INFORMATIVA AI SENSI DEL REGOLAMENTO EU 679/2016
Dal 25 maggio è entrato in vigore il DGPR, ossia il regolamento generale sulla protezione dei dati, che, con l’obiettivo di armonizzare nei vari Paesi membri dell’UE la disciplina in materia di privacy, ha introdotto un insieme di norme e linee guida che tutte le realtà professionali dovranno rispettare.
Ai sensi dell’art. 4 del Regolamento EU 679/2016 si intende per:
1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
3) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;
4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
5) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
6) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
7) «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
8) «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
9) «destinatario»: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;
10) «terzo»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;
11) «consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
13) «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
14) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
15) «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
16) «stabilimento principale»: a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale; b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;
17) «rappresentante»: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;
18) «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica;
19) «gruppo imprenditoriale»: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;
20) «norme vincolanti d’impresa»: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune;
21) «autorità di controllo»: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;
22) «autorità di controllo interessata»: un’autorità di controllo interessata dal trattamento di dati personali in quanto: a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo; b) gli interessati che risiedono nello Stato membro dell’autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure c) un reclamo è stato proposto a tale autorità di controllo;
23) «trattamento transfrontaliero»: a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;
24) «obiezione pertinente e motivata»: un’obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all’interno dell’Unione;
25) «servizio della società dell’informazione»: il servizio definito all’articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio (19);
26) «organizzazione internazionale»: un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.
Ai sensi e per gli effetti dell'art. 13 e ss. del Regolamento Eu 679/2016, si rende noto quanto segue:
I dati personali da Lei volontariamente forniti all'atto di compilazione del Modulo di Registrazione saranno trattati da Eagle’s Advice S.r.l.s. – Titolare del trattamento – Via Achille Maiocchi, 17 – 20136 Milano, con procedure prevalentemente informatiche e telematiche, per le seguenti finalità:
1. Finalità specifiche direttamente connesse e strumentali all'erogazione del Prodotto/Servizio. Poiché l’erogazione del Prodotto/Servizio avviene direttamente da parte delle società, enti o associazioni con le quali Eagle’s Advice S.r.l.s. ha sottoscritto un accordo di partnership per la raccolta dei dati, i dati saranno necessariamente comunicati da Eagle’s Advice S.r.l.s. a specifica società, specifico ente pubblico o privato o specifica associazione o organizzazione senza scopo di lucro, per la quale l’interessato ha rilasciato i propri dati personali, essendo interessato al Prodotto/Servizio e alla fruizione dello stesso.
2. Inoltre, previo consenso, i dati personali potranno essere trattati da Eagle’s Advice S.r.l.s. per attività promozionali, pubblicitarie, di marketing, per sondaggi e ricerche di mercato su propri prodotti e servizi e per conto di terzi, previe elaborazioni atte a rilevare le abitudini di acquisto e consumo, gli interessi, le preferenze e gli stili di vita degli interessati. I contatti saranno, dunque, mirati e in linea con il profilo dell’interessato (profilazione). Tali attività potranno essere svolte attraverso le seguenti modalità: posta cartacea, telefax, telefono, anche senza assistenza di operatore, posta elettronica, SMS, MMS, ed altri sistemi informatici e/o automatizzati di comunicazione. I terzi per i quali Eagle’s Advice S.r.l.s. eseguirà la campagna rientrano nelle seguenti categorie: case automobilistiche, broker, società finanziarie, istituti di credito, assicurazioni, distributori commerciali, agenzie di comunicazione, aziende attive nel direct marketing e nel brokeraggio di liste, fornitori di servizi elettrici o energeticiâ (fra cui Edison Energia SpA, Sorgenia S.p.A., Eni gas e luce S.p.A, Iberdrola S.p.A, Optima Italia S.p.A), fornitori di servizi di telefonia fissa e mobile e ADSL / Fibra ottica (fra cui Fastweb S.p.A, Tim S.p.A, Wind telecomunicazioni S.p.A, Vodafone Group plc) case editrici, distributori e editori di quotidiani, periodici e libri, fornitori di prodotti enogastronomici, fornitori materiale per ufficio, fornitori di servizi TV digitale e/o satellitare ed emittenti televisive, produttori e/o distributori di articoli per l’infanzia, aziende che operano nell'ambito dei beni di largo consumo, associazioni senza scopo di lucro (ivi compresi organizzazioni, partiti e movimenti politici, sindacali, religiosi, filosofici, associazioni ricreative e sportivi) e enti pubblici e privati.
3. Con separato consenso, i dati personali raccolti potranno essere comunicati a società, enti o associazioni anche senza scopi di lucro, operanti nei settori di: case automobilistiche, broker, società finanziarie, istituti di credito, assicurazioni, distributori commerciali, agenzie di comunicazione, aziende attive nel direct marketing e nel brokeraggio di liste, fornitori di servizi elettrici o energetici (fra cui Edison Energia SpA, Sorgenia S.p.A., Eni gas e luce S.p.A, Iberdrola S.p.A, Optima Italia S.p.A), fornitori di servizi di telefonia fissa e mobile e ADSL / Fibra ottica (fra cui Fastweb S.p.A, Tim S.p.A, Wind telecomunicazioni S.p.A, Vodafone Group plc), case editrici, distributori e editori di quotidiani, periodici e libri, fornitori di prodotti enogastronomici, fornitori materiale per ufficio, fornitori di servizi TV digitale e/o satellitare ed emittenti televisive, produttori e/o distributori di articoli per l’infanzia, aziende che operano nell'ambito dei beni di largo consumo, associazioni senza scopo di lucro (ivi compresi organizzazioni, partiti e movimenti politici, sindacali, religiosi, filosofici, associazioni ricreative e sportive e enti pubblici e privati, che li tratteranno quali "autonomi titolari del trattamento" per loro attività di marketing su propri prodotti e servizi, ricerche e sondaggi di opinione.
Trasferimento dei dati all’Estero
I Suoi dati personali potranno essere trasferiti all'estero in conformità e nei limiti di cui agli articoli 44, 45,46,47,48,49,50 del Capo V: Trasferimento dei Dati all'Estero contenuto nel Regolamento Eu 679/2016. Qualora il trasferimento dei Suoi dati personali avvenga verso paesi non appartenenti all'Unione Europea, saranno adottate le clausole contrattuali tipo prescritte dalla decisione 05/02/2010 della Commissione Europea.
I diritti che l’interessato potrà far valere
L’interessato ha il diritto di richiedere l’accesso ai Dati, la rettifica o la cancellazione degli stessi, la limitazione del trattamento e di opporvi al loro utilizzo da parte nostra, oltre al diritto di richiedere la consegna di alcuni di questi.
L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso il trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
a) finalità del trattamento;
b) le categorie di dati personali in questione;
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali e, in tal caso, l’esistenza di garanzie adeguate;
d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
f) il diritto di proporre reclamo a un’autorità di controllo;
g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato;
L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali (diritto all’Oblio) che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
b) l’interessato revoca il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico per il trattamento;
c) l’interessato si oppone al trattamento, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
d) i dati personali sono stati trattati illecitamente;
e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione Europeo o del diritto lo Stato membro cui è soggetto il titolare del trattamento;
L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
a) l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
d) l’interessato si è opposto al trattamento, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato. L’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano basato sull’interesse legittimo del titolare, compresa la profilazione. L’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per finalità di marketing diretto, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.
L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:
a) il trattamento si basi sul consenso o su un contratto;
b) il trattamento sia effettuato con mezzi automatizzati.
Nell’esercitare i propri diritti relativamente alla portabilità dei dati, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile. I vostri Dati saranno trattati per il tempo necessario a fornirvi i servizi richiesti. Nel caso in cui non abbiate prestato il consenso al trattamento per finalità ulteriori, i vostri Dati verranno cancellati o oscurati e resi anonimi decorsi 6 mesi dalla data di ricezione della vostra richiesta.
Contatti Eagle’s Advice S.r.l.s.
Per poter esercitare i vostri diritti potete contattare Eagle’s Advice scrivendo al titolare del trattamento e/o al Responsabile per la Protezione dei Dati personali ai seguenti recapiti indicati:
Eagle’s Advice s.r.l.s.
Via Achille Maiocchi,17
20136 Milano
E-mail: privacy@eaglesadvice.it