Privacy Policy di Computer Technology
In che modo Computer Technology raccoglie e gestisce i dati personali dei propri utenti.
N° 00 | 20 maggio 2024 | Prima Emissione |
N° 01 | 20 novembre 2024 | Revisione |
Il Regolamento Europeo 679/2016 (di seguito anche “Regolamento” e/o “GDPR”) disciplina la tutela delle persone fisiche con riguardo al trattamento dei dati personali nel rispetto dei principi di correttezza, liceità, nonché per la salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati.
Il presente documento esplicativo si deve ritenere parte integrante dell’informativa semplificata che hai letto sul sito https://www.computertechnology.it/
Questa informativa, quindi, ti spiega in modo maggiormente dettagliato le modalità e le ragioni per le quali il Titolare tratta i tuoi dati personali mentre navighi il sito internet.
Questo ti permetterà di capire al meglio i diritti, gli obblighi e le responsabilità, sia tue che del Titolare in merito al trattamento dei dati personali. Alla fine di questo documento sono riportati sia la spiegazione dei tuoi diritti sia gli articoli del GDPR e del Codice Privacy in modo tale che tu, in qualità di interessato, cioè la persona a cui si riferiscono i dati personali, abbia tutti gli strumenti, sia descrittivi che legali, per comprendere ogni aspetto del trattamento.
- Titolare del trattamento
1.1 Il Titolare del trattamento dei dati personali è Computer Technology S.r.l., codice fiscale, partita iva e num. iscrizione Registro Imprese di Roma 17260011006, (di seguito congiuntamente anche soltanto “Titolare” e/o “Computer Technology”)
1.2 Il Titolare del trattamento può essere contattato all’indirizzo mail privacy@computertechnology.it;
1.3 Il Responsabile per la Protezione dei Dati è l’Avv. Emiliano Vitelli che può essere contattato all’indirizzo dpo@computertechnology.it.
1.4. Per l’esercizio dei diritti dell’interessato Computer Technology ha predeterminato le apposite procedure che verranno comunicate all’Interessato a seguito di ogni legittima richiesta del medesimo ad uno dei contatti sopra elencati.
- Finalità del trattamento
2.1 I dati che raccogliamo durante la tua navigazione su questo sito servono a diversi scopi importanti. In primo luogo, alcuni di questi dati sono essenziali per far funzionare correttamente i nostri sistemi informatici e le procedure software che mantengono attivo il sito. Questi includono, ad esempio, informazioni tecniche e statistiche necessarie per garantire la corretta visualizzazione delle pagine e il corretto funzionamento delle funzionalità del sito.
2.2 Non viene fatto uso di cookie per la profilazione degli utenti. L’unico trattamento effettuato riguarda la produzione di statistiche, con dati pseudonimizzati, sulla navigazione (pagine più visitate, numero di visitatori per fascia oraria o giornaliera, aree geografiche di provenienza, ecc.).
2.3 Ci sono dati che vengono raccolti in modo implicito durante l’utilizzo dei protocolli di comunicazione di Internet. Questi dati sono fondamentali per consentire la comunicazione tra il tuo dispositivo e il nostro server, assicurando che le informazioni vengano trasmesse correttamente. Ciò include, ad esempio, indirizzi IP e altri dettagli tecnici che sono parte integrante della navigazione online.
2.4 In caso di messaggi inviati agli indirizzi mail del Titolare o tramite i moduli di contatto presenti sul sito, verranno trattati i dati personali oggetto della comunicazione. È importante che tu ci fornisca quelli strettamente necessari alle tue esigenze che saranno utilizzati per gestire la richiesta. In caso di richieste di assistenza verranno trattati, oltre che i dati informatici necessari per il funzionamento del servizio, tutti quelli che il cliente comunicherà al Computer Technology ai fini dell’erogazione del supporto informatico.
- Tipologia dei dati trattati.
3.1 Dati di navigazione. In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer e dei terminali utilizzati dagli utenti, gli indirizzi in notazione URI/URL (Uniform Resource Identifier/Locator) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente.
3.2 Dati comunicati dall’utente. Oltre ai dati di contatto i dati trattati dipendono dal contenuto del messaggio ed eventuali allegati.
3.3 Cookie e altri sistemi di tracciamento. Si rinvia alla specifica informativa.
Viene fatto uso di cookie tecnici di sessione (non persistenti), in modo strettamente limitato a quanto necessario per la navigazione sicura ed efficiente dei siti.
- Obbligo o facoltà di fornire i dati personali
4.1 I dati tecnici di navigazioni sono necessari per la fruizione medesima dei contenuti inseriti nel portale.
4.2 I dati inseriti nei messaggi (e-mail, moduli online, ecc) sono volontari e del tutto facoltativi ai fini delle finalità di cui alla presente informativa.
- Base giuridica del trattamento e periodo di conservazione.
5.1. La tabella che segue riporta uno schema dei dati trattati dal Titolare sulla base delle informazioni fornite direttamente dall’Interessato, nonché la base giuridica (cioè la giustificazione legale del trattamento) e il periodo di conservazione.
Base giuridica del trattamento | |
Ai fini della navigazione internet e per rispondere alle richieste degli utenti la base giuridica di trattamento è il legittimo interesse del Titolare, in quanto il trattamento dei dati è limitato e proporzionato alla finalità del sito, e non la privacy dell’utente | |
Tipologia di dati personali | |
Dati personali | Periodo di conservazione del trattamento |
Comuni | |
I dati di navigazione (compresi i cookies) | Non persistono per più di sette giorni (salve eventuali necessità di accertamento di reati da parte dell’Autorità giudiziaria). |
I dati forniti a seguito di richieste tramite moduli o indirizzi mail | Vengono conservati per tutto il tempo necessario al riscontro ed alla evasione della richiesta ricevuta |
Categorie particolari | |
Nessuno | |
Dati giudiziari | |
Nessuno |
- Processi decisionali automatizzati, compresa la profilazione
6.1 Il trattamento dei dati personali e particolari degli interessati non prevede l’esistenza di processi decisionali automatizzati (cioè, scelte operate esclusivamente da un sistema informatico, in assenza di un intervento umano), compresa la profilazione (cioè l’individuazione delle abitudini di una persona fisica), che possano comportare effetti giuridici che riguardano gli interessati o che incidono sugli stessi in modo rilevante.
- Comunicazione dei dati personali e destinatari
7.1 Sono destinatari dei dati raccolti a seguito della consultazione di alcuni dei servizi sopra elencati i seguenti soggetti designati e/o identificati dal titolare, ai sensi dell’articolo 28 del Regolamento, quali responsabili del trattamento:
Aruba S.p.A quale fornitore dei servizi di hosting, erogazione e gestione operativa delle piattaforme tecnologiche dei siti accessibili per via telematica, Provider di hosting e fornitori di servizi CRM, alle cui privacy policy si rimanda.
Il servizio di hosting garantisce che i dati trattati rimangano all’interno dello Spazio Economico Europeo.
Le piattaforme di ticketing e di help desk sono in hosting presso aziende fuori dal perimetro europeo che risultano certificate per il protocollo Data Privacy Framework (https://www.dataprivacyframework.gov/)
Alcuni dei dati personali raccolti sono altresì trattati dal personale del Titolare, che agisce sulla base di specifiche istruzioni fornite in ordine a finalità e modalità del trattamento medesimo.
I DIRITTI DELL’INTERESSATO
- Diritto di accesso
8.1 L’Interessato potrà chiedere al Titolare:
- la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano;
- l’accesso ai propri dati personali elencanti agli artt. 12 e 15 riportati in calce.
8.2 Il presente diritto è gratuito salve le eccezioni previste dal Regolamento.
8.3 Il ricorso al diritto di accesso non può ledere i diritti e le libertà altrui.
- Diritto di rettifica o integrazione
9.1 L’Interessato ha il diritto di ottenere dal Titolare la rettifica dei dati personali inesatti e, tenuto conto delle finalità del trattamento, ha il diritto di ottenere l’integrazione dei dati personali incompleti.
9.2 I diritti di accesso o rettifica sono disciplinati agli artt. 12, 15 e 19 riportati in calce.
- Diritto alla cancellazione
10.1 L’Interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali se sussiste uno degli specifici motivi previsti all’art. 16 riportato in calce.
10.2 L’Interessato potrà chiedere la cancellazione dei propri dati personali secondo le modalità previste agli artt. 12, 16 e 19 riportati in calce.
- Diritto alla limitazione del trattamento
11.1 L’Interessato ha il diritto che i propri dati personali non siano ulteriormente trattati, ma non cancellati se sussiste uno degli specifici motivi previsti all’art. 17 riportato in calce.
11.2 Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato, salvi i casi di: consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante.
11.3 L’Interessato potrà chiedere la cancellazione dei propri dati personali secondo le modalità previste agli artt. 12, 17 e 19 riportati in calce.
- Diritto di opposizione
12.1 L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano, compresa la profilazione.
12.2 L’Interessato potrà far valere il diritto di opposizione sulla base dei presupposti e nelle modalità previste all’art. 21 riportato in calce.
- Diritto alla portabilità
13.1 L’Interessato ha il diritto di ricevere dati personali, in un formato strutturato, di uso comune e leggibile meccanicamente.
13.2 L’Interessato ha il diritto di memorizzare i dati personali su un dispositivo nella propria disponibilità per fini personali, senza trasferirli a un diverso titolare.
13.3 L’Interessato ha il diritto di trasmettere i propri dati personali da un titolare del trattamento a un altro senza impedimenti.
13.4 Il diritto alla portabilità potrà essere fatto valere nei termini e limiti di cui all’art. 20 riportato in calce.
- Diritto di proporre reclamo
14.1 Al fine di far valere i propri diritti l’Interessato potrà rivolgersi, nelle modalità e nei termini previsti dagli artt. 77, 78, 79 e 82 riportati in calce, all’Autorità Giudiziaria oppure al Garante per la protezione dei dati di cui si riportano qui di seguito i recapiti:
-
- Piazza Venezia n. 11 – 00187 Roma;
- Fax: (+39) 06.69677.3785 – Centralino telefonico: (+39) 06.696771;
- E-mail: garante@gpdp.it – Posta certificata: protocollo@pec.gpdp.it
SOCIAL MEDIA POLICY
Computer Technology utilizza alcuni social media e servizi di messaggistica istantanea per finalità di comunicazione informativa e commerciale.
Di seguito sono indicati i profili istituzionali di Computer Technology su social media e servizi di messaggistica istantanea:
• Linkedin:
https://www.linkedin.com/company/computertechnology-it/
• Facebook:
https://www.facebook.com/computertechnology.it/
Eventuali altri profili social e di messaggistica che si presentano come riferiti a Computer Technology non sono gestiti dalla stessa o ad essa riconducibili.
Eventuali commenti sotto i post di Computer Technology e i post degli utenti che menzionano l’azienda rappresentano l’opinione dei singoli e non quella di Computer Technology, che non può essere ritenuta responsabile di ciò che viene pubblicato da terzi.
Gestione
I profili istituzionali su social media e servizi di messaggistica istantanea di Computer Technology sono gestiti da personale a ciò debitamente autorizzato ed istruito.
Sebbene i vari canali social possano essere sottoposti a moderazione comunque si chiede agli utenti che interagiscono il rispetto di alcune semplici ma importanti regole:
1. Esporre la propria opinione con educazione, correttezza, rispetto e utilizzando un linguaggio appropriato. Non sono tollerati insulti, volgarità, offese, minacce e, in generale, atteggiamenti e comportamenti violenti o diffamatori. Resta inteso che ognuno è responsabile, anche legalmente, dei contenuti che pubblica e delle opinioni che esprime.
2. I contenuti e i commenti devono essere pertinenti rispetto all’attività di Computer Technology e ai temi della protezione dei dati personali (on topic).
3. Chi presenta dati, notizie o opinioni su fatti o tematiche specifiche è invitato a proporre argomentazioni fondate e non pretestuose e a fare riferimento a fonti attendibili e verificabili.
4. I contenuti pubblicati devono rispettare sempre la sfera di riservatezza delle persone. Vanno in ogni caso evitati riferimenti a fatti o a dettagli privi di rilevanza e che ledano la sfera personale di terzi.
5. Non è ammessa alcuna forma di pubblicità, spam o promozione di interessi privati o di attività illecite o illegali.
6. Non sono ammessi contenuti che violino il diritto d’autore né l’utilizzo non autorizzato di marchi registrati.
I contenuti In ogni caso, ove possibile, saranno rimossi tutti i post, i commenti o i materiali audio/video che:
• utilizzano un linguaggio inappropriato e/o un tono minaccioso, violento, volgare o offensivo;
• presentano contenuti illeciti o di incitamento a compiere attività illecite;
• hanno finalità di promozione di prodotti e servizi;
• divulgano direttamente o indirettamente dati e informazioni personali (nomi, indirizzi email, numeri di telefono, codici fiscali, numeri di conto corrente, indirizzi, numeri di protocollo di documenti o pratiche, video o foto di persone riconoscibili, ecc.) o che in qualunque modo possono cagionare danni o ledere la sfera di riservatezza o la reputazione degli interessati;
• riportano, direttamente o indirettamente, informazioni riferite a minori;
• hanno un contenuto discriminatorio per genere, razza, etnia, lingua, credo religioso, opinioni politiche, orientamento sessuale, età, condizioni personali e sociali, salute;
• hanno finalità di spam;
• promuovono o sostengono attività illecite o illegali, che violano il copyright o che utilizzano in modo improprio un marchio registrato;
• in generale risultano non coerenti con le finalità di comunicazione istituzionale del Garante e con i contenuti comunicativi dei suoi profili social (off topic).
Per chi dovesse violare queste condizioni, Computer Technology si riserva il diritto di usare il ban o blocco (quando possibile, dopo un primo avvertimento) e, nei casi più gravi (ad esempio promozione o sostegno di attività illegali o commissione di qualsiasi forma di reato o danneggiamento di terzi), di segnalare l’utente ai responsabili della piattaforma ed eventualmente alle autorità preposte.
I canali social non possono essere utilizzati per richiedere (tramite messaggi diretti, commenti, menzioni, ecc.) informazioni personali o assistenza diretta in relazione alla quale Computer Technology ha predisposto specifici strumenti di comunicazione raggiungibili all’ indirizzo computertechnology.it
Chi segue un canale social media di Computer Technology non viene automaticamente seguito.
Se Computer Technology segue account di altri utenti, stringe amicizia con essi o li inserisce nelle sue liste di interesse, oppure commenta contenuti di altri utenti e/o vi attribuisce dei “like”, ciò non implica la condivisione da parte di Computer Technology della linea di pensiero degli utenti interessati o l’approvazione di tutti i contenuti pubblicati dagli stessi.
Protezione dei dati personali
Il trattamento dei dati personali degli utenti risponde alle policy in uso sulle piattaforme utilizzate. I dati personali o sensibili inseriti in commenti o post pubblici all’interno dei canali sui social media di Computer Technology potranno essere rimossi.
I dati condivisi dagli utenti attraverso messaggi privati inviati direttamente ai gestori dei canali saranno trattati nel rispetto delle norme
—————————– Gli articoli di legge ———————————-
Articolo 4 Definizioni
Ai fini del presente regolamento s’intende per:
- «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («Interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
- «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
- «limitazione di trattamento»: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;
- «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
- «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un Interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
- «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
- «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
- «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
- «destinatario»: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;
- «terzo»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’Interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;
- «consenso dell’Interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’Interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
- «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
- «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
- «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
- «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
- «stabilimento principale»: a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale; b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;
- «rappresentante»: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;
- «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica;
- «gruppo imprenditoriale»: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;
- «norme vincolanti d’impresa»: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune;
- «autorità di controllo»: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;
- «autorità di controllo interessata»: un’autorità di controllo interessata dal trattamento di dati personali in quanto: a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo; b) gli interessati che risiedono nello Stato membro dell’autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure c) un reclamo è stato proposto a tale autorità di controllo;
- «trattamento transfrontaliero»: a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;
- «obiezione pertinente e motivata»: un’obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all’interno dell’Unione;
- «servizio della società dell’informazione»: il servizio definito all’articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio (19);
- «organizzazione internazionale»: un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.
Art. 7 Condizioni per il consenso
- Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
- Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.
- L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.
Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.
- Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.
Articolo 12 Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’Interessato
- Il titolare del trattamento adotta misure appropriate per fornire all’Interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’Interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’Interessato.
- Il titolare del trattamento agevola l’esercizio dei diritti dell’Interessato ai sensi degli articoli da 15 a 22. Nei casi di cui all’articolo 11, paragrafo 2, il titolare del trattamento non può rifiutare di soddisfare la richiesta dell’Interessato al fine di esercitare i suoi diritti ai sensi degli articoli da 15 a 22, salvo che il titolare del trattamento dimostri che non è in grado di identificare l’Interessato.
- Il titolare del trattamento fornisce all’Interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’Interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’Interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’Interessato.
- Se non ottempera alla richiesta dell’Interessato, il titolare del trattamento informa l’Interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.
- Le informazioni fornite ai sensi degli articoli 13 e 14 ed eventuali comunicazioni e azioni intraprese ai sensi degli articoli da 15 a 22 e dell’articolo 34 sono gratuite. Se le richieste dell’Interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può:
- addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta; oppure
- rifiutare di soddisfare la richiesta.
Incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.
- Fatto salvo l’articolo 11, qualora il titolare del trattamento nutra ragionevoli dubbi circa l’identità della persona fisica che presenta la richiesta di cui agli articoli da 15 a 21, può richiedere ulteriori informazioni necessarie per confermare l’identità dell’Interessato.
- Le informazioni da fornire agli interessati a norma degli articoli 13 e 14 possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto. Se presentate elettronicamente, le icone sono leggibili da dispositivo automatico.
- Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 92 al fine di stabilire le informazioni da presentare sotto forma di icona e le procedure per fornire icone standardizzate.
Articolo 15 Diritto di accesso dell’Interessato
- L’Interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
- a) le finalità del trattamento;
- b) le categorie di dati personali in questione;
- c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
- d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- e) l’esistenza del diritto dell’Interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
- f) il diritto di proporre reclamo a un’autorità di controllo;
- g) qualora i dati non siano raccolti presso l’Interessato, tutte le informazioni disponibili sulla loro origine;
- h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’Interessato.
- Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’Interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento.
- Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’Interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’Interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’Interessato, le informazioni sono fornite in un formato elettronico di uso comune.
- Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.
Articolo 16 Diritto di rettifica
L’Interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’Interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Articolo 17 Diritto alla cancellazione (“diritto all’oblio”)
- L’Interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
- a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
- b) l’Interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
- c) l’Interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
- d) i dati personali sono stati trattati illecitamente;
- e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
- f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.
- Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’Interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
- I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:
- a) per l’esercizio del diritto alla libertà di espressione e di informazione;
- b) per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
- c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 9, paragrafo 2, lettere h) e i), e dell’articolo 9, paragrafo 3;
- d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o
- e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Articolo 18 Diritto di limitazione di trattamento
- L’Interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
- a) l’Interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
- b) il trattamento è illecito e l’Interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
- c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’Interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
- d) l’Interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’Interessato.
- Se il trattamento è limitato a norma del paragrafo 1, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’Interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro.
- L’Interessato che ha ottenuto la limitazione del trattamento a norma del paragrafo 1 è informato dal titolare del trattamento prima che detta limitazione sia revocata.
Articolo 19 Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell’articolo 16, dell’articolo 17, paragrafo 1, e dell’articolo 18, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all’Interessato tali destinatari qualora l’Interessato lo richieda.
Articolo 20 Diritto alla portabilità dei dati
- L’Interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:
- a) il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b); e
- b) il trattamento sia effettuato con mezzi automatizzati.
- Nell’esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l’Interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile.
- L’esercizio del diritto di cui al paragrafo 1 del presente articolo lascia impregiudicato l’articolo 17. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
- Il diritto di cui al paragrafo 1 non deve ledere i diritti e le libertà altrui.
Articolo 21 Diritto di opposizione
- L’Interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’Interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
- Qualora i dati personali siano trattati per finalità di marketing diretto, l’Interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.
- Qualora l’Interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento per tali finalità.
- Il diritto di cui ai paragrafi 1 e 2 è esplicitamente portato all’attenzione dell’Interessato ed è presentato chiaramente e separatamente da qualsiasi altra informazione al più tardi al momento della prima comunicazione con l’Interessato.
- Nel contesto dell’utilizzo di servizi della società dell’informazione e fatta salva la direttiva 2002/58/CE, l’Interessato può esercitare il proprio diritto di opposizione con mezzi automatizzati che utilizzano specifiche tecniche.
6.Qualora i dati personali siano trattati a fini di ricerca scientifica o storica o a fini statistici a norma dell’articolo 89, paragrafo 1, l’Interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguarda, salvo se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico.
Articolo 22 Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione
- L’Interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
- Il paragrafo 1 non si applica nel caso in cui la decisione:
- a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’Interessato e un titolare del trattamento;
- b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’Interessato;
- c) si basi sul consenso esplicito dell’Interessato.
- Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’Interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
- Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’Interessato.
Articolo 77 Diritto di proporre reclamo all’autorità di controllo
- Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’Interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.
- L’autorità di controllo a cui è stato proposto il reclamo informa il reclamante dello stato o dell’esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell’articolo 78.
Articolo 78 Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo
- Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda.
- Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ciascun Interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora l’autorità di controllo che sia competente ai sensi degli articoli 55 e 56 non tratti un reclamo o non lo informi entro tre mesi dello stato o dell’esito del reclamo proposto ai sensi dell’articolo 77.
- Le azioni nei confronti dell’autorità di controllo sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è stabilita.
- Qualora siano promosse azioni avverso una decisione di un’autorità di controllo che era stata preceduta da un parere o da una decisione del comitato nell’ambito del meccanismo di coerenza, l’autorità di controllo trasmette tale parere o decisione all’autorità giurisdizionale.
Articolo 79 Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento
- Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni Interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento.
- Le azioni nei confronti del titolare del trattamento o del responsabile del trattamento sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento. In alternativa, tali azioni possono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’Interessato risiede abitualmente, salvo che il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica di uno Stato membro nell’esercizio dei pubblici poteri.
Articolo 82 Diritto al risarcimento e responsabilità
- Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
- Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
- Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
- Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’Interessato.
- Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
- Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2.