento dei Dati di cui all’art. 5,a,i) da parte degli Utenti è facoltativo posto che l’Utente ben potrebbe solamente indicare la richiesta di contatto.
- I dati personali non saranno utilizzati per processi decisionali automatizzati, compresa la profilazione.
-
Periodo di conservazione dei dati personali
- I dati conferiti sub art. 5,a,i) saranno conservati per 3 mesi dal loro inserimento dopo di che saranno cancellati ed eventualmente trattati in forza di incarico professionale posto che, decorso detto termine, si suppone non venga conferito.
- I Dati raccolti per finalità riconducibili all’interesse legittimo del Titolare saranno trattenuti sino al soddisfacimento di detto interesse e quindi per un periodo di anni 5.
- Al termine del periodo di conservazione i Dati saranno cancellati e pertanto, allo spirare di tale termine, il diritto di accesso, cancellazione, rettificazione e il diritto alla portabilità dei Dati non potranno essere esercitati.
-
Modalità d’uso dei Dati
- Il trattamento dei Dati è eseguito prevalentemente attraverso procedure informatiche o comunque mezzi automatizzati, marginalmente con supporti cartacei ad opera del Titolare o di eventuali incaricati debitamente istruiti ed impegnati alla riservatezza.
- I Dati sono protetti mediante le misure organizzative e di sicurezza adeguate e predisposte onde evitarne l’accesso non autorizzato, la perdita o distruzione e in particolare:
- Accesso limitato al Titolare per
- le strutture IT,
- i locali ove sono conservati gli eventuali documenti ricevuti o stampati con i Dati forniti spontaneamente dall’Utente e i devices dove sono archiviati i dati telematicamente ricevuti,
- I Dati vengono salvati su
- Devices protetti da firewall e antivirus aggiornati e da password che viene modificata ogni 3 mesi,
- Hard disk esterno off line protetto da password che viene modificata ogni 3 mesi,
- Cloud fornito da Google,
- back up giornaliero sul cloud e su hard disk esterno,
- Predisposizione di un MOP,
- Anonimizzazione dei Dati prima di ogni loro comunicazione agli altri professionisti di Fondazione Don Merici e prima del conferimento di ogni incarico che comporterà l’autorizzazione al trattamento anche per detti altri Professionisti; I dati volontariamente forniti dagli Utenti attraverso la compilazione dei form per la presa di contatto o per chiedere un consulto sono trattati esclusivamente dal Titolare in quanto pervengono alla mail mauro@rete-giuridica.it.
- la formazione continua del Titolare stante la funzione di consulente privacy dallo stesso rivestita.
- Accesso limitato al Titolare per
- In conformità a quanto sancito dall’art. 5 del GDPR, i Dati sono:
- trattati in modo lecito, corretto e trasparente nei confronti dell’Interessato;
- raccolti e registrati per finalità determinate, esplicite e legittime, e successivamente trattati in termini compatibili con tali finalità;
- adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- esatti e se necessario, aggiornati;
- trattati in maniera da garantire un adeguato livello di sicurezza;
- conservati in una forma che consenta l’identificazione dell’Interessato per un periodo di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
-
Ambito di circolazione dei Dati
- Ambito riconducibile al medesimo titolare
- Il Titolare raccoglie i Dati e li tratta in tale sua veste.
- I Dati alla data di redazione della presente informativa non sono resi accessibili ad incaricati del trattamento ma solo al Titolare.
- Ambito riconducibile a soggetti esterni
- In aggiunta, sempre per le finalità strettamente strumentali al conferimento dei Dati, il Titolare ne trasmette alcuni, non quelli particolari, secondo uno stretto criterio di pertinenza, alle seguenti categorie di soggetti:
- consulenti esterni e società di servizi (anche informatici) a cui siano affidate specifiche gestioni inerenti il sito e l’uso dei servizi in esso proposti;
- autorità di pubblica sicurezza o autorità giudiziarie ove dalle stesse richiesto.
- soggetti e/o enti pubblici e privati a cui i Dati andranno comunicati al fine di adempiere o per esigere l’adempimento di specifici obblighi previsti dal contratto, da leggi, da regolamenti, dalla normativa comunitaria.
- Tali enti agiranno in qualità di distinti “Titolari” delle rispettive operazioni di trattamento. In taluni casi agiranno in qualità di Responsabili del trattamento debitamente nominati.
- In aggiunta, sempre per le finalità strettamente strumentali al conferimento dei Dati, il Titolare ne trasmette alcuni, non quelli particolari, secondo uno stretto criterio di pertinenza, alle seguenti categorie di soggetti:
- Ambito riconducibile al medesimo titolare
-
Non diffusione dei Dati
- I Dati non saranno oggetto di diffusione a soggetti indeterminati.
-
Ubicazione e Trasferimento dei Dati all’estero
- I Dati sono conservati su server ubicati all’interno dello SEE; sono altresì utilizzati servizi in cloud, per i quali i fornitori dei servizi hanno server nell’ambito dello SEE e forniscono garanzie adeguate, così come previsto dall’art. 46 GDPR.
- Resta in ogni caso inteso che il Titolare, ove si rendesse necessario, avrà facoltà di spostare i server anche extra-UE. In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge applicabili, previa stipula delle clausole contrattuali standard previste dalla Commissione Europea.
-
Violazione dei dati personali
- Il Titolare del trattamento è tenuto a:
- notificare eventuali violazioni di sicurezza che comportino accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati al Garante per la protezione dei dati personali senza ingiustificato ritardo e, ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la medesima violazione costituisca un rischio per i diritti e le libertà delle persone fisiche. Nel caso in cui non venga rispettato questo limite temporale, la notifica di violazione dovrà essere corredata dei motivi del ritardo. Per il contenuto minimo della notifica si faccia riferimento alle disposizioni dell’art. 33 del GDPR;
- comunicare l’eventuale violazione dei dati all’Interessato senza ingiustificato ritardo qualora tale violazione costituisca un rischio elevato per i diritti e le libertà delle persone fisiche, ad eccezione dei casi previsti dall’art. 34 del GDPR.
- Il Titolare del trattamento è tenuto a:
-
Diritti degli interessati
- Gli Interessati potranno esercitare i seguenti diritti: art. 15.22 GDPR
- diritto di accesso, ossia il diritto di ottenere dalla Società la conferma che sia o meno in corso il trattamento dei dati e, in tal caso, di ottenerne l’accesso. In particolare, l’Interessato ha diritto di ottenere l’indicazione (i) dell’origine dei dati personali; (ii) delle finalità e modalità del trattamento; (iii) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; (iv) degli estremi identificativi dei responsabili del trattamento; (v) dei soggetti o delle categorie di soggetti ai quali i Dati possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o di (eventuali) incaricati o (eventuale) rappresentante designato nel territorio dello Stato;
- diritto di rettifica, ossia il diritto di ottenere la rettifica (correzione, modifica integrazione) di Dati errati, non aggiornati o insufficienti di natura elementare e non di dati di tipo valutativo, relativi a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo. Nel caso in cui i dati personali oggetto di rettifica siano stati trasmessi ad altri soggetti, è onere del titolare darne comunicazione e richiedere la rettifica a ciascuno dei destinatari, a meno che ciò sia impossibile o implichi uno sforzo sproporzionato (art. 19 del GDPR).
- diritto all’oblio, ossia il diritto di ottenere la cancellazione, trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati dei Dati in determinate circostanze previste dalla legge;
- diritto a ricevere l’attestazione ossia il diritto di avere contezza che le operazioni di cui ai punti ii e iii sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;
- diritto di limitazione di trattamento, ossia il diritto di opporsi al trattamento ovvero di ottenere la limitazione del trattamento dei Dati ai sensi di legge;
- diritto ad essere informato delle rettifiche e cancellazioni e delle limitazioni del trattamento dei Dati;
- diritto alla portabilità, ossia il diritto di ricevere i Dati in un formato strutturato, di uso comune e leggibile a livello informatico nonché il diritto di trasmettere i dati ad un altro titolare del trattamento – tale diritto alla “portabilità” si applica solo ai Dati forniti dall’Interessato e può essere soggetto ad alcune restrizioni, così come previsto dalla Normativa Privacy;
- diritto di opposizione, ossia il diritto di opporsi al trattamento dei dati qualora sussistano motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni.
- Diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato: l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. Questo diritto non si applica nel caso in cui la decisione:
- sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento
- sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimo interessi dell’interessato;
- si basi sul consenso esplicito dell’interessato.
- diritto di revocare il consenso prestato, in qualsiasi momento, senza che ciò pregiudichi la liceità del trattamento basata sul consenso prestato prima della revoca;
- diritto al risarcimento, ossia il diritto di ottenere dal Titolare e/o dal Responsabile il pieno ed effettivo risarcimento di un danno subìto, materiale o immateriale (perdita finanziaria, furto d’identità, discriminazioni, etc.), se causato dal trattamento dei dati personali dell’interessato in violazione del Regolamento e il Titolare e/o il Responsabile non sono in grado di dimostrare che l’evento dannoso non è a loro imputabile;
- diritto di presentare un reclamo presso il Garante per la protezione dei dati personali (Piazza Venezia, 11 – 00187 Roma RM – PEC: protocol-lo@pec.gpdp.it) in caso di illecito trattamento salvi i limiti di cui al D. Lgs. N. 101/2018, art. 2-undecies e art. 2-duodecies.
- Si evidenzia che i diritti di cui agli artt. da 15 a 22 del GDPR riferiti ai dati personali concernenti persone decedute – ai sensi dell’art. 2-terdecies, comma 1, del D.Lgs. n. 196/2003 – “possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”. I soggetti legittimati possono essere ravvisati, per es., nei seguenti:
- i prossimi congiunti che abbiano ragioni familiari “meritevoli” di protezione (coniuge e figli, in mancanza ascendenti ovvero fratelli e sorelle e in loro mancanza altri ascendenti o discendenti diretti fino al quarto grado), individuati anche per analogia in materia di corrispondenza epistolare ex art. 93 della legge sul diritto d’autore (l. 22 aprile 1941, n. 633).
- gli esecutori testamentari, nominati ai sensi degli art. 700 c.c. e seg., incaricati ad esercitare i relativi diritti nell’interesse del de cuius, ovvero mandatari all’uopo investiti in forza di contratto di mandato post mortem exequendum, ossia un negozio giuridico concluso in vita tra le parti, con il quale il mandatario si impegna a compiere per conto del mandante, a seguito del decesso di quest’ultimo, un incarico avente ad oggetto disposizioni di natura generalmente non patrimoniale;
- chiunque dimostri di avere un interesse proprio a difesa di diritti patrimoniali che derivano dalla morte dell’interessato stesso nonché del diritto di difendere in giudizio propri interessi (ad esempio, gli eredi legittimari pretermessi).
- Gli Interessati potranno esercitare i seguenti diritti: art. 15.22 GDPR
-
Comunicazioni ed esercizio dei diritti dell’Interessato
- Per esercitare i diritti di cui agli artt. 15 – 22 GDPR (art. 15,a,i-x) l’interessato può inoltrare una richiesta scritta, rivolta senza formalità, al Titolare inviando una comuni-cazione al seguente indirizzo e-mail: privacy@rete-giuridica.it, alla sede (con racc. ar.) o alla pec sopraindicate.
- Alla richiesta si deve allegare una copia del documento di identità in assenza di sotto-scrizione digitale della richiesta.
- Come previsto dal GDPR il riscontro avverrà entro 30 giorni dal ricevimento della richiesta fatto salvo che nello stesso periodo il Titolare comunichi all’interessato la pro-roga di tale termine per ulteriori 60 giorni.
- L’esercizio di un diritto è di regola gratuito, tranne nei casi in cui:
- il titolare debba sostenere delle spese tecniche rilevanti per adempiere (es., qualora siano state richieste più copie);
- le richieste risultino manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo (es.vessatorie). In questi casi è possibile: addebitare un contributo spese (sub a e b), tenendo conto dei costi amministrativi sostenuti. In particolare,
- per quanto concerne il diritto di accesso, il titolare può addebitare un contributo spese ragionevole basato sui costi amministrativi, in caso di richiesta di ulteriori copie (art. 17, par. 3, GDPR);
- rifiutare di soddisfare la richiesta.
- In calce alla presente informativa è possibile compulsare un modello utilizzabile, ove ritenuto dall’interessato stante la libertà di forma, per l’esercizio dei propri diritti.