Informativa sul trattamento dei dati personali
art. 13 del Regolamento (UE) n. 2016/679
Ai sensi dell’art. 13 del Regolamento (UE) n. 2016/679, anche denominato General Data Protection Regulation (di seguito il “GDPR“), l’Associazione Socio Culturale Palio di Ostia Antica, informa che i dati personali (di seguito i “Dati“), saranno trattati nel rispetto di quanto previsto dal GDPR e di ogni normativa applicabile in riferimento al trattamento dei dati personali in conformità all’informativa che segue.
1. Titolare del trattamento. Responsabile della protezione dei Dati.
Il Titolare del trattamento dei dati è Associazione Culturale Palio di Ostia Antica, con sede legale in Via Pericle Ducati, 12 00119 Roma (di seguito il “Palio“). Il Responsabile della protezione dei Dati è contattabile all’e-mail load.mazza@gmail.com per informazioni sul trattamento dei Dati.
2. Categorie di Dati
I Dati trattati dal Palio includono: (I) dati anagrafici (nome, cognome, età, sesso), indirizzo di residenza o domicilio e recapiti (telefono, indirizzo email); (II) dati bancari (IBAN)
3. Finalità e base giuridica del trattamento. Legittimo interesse.
I Dati saranno trattati per l’adempimento ad obblighi di legge, ai sensi dell’art. 6, comma 1, lettera b) e c) del GDPR, nonché il perseguimento del legittimo interesse del Palio, all’art. 6, comma 1, lettera f del GDPR, in riferimento a:
- rispetto di procedure amministrative interne e adempimento di obblighi di legge o regolamenti vigenti in Italia;
- l’invio di comunicazioni di natura promozionale relative a progetti, attività e iniziative di raccolta fondi, nonché sondaggi e ricerche riservati ai donatori e ad altri soggetti che hanno in precedenza manifestato interesse alle azioni del Titolare, al fine di sensibilizzare il pubblico ai propri progetti a scopo non lucrativo.
In ogni caso, il trattamento dei Dati effettuato sulla base del proprio legittimo interesse del Palio avviene, oltre che nel rispetto di quanto previsto all’art. 6, comma 1, lettera f del GDPR, anche in conformità a quanto disposto al considerando n. 47 e all’Opinion n. 6/2014 Article 29 Data Protection Working Party, par. III.3.1.
4. Modalità del trattamento.
I Dati sono raccolti e registrati in modo lecito e secondo correttezza per le finalità sopra indicate e sono trattati anche con l’ausilio di strumenti elettronici e automatizzati, anche mediante l’inserimento e l’organizzazione in banche dati, in conformità a quanto disposto dal GDPR in materia di misure di sicurezza, e, comunque, in modo tale da garantire la sicurezza e la riservatezza dei Dati stessi.
5. Destinatari o categorie di destinatari.
I Dati potranno essere resi accessibili, portati a conoscenza di o comunicati ai seguenti soggetti, i quali saranno nominati dal Palio, a seconda dei casi, quali responsabili – la cui lista è disponibile presso la sede del Palio:
- organizzazioni non lucrative del gruppo di cui fa parte il Palio, dipendenti e/o collaboratori a qualsivoglia titolo di cui il Palio si avvalga per lo svolgimento delle attività strumentali al raggiungimento della finalità istituzionali.
In ogni caso, i Dati non saranno diffusi.
6. Trasferimento dei Dati all’estero
I dati personali dell’Interessato sono conservati in archivi cartacei, informatici e telematici generalmente situati in Italia. Alcuni dati (come per es. indirizzi di posta elettronica) potranno essere conservati in archivi situati anche in paesi nei quali è applicato il GDPR (paesi UE).
7. Periodo di conservazione.
I Dati saranno conservati per un periodo di tempo massimo di 10 (dieci) anni per finalità amministrative e, comunque, per il tempo strettamente necessario al perseguimento dell’interesse legittimo del Palio.
8. Diritti di accesso, cancellazione, limitazione e portabilità.
Il Palio informa che sono riconosciuti i diritti di cui agli artt. da 15 a 20 del GDPR. A titolo esemplificativo, inviando specifica richiesta all’indirizzo email load.mazza@gmail.com, Il titolare dei dati potrà:
- ottenere la conferma che sia o meno in corso un trattamento di dati personali che Lo riguardano;
- qualora un trattamento sia in corso, ottenere l’accesso ai dati e alle informazioni relative al trattamento, nonché richiedere una copia dei dati stessi;
- ottenere la rettifica dei dati inesatti e l’integrazione dei dati personali incompleti;
- ottenere, qualora sussista una delle condizioni previste dall’art. 17 del GDPR, la cancellazione dei Dati che La riguardano;
- ottenere, nei casi previsti dall’art. 18 del GDPR, la limitazione del trattamento dei Dati che Lo riguardano;
9. Diritto di opposizione.
Ai sensi dell’art. 21 del GDPR, il titolare dei dati godrà altresì del diritto di opporsi in qualsiasi momento al trattamento dei propri Dati effettuato per il perseguimento del legittimo interesse del Palio scrivendo all’indirizzo email load.mazza@gmail.com. In caso di opposizione, i Dati non saranno più oggetto di trattamento, sempre che non sussistano motivi legittimi per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà degli interessati, oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
10. Diritto di proporre reclamo al Garante.
Il Palio informa altresì che il titolare dei dati potrà proporre reclamo al Garante per la Protezione dei Dati Personali nel caso in cui ritenga che siano stati violati i diritti di cui è titolare ai sensi del GDPR o di qualsiasi altra normativa applicabile, secondo le modalità indicate sul sito internet del Garante per la Protezione dei Dati Personali accessibile all’indirizzo: www.garanteprivacy.it.
COOKIES Sito Web
Accedendo al sito www.paliodiostiantica.it l’utente accetta l’utilizzo dei cookie impostati sul sito stesso, secondo le modalità descritte nel presente documento. Un cookie web consiste in una serie di informazioni contenute in file di testo di piccole dimensioni che vengono memorizzate sul vostro computer dal sito che state visitando. I cookie consentono di tenere traccia delle sessioni di navigazione, memorizzando una serie di informazioni quali, ad esempio, la lingua selezionata, le dimensioni del testo, etc, in modo da migliorare l’efficienza del servizio offerto tramite il web, in maniera aggregata ed in forma anonima.
Esistono principalmente due tipologie di cookies:
- Transitori (o di sessione), che mantengono le informazioni per il tempo necessario alla navigazione web e che vengono cancellati una volta usciti dal browser o allo spegnimento del computer;
- Persistenti, che memorizzano e mantengono le informazioni sul computer fino all’eliminazione del cookie stesso e che consentono il recupero automatico di informazioni immesse in precedenza.
Tutela della privacy
I cookies possono memorizzare una vasta gamma di informazioni, comprese le informazioni personali come il nome utente o un indirizzo e-mail. Per questo motivo, l’Unione Europea ha emanato una direttiva (2002/58/CE), recepita nei D. Lgs. 69 e 70/2012, che disciplina l’utilizzo dei cookies e la memorizzazione delle informazioni di identificazione personale.
Le informazioni raccolte tramite cookies dal nostro sito sono in forma anonima e per l’esclusivo utilizzo del sito web stesso.
I cookies utilizzati nel nostro sito non consentono l’accesso ad alcuna informazione personale, salvo gli eventuali dati che l’utente sceglie di condividere con noi.
Gestione dei cookies
I cookies vengono utilizzati in tutti i siti web e la loro disattivazione potrebbe impedirvi di utilizzare alcune funzionalità.
Se si desidera disattivare i cookies, consultare le istruzioni per il browser che si utilizza e seguire la procedura indicata.
Per esempio, se si usa Mozilla Firefox:
- Nel browser, selezionare Firefox (o “Strumenti” nella parte superiore della finestra del browser) e selezionare Opzioni
- Fare clic sulla scheda Privacy
- Selezionare la casella ‘Accetta i cookie dai siti’ per abilitare i cookie, o deselezionarla per disabilitare i cookie
Ulteriori informazioni relative ai cookies ed al loro controllo sono disponibili al seguente indirizzo: http://www.allaboutcookies.org
Appendice 1
Privacy tra Europa e legge nazionale: quale diritto applicabile?
Entrando a far parte dell’Unione Europea, lo Stato italiano ha rinunciato ad una parte della propria sovranità cedendola all’UE.
Il sistema delle fonti di diritto interno, di conseguenza, si è adeguato a tale situazione istituzionale, riconoscendo agli atti legislativi europei un valore differente a seconda della loro tipologia. I Regolamenti europei hanno la caratteristica di essere direttamente applicabili e obbligatori in tutti i loro elementi nei confronti di tutti gli Stati membri e di tutti i cittadini dell’Unione. Si collocano quindi, nel sistema di fonti normative interne, immediatamente al di sotto della carta costituzionale, prevalendo sia sul diritto interno già vigente che su quello successivo.
In base al dettato dell’art. 99 del GDPR, il Regolamento Europeo 679/2016 sulla Data Protection (GDPR) si applicherà a decorrere dal 25 maggio 2018 e sarà obbligatorio in tutti i suoi elementi nonché direttamente applicabile in ciascuno degli Stati membri. Dalla stessa data sarà abrogata la Direttiva 95/46/CE che attualmente disciplina a livello comunitario il trattamento dei dati.
Sempre in ambito di data protection, è attualmente vigente nel nostro Paese il Codice della Privacy (D.lgs 196/2003) con cui il legislatore italiano ha voluto raccogliere in un testo unico la maggior parte delle disposizioni inerenti alla privacy e al trattamento dei dati, recependo in tal modo la direttiva di cui sopra e quella sull’e-privacy (dir. 58/2002/CE).
Nonostante il Regolamento prevalga sulla legge nazionale interna, tuttavia la sola esistenza ed applicazione del GDPR non comporta, provenendo questo da un ordinamento (quello europeo) diverso da quello nazionale, l’abrogazione automatica della legge statale regolante la medesima materia.
Sebbene formalmente ancora vigenti, tutte quelle disposizioni della legge interna in contrasto con le nuove previsioni normative europee dovranno essere in ogni caso disapplicate, in favore della nuova disciplina.
A tali conclusioni si giunge anche tenendo in considerazione che il legislatore europeo, se avesse voluto abrogare tutte le legislazioni interne degli Stati membri in materia di protezione dati, avrebbe avuto il potere di farlo, prevedendo in modo espresso la sostituzione in toto delle discipline normative nazionali.
Così però non è stato e, al contrario, nel considerando 10 del GDPR, viene sancito che “per quanto riguarda il trattamento dei dati personali per l’adempimento di un obbligo legale, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione delle norme del presente regolamento”. E ancora “…il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali”.
Il D.lgs. 196/2003 non subisce dunque alcuna abrogazione diretta e, al contrario, mantiene la sua forza normativa, subendo tuttavia una sorta di “rilettura in chiave GDPR”. In base a tale “rilettura”
a) Dove non vi è compatibilità tra quanto disposto dal Codice della Privacy e quanto previsto dal Regolamento 679/2016, il CdP lascia il passo alle nuove disposizioni europee: la legge statale deve essere disapplicata in favore del GDPR;
b) Laddove vi sia compatibilità tra le due norme, il d.lgs. 196/2003 rimane applicabile continuando a dettare legge, anche in maniera più specifica rispetto al GDPR.
Consenso
il consenso non è necessario per il trattamento di dati comuni e sensibili dei soggetti “che hanno con essi contatti regolari” o degli “aderenti”, se il trattamento è necessario “per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto”, e se con l’informativa l’ente comunica all’interessato le modalità dell’utilizzo dei dati, e sempre che i dati non siano comunicati all’esterno o diffusi. In sostanza il Codice italiano stabilisce che se l’ente non profit tratta i dati personali comuni e sensibili dei soci per gli scopi statutari e non li comunica a terzi e non li diffonde, non ha l’obbligo di acquisire il consenso/autorizzazione dei soci.
Questa esenzione deve considerarsi esistente anche in base al GDPR, che, all’art. 9 comma 2 lett. d), consente all’associazione l’utilizzo dei dati “particolari” (e a maggior ragione dei dati comuni) dei “membri”, “ex membri” e delle “persone che hanno regolari contatti” con l’ente, anche senza specifico consenso, se tale utilizzo è svolto nell’ambito dell’attività dell’associazione e con adeguate garanzie (di protezione dei dati), con divieto però di comunicazione all’esterno.
Profilo delicato resta quello di capire, ai fini dell’esonero dal consenso, se tra le persone che hanno “contatti regolari con l’ente” possano essere inclusi i beneficiari dell’attività che ricevono dall’associazione un servizio continuativo.
Con riferimento ai beneficiari e comunque ai non soci, possono però applicarsi alle ODV, APS ed ETS anche altre ipotesi di esclusione del consenso previste dal GDPR.
In particolare, ai sensi dell’art. 6 GDPR, il consenso non è necessario quando il trattamento dei dati comuni:
– è necessario per adempiere ad un obbligo legale imposto dal diritto dell’UE o dalla legge dello Stato membro;
– è necessario per l’esecuzione di un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato;
– è necessario per l’esecuzione di compiti di interesse pubblico;
– è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi che non lega i diritti e le libertà fondamentali dell’interessato (es. le campagne di raccolta fondi).
Ai sensi dell’art. 9 GDPR, il consenso non è necessario quando il trattamento dei dati “particolari”:
– è necessario per gli adempimenti in materia di diritto del lavoro, sicurezza sociale e protezione sociale;
– è necessario per tutelare un interesse vitale dell’interessato o di altra persona fisica, e costoro non possano prestare il consenso;
– riguarda dati “resi manifestamente pubblici dall’interessato”.
Le norme di cui sopra consentono quindi all’ODV, APS ed ETS di non chiedere il consenso se il trattamento:
– dei dati comuni e sensibili è necessario per l’adempimento degli obblighi nascenti dal rapporto di lavoro con i propri dipendenti;
– consiste nella comunicazione obbligatoria dei dati comuni all’Agenzia delle Entrate;
– consiste nella comunicazione dei dati comuni degli associati alla compagnia di assicurazione da parte delle ODV ed ETS iscritti ai registri del volontariato (e in futuro al RUNTS) per l’assicurazione obbligatoria;
– dei dati comuni serve per eseguire un servizio richiesto dal beneficiario (es. richiesta di trasporto o assistenza domiciliare);
– di dati particolari/sensibili serve per la tutela della vita o incolumità fisica della persona;
– di dati comuni avviene per campagne di raccolta fondi (fermo restando il diritto dell’interessato di opporsi).
In ragione dell’incertezza sull’applicazione dei casi di esonero del consenso, si consiglia di chiedere sempre il consenso ai beneficiari dell’attività se si trattano loro dati particolari/sensibili.
E va comunque tenuto presente:
– che anche in caso di esonero dal consenso, va sempre fornita all’interessato l’informativa, nella quale descrivere specificamente le modalità con cui l’associazione utilizza i dati
– che i dati sanitari e quei dati idonei a rivelare la vita sessuale non possono essere diffusi nemmeno su consenso dell’interessato.
I