INFORMATIVA AI SENSI DELL’ART. 13 DEL REGOLAMENTO EUROPEO 679/2016 E CONSENSO
Ai sensi dell’art. 13 del Regolamento europeo (UE) 2016/679 (di seguito GDPR), e in relazione ai dati personali di cui il Titolare del trattamento dei dati entrerà nella disponibilità al momento del rilascio del Suo consenso, Le comunichiamo quanto segue:
Titolare del Trattamento dei Dati (art. 13, §1, lett. a) Reg.UE)
Titolare del trattamento è la ditta Fiorini Srl – Via Malocello 57, Varazze – Tel. 019 22 199 69 – P.I. 01862190095 Il Titolare può essere contattato mediante mail all’indirizzo di posta elettronica info@fiorinipasta.it o mediante pec al’indirizzo info.pec@ilsaporedellatradizione.it La ditta Fiorini Srl NON HA nominato un responsabile della protezione dei dati personali (RPD ovvero, data protection officer, DPO)
Finalità del trattamento cui sono destinati i dati personali (art. 13, §1, lett. c) Reg.UE)
Finalità del Trattamento dei Dati raccolti
Il trattamento è finalizzato alla corretta e completa esecuzione della fornitura dei propri Servizi di vendita prodotti.
I suoi dati saranno trattati anche al fine di: Statistica, Interazione con social network e piattaforme esterne, Visualizzazione di contenuti da piattaforme esterne e Registrazione ed autenticazione. I dati personali potranno essere trattati sa mezzo sia di archivi cartacei, sia di mezzi informatici (ivi compresi dispositivi portatili) e trattati con modalità strettamente necessarie a far fronte alle finalità sopra indicate.
Base giuridica (LICEITA’) del trattamento (art. 13, §1, lett. c) Reg.UE – art. 6 §1, reg. UE)
(NOTE: occorre specificare quale ipotesi ricorra, tra quelle dell’art. 6) Il trattamento dei Dati Personali da parte del Titolare è lecito ricorrendo le seguenti condizioni: • l’interessato ha espresso il consenso al trattamento dei propri Dati Personali per un o più specifiche finalità; (art. 6, §1, lett. a) Reg.UE) • il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte e/o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso ;(art. 6, §1, lett. b) Reg.UE) • il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il Titolare del trattamento; (art. 6, §1, lett. c) Reg.UE) E’ comunque sempre possibile richiedere al Titolare di chiarire la concreta base giuridica di ciascun trattamento ed in particolare di specificare se il trattamento sia basato sulla legge, previsto da un contratto o necessario per concludere un contratto.
Conseguenze della mancata comunicazione dei dati personali
Con riguardo ai dati personali relativi all’esecuzione del contratto di cui Ella è parte o relativi all’adempimento ad un obbligo contrattuale (ad esempio gli adempimenti legati alla tenuta delle scritture contabili e fiscali), la mancata comunicazione dei dati personali impedisce il perfezionarsi del rapporto contrattuale stesso.
Destinatari del trattamento o categorie di destinatari dei dati personali (art. 13, §1, lett. e) Reg.UE)
Intenzione del titolare del trattamento di trasferire dati personali ad un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso di trasferimenti di cui all’articolo 46 o 47 o 49, secondo comma, il riferimento alle garanzie appropriate o opportune ed i mezzi per ottenere una copia di tali dati o il luogo sono sono stati resi disponibili (art. 13, §1, lett. f) Reg.UE)
Ulteriori informazioni necessarie per garantire un trattamento secondo i principi della correttezza e della trasparenza (Art. 13, §2, Reg.UE)
PERIODO DI CONSERVAZIONE DEI DATI PERSONALI (Art. 13, §2, lett. a), Reg.UE)
I Dati sono trattati e conservati per il tempo richiesto dalle finalità per le quali sono stati raccolti. Pertanto: • I Dati Personali raccolti per scopi collegati all’esecuzione di un contratto tra il Titolare e l’Utente saranno conservati per il periodo di durata del contratto e sino alla sua completata esecuzione e, successivamente, per il periodo di tempo in cui il Titolare del trattamento sia soggetto ad obblighi di conservazione per finalità fiscali o per altre finalità, previsti da norme di legge. Quando il trattamento è basato sul consenso dell’Utente, il Titolare può conservare i Dati Personali più a lungo sino a quando detto consenso non venga espressamente revocato e/o fino al termine di prescrizione dei diritti sorti dal rapporto contrattuale. Inoltre il Titolare potrebbe essere obbligato a conservare i Dati Personali per un periodo più lungo in ottemperanza ad un obbligo di legge o per ordine di un’autorità e/o comunque non oltre 10 anni. Al termine del periodo di conservazioni i Dati Personali saranno cancellati. Pertanto, allo spirare di tale termine il diritto di accesso, cancellazione, rettificazione ed il diritto alla portabilità dei Dati non potranno più essere esercitati.
DIRITTI DELL’INTERESSATO (Art. 13, §2, lett b), Reg.UE)
Tra i diritti a Lei riconosciuti dal GDPR rientrano quelli di: ◦ ACCESSO: accesso ai dati personali ed alle informazioni relative agli stessi (art. 15): ▪ l’interessato ha il diritto di accesso ed il diritto di ricevere una copia dei dati personali oggetto di trattamento. ▪ l’interessato non ha diritto a ricevere l’informativa in ordine alle “modalità” del trattamento, mentre ha il diritto di conoscere il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi, entrambi meglio specificati nei relativi paragrafi. ◦ RETTIFICA: la rettifica dei dati inesatti o l’integrazione di quelli incompleti (ART. 16): ▪ l’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo; ▪ tenuto conto delle finalità del trattamento, l’interessato ha altresì il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa; ◦ CANCELLAZIONE: la cancellazione dei dati personali che La riguardano (al verificarsi di una delle condizioni indicate nell’art. 17, paragrafo 1 del GDPR e nel rispetto delle eccezioni previste nel paragrafo 3 dello stesso articolo) (“diritto all’oblio”) (ART. 17): ▪ l’interessato ha il diritto “all’oblio” ovvero il diritto alla cancellazione dei propri dati personali, senza ingiustificato ritardo da parte del titolare, se sussiste uno dei seguenti motivi: a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento; c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2; d) i dati personali sono stati trattati illecitamente; e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1; ▪ il titolare che avesse “reso pubblici” i dati personali dell’interessato (ad esempio, pubblicandoli su un sito web) informerà della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione” (si veda art. 17, paragrafo 2); ▪ l’interessato ha il diritto di chiedere la cancellazione dei propri dati, anche dopo la revoca del consenso al trattamento (si veda art. 17, paragrafo 1); ◦ PORTABILITA’: richiedere ed ottenere dal Titolare – nelle ipotesi in cui la base giuridica del trattamento sia il contratto o il consenso, e lo stesso sia effettuato con mezzi automatizzati – i suoi dati personali in un formato strutturato e leggibile da dispositivo automatico, anche al fine di comunicare tali dati ad un altro titolare del trattamento (c.d. diritto alla portabilità dei dati personali) (art. 20). (Sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato e solo i dati che siano stati “forniti” dall’interessato al titolare – considerando 68). ◦ OPPOSIZIONE: opporsi in qualsiasi momento al trattamento dei suoi dati personali al ricorrere di situazioni particolari che La riguardano; ◦ REVOCA: revocare il consenso in qualsiasi momento, limitatamente alle ipotesi in cui il trattamento sia basato sul suo consenso per una o più specifiche finalità e riguardi dati personali comuni (ad esempio data e luogo di nascita o luogo di residenza), oppure particolari categorie di dati (ad esempio dati che rivelano la sua origine razziale, le sue opinioni politiche, le sue convinzioni religiose, lo stato di salute o la vita sessuale). Il trattamento basato sul consenso ed effettuato antecedentemente alla revoca dello stesso conserva, comunque, la sua liceità. La revoca andrà effettuata per iscritto al Titolare Fiorini Srl all’indirizzo di posta elettronica info@fiorinipasta.it (con conferma di lettura) o all’indirizzo pec info.pec@ilsaporedellatradizione.it o tramite raccomandata r.r. all’indirizzo Via Malocello 57/59 17019 Varazze (SV)” (art. 13, §2, lett c), Reg.UE); ◦ RECLAMO: proporre un reclamo all’autorità di controllo della protezione dei dati personali dello Stato in cui risiede o lavora o agire in sede giudiziale (Autorità Garante per la protezione dei dati personali – www.garanteprivacy.it), secondo le modalità previste dalla normativa nazionale dello Stato sede dell’autorità competente (art. 13, §2, lett d), Reg.UE) ◦ LIMITAZIONE DEL TRATTAMENTO (ART. 18): ▪ l’interessato ha il diritto di limitazione del trattamento dei propri dati personali: a. in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi); b. se ne ha richiesto la rettifica (in attesa di tale rettifica da parte del titolare); c. se si oppone al loro trattamento ai sensi dell’art. 21 del regolamento (in attesa della valutazione da parte del titolare). ▪ Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze (consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante).
ALTRI DIRITTI DELL’INTERESSATO – MODALITA’ PER L’ESERCIZIO DEI DIRITTI (Artt. 11 e 12, Reg.UE)
• Per l’esercizio di tutti i diritti previsti dal Regolamento (compreso il diritto di accesso) l’interessato riceverà un riscontro da parte del Titolare del trattamento dei dati personali entro un mese dalla richiesta, estendibile fino a 3 mesi soltanto in casi di particolare complessità, anche in caso di diniego. • Il Titolare del trattamento dei dati personali valuterà la complessità del riscontro all’interessato e stabilirà l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive) (art.12, paragrafo 5), a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi 7 e 8, del Codice, ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3); in quest’ultimo caso il titolare terrà conto dei costi amministrativi sostenuti. • Il riscontro all’interessato verrà fornito di regola in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; potrà essere dato oralmente solo se così richiede l’interessato stesso (art. 12, paragrafo 1; si veda anche art. 15, paragrafo 3). • La risposta fornita all’interessato sarà “intelligibile” e concisa, trasparente e facilmente accessibile ed il linguaggio semplice e chiaro • ll Titolare del trattamento dei dati personali agevolerà l’esercizio dei diritti da parte dell’interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea. • L’esercizio dei diritti è, in linea di principio, gratuito per l’interessato. • Il titolare avrà il diritto di chiedere tutte le informazioni necessarie ad identificare puntualmente l’interessato, e quest’ultimo avrà il dovere di fornirle, secondo modalità idonee (art. 11, paragrafo 2 e art. 12, paragrafo 6).
COMUNICAZIONE DEI DATI PERSONALI QUALE OBBLIGO LEGALE O CONTRATTUALE OPPURE QUALE REQUISITO NECESSARIO PER LA CONCLUSIONE DEL CONTRATTO (Art. 13, §2, lett e), Reg.UE)
(NOTE: Occorre che sui modelli utilizzati sulla pagina Web debbano essere specificati i campi richiesti come obbligatori o facoltativi e occorre illustrare le conseguenze del mancato riempimento dei campi) I suoi dati personali potranno essere comunicati a: • consulenti e/o commercialisti che eroghino prestazioni funzionali ai fini sopra indicati; • istituti bancari e assicurativi che eroghino prestazioni funzionali ai fini sopra indicati; • soggetti che elaborano i dati in esecuzione di esecuzione di specifici obblighi di legge.
PROFILAZIONE E DIFFUSIONE DEI DATI
I suoi dati personali non sono soggetti a diffusione né ad alcun processo decisionale interamente automatizzato, ivi compresa la profilazione. Registro dei trattamenti (Art. 30, Reg. UE). • Il titolare del trattamento dei dati personali tiene un registro delle operazioni di trattamento che raccoglie tutte le seguenti informazioni: a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate; f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, § 1 • Il registro ha forma scritta, anche elettronica, e sarà esibito su richiesta dell’Autorità di controllo.
Misure di sicurezza (Art. 32, § 1, Reg. UE);
• Le misure di sicurezza: 1. Garantiscono “un livello di sicurezza adeguato al rischio” del trattamento in questo senso, che comprendono, tra le altre, le seguenti misure tecniche e/o organizzative: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 2. Tengono conto dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 3. Potranno essere conformi ad un codice di condotta approvato di cui all’articolo 40 o ad un meccanismo di certificazione approvato di cui all’articolo 42.
Notifica delle violazioni di dati personali
• Il titolare del trattamento dei dati personali notifica all’Autorità di controllo le violazioni di dati personali di cui venisse a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se riterrà probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (si veda considerando 85). • Al Titolare del trattamento dei dati personali spetta la valutazione del rischio per gli interessati e la decisione di effettuare la notifica all’Autorità dell’avvenuta violazione. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre “senza ingiustificato ritardo”, nel rispetto delle linee-guida in materia di notifica delle violazioni di dati personali del Gruppo “Articolo 29”.
Tipologie di Dati raccolti
Fra i Dati Personali raccolti da questa Applicazione, in modo autonomo o tramite terze parti, ci sono: Cookie, Dati di utilizzo, nome, cognome, sesso, numero di telefono, indirizzo, username, email, password, ragione sociale, Partita IVA, nazione, CAP, città, ID Utente, indirizzo di fatturazione, indirizzo di spedizione, numero civico e lingua. Dettagli completi su ciascuna tipologia di dati raccolti sono forniti nelle sezioni dedicate di questa privacy policy o mediante specifici testi informativi visualizzati prima della raccolta dei dati stessi. I Dati Personali possono essere liberamente forniti dall’Utente o, nel caso di Dati di Utilizzo, raccolti automaticamente durante l’uso di questa Applicazione. Se l’Utente rifiuta di comunicarli, potrebbe essere impossibile per questa Applicazione fornire il Servizio. Nei casi in cui questa Applicazione indichi alcuni Dati come facoltativi, gli Utenti sono liberi di astenersi dal comunicare tali Dati, senza che ciò abbia alcuna conseguenza sulla disponibilità del Servizio o sulla sua operatività. L’eventuale utilizzo di Cookie – o di altri strumenti di tracciamento – da parte di questa Applicazione o dei titolari dei servizi terzi utilizzati da questa Applicazione, ove non diversamente precisato, ha la finalità di fornire il Servizio richiesto dall’Utente, oltre alle ulteriori finalità descritte nel presente documento e nella Cookie Policy, se disponibile. L’Utente si assume la responsabilità dei Dati Personali di terzi ottenuti, pubblicati o condivisi mediante questa Applicazione e garantisce di avere il diritto di comunicarli o diffonderli, liberando il Titolare da qualsiasi responsabilità verso terzi.
GLOSSARIO
Dati Personali (o Dati) Costituisce dato personale qualunque informazione che, direttamente o indirettamente, anche in collegamento con qualsiasi altra informazione, ivi compreso un numero di identificazione personale, renda identificata o identificabile una persona fisica. Dati di Utilizzo Sono le informazioni raccolte automaticamente attraverso questa Applicazione (anche da applicazioni di parti terze integrate in questa Applicazione), tra cui: gli indirizzi IP o i nomi a dominio dei computer utilizzati dall’Utente che si connette con questa Applicazione, gli indirizzi in notazione URI (Uniform Resource Identifier), l’orario della richiesta, il metodo utilizzato nell’inoltrare la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta dal server (buon fine, errore, ecc.) il paese di provenienza, le caratteristiche del browser e del sistema operativo utilizzati dal visitatore, le varie connotazioni temporali della visita (ad esempio il tempo di permanenza su ciascuna pagina) e i dettagli relativi all’itinerario seguito all’interno dell’Applicazione, con particolare riferimento alla sequenza delle pagine consultate, ai parametri relativi al sistema operativo e all’ambiente informatico dell’Utente. Utente L’individuo che utilizza questa Applicazione che, salvo ove diversamente specificato, coincide con l’Interessato. Interessato La persona fisica cui si riferiscono i Dati Personali. Responsabile del Trattamento (o Responsabile) La persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente che tratta dati personali per conto del Titolare, secondo quanto esposto nella presente privacy policy. Titolare del Trattamento (o Titolare) La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali e gli strumenti adottati, ivi comprese le misure di sicurezza relative al funzionamento ed alla fruizione di questa Applicazione. Il Titolare del Trattamento, salvo quanto diversamente specificato, è il titolare di questa Applicazione. Questa Applicazione Lo strumento hardware o software mediante il quale sono raccolti e trattati i Dati Personali degli Utenti. Servizio Il Servizio fornito da questa Applicazione così come definito nei relativi termini (se presenti) su questo sito/applicazione. Unione Europea (o UE) Salvo ove diversamente specificato, ogni riferimento all’Unione Europea contenuto in questo documento si intende esteso a tutti gli attuali stati membri dell’Unione Europea e dello Spazio Economico Europeo. Cookie Piccola porzione di dati conservata all’interno del dispositivo dell’Utente. Riferimenti legali La presente informativa privacy è redatta sulla base di molteplici ordinamenti legislativi, inclusi gli artt. 13 e 14 del Regolamento (UE) 2016/679. Ove non diversamente specificato, questa informativa privacy riguarda esclusivamente questa Applicazione.