La protezione dei dati nel Centro Giardinaggio dott. Daniele Bisinella 1 giugno 2018
Contenuti Le novità introdotte dal GDPR La protezione dei dati nel Centro Giardinaggio
Le novità Nuovo approccio: accountability = responsabilizzazione Informativa L’informativa deve essere integrata con: la base giuridica del trattamento; il periodo di conservazione dei dati (o dei criteri utilizzati per determinarlo); l’intenzione di trasferire i dati a un paese terzo ( attenzione ai dati in cloud); il diritto di proporre reclamo ad un’Autorità di controllo; l’esistenza di un processo decisionale automatizzato, compresa la profilazione; i dati di contatto del DPO.
Le novità Finalità del trattamento e base giuridica; Modalità del trattamento; Natura obbligatoria o facoltativa del conferimento dei dati; Conseguenze del rifiuto di fornire i dati; Soggetti o categorie di soggetti cui i dati possono essere comunicati o che possono venirne a conoscenza; Tempi di conservazione; Esistenza di un processo automatizzato; Intenzione di trasferire i dati in un paese terzo; I diritti che spettano all’interessato (anche di proporre reclamo all’autorità di controllo); Gli estremi identificativi del titolare.
Le novità √ L’eventuale consenso ESEMPI INFORMATIVA CONSENSO Dati clienti e fornitori per fornitura bene/servizio (ragione sociale, codice fiscale, partita iva, iban…) √ Dati clienti e fornitori per obblighi fiscali (ragione sociale, codice fiscale, partita iva, iban…) Dati clienti per invio messaggi promozionali e pubblicitari (email, cellulare) Attività di profilazione legate alla tessera fedeltà Email clienti per soft marketing dopo un convegno Dati dei collaboratori
Le novità Adeguate misure di sicurezza (Art. 32) Ad esempio: Antivirus, Antimalware, Firewall, Password di accesso, Crittografia, Backup, Partizionamento dei dati, formazione, apposito disciplinare per utilizzo computer e cellulare Valutazione d’impatto (DPIA) (artt. 35-36) obbligatoria per profilazione «sorveglianza sistematica su larga scala di una zona accessibile al pubblico» http://www.garanteprivacy.it/regolamentoue/DPIA#STRUMENTI Registro dei trattamenti (Art. 30) di fatto indispensabile necessario ai fini del DPIA Data breach (violazione dei dati) (Artt. 33-34) distruzione, perdita, modifica, accesso non autorizzato che potrebbero cagionare un danno fisico, materiale o immateriale. Sanzioni (Art. 84) in base alla natura, gravità e durata della violazione: dal 2% al 4% del fatturato mondiale. Rimangono invariati: Il consenso fornito prima del 25/05/18 resta valido Incaricati Responsabile del trattamento Amministratore di Sistema
Centri Giardinaggio: casi tipici Tessere fedeltà Consenso distinto per finalità di marketing e profilazione Obbligo DPIA (Artt. 35-36) e Registro dei Trattamenti (Art. 30) Tempi di conservazione dati per profilazione max 2 anni Sito Internet Adeguare l’informativa (Privacy Policy) L’indirizzo IP è un dato personale Resta in vigore la Cookie Law
Centri Giardinaggio: casi tipici Social Se il cliente ci contatta tramite social non serve informativa/consenso Pubblicazione foto sui social di un evento, in cui accidentalmente una o più persone siano riconoscibili consenso non necessario Foto di minori sempre necessario il consenso Anche l’immagine è un dato personale! Per approfondire: http://www.diritto24.ilsole24ore.com/art/avvocatoAffari/mercatiImpresa/2015-04-28/vademecum-realizzazione-e-diffusione-materiale-videografico-e-fotografico-liceita-e-violazione-privacy-095653.php Newsletter Adeguare l’informativa Richiesto sempre consenso No preselezione casella Soft marketing Non serve il consenso legittimo interesse Occorre comunque rispettare queste 4 condizioni: 1) che la modalità di trasmissione sia la posta elettronica (l’eccezione non si estende cioè ad altri mezzi, ad esempio il telefono); 2) che l’indirizzo email sia fornito nel contesto della vendita di un prodotto o di un servizio; 3) che si tratti di messaggi inviati dal titolare del trattamento (e non da terzi o per conto di terzi); 4) che l’interessato, adeguatamente informato, non rifiuti tale uso inizialmente o in occasione di successive comunicazioni e possa «opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente».
Centri Giardinaggio: casi tipici Videosorveglianza Gli interessati devono sempre essere informati che stanno per accedere ad una zona videosorvegliata. Pertanto il cartello recante l’informativa deve essere collocato PRIMA del raggio di azione della videocamera e cioè PRIMA dell’accesso alla zona videosorvegliata; Il cartello deve essere collocato IN TUTTE LE AREE SOTTOPOSTE A RIPRESE; Il cartello con l’informativa deve avere un formato ed un posizionamento tale da renderlo CHIARAMENTE VISIBILE in ogni condizione di illuminazione; Il cartello DEVE INDICARE il titolare del trattamento e la finalità perseguita (sicurezza, tutela delle persone e/o del patrimonio, ecc); Il titolare (o il responsabile) devono designare per iscritto tutte le persone fisiche incaricate del trattamento; I dati raccolti dal sistema devono essere protetti con idonee misure di sicurezza per ridurre al minimo i rischi di perdita, distruzione, accesso non autorizzato, trattamento non consentito; Il tempo di conservazione delle immagini non può eccedere di norma le 24 ore. Tuttavia a seguito dei chiarimenti forniti dal Garante nel 2013 in alcuni casi la conservazione delle immagini può estendersi fino a 7 giorni e la valutazione è rimessa al titolare del trattamento che si assume, al riguardo, ogni responsabilità. Per il punto 5 occorre quindi adottare specifiche misure per: verificare l’attività compiuta da parte di chi accede alle immagini o controlla i sistemi di ripresa; L’accesso alle immagini registrate deve essere tracciato attraverso un «log di accesso» verificabile per un congruo periodo non inferiore ai 6 mesi. programmare il sistema in modo da assicurare la cancellazione in forma automatica delle registrazioni allo scadere del termine di cui al punto 7.
Centri Giardinaggio: casi tipici Videosorveglianza Si ricorda che, nell’attività di videosorveglianza deve comunque essere rispettato il divieto di controllo a distanza dell’attività lavorativa. A tal fine l’impianto deve essere organizzato in modo tale da non effettuare riprese al fine di verificare l’osservanza dei doveri di diligenza dei lavoratori (es: orario di lavoro, orientando la telecamera sul badge, corretta esecuzione della prestazione lavorativa). In caso di ricorso ad un soggetto terzo (es.: azienda di vigilanza privata), questo deve essere nominato responsabile del trattamento. Senza preventiva autorizzazione non si possono installare nemmeno telecamere «finte», montate a scopo esclusivamente dissuasivo, scollegate o non funzionanti. A marzo 2017 l’Ispettorato Nazionale del Lavoro ha messo a disposizione sul proprio sito i nuovi modelli da utilizzare per inoltrare l’istanza di autorizzazione all'installazione di impianti di videosorveglianza: http://www.ispettorato.gov.it/it- it/notizie/Pagine/Nuovi-modelli-videosorveglianza.aspx Si ricorda che le sanzioni per la violazione di quanto sopra evidenziato sono MOLTO PESANTI: da 6.000 a 36.000 euro per l’omessa o inidonea informativa(vedi i punti 1, 2, 3 e 4). per la violazione del punto 6, applicazione, in ogni caso, oltre all’arresto fino a due anni, di una sanzione da 10.000 a 120.000 euro con esclusione del pagamento in misura ridotta; si ricorda che, in via generale, per la violazione dell’adozione di misure imposte dal Garante con proprio provvedimento (come è il caso della videosorveglianza) può anche essere applicata l’ulteriore sanzione da 30.000 a 180.000 euro. chi omette di fornire al Garante le informazioni o i documenti richiesti è punito con la sanzione amministrativa da 10.000 a 60.000 euro.
Centri Giardinaggio: casi tipici Misure di sicurezza: buone prassi nel garden Antivirus, firewall e sistema operativo aggiornati Backup dei dati Cartelle crittografate Gestionale su Desktop Remoto Abilitare internet solo nei pc necessari Computer dei reparti e delle casse con password di accesso Disabilitare la possibilità di inserire chiavette Usb nel computer (ad esempio: https://www.sordum.org/8104/ratool-v1-3- removable-access-tool/) Limitare l’accesso agli archivi cartacei/uffici solo alle persone autorizzate. Tenere distinto la rete wifi interna con il wifi free per i clienti Cellulari aziendali con pin di accesso Formazione del personale Disciplinare interno utilizzo internet, email
Centri Giardinaggio: casi tipici La documentazione Nomina scritta degli incaricati al trattamento Nomina scritta eventuali Responsabili esterni Se videosorveglianza o tessere fedeltà: Valutazione d’impatto + registro dei trattamenti Informative (con eventuale consenso) per ciascuna tipologia di interessati (tessera fedeltà, newsletter, ecc.)
Centri Giardinaggio: casi tipici https://www.youtube.com/watch?v=84Cy5fTM0fY
Informativa per fornitori o clienti (senza invio newsletter) (1) Ai sensi dell'art. 13 del d.lgs. 196/2003 La informiamo che Alfa Srl tratta i dati personali raccolti, con modalità cartacee ed elettroniche, come di seguito specificato. La presente informativa contiene anche le informazioni richieste dal Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO I dati fomiti saranno utilizzati per gli adempimenti agli obblighi di legge e contrattuali. La base giuridica che legittima il trattamento è l’esecuzione del rapporto negoziale di cui Lei è parte ed è necessario per adempiere ad un obbligo legale al quale è soggetto il responsabile del trattamento. MODALITA’ DEL TRATTAMENTO Il trattamento dei dati è improntato ai principi di correttezza, liceità, trasparenza e minimizzazione dei dati (privacy by design); potrà essere effettuato attraverso modalità cartacee, elettroniche o automatizzate atte a memorizzarli, elaborarli e trasmetterli ed avverrà mediante misure tecniche e organizzative adeguate, tenendo conto dello stato della tecnica e dei costi di attuazione, a garantire, fra l’altro, la sicurezza, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi, evitando il rischio di perdita, distruzione, accesso o divulgazione non autorizzati o, comunque, uso illecito, nonché mediante misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati. OBBLIGO DEL CONFERIMENTO DEI DATI E CONSEGUENZE DI UN EVENTUALE RIFIUTO Il conferimento dei dati per le finalità individuate non richiede il consenso al trattamento ed è obbligatorio ed essenziale ai fini dell'esecuzione delle prestazioni relative, nonché per gli adempimenti di legge conseguenti e correlati. L'eventuale rifiuto di fornire i dati ha come conseguenza l'impossibilità di dar corso al servizio richiesto. SOGGETTI AI QUALI I DATI PERSONALI POSSONO ESSERE COMUNICATI O SOGGETTI CHE NE VENGONO A CONOSCENZA I dati potranno essere trattati dai dipendenti autorizzati delle funzioni aziendali deputate al perseguimento delle finalità sopraindicate. Detti dipendenti autorizzati sono designati incaricati del trattamento (ai sensi dell'art. 30 del Codice e dell’art. 4 comma 10 del GDPR) ed hanno ricevuto, al riguardo, adeguate istruzioni operative. Ove necessario, i medesimi dati personali potranno essere comunicati a istituti di credito, società di recupero crediti, società di assicurazione del credito, società di informazioni commerciali e a professionisti e consulenti. Gli stessi soggetti opereranno in qualità di Titolari autonomi o saranno designati come Responsabili o Incaricati del trattamento. I Responsabili o gli Incaricati eventualmente designati riceveranno adeguate istruzioni operative al fine di poter garantire la riservatezza e la sicurezza dei dati. TEMPI DI CONSERVAZIONE I dati personali saranno conservati per nr. 10 (dieci) anni, dalla cessazione del rapporto di collaborazione/di fornitura del prodotto. ESISTENZA DI UN PROCESSO DECISIONALE AUTOMATIZZATO Non è presente un processo decisionale automatizzato.
Informativa per fornitori o clienti (senza invio newsletter) (2) INTENZIONE DEL TITOLARE DEL TRATTAMENTO DATI PERSONALI I dati possono essere trasferiti in Paesi terzi al di fuori dell’Unione Europea solamente se le rispettive legislazioni rispettano gli standard GDPR in materia di protezione dei dati personali. DIRITTI DELL'INTERESSATO Lei, in qualità di Interessato, avrà la possibilità di esercitare tutti i diritti contemplati dal GDPR nei confronti della Società, relativamente alle attività di trattamento che riguardino i Suoi dati personali. In particolare, spettano all’Interessato: a) Il Diritto di Accesso (Art. 15 GDPR), ai sensi del quale l’interessato può ottenere dalla Società la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, nonché l’accesso alle informazioni sulle finalità del trattamento, sulle categorie dei dati personali trattati, sui destinatari o le categorie di destinatari a cui i dati personali sono o saranno comunicati, sul periodo di conservazione previsto, sull’esistenza del diritto di richiedere la rettifica, la cancellazione o la limitazione del trattamento, sul diritto di proporre reclamo ad un’autorità di controllo, sull’esistenza di un processo decisionale automatizzato, compresa la profilazione; b) Il Diritto di Rettifica (Art. 16 GDPR), ai sensi del quale l’interessato può ottenere dalla Società la rettifica dei dati personali inesatti che lo riguardano, o l’integrazione di dati personali incompleti; c) Il Diritto alla Cancellazione (Art. 17 GDPR), ai sensi del quale l’interessato può ottenere dalla Società la cancellazione dei dati personali che lo riguardano, qualora: L’Interessato revochi il consenso rilasciato per il trattamento dei dati personali; I dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti; I dati personali sono stati trattati illecitamente; I dati personali devono essere cancellati per adempiere un obbligo legale; d) Il Diritto di Limitazione di Trattamento (Art. 18 GDPR), ai sensi del quale l’interessato può ottenere la limitazione del trattamento di dati personali che lo riguardano qualora: L’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali; Il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo; Benché la Società non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; e) Il Diritto alla Portabilità dei Dati (Art. 20 GDPR), ai sensi del quale l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti alla Società, e ha il diritto di trasmettere tali dati ad un altro titolare del trattamento senza impedimenti da parte della Società, qualora il trattamento sia effettuato con mezzi automatizzati. Se tecnicamente fattibile, l’interessato ha inoltre il diritto di ottenere la trasmissione diretta dei propri dati personali dalla Società ad altro titolare del trattamento; f) Diritto alla revoca del consenso fornito per il trattamento dei dati sensibili. I diritti di cui sopra potranno essere esercitati inviando una richiesta scritta o via e-mail alla Società utilizzando i contatti forniti in questa informativa. Oltre ai diritti di cui sopra, spetta sempre all’Interessato il diritto di proporre reclamo per qualsiasi questione riguardante il trattamento dei propri dati personali dinanzi all’Autorità Garante per la Protezione dei Dati Personali. TITOLARE DEL TRATTAMENTO Il Titolare del trattamento dei dati è: Alfa Srl, nella persona del suo legale rappresentante, con sede in via xxxxx, n. yy a www, P.I. xxxx, telefono xxx xxxx, email xxxxxxx .
Informativa e consenso clienti per invio newsletter (1) Ai sensi dell'art. 13 del d.lgs. 196/2003 La informiamo che Alfa Srl tratta i dati personali raccolti, con modalità cartacee ed elettroniche, come di seguito specificato. La presente informativa contiene anche le informazioni richieste dal Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO I dati fomiti saranno utilizzati per a) gli adempimenti agli obblighi di legge e contrattuali e b) per finalità di marketing e commerciali. La base giuridica che legittima il trattamento è l’esecuzione del rapporto negoziale di cui Lei è parte ed è necessario per adempiere ad un obbligo legale al quale è soggetto il responsabile del trattamento. Per il punto b) ha come base giuridica il Suo consenso ed è facoltativo. La raccolta dei dati è effettuata per le seguenti finalità: inviare materiale formativo e informativo, fornire servizi di assistenza e supporto, procedere con l’iscrizione alla newsletter, inviare comunicazioni di tipo pubblicitario, informativo e commerciale, gestire attività di profilazione commerciale, effettuare ricerche di mercato. MODALITA’ DEL TRATTAMENTO Il trattamento dei Dati è improntato ai principi di correttezza, liceità, trasparenza e minimizzazione dei dati (privacy by design); potrà essere effettuato attraverso modalità cartacee, elettroniche o automatizzate atte a memorizzarli, elaborarli e trasmetterli ed avverrà mediante misure tecniche e organizzative adeguate, tenendo conto dello stato della tecnica e dei costi di attuazione, a garantire, fra l’altro, la sicurezza, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi, evitando il rischio di perdita, distruzione, accesso o divulgazione non autorizzati o, comunque, uso illecito, nonché mediante misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati. OBBLIGO DEL CONFERIMENTO DEI DATI E CONSEGUENZE DI UN EVENTUALE RIFIUTO Il conferimento dei dati per le finalità individuate al precedente punto a) non richiede il consenso al trattamento ed è obbligatorio ed essenziale ai fini dell'esecuzione delle prestazioni relative, nonché per gli adempimenti di legge conseguenti e correlati. L'eventuale rifiuto di fornire i dati ha come conseguenza l'impossibilità di dar corso al servizio richiesto. Il conferimento dei dati per le finalità individuate al punto b), richiede il consenso al trattamento ed è facoltativo ai fini dell'esecuzione delle prestazioni relative, nonché per gli adempimenti di legge conseguenti e correlati. L'eventuale rifiuto di fornire i dati non ha conseguenze e non incide sulle prestazioni contrattuali. SOGGETTI AI QUALI I DATI PERSONALI POSSONO ESSERE COMUNICATI O SOGGETTI CHE NE VENGONO A CONOSCENZA I dati potranno essere trattati dai dipendenti autorizzati delle funzioni aziendali deputate al perseguimento delle finalità sopraindicate. Detti dipendenti autorizzati sono designati incaricati del trattamento (ai sensi dell'art. 30 del Codice e dell’art. 4 comma 10 del GDPR) ed hanno ricevuto, al riguardo, adeguate istruzioni operative. Ove necessario, i medesimi dati personali potranno essere comunicati a istituti di credito, società di recupero crediti, società di assicurazione del credito, società di informazioni commerciali e a professionisti e consulenti. Gli stessi soggetti opereranno in qualità di Titolari autonomi o saranno designati come Responsabili o Incaricati del trattamento. I Responsabili o gli Incaricati eventualmente designati riceveranno adeguate istruzioni operative al fine di poter garantire la riservatezza e la sicurezza dei dati. TEMPI DI CONSERVAZIONE I dati personali saranno conservati per nr. 10 (dieci) anni, dalla cessazione del rapporto di collaborazione/di fornitura del prodotto. ESISTENZA DI UN PROCESSO DECISIONALE AUTOMATIZZATO Non è presente un processo decisionale automatizzato. INTENZIONE DEL TITOLARE DEL TRATTAMENTO DATI PERSONALI I dati possono essere trasferiti in Paesi terzi al di fuori dell’Unione Europea solamente se le rispettive legislazioni rispettano gli standard GDPR in materia di protezione dei dati personali.
Informativa e consenso clienti per invio newsletter (2) DIRITTI DELL'INTERESSATO Lei, in qualità di Interessato, avrà la possibilità di esercitare tutti i diritti contemplati dal GDPR nei confronti della Società, relativamente alle attività di trattamento che riguardino i Suoi dati personali. In particolare, spettano all’Interessato: a) Il Diritto di Accesso (Art. 15 GDPR), ai sensi del quale l’interessato può ottenere dalla Società la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, nonché l’accesso alle informazioni sulle finalità del trattamento, sulle categorie dei dati personali trattati, sui destinatari o le categorie di destinatari a cui i dati personali sono o saranno comunicati, sul periodo di conservazione previsto, sull’esistenza del diritto di richiedere la rettifica, la cancellazione o la limitazione del trattamento, sul diritto di proporre reclamo ad un’autorità di controllo, sull’esistenza di un processo decisionale automatizzato, compresa la profilazione; b) Il Diritto di Rettifica (Art. 16 GDPR), ai sensi del quale l’interessato può ottenere dalla Società la rettifica dei dati personali inesatti che lo riguardano, o l’integrazione di dati personali incompleti; c) Il Diritto alla Cancellazione (Art. 17 GDPR), ai sensi del quale l’interessato può ottenere dalla Società la cancellazione dei dati personali che lo riguardano, qualora: L’Interessato revochi il consenso rilasciato per il trattamento dei dati personali; I dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti; I dati personali sono stati trattati illecitamente; I dati personali devono essere cancellati per adempiere un obbligo legale; d) Il Diritto di Limitazione di Trattamento (Art. 18 GDPR), ai sensi del quale l’interessato può ottenere la limitazione del trattamento di dati personali che lo riguardano qualora: L’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali; Il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo; Benché la Società non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; e) Il Diritto alla Portabilità dei Dati (Art. 20 GDPR), ai sensi del quale l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti alla Società, e ha il diritto di trasmettere tali dati ad un altro titolare del trattamento senza impedimenti da parte della Società, qualora il trattamento sia effettuato con mezzi automatizzati. Se tecnicamente fattibile, l’interessato ha inoltre il diritto di ottenere la trasmissione diretta dei propri dati personali dalla Società ad altro titolare del trattamento; f) Diritto alla revoca del consenso fornito per il trattamento dei dati sensibili. I diritti di cui sopra potranno essere esercitati inviando una richiesta scritta o via e-mail alla Società utilizzando i contatti forniti in questa informativa. Oltre ai diritti di cui sopra, spetta sempre all’Interessato il diritto di proporre reclamo per qualsiasi questione riguardante il trattamento dei propri dati personali dinanzi all’Autorità Garante per la Protezione dei Dati Personali. TITOLARE DEL TRATTAMENTO Il Titolare del trattamento dei dati è: Alfa Srl, nella persona del suo legale rappresentante, con sede in via xxxxx, n. yy a www, P.I. xxxx, telefono xxx xxxx, email xxxxxxx . CONSENSO EX ART. 23 DEL D. LGS. N. 196/03 LETTA L'INFORMATIVA [ ] DÀ IL CONSENSO [ ] NON DÀ IL CONSENSO al trattamento per le finalità di cui al punto b) attinenti l'esercizio commerciale e promozionale di prodotti e servizi da parte di Alfa Srl. Luogo, lì ______________________ ____________________________ firma
Informativa e consenso per la tessera fedeltà (1) INFORMATIVA E CONSENSO PRIVACY CLIENTE PER TESSERA FEDELTA’ Ai sensi dell'art. 13 del d.lgs. 196/2003 La informiamo che Alfa Srl tratta i dati personali raccolti, con modalità cartacee ed elettroniche, come di seguito specificato. La presente informativa contiene anche le informazioni richieste dal Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO I dati forniti saranno utilizzati per a) gli adempimenti agli obblighi di legge e contrattuali legate e connesse all’emissione/utilizzo della fidelity card; b) per finalità di marketing e commerciali; c) profilazione. La base giuridica che legittima il trattamento per i dati del punto a) è l’esecuzione del rapporto negoziale di cui Lei è parte ed è necessario per adempiere ad un obbligo legale al quale è soggetto il responsabile del trattamento, per le attività legate e connesse all’emissione/utilizzo della fidelity card. I dati obbligatori sono ad esempio: nome, cognome, genere, data di nascita, indirizzo di residenza, email. Per il punto b) e c) ha come base giuridica il consenso dell’interessato ed è facoltativo. Il loro utilizzo è condizionato al rilascio di un esplicito consenso, il mancato consenso esplicito e opzionale non impedirà di accedere ai servizi della fidelity card, ma potrà limitare l’adesione ad alcune iniziative collegate. Riguarda dati come il numero di telefono ed indirizzo email, indirizzo di residenza, data di nascita, abitudini di acquisto. La raccolta dei dati è effettuata per le seguenti finalità: comunicare direttamente il saldo dei punti/crediti guadagnati, per verificare il livello di soddisfazione dei servizi/prodotti forniti, inviare materiale formativo e informativo, fornire servizi di assistenza e supporto, procedere con l’iscrizione alla newsletter, inviare comunicazioni di tipo pubblicitario, informativo e commerciale, gestire attività di profilazione commerciale, effettuare ricerche di mercato. MODALITA’ DEL TRATTAMENTO Il trattamento dei dati è improntato ai principi di correttezza, liceità, trasparenza e minimizzazione dei dati (privacy by design); potrà essere effettuato attraverso modalità cartacee, elettroniche o automatizzate atte a memorizzarli, elaborarli e trasmetterli ed avverrà mediante misure tecniche e organizzative adeguate, tenendo conto dello stato della tecnica e dei costi di attuazione, a garantire, fra l’altro, la sicurezza, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi, evitando il rischio di perdita, distruzione, accesso o divulgazione non autorizzati o, comunque, uso illecito, nonché mediante misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.
Informativa e consenso per la tessera fedeltà (2) OBBLIGO DEL CONFERIMENTO DEI DATI E CONSEGUENZE DI UN EVENTUALE RIFIUTO Il conferimento dei dati per le finalità individuate al precedente punto a) non richiede il consenso al trattamento ed è obbligatorio ed essenziale ai fini dell'esecuzione delle prestazioni relative, nonché per gli adempimenti di legge conseguenti e correlati. L'eventuale rifiuto di fornire i dati ha come conseguenza l'impossibilità di dar corso al servizio richiesto. Il conferimento dei dati per le finalità individuate al punto b) e c), richiede il consenso al trattamento ed è facoltativo ai fini dell'esecuzione delle prestazioni relative, nonché per gli adempimenti di legge conseguenti e correlati. L'eventuale rifiuto di fornire i dati non ha conseguenze e non incide sulle prestazioni contrattuali. SOGGETTI AI QUALI I DATI PERSONALI POSSONO ESSERE COMUNICATI O SOGGETTI CHE NE VENGONO A CONOSCENZA I dati potranno essere trattati dai dipendenti autorizzati delle funzioni aziendali deputate al perseguimento delle finalità sopraindicate. Detti dipendenti autorizzati sono designati incaricati del trattamento (ai sensi dell'art. 30 del Codice e dell’art. 4 comma 10 del GDPR) ed hanno ricevuto, al riguardo, adeguate istruzioni operative. Ove necessario, i medesimi dati personali potranno essere comunicati a istituti di credito, società di recupero crediti, società di assicurazione del credito, società di informazioni commerciali e a professionisti e consulenti. Gli stessi soggetti opereranno in qualità di Titolari autonomi o saranno designati come Responsabili o Incaricati del trattamento. I Responsabili o gli Incaricati eventualmente designati riceveranno adeguate istruzioni operative al fine di poter garantire la riservatezza e la sicurezza dei dati. TEMPI DI CONSERVAZIONE I dati personali obbligatori saranno conservati per 10 (dieci) anni dall’ultimo acquisto effettuato con la tessera. I dati di marketing saranno conservati per 10 (dieci) anni. I dati di profilazione saranno conservati per 2 (due) anni. ESISTENZA DI UN PROCESSO DECISIONALE AUTOMATIZZATO Non è presente un processo decisionale automatizzato. INTENZIONE DEL TITOLARE DEL TRATTAMENTO DATI PERSONALI I dati possono essere trasferiti in Paesi terzi al di fuori dell’Unione Europea solamente se le rispettive legislazioni rispettano gli standard GDPR in materia di protezione dei dati personali.
Informativa e consenso per la tessera fedeltà (3) DIRITTI DELL'INTERESSATO Lei, in qualità di Interessato, avrà la possibilità di esercitare tutti i diritti contemplati dal GDPR nei confronti della Società, relativamente alle attività di trattamento che riguardino i Suoi dati personali. In particolare, spettano all’Interessato: a) Il Diritto di Accesso (Art. 15 GDPR), ai sensi del quale l’interessato può ottenere dalla Società la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, nonché l’accesso alle informazioni sulle finalità del trattamento, sulle categorie dei dati personali trattati, sui destinatari o le categorie di destinatari a cui i dati personali sono o saranno comunicati, sul periodo di conservazione previsto, sull’esistenza del diritto di richiedere la rettifica, la cancellazione o la limitazione del trattamento, sul diritto di proporre reclamo ad un’autorità di controllo, sull’esistenza di un processo decisionale automatizzato, compresa la profilazione; b) Il Diritto di Rettifica (Art. 16 GDPR), ai sensi del quale l’interessato può ottenere dalla Società la rettifica dei dati personali inesatti che lo riguardano, o l’integrazione di dati personali incompleti; c) Il Diritto alla Cancellazione (Art. 17 GDPR), ai sensi del quale l’interessato può ottenere dalla Società la cancellazione dei dati personali che lo riguardano, qualora: L’Interessato revochi il consenso rilasciato per il trattamento dei dati personali; I dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti; I dati personali sono stati trattati illecitamente; I dati personali devono essere cancellati per adempiere un obbligo legale; d) Il Diritto di Limitazione di Trattamento (Art. 18 GDPR), ai sensi del quale l’interessato può ottenere la limitazione del trattamento di dati personali che lo riguardano qualora: L’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali; Il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo; Benché la Società non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; e) Il Diritto alla Portabilità dei Dati (Art. 20 GDPR), ai sensi del quale l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti alla Società, e ha il diritto di trasmettere tali dati ad un altro titolare del trattamento senza impedimenti da parte della Società, qualora il trattamento sia effettuato con mezzi automatizzati. Se tecnicamente fattibile, l’interessato ha inoltre il diritto di ottenere la trasmissione diretta dei propri dati personali dalla Società ad altro titolare del trattamento; f) Diritto alla revoca del consenso fornito per il trattamento dei dati sensibili. I diritti di cui sopra potranno essere esercitati inviando una richiesta scritta o via e-mail alla Società utilizzando i contatti forniti in questa informativa. Oltre ai diritti di cui sopra, spetta sempre all’Interessato il diritto di proporre reclamo per qualsiasi questione riguardante il trattamento dei propri dati personali dinanzi all’Autorità Garante per la Protezione dei Dati Personali.
Informativa e consenso per la tessera fedeltà (4) TITOLARE DEL TRATTAMENTO Il Titolare del trattamento dei dati è: Alfa Srl, nella persona del suo legale rappresentante, con sede in via xxxxx, n. yy a www, P.I. xxxx, telefono xxx xxxx, email xxxxxxx . □ DA IL CONSENSO □ NEGA IL CONSENSO al trattamento dei dati per finalità commerciali e di marketing □ DA IL CONSENSO □ NEGA IL CONSENSO al trattamento dei dati per profilazione delle scelte di acquisto Data Firma
Nomina incaricati al trattamento Spett.le ____________ Oggetto: Incarico ed istruzioni per il trattamento dei dati ai sensi della normativa sulla privacy In relazione alle programmate attività di aggiornamento sui ruoli privacy svolte dalla ns. Società in relazione all’applicazione della normativa sulla privacy, Le confermiamo con la presente la Sua designazione di incaricato del trattamento di dati personali ai sensi dell’art. 30 d.lgs. n. 196/2003 (il “Codice Privacy”) e del Regolamento UE 679/2016 e la Sua autorizzazione, in tale qualità, ad accedere ai medesimi dati e ad eseguire, tramite computer e documenti anche cartacei, le operazioni di trattamento dei dati necessari ai fini dello svolgimento dei compiti ed attività a Lei affidati in ambito aziendale (art. 30 del D.lgs. n. 196/2003 - Codice privacy). Gli ambiti di trattamento a Lei consentiti sono quelli di competenza dell’ufficio/funzione a cui Lei è assegnato, nei limiti di quanto necessario allo svolgimento delle attività a Lei affidate dalla ns. Società, quale titolare di tale trattamento. In qualità di incaricato del trattamento dei dati personali (riferiti, a seconda dei compiti a Lei assegnati, a clienti, dipendenti, ecc.), Lei è tenuto ad attenersi scrupolosamente alle istruzioni allegate al presente incarico che ne costituiscono parte integrante, ed alle eventuali ulteriori istruzioni che le saranno impartite o riportate in ulteriori documenti aziendali messi a Sua disposizione(es.: istruzioni e manuali operativi). Le ricordiamo, infine, che il mancato rispetto di tali istruzioni potrà comportare la violazione degli obblighi previsti dal Codice Privacy ed esporre l’azienda, i relativi esponenti ed anche i singoli incaricati a rischi sul piano delle responsabilità e delle sanzioni a livello civile, amministrativo ed anche penale. Luogo, data ………………………………………….. Alfa Srl Per espressa accettazione della nomina e/o dell’incarico sopra indicato da attuarsi nel contesto delle operazioni di gestione dell’attività. Con espressa dichiarazione di conoscere funzioni, compiti ed obblighi inerenti alla nomina qui accettata. Per ricevuta li: _____________ Firma ………………………….………………………
Nomina Responsabili esterni al trattamento Spettabile Beta Srl Oggetto: Designazione di Beta Srl quale Responsabile del trattamento dei dati personali (art. 28 Reg. 679/2016). Con riferimento al trattamento connesso alla fornitura del servizio di elaborazione dati e amministrazione del personale, stipulato tra Alfa Srl ed Beta Srl, Alfa Srl, in qualità di titolare, designa Beta Srl a responsabile del trattamento ai sensi dell’art. 28 del regolamento 679/2016 (di seguito il Reg) fino a revoca. Beta Srl, sottoscrivendo la presente, accetta la designazione a responsabile e conferma di garantire la messa in atto di misure tecniche ed organizzative adeguate affinché il trattamento relativo al servizio di elaborazione dati e amministrazione del personale sia conforme al Reg. e garantisca la tutela dei diritti degli interessati. In particolare Beta Srl si impegna al rispetto delle seguenti istruzioni anche in caso di trasferimento dei dati verso paesi terzi: trattare i dati personali, ivi inclusi eventuali categorie particolari di dati ove necessari, nel pieno rispetto dei principi e delle disposizioni del Reg. ed esclusivamente per gli scopi specificati nel contratto; garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo di riservatezza; adottare misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio secondo quanto disposto dall’art. 32 del Reg.; non ricorrere ad altro responsabile senza aver preventivamente ottenuto l’autorizzazione di Alfa Srl e sulla base di contratto o altro atto giuridico che riporti queste istruzioni; assistere Alfa Srl nel garantire il rispetto degli obblighi in materia di sicurezza, ivi inclusa la gestione di eventuali violazioni dei dati, di valutazione di impatto e dell’eventuale consultazione preventiva del Garante ; cancellare o restituire a Alfa Srl tutti i dati personali al termine della prestazione del servizio o in caso di revoca della presente designazione, cancellando eventuali copie esistenti eccettuate eventuali esigenze di loro conservazione in adempimento di obblighi normativi di cui dovrà essere fornita attestazione a Alfa Srl; mettere a disposizione di Alfa Srl tutte le informazioni necessarie per dimostrare il rispetto degli obblighi imposti dal Reg. e contribuendo alle attività di revisione, comprese le ispezioni, realizzate da Alfa Srl o da altro soggetto da Alfa Srl incaricato. Beta Srl si impegna a mantenere indenne e manlevato Alfa Srl per ogni danno, onere, costo, spesa e/o pretesa di terzi eventualmente derivante dalla violazione degli obblighi di cui alla presente nomina a responsabile del trattamento. Per presa visione ed accettazione Il Responsabile Beta Srl Data ________, ______________________________________ [Firma legale rappresentante]
Grazie per l’attenzione dott. Daniele Bisinella daniele@rosaflor.it