INFORMATIVA AI SENSI DELL’ART. 13 REGOLAMENTO EUROPEO 2016/679
E DICHIARAZIONE DI CONSENSO AL TRATTAMENTO DEI DATI PERSONALI
Ai sensi della vigente legislazione in materia di protezione delle persone fisiche e di altri soggetti con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e, segnatamente, ai sensi dell’art. . 13 del Regolamento Europeo 2016/679 (in seguito GDPR), D. Lgs. 101/2018 e dell’art. 13 D. Lgs. 196/2003 (Codice della Privacy) e ss. mm. ed ii., per quanto vigente, in relazione ai dati personali di cui questa Società entrerà od è in possesso, La informiamo di quanto segue
DEFINIZIONI
Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente.
Categorie particolari di dati personali: (art. 9, paragrafo 1, GDPR) dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati genetici, dati biometrici intesi ad identificare in modo univoco una persona fisica, dati relativi alla salute od alla vita sessuale od all’orientamento sessuale della persona fisica.
Interessato: persona fisica alla quale di riferiscono i dati personali.
Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati, ed applicate ai dati personali.
Titolare del trattamento: persona fisica o giuridica, autorità pubblica, servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità o i mezzi del trattamento.
Responsabile del trattamento: persona fisica o giuridica, autorità pubblica, servizio o altro organismo che tratta i dati personali per conto del titolare del trattamento.
Incaricato del trattamento: persona fisica autorizzata a compiere determinate operazioni di trattamento dal titolare o dal responsabile.
Consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
1. SOGGETTI
TITOLARE DEL TRATTAMENTO DEI DATI PERSONALI
Hotel San Pietro Palace
Via San Pietro, 9 – 17024 Finale Ligure (SV)
Tel. +39 0196049156
email: info@hotelsanpietropalace.it
PI: 01450910094
DATA PROTECTION OFFICER (DPO)
Il Titolare del trattamento NON ha nominato un DPO, in quanto non è un’autorità pubblica o un organismo pubblico, le attività principali del titolare non consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala e non consistono nel trattamento, su larga scala, di categorie particolari di dati personali, di cui all’art. 9 GDPR o dati personali relativi a condanne penali ed a reati di cui all’art. 10 GDPR.
2. DATI PERSONALI OGGETTO DEL TRATTAMENTO
Ai fini dell’instaurazione e dell’esecuzione del contratto, potranno essere utilizzati dati personali, comuni, di cui all’art. 4, n. 1), GDPR (ovvero qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente), categorie particolari di dati personali di cui all’art. 9, paragrafo 1, GDPR, (ovvero quei dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati genetici, dati biometrici intesi ad identificare in modo univoco una persona fisica, dati relativi alla salute od alla vita sessuale od all’orientamento sessuale della persona fisica). I dati personali raccolti potranno essere, a mero titolo esemplificativo e non esaustivo: nome, cognome, luogo e data di nascita, codice fiscale, nazionalità, indirizzo di residenza e/o domicilio, recapiti telefonici, mail e pec, estremi documenti di identità, estremi conti correnti d’appoggio o di carte di credito, immagini dell’interessato o dei propri familiari, ecc.. La fonte dalla quale hanno origine i dati personali possono essere l’interessato medesimo, terze persone o possono provenire da fonti accessibili al pubblico
3. FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO DEI DATI PERSONALI
Il trattamento dei dati ricevuti sarà finalizzato alla corretta e completa esecuzione dell’incarico e/o del contratto, e in particolare: a) attività turistica, alberghiera e di ristorazione; b) finalità contrattuali, connesse e strumentali, alla instaurazione ed alla gestione dei rapporti con gli interessati; c) marketing diretto, ovvero la promozione di prodotti e sevizi del titolare del trattamento, eseguita direttamente dal titolare medesimo, attraverso l’invio di materiale pubblicitario, contatti telefonici ed ogni altra forma di comunicazione attraverso strumenti elettronici (quali, a mero titolo esemplificativo, invio di e-mail, sms, mms, pubblicizzazione attraverso social network, ecc.) o cartacei e newsletters; d) alle finalità connesse agli obblighi fiscali e contabili, nonché ad ogni altro obbligo incombente sul titolare e previsti da Leggi, regolamenti e dalla normativa comunitaria, nonché da disposizioni impartite da Autorità a ciò legittimate dalla Legge o da organi di vigilanza o di controllo. Il trattamento trova la sua base giuridica nelle obbligazioni derivanti dalla legge (finalità a, b, e d), dal conferimento e dall’esecuzione
2
dell’incarico o di un contratto del quale l’interessato è parte, ivi comprese le eventuali misure precontrattuali (finalità a, b e d), o quando sia basato su un consenso esplicito (finalità c). Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per finalità diverse da quelle per le quali sono stati raccolti, e sopra indicate, prima di tale ulteriore trattamento fornirà all’interessato tutte le informazioni necessarie ai sensi della vigente normativa e, in particolare, dell’art. 13, paragrafo 2, GDPR, verificherà se il trattamento per dette finalità diverse sia compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti, ai sensi dell’art. 6, paragrafo 4, GDPR e, qualora il trattamento non si basi su un atto legislativo dell’Unione Europea o dello Stato Italiano, provvederà a raccogliere il consenso dell’interessato a tale nuovo trattamento ai sensi della vigente normativa e del GDPR.
4. MODALITÀ DI TRATTAMENTO DEI DATI.
Il trattamento dei dati verrà svolto dal titolare del trattamento dei dati e/o dai suoi incaricati, nella stretta osservanza dei principi di cui agli artt. 5 e ss. GDPR (in particolare, i principi di liceità, correttezza, trasparenza, esattezza, limitazione delle finalità e del trattamento, minimizzazione dei dati), per mezzo delle operazioni o del complesso di operazioni indicati dalla vigente legislazione e, in particolare, dall’art. 4 GDPR, concernenti la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’uso, l’adattamento o la modifica, la consultazione, l’elaborazione, la selezione, l’estrazione, il raffronto o l’interconnessione, il blocco, la comunicazione e la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, la limitazione, la cancellazione e la distruzione dei dati. Le operazioni suddette potranno essere svolte con o senza l’ausilio di processi automatizzati ed i dati potranno essere conservati sia in archivi siano essi cartacei, elettronici, centralizzati, decentralizzati, o ripartito in modo funzionale o geografico. I sistemi impiegati per il trattamento dei dati sono configurati, già in origine, in modo da minimizzare l’utilizzo del dati medesimi. A seguito di controlli periodici, il titolare del trattamento verificherà l’esattezza, l’aggiornamento, la stretta pertinenza, l’adeguatezza e la non eccedenza dei dati raccolti rispetto agli obblighi ed alle finalità del trattamento per i quali sono stati raccolti. I dati verranno trattati in maniera da garantire un’adeguata sicurezza degli stessi, come disposto dalla vigente legislazione e, segnatamente, dal GDPR, compresa la protezione, mediante l’adozione di misure tecniche ed organizzative adeguate, da trattamenti non autorizzati, illeciti o dalla perdita, dalla distruzione, dalla modifica, dalla divulgazione non autorizzata, dal danno accidentale, nonché da accessi non autorizzati, ai dati personali trasmessi, conservati o comunque trattati, anche nel caso di trattamento attraverso strumenti di comunicazione a distanza.
5. CONSERVAZIONE DEI DATI
Il trattamento dei dati avverrà, salvi i casi esplicitamente previsti dalle disposizioni legislative, previa espressione di libero, specifico ed esplicito consenso dell’interessato per il tempo strettamente necessario e non eccedente il conseguimento delle finalità per le quali sono stati raccolti e trattati i dati medesimi, salvo l’adempimento di obblighi previsti da Leggi (ad esempio, in materia di antiriciclaggio, fiscale e contabile), regolamenti e dalla normativa comunitaria, nonché da disposizioni impartite da Autorità a ciò legittimate dalla Legge o da organi di vigilanza o di controllo. I dati personali dei quali non è necessaria la conservazione, o non lo è più, in relazione alle finalità indicate, saranno cancellati o trasformati in forma anonima.
6. TEMPO DI CONSERVAZIONE DEI DATI
Il tempo di conservazione dei dati personali varia in ragione della finalità del trattamento dei dati medesimi. In relazione alle finalità esposte nelle lettere a), b), c) e d) di cui al punto 3, i dati sono conservati per il periodo di tempo strettamente necessario e non eccedente il conseguimento delle finalità per le quali sono stati raccolti e trattati i dati medesimi. In particolare, relazione alle finalità esposte nelle lettere a), b) e d) di cui al punto 3, i tempi di conservazione dei dati sono fissati a dieci anni e, comunque, per il periodo di tempo strettamente necessario alle finalità ed all’adempimento degli obblighi previsti da Leggi, regolamenti e dalla normativa comunitaria, nonché da disposizioni impartite da Autorità a ciò legittimate dalla Legge o da organi di vigilanza o di controllo. I dati personali di natura fiscale/contabile saranno conservati per i dieci anni successivi al termine dell’anno fiscale seguente a quello di competenza, per affrontare qualsiasi accertamento e/o controversia di natura fiscale. Nel caso in cui il titolare debba agire o difendersi in via giudiziale o stragiudiziale, i dati personali che dovranno necessariamente essere usati a tal fine saranno conservati sino alla totale definizione, giudiziale o stragiudiziale, della vertenza stessa. In relazione alle finalità esposte nella lettera c) di cui al punto 3 (marketing diretto e newsletters), l’interessato, il contraente o l’utente ha diritto di revocare il proprio consenso o opporsi al trattamento dei dati in qualsiasi momento: in tali casi, i dati personali non saranno più trattati per tali finalità e non vi saranno ulteriori conseguenze.
7. ESISTENZA DI UN PROCESSO DECISIONALE AUTOMATIZZATO, INCLUSA LA PROFILAZIONE
Il titolare non adotta alcun processo decisionale automatizzato, inclusa la profilazione, di cui alla vigente legislazione e, in particolare, di cui all’art. 22, paragrafi 1 e 4, del GDPR.
8. CONFERIMENTO DEI DATI, RIFIUTO DEL CONFERIMENTO DEI DATI
E RIFIUTO O REVOCA DEL CONSENSO
3
Il conferimento dei dati e la prestazione del consenso da parte dell’interessato al trattamento degli stessi può essere obbligatorio o facoltativo, sulla base delle diverse finalità esposte al punto 3. In relazione alle finalità espresse nel punto 3 e distinte dalle lettere a), b) e d) il conferimento dei dati ed il consenso al trattamento hanno natura obbligatoria, essendo un obbligo legale o contrattuale o un requisito necessario alla conclusione del contratto; un eventuale diniego, non permetterà al titolare di eseguire l’incarico conferito o di giungere alla conclusione del contratto del quale l’interessato è parte. In caso di obblighi legali, un eventuale diniego comporterebbe l’impossibilità per il titolare di instaurare rapporti con l’interessato e potrebbe avere l’obbligo di effettuare segnalazioni. In relazione alle finalità espresse nel punto 3 e distinte dalla lettera c) il consenso al trattamento ha natura facoltativa, e potrà essere revocato dall’interessato in qualunque momento. In ogni caso, l’interessato ha diritto di revocare il consenso al trattamento dei dati personali in relazione alle finalità sopra esposte, o solo a taluna di essere, in qualunque momento, senza con ciò pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca.
9. COMUNICAZIONE DEI DATI E DESTINATARI DELLA COMUNICAZIONE DEI DATI PERSONALI
I dati personali non saranno oggetto di comunicazione senza esplicito consenso dell’interessato, salvo che la comunicazione sia necessaria per l’adempimento di un obbligo di legge. In tale ultimo caso, i dati personali potranno essere comunicati per le finalità di cui al punto 3 a: tutti i soggetti cui la facoltà di accesso a tali dati è riconosciuta in forza di provvedimenti legislativi o regolamentari, nazionali e comunitari; organi di vigilanza, controllo, enti pubblici previdenziali ed assistenziali ed altre autorità, per finalità connesse all’adempimento di obblighi di legge e/o da regolamenti nazionali o comunitari (ad esempio, legge anti-usura, legge antiriciclaggio, TULPS, Autorità di Pubblica Sicurezza, ecc.) nonché da diposizione impartite dalle medesime autorità; lavoratori dipendenti del titolare, responsabili ed incaricati del trattamento dei dati personali, solo ed esclusivamente in relazione allo svolgimento delle mansioni e dei compiti a ciascuno di loro attribuiti; collaboratori esterni, ivi compresi agenzie commerciali e procacciatori d’affari; soggetti operanti nel settore giudiziario e/o amministrativo; banche ed istituti di credito; consulenti tecnici; arbitri o collegi di arbitri; consulenti esterni (ad esempio, mediatori; notai, al fine della predisposizione degli atti notarili; commercialisti e consulenti del lavoro, al fine dell’adempimento degli obblighi fiscali e previdenziali che incombono sul titolare del trattamento; avvocati, ecc.); assicurazioni, al fine della stipula e, in caso di sinistri, dell’attivazione di polizze attinenti l’incarico conferito al titolare e, in genere, a tutti quei soggetti, pubblici o privati, cui la comunicazione sia necessaria per il corretto adempimento delle finalità indicate nel punto 3 e/o comunque strettamente connesse ed attinenti all’incarico conferito. L’interessato, in qualunque momento, previa richiesta scritta da inoltrare al titolare del trattamento, presso la sede legale indicata al punto 1, potrà avere l’elenco aggiornato e completo dei soggetti destinatari della comunicazione dei propri dati personali. Tutti i soggetti sopra elencati, destinatari della comunicazione dei dati personali ai sensi dell’art. 4, paragrafo 9 GDPR, ad eccezione dei lavoratori dipendenti del titolare del trattamento, tratteranno i dati personali in qualità di autonomi titolari del trattamento, ai sensi di legge o di specifico consenso, rimanendo soggetti terzi e quindi esclusi dall’autorità diretta del titolare del trattamento di cui alla presente informativa, o responsabili del trattamento dei dati personali.
10. DIFFUSIONE DEI DATI
I dati personali non saranno oggetto di diffusione.
11. TRASFERIMENTO DEI DATI ALL’ESTERO
I dati personali non saranno trasferiti nell’ambito delle finalità di cui al punto 3, verso Paesi dell’Unione Europea e verso Paesi terzi rispetto all’Unione Europea
12. DIRITTI DELL’INTERESSATO.
Le vigenti disposizioni di legge, e, in particolare, gli artt. da 15 a 23 del GDPR, conferiscono agli interessati l’esercizio di specifici diritti.
Pertanto, nei limiti ed alle condizioni previste dalla normativa citata, il titolare del trattamento riconosce e garantisce all’interessato l’esercizio dei seguenti diritti:
– chiedere conferma dell’esistenza o meno di dati personali negli archivi del titolare;
– accedere ai dati personali presenti negli archivi del titolare ed a tutte le informazioni relative ai sensi di legge e del GDPR;
– chiedere la rettifica, l’aggiornamento, l’integrazione e la cancellazione dei dati personali, se incompleti o erronei, nonché di opporsi al loro trattamento per motivi legittimi e specifici;
– ottenere la rettifica dei dati personali inesatti senza ingiustificato ritardo;
– ottenere la cancellazione dei dati personali senza ingiustificato ritardo, se sussista uno dei motivi di cui all’art. 17, paragrafo 1, GDPR (c.d. “diritto all’oblio”);
– ottenere la limitazione del trattamento dei dati personali se sussista uno dei motivi di cui all’art. 18, paragrafo 1, GDPR;
– ottenere la portabilità del dato o dei dati personali, ossia riceverlo/i dal titolare in un formato strutturato, di uso comune e leggibile da dispositivo automatico e/o trasmetterli ad altro titolare senza impedimenti, o di
4
ottenere la trasmissione diretta del o dei dati personali dal titolare del trattamento ad altro titolare, nei limiti e nei modi previsti dall’art. 20 GDPR;
– revocare il consenso al trattamento dei dati personali, in particolare laddove prestato ai sensi dell’art. 6, paragrafo 1, lettera a) o art. 9, paragrafo 2, lettera a), GDPR, in relazione alle finalità sopra esposte o solo a taluna di essere, in qualunque momento, senza con ciò pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca;
– opporsi in qualunque momento al trattamento dei dati personali per finalità di marketing diretto, compresa la profilazione nella misura in cui sia connessa al marketing diretto;
– opporsi ad un processo decisionale automatizzato relativo alle persone fisiche, inclusa la profilazione, ed ottenere l’intervento umano da parte del titolare, di esprimere la propria opinione e contestare la decisione;
– opporsi al trattamento dei dati personali a fini di ricerca scientifica o storica od a fini statistici, salvo che il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico;
– ricevere le informazioni relative all’azione intrapresa riguardo all’esercizio di uno o più dei diritti sopra elencati, od agli effetti nascenti dall’esercizio di uno o più dei suddetti diritti, senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa (termine, all’occorrenza, eventualmente prorogabile di due mesi nei casi previsti dalla legge e dall’art. 12, paragrafo 3, GDPR);
– proporre reclamo ad una autorità di controllo;
– proporre ricorso giurisdizionale;
L’Unione Europea o lo Stato Italiano possono limitare la portata degli obblighi e dei diritti del titolare e dell’interessato, di cui sopra, ai sensi e per gli effetti dell’art. 23 GDPR. I diritti in oggetto, ad eccezione del diritto di proporre reclamo o ricorso, potranno essere esercitati mediante richiesta scritta rivolta al titolare del trattamento dei dati ai recapiti ed ai contatti indicati al punto 1. Per tutto quanto non espressamente citato nella presente informativa, si fa espresso richiamo alle disposizioni di legge vigenti e, in particolare, al GDPR.
