Privacy Policy – Termini e Condizioni

PRIVACY POLICY AZIENDALE

PER L’UTILIZZO DELL’APP EILO

 

In vigore dal 09/09/2022

 

ART. 1 – PRINCIPI E FINALITÀ

 

Al fine di garantire all’interno della società Udine e Gorizia Fiere Spa una corretta gestione circa il trattamento dei dati personali effettuati mediante l’app Eilo nel rispetto della vigente normativa in materia di protezione dei dati personali, viene emanata la presente privacy policy, con lo scopo di creare criteri di uniformità per tutti i soggetti Designati o Autorizzati a trattare i dati raccolti mediante l’app e altresì a garantire che il trattamento avvenga nel rispetto dei diritti, delle libertà fondamentali, della dignità delle persone, con particolare riferimento alla riservatezza e all’identità personale degli utenti, nonché dei principi di liceità, necessità, pertinenza e non eccedenza.

 

ART. 2 – FONTI NORMATIVE

 

La presente privacy policy è stata redatta in considerazione e in conformità delle seguenti fonti normative in materia di protezione dei dati personali:

  • Regolamento Generale sulla Protezione dei Dati Personali (Regolamento UE 679/2016; d’ora in avanti “GDPR”);
  • Codice Privacy (D. Lgs. 196/2003, così come modificato dal D. Lgs. 101/2018).

 

ART. 3 – DEFINIZIONI

 

Ai fini di una migliore comprensione dei termini utilizzati nel presente documento, s’intende:

  • «Dato personale» (art. 4, punto 1 e C26-C27-C30 GDPR): “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Dalla definizione si comprende che i principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato.

  • «Dato particolare» (art. 9, comma 1 GDPR): si fa riferimento alle categorie particolari di dati di cui all’art. 9, comma 1, (dati che “rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché […] dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”).

Mentre i primi (ex ‘dati sensibili’) possono essere trattati soltanto dietro consenso dell’interessato o qualora si rientri nell’elenco previsto dal legislatore europeo al secondo comma dell’art. 9 Regolamento UE 679/2016, il trattamento dei secondi (ex ‘dati giudiziari’) può avvenire soltanto “sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Inoltre, nel caso in cui si rientri nell’elenco di cui all’art. 2-octies del codice privacy novellato (D.Lgs 196/2003 così come modificato dal D.Lgs. 101/2018).

  • «Trattamento» (art. 4, punto 2, GDPR): “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Dalla definizione appare evidente dunque come qualsiasi operazione abbia ad oggetto il dato personale integri la definizione di “trattamento”, sia che si tratti di un uso cartaceo che informatico del dato. Nello specifico:

  • Raccolta dei dati: è la prima operazione e generalmente rappresenta l’inizio del trattamento. Si traduce nell’attività di acquisizione del dato.
  • Registrazione: memorizzazione dei dati su un qualsiasi supporto, sia cartaceo che informatico.
  • Organizzazione: classificazione dei dati secondo un metodo prescelto.
  • Strutturazione: attività di distribuzione dei dati secondi schemi precisi.
  • Conservazione: mantenere memorizzate le informazioni su un qualsiasi supporto, sia esso cartaceo che informatico.
  • Consultazione: lettura dei dati personali. Anche la mera visualizzazione dei dati è un trattamento che può rientrare nella definizione in parola.
  • Elaborazione: attività con la quale il dato personale subisce una modifica sostanziale.
  • Modificazione: a differenza dell’elaborazione può riguardare anche solo una minima parte del dato personale.
  • Selezione: individuazione di dati personali nell’ambito di gruppi di dati già memorizzati.
  • Estrazione: coattività di estrapolazione di dati da gruppi già memorizzati.
  • Raffronto: operazione di confronto tra dati, sia una conseguenza di elaborazione che di selezione o consultazione.
  • Utilizzo: attività generica che ricopre qualsiasi tipo di uso dei dati.
  • Interconnessione: impiego di più banche dati, con riferimento all’uso di strumenti elettronici.
  • Blocco: conservazione con sospensione temporanea di ogni altra operazione di trattamento.
  • Comunicazione (o cessione): fornire la conoscenza di dati personali ad uno o più soggetti determinati diversi dall’interessato, dal titolare, dal responsabile e dagli incaricati.
  • Diffusione: fornire la conoscenza di dati personali a soggetti indeterminati, in qualunque forma anche mediante la loro messa a disposizione o consultazione. Si ha diffusione, dunque, anche nel caso di pubblicazione online.
  • Cancellazione: eliminazione di dati tramite utilizzo di strumenti elettronici.
  • Distruzione: attività di eliminazione definitiva dei dati.
  • «Titolare del trattamento» (art. 4, punto 7, e C74 GDPR): “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.

La norma prevede che sia opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

  • «Designato al trattamento» (art. 2-quaterdecies D.Lgs 196/2003 così come modificato dal D.Lgs. 101/2018): secondo l’art. 2-quaterdecies del codice privacy novellato, è il soggetto all’interno dell’organizzazione al quale sono stati attribuiti specifici compiti e funzioni connesse al trattamento dei dati personali da parte del Titolare, sotto la cui autorità opera.
  • «Autorizzato» (art. 4, punto 10, GDPR): è il soggetto che all’interno dell’organizzazione è stato autorizzato dal Titolare a trattare i dati che sono stati raccolti sotto la responsabilità di quest’ultimo e che, pertanto, come anche riportato al punto 10 dell’art. 4 della normativa europea, rimarranno sotto l’autorità di quest’ultimo.
  • «Responsabile del trattamento» (art. 4, punto 8, e art. 28 GDPR): “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
  • «Destinatario» (art. 4, punto 9, e C31 GDPR): “la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento”.
  • «Terzo» (art. 4, punto 10, GDPR): “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”.
  • «Consenso dell’interessato» (art. 4, punto 11, e C32-33 GDPR): “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.  Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale.
  • «Violazione dei dati personali» (art. 4, punto 12, e C85 GDPR): “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

 

ART. 4 – TITOLARE DEL TRATTAMENTO

 

Il Titolare del trattamento è Udine e Gorizia Fiere Spa (da ora in avanti “Società”). Esso provvede:

    • In ottica di accountability ex art. 24 GDPR, a “mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”; inoltre, secondo il Considerando 74 GDPR, dette misure devono “tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”.
    • A verificare e garantire il rispetto dei principi di Privacy by Design e Privacy by Default di cui all’art. 25 GDPR, nell’ottica di implementare la tutela della riservatezza in tutte le fasi del trattamento e conformemente al principio di “minimizzazione dei dati” richiesto dalla lettera c dell’art. 5 GDPR, così come al principio di pertinenza e non eccedenza ribadito dal par. 4 del Provvedimento n. 226/2016 del Garante.
    • Alla luce del principio di “trasparenza” di cui alla lettera a dell’art. 5 GDPR, a rilasciare apposita informativa agli utenti (“interessati”) dell’app, redatta ai sensi dell’art. 13 GDPR.
    • A nominare – impartendo loro le necessarie istruzioni per la corretta gestione e tutela dei dati personali, ivi compresa la salvaguardia della loro integrità e sicurezza, nonché a verificarne periodicamente l’osservanza dell’attività svolta rispetto alle istruzioni impartite – soggetti Designati al trattamento (ai sensi dell’art. 2-quaterdecies D. Lgs. 196/2003 così come modificato dal D. Lgs. 101/2018) e/o Autorizzati al trattamento (ai sensi dell’art. 4, punto 10, GDPR).
    • A nominare – attraverso una nomina con cui sia stabilita la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi nonché le istruzioni documentate da parte del Titolare e, più in generale, quanto riportato al terzo comma dell’art. 28 GDPR – un responsabile tutte le volte in cui il trattamento sia effettuato “per conto” del Titolare stesso, così come richiesto a norma dell’art. 28 GDPR.
    • A norma degli articoli 29 e 32 GDPR, a sensibilizzare e formare i soggetti Designati e Autorizzati sul tema della protezione dei dati personali, con specifico riguardo alle funzioni e alle attività svolte nell’ambito del trattamento inerente all’app.
  • Ai sensi dell’art. 32 GDPR, a prevedere delle misure di sicurezza “adeguate”, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”, al fine di “garantire un livello di sicurezza adeguato al rischio”.
  • A svolgere una Valutazione d’impatto (DPIA) ex art. 35, in virtù dell’integrazione dell’art. 35, comma 1, Regolamento UE 679/2016.
  • A predisporre una procedura interna per dar seguito, nei tempi previsti dalla vigente normativa – alla richiesta di esercizio dei diritti di cui agli articoli da 15 a 22 GDPR da parte dell’interessato.
  • A predisporre una procedura interna per fronteggiare, nei tempi previsti dalla normativa, ipotesi di violazione dei dati (c.d. data breach, ex artt. 33 e 34 GDPR).

 

ART. 5 – DESIGNATI E AUTORIZZATI

 

I soggetti Designati e/o Autorizzati al trattamento vengono nominati con apposito atto scritto e individuati tra soggetti interni all’organizzazione in possesso di requisiti di esperienza, capacità ed affidabilità idonei a garantire il pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

Entrambe le figure, dovranno operare attenendosi alle istruzioni impartite dal Titolare e svolgere l’attività di trattamento nel rispetto primario dei principi di cui agli articoli 5 e 6 GDPR, nonché impegnandosi a un generale obbligo di riservatezza, operando con logiche correlate alle finalità e comunque in modo da garantire la sicurezza e la riservatezza dei dati.

Per tutto quanto non espressamente qui richiamato, si rinvia ai rispettivi modelli di nomina che costituiscono parte integrante della presente privacy policy aziendale cui vengono allegati.

ART. 6 – RESPONSABILI

 

Ai sensi dell’art. 28 GDPR, nel caso in cui i dati trattati mediante l’app Eilo siano trasferiti all’esterno e dunque il trattamento debba essere effettuato “per conto” del Titolare (ad es. per le attività di manutenzione tecnica da parte dello sviluppatore), ciò potrà avvenire soltanto nei confronti di soggetti nominati come responsabili, mediante un atto di nomina comprensivo delle istruzioni documentate di cui al terzo comma art. 28 GDPR.

 

ART. 7 – MISURE DI SICUREZZA

 

Ai sensi dell’art. 32 GDPR, il Titolare del trattamento ha implementato – per il trattamento esercitato mediante l’app Eilo – le seguenti misure di sicurezza “adeguate” per la gestione e conservazione dei dati raccolti:

 

  • Dal punto di vista delle misure di sicurezza fisiche

il database si base su un’infrastruttura fornita da Google LLC, pertanto i server sono controllati dalla società prima citata.

  • Dal punto di vista delle misure di sicurezza informatiche:

I dati sono conservati in forma criptata protetti da token univoco assegnato all’utente, e ulteriormente criptati per il mantenimento sul database.

 

ART. 8 – ISTRUZIONI OPERATIVE

Oltre ai principi e agli obblighi generali già descritti all’interno del proprio atto di nomina come soggetto (a seconda del caso) Designato o Autorizzato al trattamento, nell’ambito del trattamento svolto, occorrerà attenersi a quanto di seguito riportato:  

 

  • Verificare che non vi siano finalità eccedenti o difformi rispetto a quelle riportate nell’informativa; ossia, nello specifico:
    • Corretta erogazione dei servizi di ricerca e prenotazione;
    • Miglioramento della qualità del servizio.
  • Verificare che non avvenga il trattamento di dati ulteriori rispetto alle finalità sopra indicate (ad es. dati relative al traffic telefonico, agli sms, alla posta elettronica, alla navigazione internet, alla navigazione sui social network, ecc.). I dati raccolti attraverso l’applicazione dovranno essere soltanto i seguenti:
  • Nome e Cognome
  • Email
  • Ragione Sociale
  • Attività

Nel caso in cui dovessero verificarsi queste eventualità avvertire immediatamente il Titolare del trattamento (o in alternativa, nel caso dell’Autorizzato, darne comunicazione al soggetto Designato al trattamento).

  • Nel caso di ipotesi di violazioni dei dati conservati o comunque trattati mediante l’app Eilo (es. distruzione, perdita, modifica, divulgazione non autorizzata o accesso, accidentale o illegale) avvertire immediatamente il Titolare del trattamento (o in alternativa, nel caso dell’Autorizzato, darne comunicazione al soggetto Designato al trattamento)

 

INFORMATIVA AGLI UTENTI DI EILO

IN MATERIA DI PROTEZIONE DEI DATI PERSONALI AI SENSI DELL’ART. 12 e ss. REGOLAMENTO UE 679/2016, DEL D.LGS. 196/2003 COSÌ COME MODIFICATO DAL D.LGS. 101/2018

 

La ns. Società è da sempre molto attenta agli aspetti della protezione dei dati personali e al rispetto dei principi della riservatezza e delle dignità delle persone.

Ai sensi del nuovo Regolamento UE 679/2016, in ossequio al principio di responsabilizzazione qualsiasi trattamento di dati personali deve essere lecito e corretto. Deve essere trasparente per le persone fisiche la modalità con cui è raccolto, consultato o altrimenti trattato il dato personale che lo riguarda, nonché la misura in cui lo stesso dato è o sarà trattato.

Il principio di trasparenza impone che le informazioni e comunicazioni relative al trattamento di tali dati siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro.

Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del Titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni (cfr. artt. 13 e 14 del Regolamento UE 679/2016) per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che lo riguardano (sul punto si veda Considerando 39, Regolamento UE 679/2016).

 

In tale ottica preghiamo di prendere visione della seguente informativa.

Udine e Gorizia Fiere SpA , con sede in Via della Vecchia Filatura, 10/1 33035 MARTIGNACCO (UD), nella sua qualità di Titolare del trattamento dei dati, in persona del legale rappresentante pro-tempore, ai sensi e per gli effetti del Regolamento UE 2016/679, con la presente informa l’interessato che i dati personali assunti che lo riguardano, acquisiti dal Titolare o che verranno richiesti in seguito e/o comunicati da terze parti, sono necessari e saranno utilizzati per le finalità di seguito indicate.

 

FINALITÀ E LICEITÀ DEL TRATTAMENTO

 

Ai sensi Regolamento UE 679/2016, i dati personali:

– Sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (art. 5);

– Gli stessi sono raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità (art. 5);

– Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali. Tra tali dati personali sono compresi anche i dati personali che rivelano lo stato di salute, l’appartenenza sindacale, religiosa, politica e l’origine razziale o etnica.

 

Le finalità per le quali i Suoi dati vengono raccolti sono le seguenti:

  • Corretta erogazione dei servizi di ricerca e prenotazione;
  • Miglioramento della qualità del servizio.

 

BASE GIURIDICA DEL TRATTAMENTO

 

Il trattamento è lecito in base alle seguenti condizioni:

  • Ai sensi dell’art. 6, comma 1, lett. a) Regolamento UE 679/2016, il trattamento è lecito se l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità.
  • Ai sensi dell’art. 6, comma 1, lett. b) Regolamento UE 679/2016, il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.

 

MODALITÀ DEL TRATTAMENTO E OBBLIGO DI RISERVATEZZA

 

Il trattamento dei dati è eseguito attraverso strumenti informatici e/o supporti cartacei, ad opera di soggetti impegnati alla riservatezza, con logiche correlate alle finalità e comunque in modo da garantirne la sicurezza e la riservatezza dei dati. I dati raccolti non saranno oggetto di divulgazione e di diffusione a terzi ai sensi di legge.

I Vs. dati trattati mediante l’utilizzo dell’applicazione saranno i seguenti:

  • Nome e Cognome
  • Email
  • Ragione Sociale
  • Attività

 

COMUNICAZIONE A TERZI

 

I suoi dati personali potranno essere comunicati a soggetti terzi a noi conosciuti solo ed esclusivamente per le finalità suddette e, in special modo, alle seguenti categorie di soggetti:

– Società esterne che svolgono servizi per nostro conto;

– Enti e Pubbliche amministrazioni per adempimenti di legge;

– Professionisti che possono essere di supporto.

– Partners commerciali

Tali soggetti tratteranno i dati personali in qualità di Responsabili o di autonomi titolari del trattamento.

 

DIRITTI DELL’INTERESSATO

 

Ai sensi nella normativa vigente, l’interessato potrà far valere i propri diritti verso il Titolare del trattamento, come espressi dall’art. 15 e ss. del Regolamento UE 679/2016.

Oltre a detti diritti, l’interessato ha diritto a proporre reclamo all’Autorità di controllo nell’ipotesi di legge.

Per ulteriori informazioni in relazione alle modalità di esercizio di detti diritti, si prega contattare il Titolare del trattamento.

 

TITOLARE, EVENTUALE DPO E COMUNICAZIONI PRIVACY

 

Il Titolare è Udine e Gorizia Fiere SpA.

Per ogni comunicazione ai sensi degli articoli sopra riportati del Regolamento UE 679/2016, il Titolare mette a disposizione l’indirizzo Udine e Gorizia Fiere SpA, Via della Vecchia Filatura 10/1 33035 Martignacco UD , e-mail info@udinegoriziafiere.it