- PREMESSE
Questa informativa cercherà di spiegare chi e come tratta i dati dell’interessato (detto anche Utente), quali sono i suoi dati, e quali sono i suoi diritti e come può esercitarli. Per chiarimenti particolari, laddove l’Utente non capisca o non ritenga sufficiente quanto inserito nell’informativa, si invita a scrivere al seguente indirizzo: info@sicardiologia.it
ALCUNE NOZIONI IMPORTANTI SUI DATI PERSONALI
Cosa si intende per dati personali? Dati personali sono tutte le informazioni che si riferiscono ad una persona fisica identificabile. L’indirizzo email è un dato personale. Il testo di un messaggio, se rivela informazioni relative ad una persona, è un dato personale. La specializzazione medica è un dato personale.
Cosa significa trattare i dati? La definizione giuridica di trattamento comprende qualunque operazione o complesso di operazioni concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati. Praticamente quindi tutto quel che si può fare con i dati dell’utente è trattamento. Già quindi raccogliere o leggere i dati per esempio, ossia consultarli, è un trattamento.
- CHI TRATTA I DATI
Titolare del trattamento è il soggetto che assume le decisioni su come trattare i dati, quindi – tra l’altro – su quali precauzioni prendere per proteggerli, su dove alloggiarli (se in server o cloud ecc.), su quali dati chiedere all’utente, su quali elaborare e per quale scopo, su quali e a chi cederli, come gestire i rapporti e i diritti degli utenti, su chi scegliere come collaboratore, responsabile o semplice incaricato per trattare i dati, su quali istruzioni impartire ai collaboratori ecc. Quindi, atteso che il titolare del trattamento dei dati è molto importante, sappia l’utente che si tratta di:
FINSIC S.r.l.
Sede Legale: Via Po, 24 – 00198 Roma, +39 06 85355854, info@sicardiologia.it
Poi, per quanto concerne eventuali funzioni accessorie, FINSIC S.r.l. si può avvalere di soggetti interni autorizzati al trattamento (detti anche incaricati) o soggetti esterni per lo più come responsabili del trattamento, come titolari autonomi o contitolari, a seconda dei casi:
- Società di hosting;
- Società di erogazione newsletter;
- Società fornitrici dei cookie di terza parte.
3/a: A CHI VENGONO COMUNICATI I DATI (o A CHI VIENE CONSENTITO ACCESSO AGLI STESSI)
I dati vengono comunicati a soggetti interni al Titolare (i dipendenti) che collaborano nella gestione esecutiva ed amministrativa del servizio.
Possono essere ulteriormente comunicati in ottemperanza di obblighi di comunicazione in caso di richiesta da parte di un’autorità pubblica (ad esempio richiesta da parte del Tribunale, accertamenti fiscali, etc.).
Inoltre i dati sono comunicati al servizio di hosting, eventuali sub fornitori e collaboratori.
Infine i dati possono esser comunicati a società o enti terzi (Società Italiana di Cardiologia, Commissione nazionale ECM, Agenas, CoGeAPS, etc.) in caso di corsi che prevedono il riconoscimento di crediti formativi ECM.
È importante sapere che a può gestire e dominare solo i dati conservati e trattati nell’ambito del proprio sistema: dati ceduti o comunicati a terzi saranno, nel modo e nel quanto, autonomamente trattati dai terzi cui vengono comunicati secondo proprie politiche di privacy. In ogni caso, laddove FINSIC S.r.l. cessi il trattamento dei dati personali di un utente, darà comunicazione della cessazione anche ai soggetti cui tali dati siano stati comunicati, ma non può garantire la cessazione del trattamento da parte di questi.
- DOVE LI TRATTA
FINSIC S.r.l. tratta i dati personali degli Utenti presso la propria sede e su server situati in zona UE.
- QUALI DATI VENGONO TRATTATI
In base alla qualità significativa dei dati si possono individuare:
- Dati di contatto: email;
- Dati Identificativi: nome, cognome;
- Codice fiscale;
- Dati curriculari (professione, ruolo);
- Dati di visione corsi;
- Dati di contenuto: il contenuto della comunicazione inviata dall’Utente all’indirizzo email presente sul sito;
- – Di navigazione.
- PER QUALI SCOPI VENGONO TRATTATI, E INDICAZIONE DELLA BASE GIURIDICA E DURATA DI CONSERVAZIONE
FINSIC S.r.l. tratta i dati degli utenti per le seguenti finalità:
- Creazione Account Utente: i dati indicati al punto 5 sono trattati per la creazione di un Account Utente
Base giuridica: esecuzione della richiesta di attivazione dell’Account (misura contrattuale);
Dati trattati: Contatto, identificativi, curriculari;
Durata: fino a cancellazione account richiesta da Utente;
Obbligatorietà conferimento: i dati indicati sono obbligatori. Il mancato conferimento non consente l’attivazione di un account.
- Assistenza Help Desk
Base giuridica: esecuzione del contratto;
Dati trattati: identificativi, contatto;
Durata: fino al completamento dell’attività di assistenza. Successivamente per 10 anni per responsabilità professionale;
Obbligatorietà del conferimento: il conferimento dei dati è obbligatorio. Non conferirli comporta l’impossibilità di fornire assistenza all’interessato.
- Erogazione corsi E-learning
Base giuridica: esecuzione richiesta formazione (esecuzione contratto);
Dati trattati: Account, evento della partecipazione (IP di connessione, inizio e fine collegamento al corso, eventuali interazioni come risposta a domande, inserimento codici per la verifica della presenza effettiva);
Durata: i dati sono conservati per 5 anni, al fine di poter certificare la partecipazione al corso e il rilascio di attestati.
- Riconoscimento Crediti o rilascio attestati: i dati sono trattati al fine di rilasciare attestato di partecipazione e/o crediti formativi (questi ultimi vengono poi comunicati alla Società Italiana di Cardiologia in qualità di provider ECM accreditato, alla Commissione nazionale ECM, all’Agenas e al CoGeAPS)
Base giuridica: esecuzione prestazione accessoria all’erogazione del corso (misura contrattuale);
Dati trattati: Account, evento della partecipazione (IP di connessione, inizio e fine collegamento al corso, eventuali interazioni come risposta a domande, inserimento codici per la verifica della presenza effettiva);
Durata: i dati sono conservati per 5 anni, al fine di poter certificare la partecipazione al corso e il rilascio dei crediti ECM.
- Elaborazione statistiche: il Titolare elabora statistiche, previa pseudonimizzazione dei dati, per analizzare il gradimento dei corsi
Base giuridica: legittimo interesse del titolare, prevalente rispetto a quelli degli utenti in quanto si tratta di dati di basso significato (anagrafici, di professione, di frequenza), comunque già in possesso del Titolare;
Dati trattati: account e frequenza corsi (intesa anche come durata della presenza nel corso, esito ecc) sono dati che poi vengono pseudonimizzati;
Durata: il dato aggregato risultante dalla statistica viene conservato senza una precisa scadenza.
- Erogazione newsletter: il titolare invia periodicamente comunicazioni (a mezzo e-mail, messaggistica telefonica) al fine di divulgare servizi, prodotti, iniziative proprie del titolare ed aggiornamenti normativi o informazioni relative a prodotti o servizi di terzi (comunque veicolate mediante email inviata dal Titolare)
Tipo di dati: di contatto (email, telefono), eventuale area di interesse (o professionale);
Base Giuridica: Consenso (sempre revocabile);
Tempo di conservazione: fino alla revoca del consenso, salva conservazione ulteriore solo al fine di provare l’avvenuta prestazione, ed eventuale revoca, dello stesso;
Obbligatorietà conferimento dei dati: il conferimento del dato non è obbligatorio, dato che l’erogazione della newsletter si basa sul consenso dell’interessato.
- COME VENGONO CONFERITI I DATI
I dati vengono conferiti direttamente dall’Utente. I dati di frequenza sono elaborati dalla piattaforma. I dati di attestato o crediti sono prodotti dalla piattaforma.
- COME IL SERVIZIO “CONTATTERÀ” L’UTENTE
FINSIC S.r.l. “disturberà” l’Utente nei seguenti modi:
- Potrà ricevere e-mail, telefonate, messaggi o altre comunicazioni da FINSIC S.r.l.: si tratterà di comunicazioni operative o comunque di risposta alla comunicazione inviata dall’Utente (vedi punto 6). Queste comunicazioni sono indispensabili per la gestione regolare del rapporto con l’Utente;
- Erogazione newsletter, solo per gli utenti che prestano il consenso.
- QUALI SONO I DIRITTI DEGLI UTENTI
Gli Utenti sono beneficiari di una serie di diritti.
Diritti di informazione circa:
- Categorie di dati vengono trattati (vedi punto n. 2 e 5);
- Origine dei dati, ossia sapere da dove il servizio ha tratto i suoi dati (vedi punto n. 7);
- Finalità del trattamento dei dati, ossia per quali scopi i dati vengono trattati (vedi punto n. 6);
- Estremi del titolare e di eventuali responsabili del trattamento (vedi punto n. 3);
- Soggetti cui vengono comunicati i dati (vedi punto n. 3/a);
- Tempo di conservazione e trattamento dei dati (vedi punto n. 6);
- Diritto di esperire reclamo innanzi al garante privacy mediante accesso al seguente link: https://www.garanteprivacy.it/i-miei-diritti
- Esistenza o meno di processo di profilazione;
- Base giuridica del trattamento (vedi punto n. 6).
Poi ci sono diritti non di semplice informazione ma operativi. Essi sono di vario genere. In sintesi:
- L’interessato ha diritto di aver copia dei dati che ha fornito. Se i dati sono stati trattati con metodi automatizzati e sulla base del suo consenso o di un contratto, l’utente può chiedere – se tecnicamente possibile – che i dati siano trasmessi allo stesso interessato o anche ad un eventuale nuovo titolare (portabilità), sempre che questa operazione non leda i diritti (e i dati) di altre persone. Tale diritto nel caso di specie non potrà esser esercitato quindi in relazione a comunicazioni che contengano dati di terzi, segreti industriali o comunque contenuti protetti. In tal caso può chiedere anche la cancellazione dei dati (salvo che la legge non imponga la conservazione al Titolare come nel caso di comunicazioni commerciali).
- Se i dati personali sono inesatti o incompleti l’interessato può chiedere di rettificarli o completarli, fornendo indicazioni in tal senso. Se il Titolare deve verificare l’esattezza dei dati contestati dall’interessato, questi può nel mentre ottenere la limitazione dei dati contestati (limitazione significa che i dati vengono soltanto conservati e non ne viene fatto alcun altro trattamento se non con uno specifico consenso dell’interessato o se servono per esercitare o difendere un diritto in sede giudiziaria).
- Se i dati personali non sono più necessari per gli scopi per i quali sono stati raccolti o altrimenti trattati l’interessato ne può chiedere la cancellazione. Se però i dati servono all’interessato per esercitare un proprio diritto in sede giudiziaria, ne può chiedere la limitazione (ossia la sola conservazione).
- Se il trattamento è illecito perché i dati sono trattati in assenza di consenso, interesse legittimo da parte del Titolare, contratto per l’esecuzione del quale il trattamento stesso è necessario, obbligo legale di trattamento da parte del Titolare, l’interessato può chiederne la cancellazione o la limitazione.
- COME LI PUÒ ESERCITARE
Procedura per l’esercizio dei diritti: I diritti dell’Utente possono esser esercitati inviando una mail a info@sicardiologia.it
Il Titolare deve rispondere entro trenta giorni (che possono esser prorogati di altri due mesi, ma il Titolare in questo caso deve dare avviso motivato del ritardo all’utente).
Il Titolare può rifiutare, se ne ha motivo, di dar seguito alla richiesta dell’utente (rifiuto che deve esser comunicato all’utente entro un mese) solo in caso di richieste manifestamente infondate o ripetitive. Deve dare in tal caso risposta motivata. In ogni caso l’utente può rivolgersi al “Garante Privacy” (si veda link sotto riportato) o al Giudice.
Il Titolare deve rispondere utilizzando lo stesso canale (mail, telefono ecc) utilizzato dall’utente per la richiesta, a meno che l’utente stesso non chieda una risposta per via diversa. In caso di richiesta proveniente da indirizzo email diverso da quello indicato nell’account, il richiedente dovrà provare di esser l’interessato.
Il Titolare, laddove nutra dubbi circa l’identità della persona che avanza la richiesta o esercita uno dei diritti che vengono di seguito elencati, può chiedere ulteriori informazioni per confermare l’identità del richiedente. In caso di richiesta proveniente da indirizzo email diverso da quello indicato nell’account, il richiedente dovrà provare di esser l’interessato.
Le richieste e le risposte sono gratuite, salvo che siano ripetitive. In tale ultimo caso il Titolare può addebitare i costi vivi che affronta per la risposta (quindi costi di personale, costi materiali, etc).
In ogni caso l’interessato può rivolgersi all’autorità Garante (https://www.garanteprivacy.it/i-miei-diritti) o alla Autorità Giurisdizionale competente per l’esercizio dei propri diritti.
- QUALI SONO I DOVERI E ONERI DEGLI UTENTI
È fatto obbligo all’Utente di comunicare dati veritieri.
É onere dell’Utente comunicare al Titolare qualsiasi cambiamento intervenuto sui dati personali in precedenza comunicati. È infine onere dell’utente, laddove le funzionalità lo consentano, non inserire dati eccessivi.
- IPOTESI DI DATA BREACH
In caso si dovessero verificare, rispetto ai dati degli Utenti, uno o più dei seguenti eventi: accesso, sottrazione, perdita, distruzione, divulgazione, modifica non autorizzati (c.d. Data breach) FINSIC S.r.l., ferme restando le misure tecniche urgenti da porre in essere per bloccare (per quanto possibile) l’evento e per ridurne gli effetti dannosi si impegna a:
- ripristinare quanto prima il servizio in modo efficiente, recuperando i dati disponibili dall’ultimo backup utile effettuato;
- informare gli Utenti, direttamente se le circostanze lo permettono ovvero genericamente (mediante avviso sull’home del sito web o mediante comunicazione inviata a tutti gli utenti, compresi quelli per i quali eventualmente non ci sono stati eventi sui dati) del tipo di evento, del tempo in cui si è verificato, delle misure adottate (senza entrare nel dettaglio al fine di non agevolare eventuali nuovi attacchi) per ridurre i danni e per evitar nuovi analoghi eventi, nonché delle misure ed accorgimenti che l’utente dovrebbe – da parte sua – porre in essere per ridurre le probabilità di nuovi eventi e limitare le conseguenze di quelli già verificatisi.