PRIVACY POLICY

[ 1 ] INTRODUZIONE

La presente Policy è resa disponibile sul sito di C.H.I.CO. Cluster of Health Innovation and Community (di seguito CHICO) ed è sottoposta ad accettazione da parte dell’utente del portale in fase di registrazione. L’accettazione della stessa rappresenta elemento imprescindibile per l’accreditamento dell’utente alla piattaforma.

Il trattamento dei dati personali è effettuato in conformità agli obblighi previsti da leggi, da regolamenti e dalla normativa comunitaria, ovvero a disposizioni impartite da Autorità a ciò legittimate dalla legge e da Organi di vigilanza e controllo (ad esempio, obblighi previsti dalla normativa antiriciclaggio). Il conferimento dei dati personali necessari a tali finalità è obbligatorio.

Con il loro consenso, i dati degli utenti saranno trattati per permettere la registrazione alla piattaforma e per lo svolgimento delle finalità istituzionali di CHICO, indicate nel sito web istituzionale e in quello della piattaforma di Club Deal.

Il conferimento dei dati per tale finalità è obbligatorio, il mancato conferimento comporta l’impossibilità di iscriversi alla piattaforma e ricevere i servizi di CHICO, nonché accedere a tutti i servizi e diritti conseguenti alla registrazione, tra i quali, a mero titolo esemplificativo esprimere opinioni e pareri sui progetti presenti nella piattaforma, dialogare in forum con altri soggetti registrati ecc..

Il trattamento dei dati avverrà mediante elaborazioni elettroniche (o comunque automatizzate) e trattamenti manuali, in modo tale da garantire la riservatezza e la sicurezza dei dati medesimi. CHICO infatti garantisce l’utilizzo di tutte le misure di sicurezza idonee previste dall’Allegato B del Codice Privacy (D.Lgs. 30 giugno 2003 n° 196 e successive modificazioni e integrazioni).

CHICO si impegna espressamente a rispettare, applicare, a far applicare ed a far rispettare anche ai propri responsabili ed incaricati nominati le norme di cui al Codice Privacy, e ad adottare le prescritte misure di sicurezza idonee a salvaguardare i dati personali trattati, contro i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta secondo quanto disposto dalla Normativa Privacy (D.lgs. 196/2003 e sue successive modifiche ed integrazioni, nonché ogni ulteriore provvedimento emesso dall’Autorità Garante per la protezione dei dati personali).

[ 2 ] DEFINIZIONII

Nella presente policy ed in tutti i documenti con essa collegati, si utilizzano le seguenti definizioni:

a. "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
b. "dato personale", qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
c. "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato;
d. "titolare", la persona giuridica cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; il titolare è CHICO s.r.l.;
e. "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
f. "incaricato", la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile;
g. "interessato", la persona fisica o giuridica cui si riferiscono i dati personali:
h. "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
i. "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
j. "dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile;
k. "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;
l. "banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti;
m. "misure minime", il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31 Cod. Privacy;
n. "strumenti elettronici", gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento;
o. "autenticazione informatica", l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità;
p. "credenziali di autenticazione", i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica;
q. "parola chiave", componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica;
r. "profilo di autorizzazione", l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti;
s. "sistema di autorizzazione", l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente;
t. "violazione di dati personali": violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico;
u. "comunicazione elettronica", ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un contraente o utente ricevente, identificato o identificabile;
v. "chiamata", la connessione istituita da un servizio di comunicazione elettronica accessibile al pubblico che consente la comunicazione bidirezionale;
w. "reti di comunicazione elettronica", i sistemi di trasmissione e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse, inclusi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;
x. "rete pubblica di comunicazioni", una rete di comunicazione elettronica utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di reti;
y. "servizio di comunicazione elettronica", i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti dall'articolo 2, lettera c), della direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002;
z. "contraente", qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate;
aa. "utente", qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata;
bb. "dati relativi al traffico", qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione;
cc. "dati relativi all'ubicazione", ogni dato trattato in una rete di comunicazione elettronica o da un servizio di comunicazione elettronica che indica la posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico;
dd. "servizio a valore aggiunto", il servizio che richiede il trattamento dei dati relativi al traffico o dei dati relativi all'ubicazione diversi dai dati relativi al traffico, oltre a quanto è necessario per la trasmissione di una comunicazione o della relativa fatturazione;
ee. "posta elettronica", messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete pubblica di comunicazione, che possono essere archiviati in rete o nell'apparecchiatura terminale ricevente, fino a che il ricevente non ne ha preso conoscenza.

[ 3 ] ACCESSO ALLA PIATTAFORMA WEB DI CLUB DEAL

Gli accessi alla parte pubblica della piattaforma web da parte di visitatori non registrati avvengono in forma libera e senza che venga effettuato alcun trattamento di dati personali.

Gli accessi alla parte privata della piattaforma web da parte di utenti registrati avvengono tramite protocollo HTTPS utilizzando certificati SSL Extended Validation (CA / Browser Forum - https://cabforum.org/about-ev-ssl/).

Gli utenti registrati si identificano tramite email e password.
In caso di smarrimento delle credenziali di accesso, è prevista una procedura per il relativo rinnovo, previa identificazione sicura dell’utente.

[ 4 ] REGISTRAZIONE UTENTI

Gli utenti si registrano tramite email e creando una password.

a) Le email degli utenti saranno verificate in fase di registrazione tramite l'invio di una mail contenente un link di verifica.

b) Per garantire un adeguato grado di sicurezza delle password sarà imposta una lunghezza minima e una loro composizione che faccia uso di almeno lettere maiuscole, minuscole e numeri.

Le password saranno memorizzate utilizzando algoritmi di cifratura a senso unico (funzioni crittografiche di hash).

[ 5 ] DATI DEGLI UTENTI REGISTRATI E DEGLI OFFERENTI

Non vengono trattati dati sensibili o dati giudiziari.

A seconda della relativa tipologia, in fase di prima registrazione o successivamente, gli utenti conferiscono i propri dati anagrafici e gli estremi di registrazione a CHICO.

La gestione di tali dati avviene dalla pagina relativa al PROFILO dell’utente. L’utente può sempre modificare e/o aggiornare i propri dati registrati. Questa pagina è protetta da user e password creati dall’utente.

I soggetti e le organizzazioni che intendono sottoporre a CHICO dei progetti da valutare forniscono i dati anagrafici e di contatto. Inoltre, essi si sottopongono ad una approfondita analisi di dati societari concernenti i soci e gli amministratori, dati comunque risultanti da pubblici registri (e segnatamente dal Registro delle Imprese). Inoltre, quando un progetto viene approvato da CHICO e presentato sulla piattaforma, l’organizzazione candidata fornisce a CHICO dati di tipo societario ed amministrativo e certificazioni concernenti l’assenza di procedimenti penali.

5.1 Dati forniti volontariamente dall'Utente

5.1.1) Per la consultazione delle pagine pubbliche del Sito, anche tramite apposita APP mobile, non è richiesto alcun conferimento di dati personali da parte dell’Utente, con l’eccezione dei dati di navigazione di seguito descritti.

Dati e informazioni (come indirizzi IP e coordinate GPS) contenuti nei log di sistema generati da protocolli di connessione Internet e trattati automaticamente dal portale vengono utilizzati per la gestione tecnica dei server. Gli indirizzi IP sono utilizzati anche per sviluppare profili statistici demografici generali, ad esempio, profili delle regioni da cui sono iniziati i collegamenti.

CHICO utilizza i cookies al fine di adattare contenuti e servizi ai requisiti e alle esigenze dei singoli Utenti. In alcuni casi, l'identificazione di un Utente e il suo accesso personalizzato al Sito è abilitato per i cookies. Tuttavia, durante ogni sessione viene richiesto all’Utente almeno un'autorizzazione all’uso di cookies e, in proposito, ogni Utente può disattivare l'utilizzo dei cookies nel suo browser.

I cookies sono utilizzati anche per raccogliere e compilare dati statistici relativi all'utilizzo del Sito da parte degli Utenti.

5.1.2) Per l’utilizzazione degli strumenti social, è richiesta la registrazione dell’Utente con e-mail e password, ed un nickname collegato alla e-mail. Sulle pagine web di CHICO, gli Utenti Registrati potranno inserire opinioni e commenti al fine di renderli consultabili a chiunque, poiché dette pagine del sito sono pubbliche. Detti contenuti verranno pubblicati esclusivamente in forma anonima o con il nickname scelta.

5.1.3) L’invio facoltativo, esplicito e volontario di posta elettronica agli indirizzi indicati sul sito web di CHICO, così come l’invio di comunicazioni sotto ogni altra forma (epistolare, telefonica, ecc.) comporta la successiva acquisizione del recapito del mittente, necessario per rispondere alle richieste, nonché degli eventuali altri dati personali inseriti nella comunicazione.

5.2 Dati forniti in sede di registrazione e di fruizione dei servizi

5.2.1) Il trattamento avrà ad oggetto le operazioni, o il complesso di operazioni (a mero titolo esemplificativo: raccolta, registrazione, organizzazione, conservazione, elaborazione, comunicazione, modificazione, selezione, utilizzo), concernenti i dati forniti dall’Utente in fase di registrazione e quelli acquisiti successivamente dalla Società in occasione della fruizione dei servizi da parte dell'Utente, e principalmente:

  • a) dati identificativi e di contatto forniti dall’Utente in fase di registrazione (es. nome e cognome, indirizzo completo, codice fiscale, recapiti telefonici ed e-mail per contatti, username, password);
  • b) altre tipologie di dati ai fini identificativi (es. account di Social Network ai quali l'Utente intenda collegare il profilo creato sul Sito). Vengono raccolti soltanto i dati degli Utenti indispensabili per fornire i servizi richiesti. E’ fatto divieto agli Utenti di includere in qualsiasi parte del sito dettagli relativi al loro stato di salute.
5.2.2) Per gli Offerenti che stipulano con CHICO un apposito contratto, il trattamento avrà ad oggetto le operazioni, o il complesso di operazioni (a mero titolo esemplificativo: raccolta, registrazione, organizzazione, conservazione, elaborazione, comunicazione, modificazione, selezione, utilizzo), concernenti i seguenti dati: indirizzo di posta elettronica (che verrà utilizzato per accedere al sistema); nome e cognome dei soci, degli amministratori e delle key persons; relativi dati anagrafici; dati fiscali per la fatturazione ed eventuali coordinate bancarie. È inoltre necessario specificare la password da utilizzare.

Inoltre, vengono trattati e pubblicati nel profilo dell’Offerente anche i dati che ha espressamente scelto di pubblicare, tra le quali informazioni curricolari e informazioni di contatto.

Infine, nel profilo pubblico degli Offerenti sono pubblicati giudizi anonimi dei pazienti (eventualmente contraddistinti dal solo nick-name dell’autore), nonché eventuali repliche degli Offerenti menzionati.

5.3 Esclusione del trattamento di dati sensibili

In nessun caso la società tratta dati sensibili. Agli Utenti è fatto stretto divieto di annotare in qualsiasi campo o parte del Sito o dei moduli di caricamento delle informazioni, alcun dato di natura sensibile.

[ 6 ] FINALITÀ DEL TRATTAMENTO

I dati personali verranno raccolti e trattati per le finalità e secondo le modalità di seguito riportate:

  • a) per la prestazione dei servizi richiesti dall'Utente, ivi inclusa la registrazione (ad esempio, gestione dei processi di registrazione e di accesso al Portale, richiesta di informazioni, …);
  • b) con il consenso dell’Utente, per finalità di marketing mediante invio, tramite e-mail, di newsletter e comunicazioni commerciali relative ai servizi di CHICO, nonché, per effettuare telefonicamente o via e-mail analisi statistiche, sondaggi e indagini di mercato relative ai servizi offerti dalla Società.

[ 7 ] OPERATORI DI CHICO

Titolare del trattamento è Socialstart S.r.l., con sede legale in Roma, Via Terenzio n. 10, Codice Fiscale/Partita Iva 12633091009 (di seguito anche “Socialstart”), nella persona del legale rappresentante Dott. Emilio Meschini, che è anche il Responsabile del trattamento.

Responsabile del trattamento è il legale rappresentante pro-tempore.

Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.

La designazione degli incaricati è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima.

Il luogo ove sono trattati i dati e modalità di trattamento è in via Arezzo, 31, 00100, Roma.

I trattamenti connessi ai servizi resi tramite il Sito sono effettuati, con strumenti automatizzati, ad opera di personale incaricato del trattamento operante.

I dati sono conservati su server gestiti dalla società Amazon Web Services, Inc. (“AWS”)

La Società ha implementato misure di sicurezza volte a proteggere i dati personali raccolti e a prevenire l'accesso non autorizzato a tali dati, il loro utilizzo illecito o non corretto e la loro perdita. Si precisa tuttavia che l'utilizzo di Internet non è del tutto esente da rischi di accessi abusivi e che pertanto non è possibile garantire integralmente la sicurezza delle informazioni.

[ 8 ] MODALITA’ DEL TRATTAMENTO

8.1) Sistema di autenticazione informatica

1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione.
2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.
3. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.
4. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi.
5. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.
6. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.
7. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali.
8. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.
9. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.
10. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.

8.2) Altre misure di sicurezza

1. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
2. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
3. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente.
4. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.

8.3) Misure di tutela e garanzia

Atteso che, allo stato, CHICO adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione, CHICO riceve dai consulenti esterni una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.

[ 9 ] TRATTAMENTI SENZA L'AUSILIO DI STRUMENTI ELETTRONICI

Il titolare, il responsabile, ove designato, e l'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici adottano le seguenti modalità tecniche.

1. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
2. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
Le sessioni utente scadranno in caso di non utilizzo dopo un numero di minuti congruo con l'importanza delle informazioni contenute nella piattaforma.

Gli accessi da parte del personale tecnico per la manutenzione del sistema avvengono anche tramite protocollo SSH, utilizzando coppie di chiavi pubbliche/private che identificano l'amministratore che vi accede.

Tutto il sistema viene periodicamente sottoposto a back up e i relativi supporti duraturi sono custoditi in luogo adeguato.

[ 10 ] DIRITTI DELL’UTENTE

Ai sensi dell’art. 13 Cod. Privacy, l'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati tramite il sito web circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;

e) i diritti di cui all'articolo 7 Cod. Privacy;

f) gli estremi identificativi del titolare e del responsabile.

L'informativa non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell'eventuale instaurazione di un rapporto di lavoro con CHICO s.r.l.. Al momento del primo contatto successivo all'invio del curriculum, il titolare è tenuto a fornire all'interessato, anche oralmente, una informativa breve contenente almeno le finalità e le modalità del trattamento cui sono destinati i dati, i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi, gli estremi identificativi del titolare e del responsabile.
Ai sensi dell’art. 7 Cod. Privacy, l'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.

L'interessato ha diritto di ottenere l'indicazione:
a) dell'origine dei dati personali;

b) delle finalità e modalità del trattamento;

c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;

d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato;

e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;

b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;

c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

L'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;

b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

Ai sensi dell’art. 8 Cod. Privacy, i diritti di cui all'articolo 7 Cod. Privacy sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo.

Ai sensi dell’art. 9 Cod. Privacy, la richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica. Quando riguarda l'esercizio dei diritti di cui all'articolo 7, commi 1 e 2, Cod. Privacy, la richiesta può essere formulata anche oralmente e in tal caso è annotata sinteticamente a cura dell'incaricato o del responsabile.

Nell'esercizio dei diritti di cui all'articolo 7 Cod. Privacy, l'interessato può conferire, per iscritto, delega o procura a persone fisiche, enti, associazioni od organismi. L'interessato può, altresì, farsi assistere da una persona di fiducia.

I diritti di cui all'articolo 7 Cod. Privacy, riferiti a dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato o per ragioni familiari meritevoli di protezione.

L'identità dell'interessato è verificata sulla base di idonei elementi di valutazione, anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento. La persona che agisce per conto dell'interessato esibisce o allega copia della procura, ovvero della delega sottoscritta in presenza di un incaricato o sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di riconoscimento dell'interessato.

La richiesta di cui all'articolo 7, commi 1 e 2, Cod. Privacy, è formulata liberamente e senza costrizioni e può essere rinnovata, salva l'esistenza di giustificati motivi, con intervallo non minore di novanta giorni.

[ 11 ] DATI DI NAVIGAZIONE – COOKIES

11.1 Dati di navigazione

I sistemi informatici e i programmi informatici utilizzati per il funzionamento del Sito raccolgono alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet (es. indirizzi IP o nomi a dominio dei computer utilizzati dagli Utenti che si connettono al Sito, gli indirizzi URI – Uniform Resource Identifier - delle risorse richieste, orario della richiesta, metodo utilizzato nel sottoporre la richiesta al server, dimensione del file ottenuto in risposta, codice numerico circa lo stato della risposta resa dal server - buon fine, errore, ecc. - ed altri parametri relativi al sistema operativo e all'ambiente informatico dell'Utente). Benché si tratti di informazioni che non sono raccolte per essere associate a interessati identificati, per loro natura potrebbero consentire di identificare gli Utenti, attraverso elaborazioni ed associazioni con dati detenuti da terzi.

Tali dati sono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso del Sito e per controllarne il corretto funzionamento e vengono cancellati immediatamente dopo l'elaborazione. I dati potrebbero essere utilizzati per l'accertamento di responsabilità in caso di ipotetici illeciti o reati informatici ai danni del Sito: salva questa eventualità, allo stato i dati sui contatti web non persistono per più di dodici mesi.

11.2 Cookies

11.2.1 Cosa sono i cookies.

I cookies sono piccoli file di testo che i siti visitati dall'Utente inviano al suo terminale, dove vengono memorizzati per essere poi ritrasmessi alla successiva visita del Sito da parte dell’Utente. Nel corso della navigazione su un Sito, l'Utente può ricevere sul suo terminale anche cookies di siti diversi (c.d. cookies di "terze parti"), come specifici link a pagine web di altri domini.

I cookies sono utilizzati per diverse finalità a seconda dei Siti sui quali sono installati; essi possono assolvere a finalità di autenticazione informatica, monitoraggio di sessioni e memorizzazione di informazioni specifiche, riguardanti gli Utenti che accedono al server.

Tipologie di cookies utilizzate.

Alcuni dei cookies utilizzati sul Sito (cookies “tecnici”) sono strettamente necessari per garantire il funzionamento tecnico del Sito o per erogare servizi esplicitamente richiesti dall’Utente in caso di registrazione, per navigare sul Sito e utilizzarne tutte le funzionalità (ad esempio, funzione di memorizzazione della password di accesso, ecc.). Si tratta per lo più di cosiddetti “cookies di sessione” utilizzati al fine di offrire un servizio più efficiente. L'uso di tali cookies è strettamente limitato alla trasmissione di identificativi di sessione (costituiti da numeri casuali generati dal server). Questi cookies non raccolgono informazioni sull’Utente che potrebbero essere utilizzate per fini di marketing né tengono traccia della sua navigazione nel web. L’installazione di questi cookies è una condizione necessaria per l’utilizzo del Sito; bloccarli non ne permette il funzionamento.

Analogamente, il Sito utilizza un’ulteriore tipologia di cookies (cd. cookies "analytics") o performance cookies per analizzare gli accessi/le visite al Sito, esclusivamente per scopi statistici, attraverso la raccolta di informazioni in forma aggregata. L’utilizzo di tali cookies ha il fine di migliorare il Sito e non richiede il consenso dell’interessato. Per maggiori informazioni consultare la Privacy Policy di Google Analytics.

Non è necessario fornire il consenso per questi cookies poiché sono indispensabili per assicurare all'Utente i servizi richiesti.

Il Sito utilizza altresì cookies per agevolare la fruizione dello stesso Sito (ad esempio, per memorizzare, all’interno della singola sessione del browser web, le informazioni che sono state inserite nei form dall’Utente durante la navigazione in pagine diverse, per ricordare le scelte fatte dall’Utente o i servizi espressamente richiesti) allo scopo di fornire all’Utente servizi più avanzati e personalizzati (ad esempio, opzioni di personalizzazione delle pagine del Sito).

In ogni momento, l'Utente avrà la facoltà di accettare o meno l'utilizzo dei cookies, modificando le impostazioni del suo browser.

In caso di disattivazione dei cookies sul computer dell’Utente, quest’ultimo potrebbe non essere in grado di avere accesso a determinate sezioni del Sito.

[ 12 ] MODALITÀ DEL TRATTAMENTO.

12.1 Obblighi del Responsabile

Il Responsabile dovrà ottemperare a tutti gli obblighi posti dal Codice Privacy e da eventuali successive disposizioni normative emanande in materia di trattamento dei dati personali ed, in particolare, deve:
a) rispettare ed applicare le misure di sicurezza idonee a salvaguardare la riservatezza, l’integrità e la completezza dei dati trattati, secondo quanto disposto dagli artt. 11, 14, 31, 33, 34 e 35 del Codice Privacy, nonché le misure imposte dall’allegato B del Codice medesimo;
b) effettuare il trattamento dei dati personali in modo lecito e secondo correttezza, nel perseguimento di finalità determinate, esplicite e legittime ed in ogni caso strettamente correlate ai propri obblighi contrattuali;
c) astenersi da qualsiasi attività di modifica, cancellazione e/o distruzione dei dati nonché al compimento di qualsiasi operazione di trattamento che non sia espressamente autorizzata dall’Utente;
d) astenersi da qualsiasi attività di modifica, cancellazione e/o distruzione dei dati nonché al compimento di qualsiasi operazione di trattamento che non sia espressamente disposta dal Titolare;
e) informare immediatamente l’Utente in caso di richieste di informazioni, modifiche e/o cancellazioni da parte dei soggetti interessati e supportare attivamente la stessa per ogni attività di riscontro fosse necessaria;
f) informare prontamente l’Utente di tutte le questioni rilevanti ai fini del Codice Privacy (ad esempio esiti delle ispezioni, contestazioni, etc.);
g) predisporre, d’intesa con il titolare, le risposte ad eventuali quesiti ed alle richieste di informazioni sottoposte dal Garante per la protezione dei dati personali ovvero dell’Autorità Giudiziaria, ovvero dai soggetti interessati;
h) conservare i dati personali in una forma che consenta l’identificazione degli interessati per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti e successivamente trattati;
i) distruggere i dati personali al termine delle operazioni di trattamento ove la conservazione non fosse necessaria e consentita ai sensi di legge;
j) trattare i dati in conformità con quanto previsto dal Codice e successive emanande istruzioni contenute nelle presenti linee guida, nelle Policy e nella nomina ricevuta;
k) attenersi alle specifiche istruzioni di volta in volta impartite dal titolare;
l) trattare i dati personali solo per le finalità strettamente necessarie allo svolgimento della attività contrattualmente previste e per un tempo non superiore a quanto strettamente indispensabile;
m) astenersi dal creare e conservare copie o back up dei dati di cui l’Utente è titolare per finalità ulteriori a quelle contrattualmente previste ovverosia per finalità di sicurezza informatica;
n) non trasmettere o comunicare a terzi i dati personali oggetto di trattamento, salvo ove diversamente indicato per iscritto dal Titolare;
o) individuare per iscritto i propri Incaricati, in quanto deputati alle operazioni di trattamento;
p) impartire agli Incaricati dettagliate istruzioni concernenti le modalità del trattamento loro affidato in linea con le indicazioni ricevute dal Titolare, nonché vigilare scrupolosamente sull’esatto adempimento, da parte degli Incaricati, delle istruzioni ricevute;
q) segnalare al titolare, per quanto di propria competenza, situazioni che richiedano l’adempimento di attività di verifica e/o remediation di situazioni che possano comportare il disallineamento delle operazioni di trattamento eseguite dall’Utente, ovvero dal Responsabile per suo conto, alla normativa privacy applicabile.

12.2 Archivi non informatizzati

Con riferimento ai trattamenti effettuati per mezzo di archivi non informatizzati, il Responsabile dovrà:
a) adeguare alle esigenze di sicurezza e riservatezza (ad esempio, predisposizione di lettori di badge per il controllo degli accessi) i locali che ospitano gli archivi contenenti dati di cui l’Utente è titolare;
b) assicurare che i documenti interessati vengano custoditi in armadi con chiusura a chiave;
c) organizzare gli archivi provvedendo a compartimentare le informazioni secondo le reali necessità di trattamento ed utilizzo dei vari incaricati nominati;
d) istituire un registro ove lasciare traccia di ogni accesso ai locali ed ai documenti degli incaricati qualora ciò avvenga fuori dell'orario di lavoro;
e) munire gli uffici in argomento di macchine distruggi documenti per l'eliminazione di carteggio obsoleto;
f) conservare eventuali dati personali sensibili e giudiziari in archivi separati e protetti da specifiche misure quali codici di accesso, chiavi in possesso dei soli Incaricati legittimati al trattamento, ecc..

12.2 Archivi non informatizzati

Con riferimento ai trattamenti effettuati per mezzo di archivi informatizzati, il Responsabile dovrà:
a) Applicare correttamente tutte le misure di sicurezza richieste dal Codice, suoi allegati, integrazioni e modifiche. A titolo esemplificativo e non esaustivo, si indicano qui di seguito alcune misure richieste dalla normativa succitata:
Gli accessi devono essere regolati da Codice-Id e Parola Chiave e definiti in base ai trattamenti che si devono effettuare.
Non possono essere utilizzati account di gruppo per accedere ai dati.
Il medesimo codice-Id per l’accesso non potrà essere assegnato a più soggetti anche in tempi diversi.
Le credenziali di autenticazione non utilizzate da almeno 6 mesi dovranno essere disattivate (salvo quelle preventivamente autorizzate per scopi di gestione tecnica).
I permessi di accesso dovranno essere disabilitati quando l’incaricato, per qualsiasi ragione, non avesse più diritto di accedere ai dati personali.
La parola chiave di accesso ai sistemi:
- dovrà consistere in almeno 8 caratteri;
- non dovrà essere facilmente riconducibile all’incaricato (quindi non potrà essere uguale alla login);
- dovrà essere modificabile al primo utilizzo;
- potrà essere unicamente personale;
- dovrà essere modificabile almeno ogni sei mesi.
b) Il Responsabile dovrà accertarsi che tutti i trattamenti svolti garantiscano un adeguato livello di protezione dei dati e che nessun tipo di attività “da remoto” possa in alcun caso compromettere la sicurezza dei sistemi e, pertanto, dei dati ivi contenuti.
c) Il Responsabile dovrà altresì conformarsi alle Policy relative al trattamento informatico dei dati ed alla protezione dei sistemi informatici, fornendo all’Utente ogni riscontro necessario a valutare la corretta e tempestiva implementazione dei sistemi di protezione richiesti.

[ 13 ] COMUNICAZIONE E DIFFUSIONE DEI DATI

Per il corretto espletamento delle predette finalità, i dati potranno essere trattati dal personale amministrativo, tecnico, commerciale e marketing della Società, nonché dal personale di società terze che, in qualità di responsabili del trattamento dei dati, prestano servizi alla Società (ad esempio, fornitori di servizi informatici di hosting, di call center, ovvero di gestione dei database).

Inoltre, ai fini della prestazione dei servizi del Sito, la Società potrà comunicare alcuni dati personali dell'Utente il cui trattamento sia necessario per fornire i servizi disponibili sul Sito (es. contatti, dati identificativi) ad autorità competenti per lo svolgimento delle funzioni di controllo.

In nessun caso i dati raccolti verranno ceduti a terzi per l’utilizzo a fini propri; resta inteso che, in caso di eventuali operazioni societarie straordinarie (es. cessione o affitto di azienda), i dati potrebbero essere ceduti o conferiti a terzi acquirenti/affittuari o aventi diritto.

In particolare, nei commenti e nelle opinioni saranno trattati e diffusi i dati degli Utenti che essi stessi intendano diffondere, ed in particolare il loro nick-name. Inoltre, in tali ambiti saranno diffuse le attività di manifestazione del pensiero che gli Utenti consapevolmente intendano divulgare partecipando alle attività valutative. Il Responsabile, direttamente o tramite Incaricati, potrà vigilare affinché non si verifichino molestie ed abusi, analizzando i commenti e le opinioni ed eventualmente eliminando ove possibile ogni fonte di molestia o abuso.