Premessa
Fondazione Umberto Veronesi ETS (nel seguito, anche “Fondazione Veronesi” o “Fondazione”) è consapevole dell'importanza della salvaguardia della privacy e dei diritti delle persone e poiché Internet è uno strumento potenzialmente forte per la circolazione dei Vostri dati personali, ha voluto impegnarsi seriamente nel rispettare regole di condotta – in linea con il Regolamento Europeo 679/2016 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (nel seguito “GDPR”) – che garantiscano una sicura, controllata e riservata navigazione nella rete.
Questa politica di tutela della riservatezza delle informazioni potrebbe subire variazioni nel tempo, anche in funzione delle integrazioni e delle modifiche legislative e regolamentari in materia o per nostre decisioni istituzionali, pertanto, Vi invitiamo a consultare periodicamente questa sezione del nostro sito.
Grazie, quindi, per prendere visione delle regole che la nostra organizzazione si è imposta nel raccogliere e nel trattare i dati personali e nel fornire sempre un servizio soddisfacente agli utenti dei propri siti.
Principi-base della privacy policy di Fondazione Veronesi
Finalità del trattamento dei dati e modalità del trattamento – base giuridica del trattamento – criteri di raccolta dei dati
Finalità del trattamento dei dati
Come meglio esplicitato nelle sezioni che consentono di aderire – rilasciando i propri dati personali – ai servizi riservati agli utenti del nostro sito, i dati richiesti sono utilizzati per rispondere alle richieste espressamente avanzate dall'utente. In particolare, tutte le attività di raccolta – e successivo trattamento – dei dati sono finalizzate al perseguimento degli scopi istituzionali di Fondazione e, in particolare per:
Come riportato nell’elenco di cui sopra, i dati personali potranno essere trattati per fini diversi da quelli per i quali l’utente li ha rilasciati. In particolare, potranno essere trattati per finalità di marketing (punto 9), cioè per fini di contatti promozionali su eventi, iniziative, progetti di sensibilizzazione e di divulgazione scientifica, sollecitazione di donazioni, sondaggi e ricerche, in base alla condizione del “legittimo interesse” (art. 6, comma 1, lettera f, GDPR, considerando C47 e Opinion 6/2014 del Working Party 29) di Fondazione. Tale legittimo interesse sta nel mantenere costante il rapporto instaurato con l’interessato, per mantenerlo informato sulle azioni di sensibilizzazione che si ritiene utile far conoscere per dimostrare il proprio costante impegno nella realizzazione della propria missione di interesse collettivo e sociale in ambito medico. Tale legittimo interesse è ammesso ai sensi dell’art. 6, comma 1, lettera f), GDPR e dal considerando C47, GDPR e dall’Opinion n. 6/2014 Article 29 Data Protection Working Party, par. III.3.1., quale meccanismo alternativo al consenso esplicito dell’interessato. Tale legittimo interesse è acquisito da Fondazione (e controbilanciato dall’interesse della persona) nella misura in cui – tramite le proprie azioni sul sito (es.: adesione a progetto, donazione) – l’utente ha dimostrato di essere interessato ai e condividere i principi di Fondazione. Per tali attività di marketing diretto, i dati saranno conservati nei nostri archivi per il periodo temporale necessario a erogare tali servizi di informazione. Ovviamente, tale periodo di conservazione è esteso fintanto che dura l’interesse della persona a rimanere in contatto con Fondazione: se non ha più interesse, è sufficiente sia comunicato attraverso le modalità sotto spiegate e saranno adottate le appropriate misure tecniche e organizzative per non disturbare più la persona.
Come da punto 10 dell’elenco di cui sopra, questi contatti promozionali potranno comportare anche un processo di “profilazione” (art. 4, comma 4, GDPR – “qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica”) e saranno eseguiti soltanto se l’interessato ha espressamente desiderato – e perciò, acconsentito inequivocabilmente – a essere sottoposto a tale trattamento. In questo caso, non essendo lecito applicare la condizione del legittimo interesse, la base giuridica del trattamento sarà il consenso manifestato dalla persona (art. 6, comma 1, lettera a, GDPR). Questo processo comporterà la selezione delle informazioni archiviate rispetto all’interessato, incrociate per determinare un profilo che rispecchia le caratteristiche e i comportamenti della persona, affinché riceva comunicazioni di suo interesse e in linea con le sue preferenze, azioni e caratteristiche personali (es.: importo donato, frequenza di donazione, adesione a iniziative, tipo di richieste avanzate) e, sono, dunque, di specifico interesse e non di disturbo. I dati saranno conservati fintanto che si ritiene che la persona mantenga tale profilo e, quindi, i contatti personalizzati creati con profilazione sono effettivamente di suo gradimento. Anche in questo caso, tale conservazione verrà meno se si manifesta opposizione in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per la profilazione nella misura in cui sia connessa al marketing diretto.
In ogni caso, Fondazione non utilizzerà i dati forniti per fini diversi da quelli connessi al servizio a cui l'utente ha aderito, e, comunque, soltanto entro i limiti indicati di volta in volta nelle informazioni da fornire ai sensi dell’art. 13, GDPR.
Modalità del trattamento dei dati
Tutti i trattamenti effettuati nell'ambito di questo sito saranno realizzati con strumenti sia cartacei sia elettronici o telematici, con logiche correlate alle finalità per le quali i dati sono stati raccolti e nel rispetto delle vigenti norme di sicurezza, per le finalità specificate di volta in volta nelle informazioni da fornire ex art. 13, GDPR.
Criteri della raccolta dei dati
La modulistica da compilare – on-line oppure da scaricare – prevede sia dati che sono strettamente necessari per aderire a quanto di interesse e la cui mancata indicazione non consente di dar corso alla richiesta, sia dati di conferimento facoltativo. Pertanto, l’utente è libero di fornire i dati personali riportati nei moduli di richiesta o comunque indicati in contatti con Fondazione per richiedere informazioni o per le altre finalità dapprima elencate. In questi casi di obbligatorietà di conferimento dei dati, la loro mancanza può comportare l'impossibilità di ottenere quanto richiesto. La necessità di richiedere i dati quali obbligatori per l’adesione ai singoli progetti o alle singole iniziative o per avanzare richieste è stata considerata nel rispetto delle prescrizioni di cui all’art. 25, GDPR (“Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” – “Data Protection by design and by default”), che impongono di valutare previamente le misure tecniche e organizzative adeguate, quali la “pseudonimizzazione” (art. 4, comma 5, GDPR: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”), volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati. Inoltre, Fondazione ha messo in atto misure tecniche e organizzative adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per la specifica finalità del trattamento derivante dal progetto cui l’interessato ha volontariamente aderito.
Criteri usati per definire il limite della conservazione dei dati
I dati saranno mantenuti nei nostri archivi (art. 4, comma 6, GDPR: “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”) secondo criteri variabili in funzione della categoria del dato, della natura del trattamento e delle finalità del trattamento medesimo. I criteri o il limite preciso di conservazione sono descritti nelle informazioni da fornire ai sensi dell’art. 13, GDPR all’atto del conferimento dei dati personali.
In linea di principio, valgono le seguenti valutazioni di Fondazione per stabilire il criterio di conservazione dei dati:
Decorsi i periodi sopra enunciati, i dati identificativi sono trasformati in forma anonima e usati soltanto per rapporti statistici che non consentono di risalire all’identità della persona ma che sono utili per adeguare i progetti, le iniziative e le azioni per la realizzazione e il raggiungimento degli obiettivi statutari e istituzionali di Fondazione. I dati personali (identificativi della persona) saranno, perciò, distrutti.
Luogo del trattamento dei dati
I trattamenti connessi ai servizi web di questo sito hanno luogo presso la predetta sede di Fondazione e sono curati da personale tecnico autorizzato al trattamento. In caso di necessità, i dati connessi possono essere trattati dal personale di società terze che curano la manutenzione della parte tecnologica del sito (responsabile del trattamento ai sensi dell’art. 28, GDPR), presso le proprie sedi.
Titolare del trattamento
Fondazione Veronesi ETS – Via Solferino 19, 20121 Milano (MI) – è il titolare del trattamento (art. 4, comma 7, GDPR: “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali dei dati personali”), ai sensi e per gli effetti del GDPR, poiché decide in quale modo e per quali motivi, comunicati nelle informazioni da fornire agli interessati, raccogliere e utilizzare i dati personali conferiti dall'utente, nonché con quali strumenti trattarli e quali procedure di sicurezza attivare per garantirne l’integrità, la riservatezza e la disponibilità, assoggettandosi agli obblighi e alle responsabilità previsti dall’art. 24, GDPR.
Per informazioni sul trattamento dei dati, è possibile scrivere all’indirizzo e-mail [email protected]
Responsabili del trattamento e persone autorizzate al trattamento
I Vostri dati personali possono essere trattati, sia manualmente sia elettronicamente o telematicamente, sia direttamente da Fondazione sia da soggetti terzi che, dotati di esperienza, capacità tecniche, professionalità ed affidabilità, svolgono operazioni di trattamento per conto nostro, nel rispetto della sicurezza e della riservatezza delle informazioni e da noi costantemente controllati nel loro operato. Il responsabile del trattamento è “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, comma 8, GDPR) ed è vincolato da Fondazione contrattualmente, con definizione dei limiti di operatività sui dati, dei dati che può trattare e delle categorie di interessati cui sono riferiti, della natura e della finalità del trattamento, dai limiti di conservazione dei dati, dagli obblighi e dai diritti che Fondazione ha nei confronti del responsabile, e con il divieto di farne uso differente rispetto all’incarico affidato. Può, se autorizzato, formalmente, in modo generale o specifico, da Fondazione, avvalersi di altri responsabili, che sono vincolati contrattualmente dal responsabile iniziale nominato direttamente da Fondazione: le violazioni commesse da tali altri responsabili ricadono sotto la responsabilità del responsabile iniziale e non di Fondazione.
L'elenco completo ed aggiornato dei responsabili del trattamento (e, se del caso, dei responsabili nominati dal responsabile iniziale, previa nostra autorizzazione) può essere richiesto all’indirizzo [email protected] in alternativa, scrivendo a Fondazione Veronesi ETS – via Solferino 19, 20121 Milano (MI).
I dati personali raccolti saranno resi disponibili alle persone autorizzate da Fondazione ai sensi dell’art. 29, GDPR che svolgono attività di trattamento indispensabili per il perseguimento delle finalità sopra indicate; le categorie delle persone autorizzate al trattamento sono, di volta in volta, precisate nelle informazioni da fornire ex art. 13, GDPR. In linea generale, si tratta delle persone preposte all’erogazione dei servizi specifici, all’amministrazione, alla gestione dei servizi informativi, ai rapporti con donatori effettivi e potenziali, agli organizzatori di campagne informative sui nostri progetti e attività istituzionali a supporto delle nostre iniziative sociali e di interesse collettivo.
Soggetti terzi a cui sono comunicati i Vostri dati
Per fini connessi all’erogazione del servizio cui l’utente ha aderito, i dati potrebbero essere messi a disposizione di soggetti terzi, che agiranno quali autonomi titolari del trattamento, e che erogano servizi strumentali a soddisfare la richiesta dell’utente (ad esempio, emittenti le carte di credito o PayPal per le transazioni relative alle donazioni) o ai quali la comunicazione dei dati è necessaria per ottemperare a norme di legge o regolamenti.
I Vostri dati potranno essere messi a disposizione anche ad organi di controllo, forze di polizia e magistratura in virtù di norme di legge e regolamenti che ne dispongono la comunicazione e di svolgimento di loro attività istituzionali.
Inoltre, i dati potranno essere comunicati a terze organizzazioni senza scopo lucro, società partner di progetti, enti, per autonomi utilizzi (in qualità di autonomi titolari del trattamento) per loro fini istituzionali: tale “comunicazione” avverrà soltanto se l’interessato ha manifestato il proprio consenso esplicito. La diffusione dei dati, previo consenso esplicito dell’utente, potrebbe essere conseguente al tipo di servizio o iniziativa cui l’utente ha aderito.
Altri terzi che collaborarono con Fondazione
Fondazione, nel contesto delle proprie attività di sensibilizzazione e di presentazione della propria attività istituzionale, nonché per migliorare i servizi resi alle persone che hanno rapporti con Fondazione o comunque interessati e vicini ai nostri principi istituzionali, può rivolgersi a servizi di terzi che collaborano con e che ricevono da Fondazione informazioni e dati detenuti in propri archivi.
Qui si chiarisce che queste trasmissioni di informazioni e di dati avviene sempre in modo anonimizzato o con tecniche di “pseudonimizzazione” (art. 4, comma 5, GDPR (“il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”). Tali dati anonimizzati sono trattati, a titolo esemplificativo e non esaustivo da:
https://www.facebook.com/policy.php)
https://twitter.com/it/privacy)
Inoltre, come meglio definito nella “Cookie policy”, Fondazione utilizza pixel di Facebook per azioni di retargeting, cioè per mostrare all’utente dotato di certe caratteristiche manifestate durante la navigazione in rete, pubblicità e banner che richiamano alla nostra fondazione.
Diritti degli interessati rispetto ai dati che li riguardano
Si possono esercitare, in qualsiasi momento, all’indirizzo [email protected] (in alternativa, scrivendo a Fondazione Veronesi – Via Solferino 19, 20121 Milano (MI)) i diritti ex artt.15-22, GDPR nel seguito riportati:
Diritto di accesso (articolo 15, GDPR)
La persona ha il diritto di richiedere se sia in corso un trattamento dei suoi dati personali e, dunque, ha diritto di accesso alle informazioni che lo riguardano e di avere notizie su:
Diritto di rettifica (articolo 16, GDPR)
La persona ha il diritto di ottenere la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, la persona ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Diritto alla cancellazione (“diritto all’oblio” – “right to be forgotten”) (articolo 17, GDPR)
La persona ha il diritto di ottenere la cancellazione dei dati personali che lo riguardano si ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, per uno dei seguenti motivi:
Diritto di limitazione di trattamento (articolo 18, GDPR)
La persona ha il diritto di ottenere la limitazione del trattamento dei suoi dati personali quando sussiste uno dei seguenti motivi:
Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento (articolo 19, GDPR)
La persona ha il diritto di richiedere che la rettifica o la cancellazione dei dati o limitazione del trattamento sia comunicata da Fondazione a altri soggetti cui eventualmente i dati sono stati comunicati. Fondazione potrebbe non ottemperare alla richiesta, se i mezzi da impiegare sono sproporzionati rispetto al diritto alla riservatezza invocato dalla persona.
Diritto alla portabilità dei dati (“data portability”) (articolo 20, GDPR)
Questo diritto permette alla persona di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un soggetto che sottopone i suoi dati a trattamento e ha il diritto di voler trasmettere tali dati a un soggetto per uso di quest’ultimo senza impedimenti da parte del soggetto cui li ha forniti. Questo diritto può essere esercitato nei seguenti casi:
La persona ha il diritto di ottenere che i suoi dati siano trasferiti direttamente da un soggetto all’altro (da quello cui li ha conferiti a quello cui vuole siano trasmessi), se tecnicamente possibile.
Diritto di opposizione (articolo 21, GDPR)
La persona ha il diritto di opporsi al trattamento dei suoi dati per il perseguimento del legittimo interesse di Fondazione o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali della persona che richiedono la protezione dei dati personali, anche a fini di profilazione.
Se i dati personali sono trattati per finalità di marketing, la persona ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale attività di marketing.
Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione (articolo 22, GDPR)
La persona ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che la riguardano o che incida in modo analogo significativamente sulla sua persona. In particolare, ha il diritto di opporsi alla profilazione cui è sottoposto attraverso processi automatizzati.
Non si può esercitare questo diritto se la decisione:
La persona ha il diritto di esprimere la propria opinione e di contestare la decisione di Fondazione.
Reclamo alle autorità di controllo
È possibile rivolgersi all’autorità di controllo che per l’Italia è il Garante per la Protezione dei Dati Personali, avente sede in Piazza di Monte Citorio 121, 00186 Roma (RM) – www.garanteprivacy.it, usando il modulo scaricabile all’URL https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4535524&zx=e0yn0riezmmw.