PRIVACY POLICY DEL SITO www.efferalgan.it

Versione n.2 del 17/12/2021
Perché questa Privacy Policy?

UPSA Italy S.r.l. (nel seguito, anche “UPSA” o “il contitolare”) e UPSA UPSA SAS – Société par Actions Simplifiée (nel seguito, anche “UPSA SAS”), congiuntamente anche i “contitolari”, sono case farmaceutiche aventi ad oggetto la promozione, la vendita e la distribuzione, in proprio, ovvero per conto o in collaborazione con terzi, di specialità medicinali (farmaci, farmaci complementari ed erboristici), nonché sono soggetti autorizzati all’immissione in commercio di farmaci e raccogliere segnalazioni su eventi avversi dei medicinali e si trovano a trattare dati personali degli utenti della rete Internet e, in particolare, di quelli che visitano i propri siti. I contitolari si propongono di salvaguardare la riservatezza della sfera privata e dei diritti delle persone e si impegnano, pertanto, ad applicare specifiche e protettive regole di condotta – in linea con il Regolamento Europeo 679/2016 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (nel seguito “GDPR”) – che garantiscano una sicura, controllata e riservata navigazione nella rete.

Questa politica di tutela della riservatezza delle informazioni potrebbe subire variazioni nel tempo, anche in funzione delle integrazioni e delle modifiche legislative e regolamentari in materia o per nostre decisioni istituzionali, pertanto, Vi invitiamo a consultare periodicamente questa sezione del nostro sito.

Grazie, quindi, per prendere visione delle regole che le nostre società si sono imposte nel raccogliere e nel trattare i dati personali e nel fornire sempre un servizio soddisfacente agli utenti dei propri siti.

La presente Privacy Policy è da intendersi applicabile esclusivamente ai siti dei contitolari e non anche a quelli di altre società, enti, associazioni, professionisti o qualsiasi altra entità giuridica o persona fisica.

La presente Privacy Policy è specificatamente informativa sul trattamento dei dati effettuato in relazione al sito www.efferalgan.it.

Principi-base della Privacy Policy di UPSA Italy e UPSA SA
  1. eseguire il trattamento (art. 4, comma 2, GDPR: “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”) dei dati personali (art. 4, comma 1, GDPR: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”) esclusivamente per le finalità di riscontro alle richieste degli utenti sul prodotto Efferlgan o altro di interesse, nonché accogliere segnalazioni su eventi avversi di medicinali;
  2. utilizzare i dati che sono stati rilasciati spontaneamente dall’utente attraverso i contatti attivati;
  3. utilizzare cookies tecnici per agevolare la navigazione nel sito e cookies analitici per fini statistici;
  4. trasmettere i dati a soggetti terzi (responsabili del trattamento – art. 4, comma 8, GDPR: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”) esclusivamente per fini strumentali a quanto espressamente richiesto e da noi accuratamente selezionati;
  5. comunicare i dati a soggetti terzi per attività connesse a quanto di interesse o qualora ciò sia imposto da legge, regolamento o normativa comunitaria;
  6. rispondere alle richieste di accesso ai dati personali, rettifica o cancellazione degli stessi, alla limitazione del trattamento o del diritto di opporsi al loro trattamento per motivi legittimi. Assicurare l’esercizio del diritto alla portabilità dei dati, nonché, opporsi al trattamento dei dati per motivi legittimi, rendere nota la possibilità di proporre reclamo all’autorità di controllo;
  7. assicurare un corretto e lecito trattamento dei Vostri dati, salvaguardando la Vostra riservatezza, nonché applicare misure idonee di sicurezza a tutela della riservatezza, dell’integrità e della disponibilità dei dati stessi.
Finalità del trattamento dei dati e modalità del trattamento – base giuridica del trattamento – criteri di raccolta dei dati

Finalità del trattamento dei dati

Tutte le attività di raccolta – e successivo trattamento – dei dati sono finalizzate al perseguimento degli scopi istituzionali dei contitolari e, in particolare per:

  1. eseguire attività di farmacovigilanza, secondo le norme di legge in materia, mediante la valutazione delle segnalazioni inviate dagli utenti. Nello specifico, per:
    1. individuare eventuali reazioni avverse non note;
    2. migliorare e potenziare le informazioni sulle sospette reazioni avverse già note;
    3. valutare il nesso di causalità tra la somministrazione del farmaco e la reazione avversa osservata;
    4. notificare tali informazioni alle autorità competenti, in modo da assicurare che i farmaci utilizzati presentino un rapporto beneficio/rischio favorevole per la popolazione
  2. comunicare i dati dei segnalanti e/o di terzi e il contenuto delle segnalazioni di eventi avversi ai soggetti che accedono alla Rete Nazionale di Farmacovigilanza ed ai soggetti obbligati ad effettuare attività di farmacovigilanza (AIFA, EMA, Unità Sanitarie Locali, Ufficio di farmacovigilanza degli ospedali o degli Istituti di Ricerca e Cura a carattere scientifico)
  3. eseguire elaborazioni statistiche sulle caratteristiche delle segnalazioni di eventi avversi.

Modalità del trattamento dei dati

  1. I dati personali sono trattati dai contitolari con strumenti sia cartacei sia elettronici e telematici e sono conservati all’interno del proprio sistema informatico. Idonee misure di sicurezza sono osservate per prevenire la perdita o alterazione dei dati – anche accidentale – usi illeciti o non corretti ed accessi non autorizzati.
  2. Tutti i trattamenti effettuati nell’ambito di questo sito saranno realizzati con logiche correlate alle finalità per le quali i dati sono stati raccolti e nel rispetto delle vigenti norme di sicurezza, per le finalità specificate al precedente capitolo “Finalità del trattamento dei dati”.
  3. Le finalità di cui al punto 4., “Finalità del trattamento”, sono perseguite con elaborazioni elettroniche che separano le informazioni che identificano l’interessato (quali, esemplificativamente nome e cognome, e-mail) dalle altre informazioni rilasciate e consistono in report anonimi: l’abbinamento con la persona cui i dati sono riferiti non sarà più ricostruibile.

Base giuridica del trattamento

La base giuridica del trattamento dipende dalla finalità del trattamento stesso. Si elencano, quindi, le differenti basi giuridiche applicate per le singole finalità del trattamento perseguite dai contitolari.

  1. per le finalità di cui al punto 1., “Finalità del trattamento”, la base giuridica sono, per i dati diversi da quelli rientranti nelle categorie di dati particolari (es.: dati relativi alla salute: art. 4, comma 15, GDPR – “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”): (1) l’art. 6, comma 1, lettera b), GDPR poiché il trattamento è finalizzato a adempiere a obblighi precontrattuali o contrattuali di cui è parte l’interessato; (2) art. 6, comma 1, lettera d), GDPR poiché il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; (3) art. 6, comma 1, lettera c), GDPR poiché il trattamento è finalizzato a adempiere a obblighi legali cui i contitolari sono soggetti; (4) art. 2-sexties, comma 2, lettera z, GDPR, d. lgs 296/2003 come modificato dal d. lgs 101/2018, poiché il trattamento è finalizzato, per quanto concerne gli enti pubblici e enti investiti di pubblici poteri, alla vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all’immissione in commercio e all’importazione di medicinali e di altri prodotti di rilevanza sanitaria. Viceversa, per quelli relativi alla salute, le basi giuridiche del trattamento sono: (1) art. 9, comma 2, lettera c), GDPR poiché il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso; (2) art. 9, comma 2, lettera g), GDPR poiché il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato; art. 9, comma 2, lettera f), GDPR poiché il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato.
  2. per le finalità di cui al punto 2, “Finalità dl trattamento”, le basi giuridiche sono: (1) art. 9, comma 2, lettera c), GDPR poiché il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso; (2) art. 9, comma 2, lettera g), GDPR poiché il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato; art. 9, comma f), GDPR poiché il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato. Nel caso di dati personali, le basi giuridiche sono: (1) l’art. 6, comma 1, lettera b), GDPR poiché il trattamento è finalizzato a adempiere a obblighi precontrattuali o contrattuali di cui è parte l’interessato; (2) art. 6, comma 1, lettera d), GDPR poiché il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; (3) art. 6, comma 1, lettera c), GDPR poiché il trattamento è finalizzato a adempiere a obblighi legali cui i contitolari sono soggetti; (4) art. 2-sexties, comma 2, lettera z, GDPR, d. lgs 296/2003 come modificato dal d. lgs 101/2018, poiché il trattamento è finalizzato, per quanto concerne gli enti pubblici e enti investiti di pubblici poteri, alla vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all’immissione in commercio e all’importazione di medicinali e di altri prodotti di rilevanza sanitaria;
  3. per le finalità di cui al punto 3. “Finalità del trattamento”, la base giuridica è il “legittimo interesse” (art. 6, comma 1, lettera f), GDPR, considerando C47, GDPR e Opinion 09 aprile 2014, n. 6 del Working Party 29, par. III.3.1.) dei contitolari di analizzare la consistenza delle persone che fruiscono del servizio di segnalazione di eventi avversi, per valutare i fenomeni avversi nel loro complesso per propri studi interni per migliorare il servizio stesso.

Criteri della raccolta dei dati

I dati personali sono di conferimento facoltativo. Pertanto, l’utente è libero di fornire i dati personali indicati in contatti con i contitolari per inviare le segnalazioni di eventi avversi. Implicitamente, se la segnalazione di eventi avversi è inviata a mezzo e-mail, il dato raccolto è l‘e-mail del mittente. Senza tali elementi, non si potrà dare riscontro a quanto di interesse. in particolare, per la gestione delle attività di farmacovigilanza, saranno raccolti, con riferimento al segnalante: nome e cognome, e-mail o recapiti di contatto (es.: numero di telefono, indirizzo postale). Con riferimento al paziente, si aggiungono dati relativi alla salute. Tutti questi dati sono tali da ricondurre, direttamente o indirettamente a persona fisica identificata o identificabile. A questi, l’utente può decidere di aggiungere altri dati per meglio comunicare le caratteristiche dell’evento avverso. All’atto dell’accesso al sito, sono raccolti dati dell’utente che riguardano l’indirizzo IP, data di accesso e durata della visita, device, sistema operativo e web browser utilizzato (impostazioni linguistiche, versione del sistema operativo e del software browser). La necessità di raccogliere e trattare tutti i dati sopra menzionati è stata considerata nel rispetto delle prescrizioni di cui all’art. 25, GDPR (“Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” – “Data Protection by design and by default”), che impongono di valutare previamente le misure tecniche e organizzative adeguate, quali la “pseudonimizzazione” (art. 4, comma 5, GDPR: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”), volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati.

Criteri usati per definire il limite della conservazione dei dati

I dati saranno mantenuti nei nostri archivi (art. 4, comma 6, GDPR: “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”) secondo criteri variabili in funzione della categoria del dato, della natura del trattamento e delle finalità del trattamento medesimo. I criteri o il limite preciso di conservazione sono descritti nelle informazioni da fornire ai sensi dell’art. 13, GDPR all’atto del conferimento dei dati personali.

In linea di principio, valgono le seguenti valutazioni dei contitolari per stabilire il criterio di conservazione dei dati:

  1. per le finalità di cui al punto 1., “Finalità del trattamento”, il periodo della conservazione dei dati è determinato in base al periodo necessario per gestire la segnalazione di evento avverso; la conservazione sarà comunque pari a n. 10 (dieci) anni, in ottemperanza a norme di legge.
  2. per le finalità di cui al punto 2., “Finalità del trattamento”, i dati saranno conservati per i suddetti dieci anni ma comunque comunicati in originale o in copia agli enti preposti alle attività di farmacovigilanza.
  3. per le finalità di cui al punto 3., “Finalità del trattamento”, i dati personali sono conservati nei nostri archivi per il periodo necessario alla loro trasformazione in forma anonima. Dopo tale periodo, i dati identificativi non sono più individuabili e non riconducono alla persona e, dunque, non più soggetti alle prescrizioni del GDPR.

Decorsi i periodi sopra enunciati, i dati personali (identificativi della persona) saranno, perciò, distrutti, se non altrimenti disposto da autorità di controllo, forze dell’ordine e magistratura o per esercitare, far valere o difendere un diritto dei contitolari o di un terzo in sede giudiziaria.

Luogo del trattamento dei dati

I trattamenti hanno luogo presso le sedi dei contitolari. Nello specifico, i dati detenuti in forma cartacea sono conservati presso la sede di UPSA Italy, mentre quelli in forma digitale presso i server – ubicati in Francia – di UPSA SAS. In caso di necessità, i dati personali raccolti possono essere trattati dal personale di società terze che curano la manutenzione della parte tecnologica del sito o eseguono attività di trattamento strumentali ai servizi erogati attraverso il sito presso le proprie sedi, nonché da altri soggetti ubicati principalmente all’interno dell’Unione Europea, accuratamente selezionati e nominati responsabili del trattamento ai sensi dell’art. 28, GDPR.

Trasferimento dei dati personali verso Paesi terzi o organizzazioni internazionali

Il trattamento dei dati personali avviene su server di proprietà dei contitolari e/o di società terze incaricate e debitamente nominate quali responsabili del trattamento, ubicati all’interno dell’Unione Europea. Laddove necessario, specificamente per la gestione di attività di farmacovigilanza, potranno anche essere trasferiti in Paesi extra-UE e si assicura sin d’ora che il trasferimento dei dati avverrà in conformità alle disposizioni di legge applicabili (artt. 45, 46, 47 e 49, GDPR).

Contitolari del trattamento
  1. UPSA Italy S.r.l. con sede legale in (00143) Roma, Viale Gaurico, 9/11, C.F. e P.IVA 15282491008 (UPSA Italy)
  2. UPSA SAS – Société par Actions Simplifiée, società soggetta al diritto francese, con sede legale in 3 Rue Joseph Monier, 92500 Rueil-Malmaison, Francia (UPSA SAS).

I titolari del trattamento sono definibili – ai sensi dell’art. 4, comma 7, GDPR, quali “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali dei dati personali”. I contitolari sono configurabili come tali perché hanno congiuntamente determinato finalità e mezzi del trattamento assumendosi obblighi e responsabilità reciprocamente, mediante stipulazione di accordo di contitolarità di cui all’art. 26, GDPR.

Data Protection Officer

Il Data Protection Officer è la persona che i contitolari coinvolgono in molte questioni riguardanti la protezione dei dati personali e che li sostiene nel controllare, laddove richiesto, come trattare e proteggere i dati. È anche il punto di contatto per gli interessati che intendono conoscere dettagli sul trattamento dei loro dati. Il Data Protection Officer dei contitolari è contattabile all’e-mail EUDPO@upsa-ph.com per informazioni sul trattamento dei dati.

Responsabili del trattamento, persone autorizzate al trattamento, autonomi titolari del trattamento
  1. I Vostri dati personali possono essere trattati, sia manualmente sia elettronicamente o telematicamente, sia direttamente dai contitolari sia da soggetti terzi che, dotati di esperienza, capacità tecniche, professionalità ed affidabilità, svolgono operazioni di trattamento per conto nostro, nel rispetto della sicurezza e della riservatezza delle informazioni e da noi costantemente controllati nel loro operato. Il responsabile del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, comma 8, GDPR) ed è vincolato contrattualmente, con definizione dei limiti di operatività sui dati, dei dati che può trattare e delle categorie di interessati cui sono riferiti, della natura e della finalità del trattamento, dai limiti di conservazione dei dati, dagli obblighi e dai diritti che i contitolari hanno nei confronti del responsabile, e con il divieto di farne uso differente rispetto all’incarico affidato. Può, se autorizzato, formalmente, in modo generale o specifico, avvalersi di altri responsabili, che sono vincolati contrattualmente dal responsabile inizialmente nominato: le violazioni commesse da tali altri responsabili ricadono sotto la responsabilità del responsabile iniziale e non dei contitolari. L’elenco completo ed aggiornato dei responsabili del trattamento (e, se del caso, dei responsabili nominati dal responsabile iniziale, previa nostra autorizzazione) può essere richiesto scrivendo all’e-mail EUDPO@upsa-ph.com.Si precisa che responsabile del trattamento per il servizio di hosting è Krealid S.A.S. – Société par Actions Simplifiée, società soggetta al diritto francese, con sede in 73bis Boulevard d’Armentières 59100 Roubaix, Francia.
  2. I dati personali raccolti saranno resi disponibili alle persone autorizzate dai contitolari ai sensi dell’art. 29, GDPR che svolgono attività di trattamento indispensabili per il perseguimento delle finalità sopra indicate. In linea generale, si tratta delle persone preposte all’erogazione dei servizi specifici, all’amministrazione, alla gestione dei servizi informativi, ai rapporti con gli utenti e segnalanti, alle attività istituzionali e commerciali.
  3. Saranno anche trattati dai gestori delle connessioni Internet, in qualità di autonomi titolari del trattamento.
  4. Saranno trattati anche dai soggetti che accedono alla Rete Nazionale di Farmacovigilanza ed ai soggetti obbligati ad effettuare attività di farmacovigilanza (AIFA, EMA, Unità Sanitarie Locali, Ufficio di farmacovigilanza degli ospedali o degli Istituti di Ricerca e Cura a carattere scientifico), in qualità di titolari del trattamento.
  5. Possono essere trattati da enti pubblici, magistratura o forze dell’ordine, in caso ciò sia imposto da legge, regolamento o normativa comunitaria, che agiranno in qualità di autonomi titolari del trattamento.
Ambito di comunicazione e diffusione dei dati

I dati degli utenti possono essere comunicati a soggetti terzi per finalità di vario genere. Per la precisione, nel seguito si elencano le varie casistiche che comportano la comunicazione a terzi dei dati.

  1. I dati devono essere comunicati a terzi, autonomi titolari del trattamento, poiché necessario per ottemperare a norme di legge o regolamenti. Tale comunicazione è ammessa, come riferito in “Base giuridica del trattamento”, senza il consenso dell’interessato (art. 6, comma 1, lettera c), GDPR).
  2. I dati potranno essere comunicati anche ad organi di controllo, forze di polizia e magistratura per far valere o difendere un proprio diritto o un diritto di un terzo in sede giudiziaria. Tale comunicazione è ammessa senza il consenso dell’interessato ai sensi dell’art. 6, comma 1, lettera f), GDPR, vale a dire in virtù del legittimo interesse dei contitolari o di un terzo a salvaguardare i propri diritti e libertà fondamentali purché non prevalgano quelli dell’interessato.
  3. I dati sono comunicati – in forza di legge per quanto concerne le attività di farmacovigilanza – ai soggetti che accedono alla Rete Nazionale di Farmacovigilanza ed ai soggetti obbligati ad effettuare attività di farmacovigilanza (AIFA, EMA, Unità Sanitarie Locali, Ufficio di farmacovigilanza degli ospedali o degli Istituti di Ricerca e Cura a carattere scientifico).
  4. I dati personali non sono e non saranno oggetto di diffusione.
Diritti degli interessati rispetto ai dati che li riguardano

Si possono esercitare, in qualsiasi momento, scrivendo all’e-mail EUDPO@upsa-ph.com  i diritti ex artt.15-22, GDPR nel seguito riportati: 

Diritto di accesso (articolo 15, GDPR)

La persona ha il diritto di richiedere se sia in corso un trattamento dei suoi dati personali e, dunque, ha diritto di accesso alle informazioni che lo riguardano e di avere notizie su:

  1. finalità del trattamento;
  2. categorie di dati personali;
  3. destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di Paesi terzi o organizzazioni internazionali;
  4. quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  5. esistenza del diritto di chiedere la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali o di opporsi al loro trattamento;
  6. diritto di proporre reclamo a un’autorità di controllo;
  7. se i dati non sono raccolti direttamente dalla persona, tutte le informazioni disponibili sulla loro origine;
  8. esistenza di un processo decisionale automatizzato, compresa la profilazione e informazioni significative sulla logica utilizzata, nonché importanza e conseguenze previste di tale trattamento per la persona.

Diritto di rettifica (articolo 16, GDPR)

La persona ha il diritto di ottenere la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, la persona ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

Diritto alla cancellazione (“diritto all’oblio” – “right to be forgotten”) (articolo 17, GDPR)

La persona ha il diritto di ottenere la cancellazione dei dati personali che lo riguardano si ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, per uno dei seguenti motivi:

  1. i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
  2. è revocato il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento (es.: proprio legittimo interesse, adempimenti normativi o contrattuali);
  3. ci si oppone al trattamento per fini di marketing e profilazione e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
  4. i dati personali sono stati trattati illecitamente;
  5. i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è si è soggetti.

Diritto di limitazione di trattamento (articolo 18, GDPR)

La persona ha il diritto di ottenere la limitazione del trattamento dei suoi dati personali quando sussiste uno dei seguenti motivi:

  1. la persona contesta l’esattezza dei dati personali, per il periodo necessario che si ha per verificare l’esattezza di tali dati personali;
  2. il trattamento è illecito e la persona si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
  3. benché non si abbia più bisogno dei dati ai fini del trattamento, i dati personali sono necessari alla persona per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
  4. la persona si è opposta al trattamento se il trattamento è basato su propri legittimi interessi, in attesa della verifica in merito all’eventuale prevalenza dei propri motivi legittimi rispetto a quelli della persona.

Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento (articolo 19, GDPR)

La persona ha il diritto di richiedere che la rettifica o la cancellazione dei dati o limitazione del trattamento sia comunicata ad altri soggetti cui eventualmente i dati sono stati comunicati. i contitolari potrebbero non ottemperare alla richiesta, se i mezzi da impiegare sono sproporzionati rispetto al diritto alla riservatezza invocato dalla persona.

Diritto alla portabilità dei dati (“data portability”) (articolo 20, GDPR)

Questo diritto permette alla persona di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un soggetto che sottopone i suoi dati a trattamento e ha il diritto di voler trasmettere tali dati a un soggetto per uso di quest’ultimo senza impedimenti da parte del soggetto cui li ha forniti. Questo diritto può essere esercitato nei seguenti casi:

  1. il trattamento è basato sul consenso o su di un contratto o su misure precontrattuali richieste dalla stessa persona e, contemporaneamente
  2. il trattamento sia svolto con mezzi automatizzati.

La persona ha il diritto di ottenere che i suoi dati siano trasferiti direttamente da un soggetto all’altro (da quello cui li ha conferiti a quello cui vuole siano trasmessi), se tecnicamente possibile.

Diritto di opposizione (articolo 21, GDPR)

La persona ha il diritto di opporsi al trattamento dei suoi dati per il perseguimento del legittimo interesse dei contitolari o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali della persona che richiedono la protezione dei dati personali, anche a fini di profilazione.

Se i dati personali sono trattati per finalità di marketing, la persona ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale attività di marketing.

Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione (articolo 22, GDPR)

La persona ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che la riguardano o che incida in modo analogo significativamente sulla sua persona. In particolare, ha il diritto di opporsi alla profilazione cui è sottoposto attraverso processi automatizzati.

Non si può esercitare questo diritto se la decisione:

  1. è necessaria per la conclusione o l’esecuzione di un contratto;
  2. è autorizzata dal diritto dell’Unione o dello Stato membro cui si è soggetti, che precisa anche misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi della persona;
  3. si basa sul consenso esplicito.

La persona ha il diritto di esprimere la propria opinione e di contestare la decisione dei contitolari.

Diritto di richiedere contenuto essenziale dell’accordo di contitolarità (art. 26, comma 2, GDPR)

L’interessato ha il diritto di richiedere il contenuto dell’accordo di contitolarità stipulato fra i contitolari.

Tempi di risposta

Come stabilito dal GDPR, si risponderà alla persona entro un mese dalla richiesta, a meno che si debbano mettere in atto procedure complesse (o le richieste siano numerose) che non permettono di rispettare questo tempo. È ammesso il riscontro completo entro tre mesi dalla richiesta, ma siamo obbligati a darvene notizia, comunque, entro un mese dalla richiesta originariamente trasmessa (art. 12, comma 3, GDPR).

Reclamo all’Autorità di Controllo

L’interessato ha il diritto di rivolgersi all’Autorità di Controllo per far valere i propri diritti.

Per l’Italia è il Garante per la Protezione dei Dati Personali, Piazza Venezia 11, 00187 Roma (RM) – www.garanteprivacy.it, a cui il reclamo può essere inviato all’indirizzo protocollo@pec.gpdp.it, usando il modello (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4535524&zx=e0yn0riezmmw) messo a disposizione dall’autorità o in forma libera.

Che cosa sono i cookies e come sono utilizzati dai contitolari

I cookies sono informazioni salvate sul disco fisso del Vostro PC e che sono inviate dal Vostro browser a un Web server e che si riferiscono al Vostro utilizzo della rete. Di conseguenza, permettono di conoscere i servizi, i siti frequentati e le opzioni che, navigando in rete, sono state manifestate.

Queste informazioni non sono, quindi, fornite spontaneamente e direttamente, ma lasciano traccia I dati rilevati attraverso i cookies saranno utilizzati per esigenze di carattere tecnico, al fine di garantire un più agevole, immediato e rapido accesso al sito e ai suoi servizi e una navigazione facilitata al singolo utente.

Potranno essere utilizzati, previo consenso dell’utente, anche cookie di profilazione, per creare profili dell’utente in base alle sezioni del sito o alle azioni compiute dall’utente medesimo su questo sito o navigando in rete.

L’uso di c.d. cookies di sessione (che non sono memorizzati in modo persistente sul computer dell’utente e sono automaticamente eliminati con la chiusura del browser) è strettamente limitato alla trasmissione d’identificativi di sessione (costituiti da numeri casuali generati dal server) necessari per consentire l’esplorazione sicura ed efficiente del sito. I c.d. cookies di sessione che sono utilizzati in questo sito evitano il ricorso ad altre tecniche informatiche potenzialmente pregiudizievoli per la riservatezza della navigazione degli utenti e non consentono l’acquisizione di dati personali identificativi dell’utente. Viceversa, i cookies di profilazione permettono di conoscere la navigazione in rete dell’utente e rilevare i suoi interessi, le esigenze espresse e preferenze e consentono poi di creare campagne pubblicitarie o creare profili per mirare meglio, in modo personalizzato, le comunicazioni promozionali, istituzionali e di sensibilizzazione. In ogni caso, è possibile configurare il browser in modo che si sia avvisati nel momento in cui è ricevuto un cookie e decidere quindi se accettarlo.

Per conoscere la nostra politica sui cookies e le politiche cookies di terze parti, invitiamo a leggere le informazioni in forma estesa cliccando qui.

Dati di navigazione

I sistemi informatici e le procedure software preposte al funzionamento di questo sito acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet. Si tratta di informazioni che non sono raccolte per essere associate a utenti identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni e associazioni con dati detenuti da terzi, permettere di identificare gli utenti medesimi. In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore o simili) e altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente. Questi dati sono usati soltanto per ricavare informazioni statistiche anonime sull’uso del sito e per controllarne il corretto funzionamento e sono cancellati immediatamente dopo l’elaborazione. I dati potrebbero essere utilizzati per l’accertamento di responsabilità in caso di ipotetici reati informatici ai danni del sito.

La sicurezza dei Vostri dati personali

I contitolari adottano idonee e preventive misure di sicurezza atte a salvaguardare la riservatezza, l’integrità, la completezza, la disponibilità dei Vostri dati personali. Così come stabilito dai disposti normativi che disciplinano la sicurezza dei dati personali, sono messi a punto accorgimenti tecnici, logistici e organizzativi che hanno per obiettivo la prevenzione di danni, perdite anche accidentali, alterazioni, utilizzo improprio e non autorizzato dei dati che Vi riguardano.

In particolare, si sono messe in atto misure tecniche e organizzative miranti a garantire un livello di sicurezza adeguato al rischio che potrebbe inficiare i diritti e le libertà delle persone, ivi compresa la riservatezza e la confidenzialità delle informazioni che le riguardano. Adotta criteri di sicurezza che comprendono, tra gli altri:

  1. la “pseudonimizzazione” (art. 4, comma 5, GDPR: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”) e/o la cifratura dei dati
  2. sistemi che permanentemente salvaguardano la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento
  3. sistemi atti a ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico
  4. procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Analoghe misure preventive di sicurezza sono adottate dai soggetti terzi (responsabili del trattamento) cui abbiamo affidato operazioni di trattamento dei Vostri dati per nostro conto.

D’altro canto, i contitolari non si ritengono responsabili circa le informazioni non veritiere inviate direttamente dall’interessato (esempio: correttezza dell’indirizzo e-mail o recapito postale o altri dati anagrafici), così come delle informazioni che lo riguardano e che sono state fornite da un soggetto terzo, anche fraudolentemente.