Informativa Privacy

(ai sensi del Regolamento Europeo 679/2016, Artt. 13/14)

Il Sig. Cristiano Montesi in qualità di Rappresentante Legale della Società Idea Services s.r.l.s., con sede in Viale Umbria, n° 44, 20135, Milano (Mi), in questa sede Titolare del trattamento dei dati personali ai sensi del Regolamento UE 679/2016 riconosce l’importanza della protezione dei dati personali e considera la loro tutela uno degli obiettivi principali della propria attività.

Ai sensi degli Art. 13/14 del Regolamento Europeo 679/2016 relativo alla protezione ed al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale della protezione dei dati), la invitiamo a leggere con attenzione la seguente informativa poiché la stessa contiene informazioni importanti sulla tutela dei dati personali e sulle misure di sicurezza adottate per garantire la riservatezza nel pieno rispetto della Normativa applicabile.

Sulla base dell’Art. 5 Principi applicabili al trattamento di dati personali i dati vengono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»); raccolti per finalità determinate, esplicite e legittime, adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»).

LUOGO DI TRATTAMENTO DEI DATI

Il trattamento dei dati ha luogo presso la predetta sede e presso i soggetti terzi individuati.

FINALITA’, BASE GIURIDICA E NATURA OBBLIGATORIA O FACOLTATIVA DEL TRATTAMENTO

I dati personali sono raccolti e trattati esclusivamente per le seguenti finalità:

  • dar corso e adempiere i servizi richiesti, tra cui la finalizzazione degli ordini di acquisto dei prodotti, nonché gestire il rapporto con la nostra Società o quello in essere fra lei e la Società stessa;
  • per finalità amministrative comunque connesse con l’adempimento dei relativi obblighi contrattuali, per l’adempimento di obblighi di legge quali ad esempio quelli di natura contabile, fiscale, o per dar corso a richieste dell’Autorità giudiziaria o per disposizioni di legge al quale è soggetto il Titolare del Trattamento;

Il conferimento dei dati è obbligatorio per le finalità ai punti 1, 2 e l’eventuale rifiuto a fornire i dati, tutti o in parte, potrebbe comportarne la mancata o parziale prosecuzione del rapporto o eventuali difficoltà ad adempiere ad obblighi contrattuali e precontrattuali. Per altre e diverse finalità da quelle espresse sarà cura del Titolare del Trattamento dare preventiva comunicazione e dove necessario richiedere espresso consenso.

MODALITA’ E DURATA DEL TRATTAMENTO

I dati personali sono trattati con strumenti informatizzati e cartacei per il tempo strettamente necessario a conseguire gli scopi per cui sono stati raccolti. Nello specifico i dati personali possono essere conservati per tutta la durata del rapporto contrattuale e fino allo scadere dei termini di prescrizione obbligatori ai sensi delle vigenti normative applicabili. Il periodo di conservazione è diverso a seconda della finalità del trattamento.

Non sono previsti trattamenti automatizzati ulteriori a quelli sopra citati e non viene effettuata alcun tipo di profilazione. Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati. La Società effettua un trattamento basato sul principio di Privacy by Design, che prevede una riduzione al minimo dei dati trattati, con particolare attenzione alla selezione e utilizzo di sistemi, servizi e prodotti che possano garantire tutti i diritti previsti dalla normativa vigente. In base al principio della Privacy by Default, il Titolare del Trattamento adotta altresì misure tecniche e organizzative adeguate a garantire il trattamento, per impostazione predefinita, dei soli dati necessari per ogni specifica finalità

AMBITO DI COMUNICAZIONE

I dati oggetto del trattamento saranno comunicati, solo ed esclusivamente per lo svolgimento delle attività attinenti le finalità di cui sopra, a terzi autorizzati e/o personale dipendente, in particolare

  • Soggetti che forniscono servizi per la gestione del sistema informatico usato dal titolare del trattamento e delle reti di comunicazione e che curano la manutenzione della parte tecnologica (ivi compresa la posta elettronica);
  • Soggetti che forniscono servizio di hosting e di conservazione dei dati, sistemi di gestione e applicativi;
  • Liberi professionisti, Studi o Società nell’ambito dei rapporti di assistenza e consulenza concernenti gli adempimenti contabili, la gestione del personale, sicurezza sui luoghi di lavoro;
  • Soggetti che svolgono adempimenti di controllo, revisione e certificazione delle attività poste in essere dal Titolare del trattamento;
  • Soggetti e società che svolgono servizi, come a titolo esemplificativo e non esaustivo, progettazione, consulenza, sviluppo, affiancamento, alle attività e agli adempimenti del Titolare del Trattamento;
  • Autorità competenti per adempimenti di obblighi di legge e/o disposizioni di organi pubblici, su richiesta degli interessati;

I soggetti appartenenti alle categorie suddette hanno presentato garanzie sufficienti  per mettere in atto misure tecniche e organizzative adeguate e sono stati nominati Responsabili del trattamento dei dati con atto formale e scritto, impegnandosi a trattare i dati solo su istruzioni documentate del Titolare del Trattamento. L’elenco dei responsabili è costantemente aggiornato e disponibile a richiesta presso la sede del Titolare del Trattamento.

Ogni ulteriore comunicazione avverrà solo previo esplicito consenso dell’interessato.

La Società Idea Services s.r.l.s., quale Titolare del Trattamento, ha provveduto a formare il personale autorizzato sulle norme previste dalla disciplina vigente in materia di dati personali. I dati non verranno diffusi.

TRASFERIMENTO DATI EXTRA-EU
Non sono previsti trasferimenti verso paesi Extra UE dei dati personali. Nel caso, il trasferimento di dati personali verso Paesi che non appartengono all’Unione Europea e che non assicurino livelli di tutela adeguati saranno eseguiti solo previa conclusione tra la Società e la terza parte destinataria dei dati di specifici accordi, contenenti clausole di salvaguardia e garanzie appropriate per la protezione dei dati personali.

DIRITTI DEGLI INTERESSATI

In ogni momento potrà esercitare i suoi diritti nei confronti del titolare del trattamento, ai sensi del capo III Diritti dell’Interessato del Regolamento Europeo 679/2016, che per completezza di informazioni riportiamo integralmente nella presente. Può in ogni momento richiedere maggiori informazioni al Titolare del Trattamento al info@ideaservices.eu o fare riferimento alla informativa completa disponibile nel sito www.ideaservices.eu.

RECLAMI
Se ritiene che il trattamento dei suoi dati personali sia stato svolto illegittimamente, puo proporre un reclamo a una delle autorità di controllo competenti per il rispetto delle norme in materia di protezione dei dati personali. In Italia, il reclamo può essere presentato al Garante per la Protezione dei Dati Personali. Maggiori informazioni sulle modalità di presentazione sono disponibili sul sito del Garante, all’indirizzo http://www.garanteprivacy.it

Milano, 1 luglio 2018

Regolamento Europeo 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

CAPO III

Diritti dell’interessato

Sezione 1

Trasparenza e modalità

Articolo 12

Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato

  1. Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.
  2. Il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22. Nei casi di cui all’articolo 11, paragrafo 2, il titolare del trattamento non può rifiutare di soddisfare la richiesta dell’interessato al fine di esercitare i suoi diritti ai sensi degli articoli da 15 a 22, salvo che il titolare del trattamento dimostri che non è in grado di identificare l’interessato.
  3. Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato.
  4. Se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.
  5. Le informazioni fornite ai sensi degli articoli 13 e 14 ed eventuali comunicazioni e azioni intraprese ai sensi degli articoli da 15 a 22 e dell’articolo 34 sono gratuite. Se le richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può:
  6. a) addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta; oppure
  7. b) rifiutare di soddisfare la richiesta.

Incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.

  1. Fatto salvo l’articolo 11, qualora il titolare del trattamento nutra ragionevoli dubbi circa l’identità della persona fisica che presenta la richiesta di cui agli articoli da 15 a 21, può richiedere ulteriori informazioni necessarie per confermare l’identità dell’interessato.
  2. Le informazioni da fornire agli interessati a norma degli articoli 13 e 14 possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto. Se presentate elettronicamente, le icone sono leggibili da dispositivo automatico.
  3. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 92 al fine di stabilire le informazioni da presentare sotto forma di icona e le procedure per fornire icone standardizzate.

Sezione 2

Informazione e accesso ai dati personali

Articolo 13

Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato

  1. In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
    1. l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
    2. i dati di contatto del responsabile della protezione dei dati, ove applicabile;
    3. le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
    4. qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
    5. gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
    6. ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
  2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
    1. il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
    2. l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
    3. qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
    4. il diritto di proporre reclamo a un’autorità di controllo;
    5. se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
    6. l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
    7. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.
    8. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l’interessato dispone già delle informazioni.

Articolo 14

Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato

  1. Qualora i dati non siano stati ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato le seguenti informazioni:
    1. l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
    2. i dati di contatto del responsabile della protezione dei dati, ove applicabile;
    3. le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
    4. le categorie di dati personali in questione;
    5. gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
    6. ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
  2. Oltre alle informazioni di cui al paragrafo 1, il titolare del trattamento fornisce all’interessato le seguenti informazioni necessarie per garantire un trattamento corretto e trasparente nei confronti dell’interessato:
  3. il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  4. qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
  5. l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  6. qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;
  7. il diritto di proporre reclamo a un’autorità di controllo;
  8. la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;

  1. Il titolare del trattamento fornisce le informazioni di cui ai paragrafi 1 e 2:
    1. entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati;
    2. nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato; oppure
    3. nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.
    4. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati ottenuti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni informazione pertinente di cui al paragrafo 2.
    5. I paragrafi da 1 a 4 non si applicano se e nella misura in cui:
  2. l’interessato dispone già delle informazioni;
  3. comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all’articolo 89, paragrafo 1, o nella misura in cui l’obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo pubbliche le informazioni;
  4. l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato; oppure
  5. qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge.

Articolo 15

Diritto di accesso dell’interessato

  1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
    1. le finalità del trattamento;
    2. le categorie di dati personali in questione;
    3. i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
    4. quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
    5. l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
    6. il diritto di proporre reclamo a un’autorità di controllo;
    7. qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
    8. l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
    9. Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento.
    10. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.
    11. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.

Sezione 3

Rettifica e cancellazione

Articolo 16

Diritto di rettifica

L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

Articolo 17

Diritto alla cancellazione («diritto all’oblio»)

  1. L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
  2. i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
  3. l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
  4. l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
  5. i dati personali sono stati trattati illecitamente;
  6. i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
  7. i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.
  8. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
  9. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:
  10. per l’esercizio del diritto alla libertà di espressione e di informazione;
  11. per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  12. per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 9, paragrafo 2, lettere h) e i), e dell’articolo 9, paragrafo 3;
  13. a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o
  14. per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

 

Articolo 18

Diritto di limitazione di trattamento

  1. L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
  2. l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
  3. il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
  4. benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
  5. l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

  1. Se il trattamento è limitato a norma del paragrafo 1, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro.
  2. L’interessato che ha ottenuto la limitazione del trattamento a norma del paragrafo 1 è informato dal titolare del trattamento prima che detta limitazione sia revocata.

Articolo 19

Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento

Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell’articolo 16, dell’articolo 17, paragrafo 1, e dell’articolo 18, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all’interessato tali destinatari qualora l’interessato lo richieda.

Articolo 20

Diritto alla portabilità dei dati

  1. L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:
    1. il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b); e
    2. il trattamento sia effettuato con mezzi automatizzati.
    3. Nell’esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile.
    4. L’esercizio del diritto di cui al paragrafo 1 del presente articolo lascia impregiudicato l’articolo 17. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
    5. Il diritto di cui al paragrafo 1 non deve ledere i diritti e le libertà altrui.

Sezione 4

Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche

Articolo 21

Diritto di opposizione

  1. L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
  2. Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.
  3. Qualora l’interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento per tali finalità.
  4. Il diritto di cui ai paragrafi 1 e 2 è esplicitamente portato all’attenzione dell’interessato ed è presentato chiaramente e separatamente da qualsiasi altra informazione al più tardi al momento della prima comunicazione con l’interessato.
  5. Nel contesto dell’utilizzo di servizi della società dell’informazione e fatta salva la direttiva 2002/58/CE, l’interessato può esercitare il proprio diritto di opposizione con mezzi automatizzati che utilizzano specifiche tecniche.
  6. Qualora i dati personali siano trattati a fini di ricerca scientifica o storica o a fini statistici a norma dell’articolo 89, paragrafo 1, l’interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguarda, salvo se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico.

Articolo 22

Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione

  1. L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
  2. Il paragrafo 1 non si applica nel caso in cui la decisione:
  1. sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
  2. sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
  3. si basi sul consenso esplicito dell’interessato.
  4. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
  5. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.

 

Comunicazione di una violazione dei dati personali all’interessato (Art. 34)

  1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.
  2. La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d).
  3. Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:
  4. a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
  5. b) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
  6. c) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
  7. d) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
  8. Nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.