PRIVACY POLICY
INFORMATIVA PRIVACY
ex artt. 13-14 del Regolamento UE n. 679/2016
FLUENCE GROUP LTD operante come Infrastrutture AI (di seguito il “Titolare del Trattamento”), ai sensi degli artt. 13 e 14 del Regolamento UE n. 679/2016, fornisce la presente informativa relativa al trattamento dei dati personali in relazione all’erogazione dei propri servizi.
La presente informativa si ispira altresì alla Raccomandazione n. 2/2001, adottata il 17 maggio 2001 dalle autorità europee per la protezione dei dati personali riunite nel Gruppo istituito dall’art. 29 della direttiva n. 95/46/CE, per individuare alcuni requisiti minimi relativi alla raccolta di dati personali online, con particolare riferimento a modalità, tempi e natura delle informazioni che i titolari del trattamento devono fornire agli utenti quando questi si collegano a pagine web. Questo, indipendentemente dagli scopi del collegamento, in quanto, a seguito della consultazione di un sito, possono essere trattati dati relativi a persone identificate o identificabili.
La presente informativa è valida esclusivamente per il sito internet gestito dal Titolare del Trattamento e non riguarda eventuali altri siti web consultati dall’utente tramite link.
Art. 1. Responsabile e Titolare del Trattamento dei Dati
FLUENCE GROUP LTD (di seguito il “Titolare del Trattamento”), con sede legale in 85 Great Portland Street, London, W1W 7LT, e contattabile all’indirizzo email info@fluence-group.com, fornisce la presente informativa ai sensi degli artt. 13 e 14 del Regolamento UE n. 679/2016 (di seguito “GDPR”). La presente informativa descrive in che modo i dati personali degli utenti vengono raccolti, utilizzati, protetti e trattati, sia tramite il sito web aziendale che attraverso i servizi offerti , inclusi i trattamenti effettuati mediante sistemi di Intelligenza Artificiale. Si applica esclusivamente ai dati trattati dal Titolare e non copre eventuali link esterni presenti sul sito.
Il personale del Titolare del Trattamento (inclusi collaboratori e dipendenti incaricati di funzioni amministrative e commerciali) è debitamente autorizzato e formato in qualità di responsabili o incaricati del trattamento. Ogni collaboratore è dotato di specifico mandato per il trattamento dei dati, in conformità con le normative vigenti.
Art. 2. Luogo di trattamento dei dati
I dati personali vengono trattati presso la sede del Titolare del Trattamento, situata in 85 Great Portland Street, London, W1W 7LT, nonché su supporti informatici tramite software forniti da partner tecnologici e mediante dispositivi messi a disposizione dei soggetti autorizzati al trattamento. Il trattamento effettuato mediante sistemi di IA può avverine anche su infrastrutture cloud o piattaforme fornite da terzi specializzati che potrebbero trovarsi anche al di fuori dello Spazio Economico Europeo, nel rispetto delle garanzie previste dal GDPR. Il trattamento è effettuato con modalità atte a garantire la sicurezza e la riservatezza dei dati personali.
Art. 3. Tipologia di dati trattati
Il Titolare del Trattamento si limita a trattare i dati personali forniti volontariamente dall’utente o acquisiti da terzi con il suo esplicito consenso, nonché quelli strettamente necessari per soddisfare richieste informative o per l’erogazione dei servizi offerti. Le categorie di dati trattati includono:
Dati personali comuni
Comprendono informazioni identificative e di contatto, quali nome, cognome, indirizzo, email, recapiti telefonici, dati bancari/finanziari. Tali dati sono necessari per l’esecuzione del servizio richiesto o per finalità precontrattuali e possono essere utilizzati come input per sistemi di IA al fine di erogare o migliorare i servizi stessi..
a) Dati di navigazione
Durante l’accesso al sito e al blog del Titolare del Trattamento, vengono raccolti dati impliciti derivanti dall’utilizzo dei protocolli di comunicazione Internet. Questi includono:
Data e ora dell’accesso
Nome del sito visitato
Indirizzo IP
URL di riferimento (referrer)
Quantità di dati trasmessi
Informazioni sul browser e sul sistema operativo utilizzati
Tali dati sono trattati in forma anonima o anonimizzata per finalità statistiche, per garantire il corretto funzionamento del sito e per la sicurezza del sistema. Questi dati possono essere analizzati anche con l'ausilio di sistemi di IA per comprendere i pattern di utilizzo, ottimizzare la navigazione e identificare potenziali anomalie o minacce alla sicurezza. Gli indirizzi IP sono anonimizzati al termine della sessione e analizzati solo per migliorare i servizi offerti o identificare potenziali anomalie.
b) Dati forniti volontariamente
Attraverso il sito o i sistemi informatici è possibile fornire volontariamente informazioni quali immagini, documenti di identità, dati bancari o personali per finalità specifiche (es. pagamenti). Il trattamento di tali dati avviene nel rispetto delle normative vigenti. L’utente garantisce che i dati forniti, anche di terzi, sono conferiti con idonea base giuridica e solleva il Titolare del Trattamento da eventuali contestazioni o richieste di risarcimento da parte di terzi. Questi dati possono essere trattati da sistemi di IA per le finalità per cui sono stati forniti.
c) Dati trattati nell’interazione con i social network
È possibile registrarsi ai servizi offerti tramite i profili social, come Facebook o Google. In questo caso, il Titolare riceve automaticamente alcune informazioni (specificate nel pop-up visualizzato al momento della registrazione) dai provider delle piattaforme social, senza necessità di ulteriori compilazioni. Tali informazioni possono essere utilizzate, anche con sistemi di IA, per presonalizzare l'esperienza dell'utente o per analisi aggregate sulle preferenze, sempre nel rispetto delle finalità indicate e del consenso ottenuto.
d) Categorie particolari di dati
Alcuni servizi, come l’uso di applicazioni connesse, possono comportare il trattamento di categorie particolari di dati personali (art. 9 del Regolamento UE 679/2016). Questi includono dati come nome, cognome, data di nascita, indirizzo email e altre informazioni necessarie per la fornitura dei servizi richiesti. Il Titolare del Trattamento non tratta attivametne categorie particolari di dati personali tramite i propri sistemi di IA, a meno che ciò non sia strettamente indispensabile per l'erogazione di uno specifico servizio richiesto dall'utente e avvenga previo consenso esplicito e con l'adozione di misure tecniche e organizzative idonee a tutelare la riservatezza di tali dati.
e) Geolocalizzazione
Il sito e le applicazioni correlate offrono la possibilità di utilizzare servizi basati sulla posizione geografica. Previo consenso, i dati di localizzazione del dispositivo possono essere trattati per migliorare l’esperienza utente o per erogare specifici servizi. Previo consenso, i dati di localizzazione possono essere utilizzati da sistemi di IA per fornire servizi personalizzati basati sulla posizione. Tali dati non sono condivisi con terze parti e l’utente può, in ogni momento, revocare il consenso attraverso le impostazioni del dispositivo. Eventuali immagini o video raccolti non saranno utilizzati per l’identificazione dell’utente senza previa autorizzazione.
f) Dati derivati o inferiti dall'IA
Durante l'erogazione dei servizi e le attività di analisi, i sistemi di IA potrebbero generare nuovi dati o insight relativi all'utente (es. preferenze inferite, segmentazione del cliente, probabilità di interesse per un determinato immobile o servizio). Questi dati derivati sono trattati come dati personali e sono soggetti alle stesse tutele, finalità e basi giuridiche dei dati originari da cui sono stati generati.
Art. 4. Finalità del trattamento
Il Titolare del Trattamento informa che i dati personali saranno trattati esclusivamente nella misura necessaria per adempiere alle seguenti finalità:
a) Esecuzione di un contratto di cui l’utente è parte o adozione di misure precontrattuali richieste dall’utente stesso.
b) Adempimento di obblighi legali ai quali il Titolare del Trattamento è soggetto.
c) Accertamento, esercizio o difesa di un diritto in sede giudiziaria o nell’ambito di procedimenti giurisdizionali, inclusi quelli avviati da autorità competenti.
d) Consentire la navigazione del sito e l’erogazione dei servizi offerti dal Titolare del Trattamento.
e) Rispondere a specifiche richieste rivolte al Titolare del Trattamento.
f) Adempimento di obblighi previsti dalla normativa vigente, da regolamenti o disposizioni comunitarie, nonché soddisfazione di eventuali richieste provenienti da autorità competenti.
g) Svolgimento di attività di marketing diretto tramite email, riguardanti servizi analoghi a quelli già sottoscritti dall’utente, anche mediante l'uso di sistemi di IA per la selezione dei destinatari in base a criteri di pertinenza, salvo espressa opposizione al ricevimento di tali comunicazioni, che può essere manifestata sia in fase di registrazione sia in momenti successivi.
h) Attività di marketing e invio di newsletter, previo sui specifico consenso, quali:
- Elaborazione di studi, ricerche e statistiche di mercato.
- Invio di materiale informativo e promozionale riguardante attività, servizi e prodotti del Titolare del Trattamento e dei Partner commerciali (senza comunicare dati personali a tali Partner).
- Invio di sondaggi per migliorare i servizi offerti (“customer satisfaction”).
- Tali comunicazioni potranno avvenire attraverso vari canali: email, SMS, posta cartacea, telefono con operatore, pagine ufficiali sui social network, o notifiche push tramite applicazioni.
- Si precisa che il Titolare raccoglie un unico consenso per le finalità di marketing descritte, in conformità con il Provvedimento Generale del Garante per la Protezione dei Dati Personali (“Linee guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013).
- L’utente può, in ogni momento, opporsi al trattamento dei propri dati per finalità di marketing, contattando il Titolare ai recapiti indicati nella sezione “Contatti” della presente informativa, senza che ciò pregiudichi la liceità dei trattamenti precedentemente effettuati sulla base del consenso fornito.
i) Utilizzo dei dati per scopi statistici o di ricerca, in forma anonima, anche mediante l'impiego di IA, senza possibilità di risalire all’identità dell’utente.
j) Miglioramento dei Servizi e Sviluppo di Nuove Funzionalità:
Analizzare i dati di utilizzo e le interazioni (anche tramite IA) per comprendere come vengono usati i servizi, identificare aree di miglioramento, correggere errori e sviluppare nuove funzionalità o servizi nel settore marketing e immobiliare.
k) Personalizzazione dell'Esperienza Utente:
Utilizzare sistemi di IA per adattare contenuti, suggerimenti e offerte in base alle preferenze, comportamenti o caratteristiche inferite dell'utente, al fine di rendere l'esperienza più pertinente ed efficace (previo consenso, ove richiesto, o sulla base del legittimo interesse con diritto di opposizione).
l) Ottimizzazione delle Campagne di Marketing:
Impiegare sistemi di IA per analizzare l'efficacia delle campagne, segmentare l'audience in modo più preciso e ottimizzare l'allocazione delle risorse pubblicitarie.
m) Supporto alle Decisioni (Non Automatizzate con Effetti Giuridici Significativi):
Utilizzare analisi basate su IA come supporto informativo per le decisioni operative e strategiche del Titolare, senza che tali sistemi prendano decisioni automatizzate che producano effetti giuridici o incidano in modo significativo sulla persona dell'interessato.
Art. 5. Modalità del trattamento
I sistemi informativi e i programmi informatici utilizzati dal Titolare del Trattamento sono configurati per minimizzare l’utilizzo di dati personali e identificativi. Ciò include anche la progettazione e l'utilizzo dei sistemi di IA, per i quali si persegue il principio di minimizzazione, trattando solo i dati necessari per le finalità specifiche e privilegiando, ove possibile, dati anonimizzati o aggregati. Il trattamento dei dati è effettuato solo quando strettamente necessario, privilegiando l’uso di dati anonimi o modalità che consentano l’identificazione dell’interessato esclusivamente in caso di effettiva necessità.
Per accedere ai servizi offerti, l’interessato fornirà inizialmente soltanto i dati personali comuni richiesti. Tali dati saranno trattati dal personale amministrativo, il quale opera nel rispetto delle finalità previste e dei principi di minimizzazione dei dati.
Il Titolare del Trattamento adotta tutte le misure organizzative e tecniche necessarie per evitare che gli incaricati trattino dati non pertinenti o eccedenti rispetto agli scopi del trattamento.
I dati personali sono registrati, elaborati, gestiti e archiviati utilizzando strumenti elettronici e informatici e, solo se necessario, in forma cartacea. Indipendentemente dalla modalità utilizzata, la sicurezza e la riservatezza dei dati sono sempre garantite.
Il trattamento dei dati personali avviene con strumenti automatizzati, inclusi algoritmi e sistemi di Intelligenza Artificiale, per il periodo strettamente necessario al raggiungimento delle finalità dichiarate. Specifiche misure di sicurezza sono adottate per prevenire la perdita dei dati, usi illeciti o non autorizzati, nonché accessi non consentiti, tenendo conto anche dei rischi specifici associati all'uso dell'IA (es. integrità dei dati di addestramento, sicurezza dei modelli).
Le responsabilità relative al trattamento dei dati sono chiaramente definite tramite regolamenti interni e istruzioni operative per gli incaricati. Il Titolare del Trattamento fornisce corsi di formazione e aggiornamento sul trattamento dei dati personali, sensibilizzando gli operatori sui potenziali rischi e le responsabilità connesse alla gestione dei dati. Ogni operatore che accede ai sistemi informatizzati è identificabile, vincolato al segreto professionale e autorizzato formalmente al trattamento.
Nei casi in cui normative speciali richiedano il trattamento dei dati in forma anonima (es. tutela delle vittime di violenza sessuale o pedofilia, sieropositività, uso di sostanze stupefacenti, interruzione volontaria di gravidanza, parto anonimo, servizi offerti dai consultori familiari, scelte di procreazione responsabile, ecc.), i dati sono oscurati al momento della loro creazione, in conformità alle disposizioni di legge vigenti, e non sono oggetto di ulteriori trattamenti.
Art. 6. Misure di Sicurezza
Il trattamento dei dati personali è garantito dall’adozione di misure di sicurezza preventive e adeguate, volte a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, nonché di accessi non autorizzati o trattamenti non conformi alle finalità per cui i dati sono stati raccolti. Tali misure sono estese alla protezione dei dati trattati tramite sistemi di IA e alla sicurezza degli algoritmi e dei modelli stessi, per mitigarne i rischi specifici (es. bias indesiderati, manipolazioni, accessi non autorizzati ai modelli).
Le scelte organizzative e operative in materia di sicurezza sono estese anche al trattamento di dati personali sensibili e vengono implementate attraverso strumenti elettronici sicuri e processi rigorosi.
Il sistema di sicurezza per il trattamento dei dati personali si basa sui seguenti elementi:
Elenco dei trattamenti di dati personali: Definizione chiara delle finalità e delle modalità di ogni trattamento effettuato.
Accesso limitato al personale autorizzato: I dati sono accessibili solo a personale appositamente autorizzato, in base alla finalità specifica del trattamento.
Analisi dei rischi: Valutazione dei potenziali rischi che potrebbero compromettere la sicurezza dei dati personali, con conseguente adozione delle misure necessarie per mitigarli.
Integrità e disponibilità dei dati: Implementazione di misure per garantire che i dati rimangano intatti e accessibili solo a chi è autorizzato, anche in caso di eventi imprevisti.
Criteri e modalità per il ripristino: Definizione di protocolli per garantire il ripristino tempestivo dei dati in caso di distruzione o danneggiamento.
Formazione e sensibilizzazione del personale: Realizzazione di programmi di formazione continua per il personale incaricato del trattamento, con particolare attenzione ai rischi specifici, alle misure di prevenzione disponibili, alle normative sulla protezione dei dati e alle responsabilità connesse al trattamento.
Misure minime di sicurezza per trattamenti esterni: Adozione di criteri rigorosi per garantire il rispetto delle misure di sicurezza anche nei casi in cui i trattamenti siano affidati a terzi o i dati siano trasferiti al di fuori della struttura del Titolare o all’estero.
Crittografia e separazione dei dati sensibili: Per i dati idonei a rivelare lo stato di salute o la vita sessuale degli interessati, vengono adottate misure specifiche come la crittografia o la separazione di tali dati dagli altri dati personali, al fine di garantire la massima tutela.
Il Titolare del Trattamento aggiorna periodicamente le misure di sicurezza adottate, in linea con gli sviluppi tecnologici e normativi, per assicurare un livello adeguato di protezione dei dati personali.
Art. 7. Destinatari del Trattamento
I soggetti che tratteranno i tuoi dati personali sono individuati con cura per garantire la massima protezione e riservatezza dei dati. I destinatari includono:
Soggetti interni al Titolare del Trattamento:
Persone autorizzate all’interno della struttura del Titolare del Trattamento, che agiscono nel rispetto di precise istruzioni operative e che sono necessarie per l’erogazione dei servizi offerti. Tali soggetti sono vincolati da obblighi di riservatezza e formati in materia di protezione dei dati personali.
Responsabili del Trattamento esterni:
Soggetti che trattano i dati personali per conto del Titolare del Trattamento, in base a specifici accordi contrattuali che disciplinano il trattamento. Tra questi:
i) Persone fisiche, società o studi professionali che forniscono assistenza e consulenza in ambito contabile, amministrativo, legale, tributario e finanziario;
ii) Fornitori di servizi tecnici per la manutenzione, l’aggiornamento o il supporto dei sistemi informatici e delle infrastrutture tecnologiche, ivin inclusi fornitori di piattaforme cloud, software specifici e servizi basati su Intelligenza Artificiale;
iii) Istituti di credito, compagnie e broker assicurativi, ove necessario per la gestione di pagamenti, polizze o garanzie;
iv) Società controllanti, controllate e collegate al Titolare del Trattamento, limitatamente a finalità amministrativo-contabili in conformità con l’art. 6 GDPR e le attività organizzative, finanziarie e gestionali interne.
Persone autorizzate dal Titolare del Trattamento:
Dipendenti, collaboratori e altri soggetti che agiscono sotto la diretta autorità del Titolare del Trattamento, vincolati da impegni scritti di riservatezza o da obblighi legali equivalenti.
Soggetti a cui la comunicazione è obbligatoria per legge:
Enti pubblici, organismi o autorità (come autorità fiscali o regolatorie) cui il Titolare del Trattamento è tenuto per legge a comunicare i dati personali.
Autorità giudiziarie e di polizia:
Autorità giurisdizionali o forze dell’ordine nell’ambito di procedimenti legali, indagini o per conformarsi ad ordini legittimi, ove richiesto dalla Normativa Applicabile.
Modalità di accesso ai dati personali
L’accesso ai dati personali è consentito esclusivamente ai soggetti autorizzati e avviene in conformità alle finalità esplicitate nella presente informativa e nel rispetto delle misure tecniche e organizzative adeguate previste per la protezione dei dati.
Designazione dei responsabili del trattamento
La nomina dei Responsabili del Trattamento è formalizzata mediante un “Atto di Nomina” che specifica dettagliatamente i compiti e le responsabilità affidate. Tale designazione è integrata negli accordi contrattuali o convenzioni che regolano il rapporto tra il Titolare del Trattamento e i terzi incaricati.
Art. 7.1 – Responsabili Interni del Trattamento
Il Titolare del Trattamento, tenendo conto della complessità e della pluralità delle funzioni istituzionali dell’Azienda, designa quali Responsabili del Trattamento i seguenti soggetti:
Dirigenti delle Unità Operative:
Ogni Dirigente preposto a un’Unità Operativa dell’Azienda è Responsabile delle banche dati cartacee ed elettroniche relative alle singole strutture di competenza.
Responsabile del Servizio Informatica:
Il Dirigente responsabile del Servizio Informatica gestisce le banche dati elettroniche centralizzate, garantendone la sicurezza e il corretto funzionamento.
Soggetti Esterni Delegati:
Tutti i soggetti esterni che, per conto del Titolare del Trattamento, utilizzano la banca dati dell’Azienda per finalità connesse all’esercizio delle sue funzioni aziendali, secondo quanto previsto dall’Art. 9.
La nomina dei Responsabili interni è formalizzata attraverso la designazione connessa al conferimento dell’incarico di struttura. Tale designazione si considera accettata con la sottoscrizione del contratto, che specifica obblighi e responsabilità in conformità al Regolamento Generale sulla Protezione dei Dati (GDPR).
Obblighi dei Responsabili Interni
Ogni Responsabile Interno è tenuto a:
Assicurare il rispetto puntuale e integrale degli obblighi previsti dalla normativa vigente, incluso il Codice Privacy e il profilo relativo alla sicurezza;
Attenersi alle disposizioni del Regolamento aziendale e alle istruzioni specifiche fornite dal Titolare del Trattamento;
Interagire con il Garante della Privacy in caso di richieste di informazioni o accertamenti;
Adottare misure adeguate per garantire il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, incluso il segreto professionale e il rispetto della normativa aziendale sulla gestione dei dati sensibili e delle misure di sicurezza minime.
Compiti specifici dei Responsabili Interni per la sicurezza dei dati
Nell’ambito delle misure di sicurezza, i Responsabili Interni devono:
Redigere e aggiornare il registro delle attività di trattamento (art. 30 GDPR);
Collaborare con il Responsabile del Servizio Informatica per assegnare a ogni Incaricato del trattamento un codice identificativo personale e non riutilizzabile per l’accesso ai dati;
Custodire le credenziali di accesso (password) degli Incaricati, garantendone un uso sicuro e controllato;
Verificare, insieme al Responsabile del Servizio Informatica, l’efficacia dei sistemi di protezione e antivirus, e implementare misure adeguate per limitare l’accesso ai locali e prevenire intrusioni non autorizzate;
Garantire l’applicazione di tutte le misure di sicurezza relative ai dati personali trattati, sia all’interno dell’Azienda sia in contesti esterni, quando i dati sono accessibili da soggetti terzi designati come Responsabili del Trattamento;
Informare tempestivamente il Titolare del Trattamento in caso di rilevazione di rischi o violazioni.
Titolari autonomi del trattamento
Qualora soggetti interni o esterni gestiscano dati personali di terzi in modo individuale e separato rispetto alla struttura di appartenenza o al mandato conferito, assumono la qualifica di autonomi “Titolari del Trattamento,” con tutti gli obblighi e responsabilità che ne conseguono.
Art. 7.2 – Responsabili Esterni del Trattamento
Tutti i soggetti esterni che effettuano operazioni di trattamento sui dati personali dell’Azienda, per conto e nell’interesse della stessa, in relazione alle finalità aziendali, inclusi i fornitori di tecnologie o piattaforme di Intelligenza Artificiale, sono nominati formalmente come “Responsabili Esterni” del Trattamento, in conformità all’Art. 28 del Regolamento (UE) 2016/679 (GDPR).
Obblighi dei Responsabili Esterni del Trattamento
I Responsabili Esterni sono tenuti a rispettare i seguenti obblighi:
Trattamento lecito e corretto:
Trattare i dati personali nel rispetto della normativa vigente, garantendo liceità, correttezza e trasparenza del trattamento verso gli interessati.
Sicurezza dei dati:
Adottare tutte le misure tecniche e organizzative adeguate per prevenire:
La distruzione o perdita, anche accidentale, dei dati personali;
L’accesso non autorizzato o il trattamento non consentito;
La divulgazione o la comunicazione indebita dei dati personali.
Tali misure devono essere conformi al GDPR e al Codice Privacy, incluse le misure minime di sicurezza.
Designazione degli incaricati:
Nominare formalmente all’interno della propria organizzazione i soggetti incaricati del trattamento e garantire che solo il personale autorizzato e adeguatamente formato possa accedere ai dati personali.
Finalità specifiche:
Trattare i dati personali, compresi quelli sensibili e sanitari (se applicabile), esclusivamente per le finalità previste nel contratto o nella convenzione con il Titolare del Trattamento.
Conformità alle istruzioni:
Rispettare rigorosamente le istruzioni impartite dal Titolare del Trattamento, garantendo che ogni operazione sui dati sia conforme alle finalità stabilite e alla normativa vigente.
Localizzazione dei dati:
Specificare i luoghi fisici in cui avviene il trattamento dei dati, fornendo trasparenza sulle modalità di gestione e sulla sicurezza delle infrastrutture utilizzate.
Conseguenze in caso di non conformità
Qualora i Responsabili Esterni non rispettino gli obblighi sopra elencati o agiscano in modo non conforme al contratto, assumono la qualifica di autonomi “Titolari del Trattamento.” In tale caso, essi:
Saranno direttamente e autonomamente responsabili di ogni violazione della normativa vigente in materia di protezione dei dati personali;
Risponderanno esclusivamente per i danni causati agli interessati o per le sanzioni derivanti da un trattamento illecito.
Formalizzazione della nomina
La nomina di ciascun Responsabile Esterno è effettuata attraverso un “Accordo di Nomina” o specifiche clausole contrattuali, che definiscono nel dettaglio:
Le finalità e la durata del trattamento;
Le categorie di dati trattati;
Gli obblighi di sicurezza e le modalità di trattamento;
Gli obblighi di collaborazione con il Titolare del Trattamento, inclusa la notifica tempestiva di eventuali violazioni dei dati personali (data breach).
Art. 7.3 – Incaricati del Trattamento
Ogni dipendente o collaboratore designato per svolgere operazioni tecniche di trattamento dei dati personali, ivi incluso l'utilizzo di strumenti basati su Intelligenza Artificiale, è considerato, a tutti gli effetti, un “Incaricato del Trattamento,” conformemente all’Art. 29 del Regolamento (UE) 2016/679 (GDPR) e all’Art. 30 del Codice Privacy.
Obblighi degli Incaricati del Trattamento
Gli Incaricati, nello svolgimento delle operazioni strettamente connesse all’adempimento delle loro funzioni, devono:
Osservare le istruzioni ricevute:
Seguire scrupolosamente le istruzioni impartite dal Titolare del Trattamento e dal Responsabile del Trattamento, attenendosi ai limiti e alle modalità definite per le attività di trattamento.
Adottare misure di sicurezza:
Implementare tutte le misure tecniche e organizzative previste dal Regolamento aziendale e dalla normativa vigente per prevenire:
La comunicazione o diffusione indebita dei dati personali;
La distruzione o perdita, anche accidentale, dei dati;
L’accesso non autorizzato o il trattamento non conforme alle finalità per le quali i dati sono stati raccolti.
Segnalare rischi e anomalie:
Collaborare con il Titolare e il Responsabile, segnalando prontamente eventuali situazioni di rischio o problematiche rilevate durante le attività di trattamento.
Principi di trattamento dei dati da parte degli Incaricati
Gli Incaricati devono assicurare che, durante il trattamento, i dati personali siano:
Trattati in modo lecito e corretto: Rispettando i principi di trasparenza e buona fede verso gli interessati.
Raccolti e utilizzati per scopi legittimi: I dati devono essere raccolti e registrati per scopi determinati, espliciti e legittimi, senza utilizzi incompatibili con tali scopi.
Accurati e aggiornati: Devono essere pertinenti, completi, non eccedenti e, nel caso di dati sensibili, indispensabili rispetto alle finalità dichiarate.
Conservati in sicurezza: In forma tale da consentire l’identificazione dell’interessato per il tempo strettamente necessario agli scopi dichiarati, in conformità ai principi di limitazione della conservazione.
Riservatezza e comunicazione dei dati
Gli Incaricati sono obbligati a mantenere la massima riservatezza sui dati personali di cui vengono a conoscenza nell’esercizio delle loro funzioni. È vietato comunicare i dati a terzi non autorizzati, salvo espressa indicazione del Titolare o nei casi previsti dalla legge.
Designazione degli Incaricati del Trattamento
La designazione degli Incaricati è formalizzata mediante:
Provvedimento di assunzione o ordine di servizio che assegna al dipendente o collaboratore l’ambito di trattamento specifico;
Schede di censimento dati, che definiscono in dettaglio le operazioni consentite e i limiti delle attività sui dati personali.
Formazione e istruzioni operative
Gli Incaricati devono ricevere:
Istruzioni dettagliate e specifiche sulle attività di trattamento assegnate, comprese operazioni come inserimento, aggiornamento, cancellazione dei dati, ecc.;
Formazione periodica sulla normativa in materia di protezione dei dati personali e sulle procedure aziendali per garantire un trattamento conforme e sicuro.
Art. 8 – Natura del conferimento dei dati e consenso
Il consenso al trattamento dei dati personali è volontario, ma indispensabile per l’erogazione della prestazione richiesta. Il mancato conferimento del consenso rende impossibile fruire della prestazione, poiché il trattamento dei dati è necessario per il perseguimento delle finalità principali, comprese le attività amministrative correlate. Per alcuni trattamenti specifici basati su IA, come la personalizzazione avanzata o l'analisi di dati particolari (ove applicabile), potrebbe essere richiesto un consenso specifico e informato, che illustri chiaramente come l'IA verrà utilizzata e quali dati verranno trattati.
Casi speciali di acquisizione del consenso:
a) Minori
Il consenso al trattamento dei dati personali di un minore di anni 16 deve essere fornito da almeno un genitore o da chi esercita la responsabilità genitoriale.
b) Persone sottoposte a potestà tutoria
Il consenso deve essere espresso dal tutore legale mediante un modulo intestato all’interessato e completato con i propri dati anagrafici e firma. A tale modulo va allegata la documentazione emessa dall’Autorità Giudiziaria o, in alternativa, un’autodichiarazione di potestà tutoria.
c) Persona che non può firmare
Se l’interessato non è in grado di firmare il modulo per analfabetismo, impedimento fisico o altra causa, il consenso può essere espresso verbalmente o con altri mezzi (es. gesti). L’operatore ne dà atto, anche con l’aiuto di un familiare che conosca le modalità di comunicazione dell’interessato, utilizzando strumenti di registrazione audiovisiva. Tali registrazioni saranno archiviate e utilizzate esclusivamente in caso di contestazioni.
Art. 8.1 – Finalità di Marketing
I dati personali possono essere trattati per finalità di marketing solo previo esplicito consenso dell’interessato.
Tipologie di trattamento per Finalità di Marketing:
Promozione diretta da parte del Titolare:
Con il consenso dell’interessato, i dati possono essere utilizzati per:
Promuovere prodotti o servizi analoghi a quelli acquistati o richiesti;
Inviare materiale pubblicitario relativo ai servizi del Titolare;
Effettuare comunicazioni commerciali attraverso mezzi tradizionali (posta cartacea, chiamate con operatore) o automatizzati (email, fax, SMS, sistemi automatici, piattaforme elettroniche, ecc.).
Consenso unitario e revoca:
Il consenso per Finalità di Marketing è unitario e complessivo, riferito a tutti i mezzi di comunicazione utilizzati.
L’interessato può revocare il consenso in qualsiasi momento, anche parzialmente rispetto a determinati mezzi o trattamenti, senza alcuna conseguenza sull’erogazione dei servizi principali. La revoca può essere esercitata scrivendo a info@fluence-group.com.
Comunicazione a terzi:
Il trattamento per finalità di marketing non include automaticamente la comunicazione dei dati personali a terzi.
Per autorizzare la comunicazione dei dati personali a terzi per finalità di marketing, è richiesto un ulteriore consenso specifico, separato, esplicito e facoltativo, in ottemperanza alle Linee Guida del Garante Privacy del 4 luglio 2013 contro lo spam.
Categorie di soggetti terzi destinatari dei dati:
Con il consenso dell’interessato, i dati personali possono essere comunicati a:
Editori;
Società sportive;
Fornitori di beni e servizi di comunicazione elettronica;
Agenzie di comunicazione e pubblicità;
Società assicurative e finanziarie;
Aziende dei settori alimentare, ristorazione, abbigliamento, turismo, ICT, energia e gas.
Facoltatività e conseguenze della mancata adesione:
Il conferimento dei dati per Finalità di Marketing è facoltativo e revocabile. Tuttavia:
Il mancato consenso può limitare la fruizione di servizi che implicano attività promozionali;
La mancata adesione al trattamento per finalità di marketing non influisce su altri rapporti contrattuali o negoziali in essere, salvo ove tali trattamenti siano essenziali per il servizio richiesto.
Art. 9 – Trasferimento dei dati all’estero
I Suoi dati personali potranno essere trasferiti verso Paesi sia all’interno che all’esterno dell’Unione Europea, esclusivamente per finalità legate all’esecuzione del contratto e per consentire agli incaricati di svolgere la loro prestazione lavorativa, e per l'utilizzo di servizi tecnologici, inclusi quelli basati su Intelligenza Artificiale..
Trasferimento all’interno dell’Unione Europea
Il trasferimento verso Paesi membri dell’UE avviene in conformità al GDPR, garantendo gli stessi standard di protezione previsti dalla normativa europea.
Trasferimento verso gli Stati Uniti
I Suoi dati personali potranno essere trasferiti verso gli Stati Uniti, un Paese non appartenente all’UE, esclusivamente per l’esecuzione del contratto. Tale trasferimento è garantito dalla decisione di adeguatezza della Commissione Europea relativa al quadro normativo sulla protezione dei dati (ad esempio, il Data Privacy Framework, ove applicabile).
È escluso il trasferimento di dati sensibili verso gli Stati Uniti.
Trasferimento verso gli Emirati Arabi Uniti
Il trasferimento dei dati personali verso gli Emirati Arabi Uniti, un Paese privo di decisione di adeguatezza da parte della Commissione Europea, avverrà solo nel rispetto di specifiche garanzie contrattuali, come le Clausole Contrattuali Standard (SCC) o altre misure previste dall’Art. 46 del GDPR, al fine di garantire un livello di protezione adeguato.
In ogni caso, il Titolare del Trattamento si impegna a proteggere i Suoi dati personali adottando tutte le misure tecniche e organizzative necessarie per garantire la sicurezza e la riservatezza durante il trasferimento e il trattamento.
Art. 10 – Diritti dell’Interessato
In qualità di soggetto interessato, Lei ha il diritto di esercitare, in qualsiasi momento, le facoltà previste dagli Artt. 15-22 del Regolamento (UE) 2016/679 (GDPR).
Diritti riconosciuti:
Diritto di accesso
Ottenere la conferma che sia o meno in corso un trattamento di dati personali che La riguardano.
Accedere ai Suoi dati personali e ricevere informazioni sul loro trattamento.
Diritto di rettifica
Correggere o aggiornare i dati personali inesatti o incompleti.
Diritto alla cancellazione (“diritto all’oblio”)
Ottenere la cancellazione dei dati personali quando:
I dati non sono più necessari rispetto alle finalità per cui sono stati raccolti.
Il consenso è stato revocato e non esiste altra base giuridica per il trattamento.
Il trattamento è illegittimo o imposto dalla normativa vigente.
Diritto di limitazione del trattamento
Limitare il trattamento dei dati personali nei seguenti casi:
Contestazione dell’esattezza dei dati, per il tempo necessario alla verifica.
Trattamento illecito, con richiesta di limitazione invece della cancellazione.
Necessità di conservazione per difesa legale.
Opposizione al trattamento, in attesa di verificare la prevalenza degli interessi.
Diritto alla portabilità dei dati
Ricevere in un formato strutturato, di uso comune e leggibile i dati personali forniti, e trasmetterli a un altro titolare del trattamento.
Diritto di opposizione
Opporsi al trattamento dei dati personali per motivi legittimi o per finalità di marketing diretto.
Diritto di revoca del consenso
Revocare il consenso al trattamento per:
Finalità primarie: La revoca potrebbe comportare l’impossibilità di erogare il servizio, ma non pregiudica la liceità del trattamento effettuato prima della revoca.
Finalità secondarie (marketing e newsletter): La revoca non incide sulla fruizione dei servizi principali e non pregiudica la liceità del trattamento precedente.
Diritto di proporre reclamo
Presentare reclamo all’Autorità Garante per la protezione dei dati personali in caso di violazioni normative, fatto salvo ogni altro rimedio amministrativo o giudiziale.
Modalità di esercizio dei diritti:
Per esercitare i Suoi diritti, può inviare una richiesta via email all’indirizzo info@fluence-group.com. Il Titolare del Trattamento si impegna a fornire riscontro entro un termine massimo di 30 giorni dalla ricezione della richiesta, salvo proroghe giustificate in base alla complessità della stessa.
Art. 11 – Periodo di conservazione dei dati
Il Titolare del Trattamento conserva i Suoi dati personali per un periodo massimo di 10 anni a partire dall’ultimo trattamento giuridicamente rilevante o dall’acquisizione del consenso, salvo eventuali obblighi di legge che impongano un periodo di conservazione diverso.
Il periodo di conservazione è determinato in base ai seguenti criteri:
Finalità del trattamento:
Per finalità contrattuali e amministrative, i dati saranno conservati per tutta la durata del rapporto contrattuale e successivamente per il periodo richiesto dalla normativa vigente (es. obblighi fiscali, contabili e legali).
Finalità di marketing:
I dati trattati per finalità di marketing saranno conservati fino alla revoca del consenso da parte dell’interessato.
Conservazione per obblighi legali o per difesa in sede giudiziaria:
I dati potranno essere conservati per un periodo più lungo esclusivamente nei casi in cui ciò sia necessario per ottemperare a obblighi di legge o per la difesa di un diritto in sede giudiziaria.
Alla scadenza del periodo di conservazione, i dati personali saranno:
Cancellati in modo sicuro, tramite sistemi di eliminazione irreversibile;
Oppure, ove possibile, anonimizzati, affinché non sia più possibile identificare l’interessato.
Per ulteriori dettagli sui periodi di conservazione specifici, può consultare la guida del Garante per la Protezione dei Dati Personali disponibile al seguente link: Guida del Garante Privacy – Periodo di Conservazione dei Dati