INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
AI SENSI DEGLI ARTT. 13 E 14 DEL REGOLAMENTO UE/2016/679 – GDPR
Edizione 1° settembre 2023
[INIZIO DOCUMENTO]
Siamo un’organizzazione non governativa priva di finalità di lucro che svolge attività volte al perseguimento della solidarietà sociale e della cooperazione internazionale allo sviluppo.
Siamo da sempre attenti a promuovere e difendere i diritti e le libertà fondamentali delle persone, principi sui quali si fonda lo stesso Regolamento Generale per la Protezione dei Dati personali UE/2016/679 (di seguito, anche GDPR). Consapevoli dell’importanza e della delicatezza dei tuoi dati personali e dei tuoi diritti, ti assicuriamo il rispetto delle norme vigenti sulla protezione dei dati personali e, di seguito, ti informiamo in merito alle finalità ed alle modalità dei trattamenti che eseguiremo con i tuoi dati personali raccolti tramite il Sito Web e/o le piattaforme di Social Network.
1. Titolare del trattamento e Responsabile della protezione dei dati
Il Titolare del trattamento è Apurimac ETS, con sede legale in Piazza del Popolo n. 12 – 00187 Roma (RM). È possibile contattare il Titolare al numero telefonico +39 06 4542 6336 oppure scrivendo presso la sede legale o inviando una e-mail a: info@apurimac.it («Apurimac» o «il Titolare»).
Il Responsabile della Protezione dei Dati, nominato ai sensi dell’art. 37 GDPR è contattabile al numero telefonico +39 0832311148 oppure inviando una e-mail all’indirizzo: privacy@apurimac.it («RPD»).
2. Finalità del trattamento
Trattiamo i tuoi dati personali per le seguenti finalità:
a) consentire, mediante una navigazione del sito www.apurimac.it fluida ed efficiente, la possibilità di riscontrare richieste di contatto e la fruizione dei servizi o l’acquisto di prodotti mediante la compilazione di moduli on-line (a titolo esemplificativo e non esaustivo, di effettuare il download di specifici documenti, la sottoscrizione di raccolta fondi, l’iscrizione ad eventi ed iniziative organizzati da Apurimac, la candidatura ad attività di volontariato, etc.);
b) invio di newsletter o di periodici di informazione;
c) effettuare attività di marketing diretto (soft spam) ad informarti in merito alle iniziative di raccolta fondi finalizzate alla realizzazione di programmi e progetti solidali per i quali hai manifestato interesse o partecipazione quali, a titolo esemplificativo, percorsi di istruzione e formazione, promozione dei diritti umani e di iniziative di peace-building, attivazione di programmi e progetti di integrazione, solidarietà e assistenza sociale, attivazione di programmi e progetti di assistenza sanitaria;
d) effettuare attività di marketing profilato, ossia analisi delle tue preferenze, abitudini, comportamenti, interessi desunti, ad esempio, dai click online su articoli/sezioni delle piattaforme social o del sito web di Apurimac, al fine di inviarti comunicazioni personalizzate ed effettuare azioni promozionali mirate. Il trattamento dei tuoi dati personali per finalità di profilazione avverrà, in caso di consenso, con strumenti di elaborazione dati che, a seguito di incrocio, creeranno un tuo profilo comportamentale nel web. Tali strumenti di elaborazione dati mettono in relazione i dati raccolti nel corso della tua navigazione sulle piattaforme social e sul sito, attraverso l’utilizzo di cookie di profilazione di prima o di terza parte da te eventualmente accettati, con i dati raccolti tramite la compilazione del modulo online. Inoltre, tali dati e/o informazioni, verranno associati agli eventuali e/o ulteriori dati e/o informazioni già in nostro possesso a seguito della tua adesione ai nostri servizi.
e) ove necessario, accertare, esercitare o difendere un nostro diritto in sede giudiziale o stragiudiziale;
f) adempiere ad obblighi previsti da regolamenti e norme nazionali o sovranazionali nella misura in cui applicabili.
3. Categorie di dati personali trattati
Per le finalità di cui al paragrafo 2, tratteremo solo dati personali comuni quali – ad esempio – il tuo nome e cognome, i tuoi dati di contatto (indirizzo di residenza o domicilio, indirizzo e-mail, eventuale recapito telefonico), il tuo codice fiscale in presenza di raccolta fondi o acquisto prodotti e servizi nonché i tuoi dati di navigazione (indirizzo IP, data e ora di accesso, parametri di sistema dei dispositivi collegati, pagine visitate, etc.) rilevati in conformità alla cookie policy applicata. In nessun caso tratteremo categorie particolari di dati né dati giudiziari.
Il sito web potrebbe, altresì, includere plugin e/o bottoni al fine di consentirti l’immediata condivisione dei contenuti sulle diverse piattaforme di Social Network (ad esempio, Facebook, Twitter, LinkedIn, WhatsApp, Instagram) da te eventualmente utilizzate. Qualora tu decida di condividere alcuni contenuti tramite una o più delle suddette piattaforme social, il sito web potrebbe accedere ad alcune informazioni del suo account nell’ipotesi in cui risulti attivata la condivisione di dati del tuo account con applicazioni di terze parti. Puoi disattivare la condivisione di dati del tuo account con applicazioni di terze parti accedendo alle impostazioni del tuo account.
4. Come abbiamo acquisito i tuoi dati
I tuoi dati personali possono essere stati da noi acquisiti:
a) direttamente da te, a seguito della tua navigazione sul sito web www.apurimac.it, mediante la compilazione di moduli on-line presenti su detto sito e l’approvazione esplicita della cookie policy (https://www.iubenda.com/privacy-policy/40879803/cookie-policy);
b) da fonti terze, ai quali tu abbia fornito il consenso alla comunicazione dei tuoi dati personali, eventualmente anche a seguito di profilazione. Tra queste, in particolare, possono essere incluse anche le piattaforme social – se da te utilizzate – alle quali hai rilasciato il consenso al trattamento dei dati ed alla eventuale profilazione e comunicazione degli stessi. Tali piattaforme sono gestite da autonomi titolari del trattamento e ti invitiamo, pertanto, a consultare le loro specifiche informative (privacy policy) per l’esercizio dei tuoi diritti in relazione a tali utilizzi.
5. Natura del conferimento dei dati
Fatte salve la finalità di marketing profilato, di cui al paragrafo 2, lett. d), per la quale il conferimento dei dati è da ritenersi facoltativo sulla base dell’espressione del tuo consenso, il conferimento dei tuoi dati personali comuni, di volta in volta richiesti, è necessario.
Conseguenze dell’eventuale rifiuto di conferire i dati
L'eventuale mancato conferimento dei dati personali può penalizzare l’esperienza di navigazione del sito web ovvero l’impossibilità di usufruire dei servizi richiesti ossia, a titolo esemplificativo e non esaustivo, di proporre quesiti e richieste di informazione, di acquistare prodotti o servizi, di effettuare il download di documenti, testimonianze, periodici informativi e newsletter ovvero di partecipare ad eventi, iniziative e programmi di Apurimac.
6. Base giuridica del trattamento
La liceità dei trattamenti, eseguiti dal Titolare per le finalità di cui al paragrafo 2, è da rinvenirsi nelle disposizioni di cui all’art. 6 GDPR come di seguito meglio specificato:
• i trattamenti di cui al paragrafo 2 lettere a) e b) sono necessari all’esecuzione di un contratto di cui sei parte o all’esecuzione di misure precontrattuali adottate su tua richiesta [GDPR art. 6 paragrafo 1, lett. b)].
Altresì, il trattamento di cui alla lettera a) si basa anche sul legittimo interesse del Titolare [GDPR art. 6 paragrafo 1, lett. f)] ad offrire la migliore esperienza di navigazione e la misurazione dell’efficacia del proprio sito web. In tale seconda ipotesi, in ogni caso, il trattamento è effettuato qualora non debba prevalere un interesse, diritto o libertà fondamentale dell’Interessato;
• i trattamenti di cui al paragrafo 2 lettera c), si basano sul legittimo interesse del Titolare [GDPR art. 6 paragrafo 1, lett. f)] a proporre all’Interessato la partecipazione ad iniziative (acquisti, raccolta fondi, partecipazione a programmi solidali, etc.) per le quali ha manifestato il proprio interesse ovvero risultino analoghe a quanto dallo stesso precedentemente fruito. È fatto salvo il diritto di opposizione (opt-out), ai sensi di quanto disposto dall’art. 130 co. 4 del Dlgs. n. 196/2003 [Codice Privacy] esercitabile tramite apposito pulsante di unsubscribe o contattando il Titolare ai recapiti di cui al paragrafo 1;
• i trattamenti di cui al paragrafo 2 lettera d) si basano sul tuo consenso, liberamente espresso [GDPR art. 6 paragrafo 1, lett. a)] e revocabile, in qualsiasi momento, contattando il Titolare ai recapiti di cui al paragrafo 1;
• i trattamenti di cui al paragrafo 2 lettera e), si basano sul legittimo interesse [GDPR art. 6 paragrafo 1, lett. f)] individuato nella necessità da parte del Titolare di accertare, esercitare o difendere i propri diritti in sede giudiziaria o extragiudiziale;
• i trattamenti di cui al paragrafo 2 lettera f), sono eseguiti in conseguenza di un obbligo legale [GDPR art. 6 paragrafo 1, lett. c)];
Revoca del consenso o esercizio dell’opzione opt-out
Il Titolare, al fine di eseguire le proprie attività di marketing diretto (di cui al paragrafo 2 lettera c) e di marketing profilato (di cui al paragrafo 2 lettera d) provvederà a creare un profilo anagrafico a te riferito all’interno del proprio sistema CRM.
Oltre quanto sopra già specificato, si rappresenta che:
• la richiesta di opt-out rispetto alle attività di marketing generico e/o la revoca dei consensi eventualmente resi determineranno l’impossibilità per il Titolare di continuare ad utilizzare i tuoi dati personali per le finalità indicate senza, tuttavia, pregiudicare la liceità dei trattamenti eseguiti prima della revoca/opt-out;
• la richiesta di opt-out rispetto alle attività di marketing generico e/o la revoca dei consensi eventualmente resi non comportano la cancellazione anche del suddetto profilo anagrafico dal CRM, salvo l’esercizio del diritto di cancellazione come più oltre indicato al paragrafo 11.
7. Durata del trattamento
Il trattamento di cui al paragrafo 2 lettere a) e b) sarà eseguito fino al raggiungimento delle relative finalità o per il minor tempo dovuto a qualsiasi causa di interruzione o cessazione. Al termine di tale periodo, i dati personali non saranno più oggetto di trattamento con la sola esclusione della conservazione delle transazioni intervenute, che proseguirà fino al raggiungimento dei termini prescrizionali applicabili ex lege (10 anni).
Il trattamento di cui al paragrafo 2 lettera c) sarà eseguito – in costanza di interazione – fino all’esercizio dell’opzione opt-out o, se in assenza di interazione, al massimo entro il termine di 24 mesi.
Il trattamento di cui al paragrafo 2 lettera d) sarà eseguito – in costanza di interazione – fino all’esercizio del diritto di revoca o, se in assenza di interazione, al massimo entro il termine di 24 mesi.
Il trattamento di cui al paragrafo 2 lettera e) comporterà la conservazione dei dati personali fino al raggiungimento dei termini prescrizionali applicabili ex lege (10 anni) o per l’ulteriore termine connesso all’avvio ed al completamento di procedimenti giudiziali o extragiudiziali.
Il trattamento di cui al paragrafo 2 lettera f) comporterà la conservazione dei dati personali fino al raggiungimento dei termini prescrizionali applicabili ex lege (10 anni) o per l’eventuale ulteriore termine previsto per legge.
8. Modalità del trattamento
Il trattamento dei dati personali avverrà mediante strumenti cartacei, informatici e telematici, con modalità idonee a garantirne la riservatezza e la protezione in conformità alle disposizioni previste dall’articolo 32 GDPR.
Per la sicurezza dei tuoi dati, si richiama l’attenzione affinché il suo dispositivo sia dotato di strumenti quali antivirus costantemente aggiornati e che il provider, che le fornisce la connessione ad Internet, garantisca la trasmissione sicura dei dati attraverso firewall, filtri antispamming e analoghi presidi.
9. Soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, ed ambito di diffusione dei dati medesimi
Per il perseguimento delle finalità descritte al paragrafo 2, il Titolare può avere la necessità di comunicare i dati personali a soggetti terzi, appartenenti alle seguenti categorie:
a) Autorità e Organi di vigilanza e controllo e in generale soggetti, pubblici o privati, con funzioni di tipo pubblicistico, destinatari di comunicazioni obbligatorie;
b) soggetti che per il Titolare curano adempimenti di carattere amministrativo, finanziario, giuridico e fiscale, ovvero in materia di gestione del personale e figure assimilate;
c) soggetti che forniscono servizi per la gestione dei sistemi informativi e del sito web del Titolare;
d) sponsor promotori, associazioni partner, centri sanitari che collaborano nell’attuazione dei programmi svolti dal Titolare.
I soggetti appartenenti alle categorie sopra riportate – legittimati a ricevere e trattare i dati personali in virtù di rapporti contrattuali vigenti e nel rispetto delle normative in materia di protezione dei dati personali – operano, in alcune ipotesi, in totale autonomia come distinti titolari del trattamento, in altre ipotesi, in qualità di responsabili del trattamento appositamente nominati dal Titolare.
Inoltre, per il perseguimento delle richiamate finalità descritte al paragrafo 2, i dati personali sono trattati e conosciuti dai dipendenti, dal personale volontario e dai collaboratori del Titolare (compresi professionisti esterni), appositamente designati quali persone autorizzate al trattamento, in ragione dei differenti compiti assegnati a ciascuno di essi e delle istruzioni impartite.
L’elenco dei responsabili e delle persone autorizzate al trattamento dei dati personali, è reso disponibile dal Titolare per la consultazione, previa richiesta ai propri recapiti.
10. Trasferimento dei dati personali all’estero
I trattamenti dei tuoi dati personali sono, di norma, eseguiti su server ubicati all’interno dello Spazio Economico Europeo, di proprietà del Titolare e/o di società terze debitamente nominate quali Responsabili del trattamento e non contemplano alcuna ipotesi di trasferimento di dati personali all’estero.
Costituiscono eccezione a quanto precede:
a) i trattamenti dei dati personali necessari alle transazioni finanziarie (acquisto di prodotti e servizi, raccolta fondi e donazioni) effettuati nell’ambito delle finalità di cui al paragrafo 2 lettera a), ove gli stessi siano realizzati attraverso la piattaforma resa accessibile tramite il sito web del Titolare. In tale ipotesi, i dati personali sono trasferiti su server del Responsabile del trattamento, residenti negli Stati Uniti d’America. Il Titolare ed il Responsabile del trattamento hanno sottoscritto un accordo vincolante sul trattamento dei dati personali legati alle transazioni finanziarie per le finalità sopra espresse, conforme alle Clausole Contrattuali Standard approvate dalla Commissione Europea [GDPR art. 46 paragrafo 2, lett. c)];
b) i trattamenti dei dati personali relativi alle candidature per attività di volontariato in Paesi esterni all’Unione Europea. In tale ipotesi, i dati personali potranno essere trasferiti all’estero sulla base di una decisione di adeguatezza, ove esistente, espressa dalla Commissione Europea [GDPR art. 45], diversamente il trasferimento sarà basato, se possibile, sull’applicazione delle Clausole Contrattuali Standard approvate dalla Commissione Europea [GDPR art. 46 paragrafo 2, lett. c)] ovvero – nell’ipotesi di Paese che non offra un livello adeguato di protezione per tali dati personali – in forza di una delle misure derogatorie di cui all’art. 49 del GDPR. Maggiori informazioni, riguardanti l’eventuale trasferimento di dati personali da parte di Apurimac, si possono ottenere scrivendo una e-mail al recapito del Titolare riportato al paragrafo 1.
11. diritti dell’Interessato
Ogni soggetto interessato potrà esercitare in qualunque momento, nei confronti del Titolare, i diritti espressamente riconosciuti dal GDPR agli articoli 15 e seguenti, di seguito riepilogati, nella misura in cui pertinenti ed applicabili ai trattamenti eseguiti in conformità alla presente informativa:
i. ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile;
ii. ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del Titolare, dei responsabili designati ai sensi dell'art. 3, comma 1, GDPR; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati;
iii. richiedere ed ottenere – nelle ipotesi in cui la base giuridica sia un contratto o il consenso – che i dati siano trasmessi in un formato strutturato e leggibile da dispositivo automatico, anche al fine di comunicare tali dati a un nuovo titolare del trattamento (c.d. diritto alla portabilità);
iv. ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi è interesse, l’integrazione dei dati; b) la cancellazione (c.d. diritto all’oblio) o la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati, c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;
v. procedere: a) all’opposizione, in tutto o in parte, per motivi legittimi al trattamento dei dati personali forniti, ancorché pertinenti allo scopo della raccolta; b) alla richiesta di essere informato in merito all’esistenza di un processo decisionale volto all’invio di materiale pubblicitario o al compimento di ricerche di mercato o di comunicazione commerciale.
Pervenuta all’indirizzo indicato al paragrafo 1, l’opposizione al trattamento, i dati personali non saranno più oggetto di trattamento, se non nella misura comunque consentita dalle leggi e dai regolamenti applicabili;
vi. limitare il trattamento dei dati, ossia consentirne il trattamento nei limiti della conservazione, per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un'altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell'Unione o di uno Stato membro, nei casi previsti dal GDPR.
Da ultimo, l’Interessato ha il diritto di reclamo all’Autorità Garante, che potrà essere esercitato:
• a mezzo raccomandata A/R indirizzata a Garante per la Protezione dei Dati Personali, Piazza Venezia n. 11 - 00187 Roma;
• a mezzo e-mail all'indirizzo: garante@gpdp.it, oppure protocollo@pec.gpdp.it ovvero a mezzo fax al numero: +39 06 69677 3785.
[FINE DOCUMENTO]