Premessa
ActionAid International Italia E.T.S. (nel seguito, anche “l’Organizzazione” o “AA” o “ActionAid”) è consapevole dell’importanza della salvaguardia dei dati personali e attenta ai diritti delle persone e poiché Internet è uno strumento potenzialmente rischioso per la circolazione dei Vostri dati personali, ha voluto impegnarsi seriamente nel rispettare regole di condotta – in linea con il Regolamento Europeo 679/2016 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (nel seguito “GDPR”) – che garantiscano una sicura, controllata e riservata navigazione nella rete.
Questa politica di tutela della riservatezza delle informazioni potrebbe subire variazioni nel tempo, anche in funzione delle integrazioni e delle modifiche legislative e regolamentari in materia o per nostre decisioni istituzionali, pertanto vi invitiamo a consultare periodicamente questa sezione del nostro sito.
Principi-base della privacy policy di ActionAid
- eseguire il trattamento (art. 4, comma 2, GDPR: “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”) dei dati personali (art. 4, comma 1, GDPR: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”) esclusivamente per le finalità e secondo le modalità illustrate nelle informazioni da fornire che sono presentate all’utente di volta in volta che accede ad una sezione del sito nella quale è previsto il conferimento, diretto o indiretto, di dati personali;
- utilizzare i dati che sono stati rilasciati spontaneamente dall’utente;
- utilizzare cookies tecnici per agevolare la navigazione nel sito e cookies analitici per fini statistici;
- utilizzare cookie di profilazione soltanto se l’utente ha prestato consenso a tale uso;
- trasmettere i dati a soggetti terzi (responsabili del trattamento – art. 4, comma 8, GDPR: “art. 4, comma 8, GDPR: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”) esclusivamente per fini strumentali a quanto espressamente richiesto e da noi accuratamente selezionati;
- comunicare i dati a soggetti terzi per attività connesse a quanto di interesse o qualora ciò sia imposto da legge, regolamento o normativa comunitaria;
- previo consenso esplicito (art. 4, comma 11, GDPR: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”), comunicare i dati a soggetti terzi per loro autonomi trattamenti;
- rispondere alle richieste di accesso ai dati personali, rettifica o cancellazione degli stessi, di esercizio del diritto all’oblio, alla limitazione del trattamento o del diritto di opporsi al loro trattamento. Assicurare l’esercizio del diritto alla portabilità dei dati e all’opposizione al trattamento dei dati per fini di comunicazioni informative sui nostri progetti e richieste di contributi economici a sostegno delle nostre attività istituzionali;
- assicurare un corretto e lecito trattamento dei Vostri dati, salvaguardando la Vostra riservatezza, nonché applicare misure idonee di sicurezza a tutela della riservatezza, dell’integrità e della disponibilità dei dati stessi.
Finalità del trattamento e base giuridica
Come meglio esplicitato nelle sezioni che consentono di aderire – rilasciando i propri dati personali – ai servizi riservati agli utenti del nostro sito, i dati richiesti sono utilizzati per rispondere alle richieste espressamente avanzate dall’utente. In particolare, tutte le attività di raccolta – e successivo trattamento – dei dati sono finalizzate al perseguimento degli scopi istituzionali di ActionAid e, in particolare per:
- donazioni regolari e una tantum, eseguite in varie modalità (carta di credito, domiciliazione bancaria o altro). La base giuridica è l’art. 6, comma 1, lettera b), GDPR poiché il trattamento è necessario per adempiere agli obblighi contrattuali connessi alla donazione che l’interessato ha inteso attivare
- adesione o richiesta di informazioni sul progetto di adesione a distanza. La base giuridica è l’art. 6, comma 1, lettera b), GDPR poiché il trattamento è necessario per gestire il rapporto di donazione oppure per dar corso al riscontro delle richieste su come attivare il sostegno a distanza. Nel caso di adesione al progetto di adesione a distanza, il trasferimento dei dati personali all’estero trova la propria base giuridica nel consenso dell’interessato (art. 6, comma 1, lettera a), GDPR) ed è necessario per l’attivazione dell’adozione a distanza
- iscrizione alla nostra newsletter. La base giuridica è l’art. 6, comma 1, lettera b), GDPR poiché il trattamento è necessario per soddisfare la richiesta dell’interessato, consistente nella richiesta di ricevere la newsletter di AA
- richiesta di collaborazione con la nostra organizzazione. La base giuridica è l’art. 6, comma 1, lettera b), GDPR poiché il trattamento è necessario per analizzare la richiesta di collaborazione e fornire riscontro rispetto al nostro interesse nel profilo presentato
- sottoscrizione di petizioni, iniziative o specifici progetti, La base giuridica è l’art. 6, comma 1, lettera b), GDPR poiché il trattamento è necessario per gestire l’adesione alla petizione in tutte le sue fasi
- richiesta di informazioni. La base giuridica è l’art. 6, comma 1, lettera b), GDPR poiché il trattamento è necessario per soddisfare la richiesta di informazioni dell’interessato sui temi di interesse che ha espresso attraverso il proprio contatto con AA
- finalità di “pubblicità sociale” e per fini di marketing diretto, attraverso vari mezzi di contatto. Per meglio chiarire, i dati saranno anche trattati per fini di contatti promozionali, informativi e istituzionali sui nostri progetti, attività e iniziative di raccolta fondi, sondaggi e ricerche riservati agli aderenti alle nostre azioni. Tale diritto e interesse di informazione sono acquisiti all’atto dell’adesione al singolo progetto di sensibilizzazione ActionAid. La base giuridica del trattamento è il legittimo interesse di cui all’art. 6, comma 1, lettera f), GDPR, Considerando 47 GDPR, Opinion 6/2014 WP29
- finalità di “pubblicità sociale” e marketing diretto con “profilazione” (art. 4, comma 4, GDPR – “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”), cioè in base agli interessi e preferenze dimostrate navigando sul sito o compilando i form ivi presentati, sondaggi e ricerche. In particolare, i dati saranno trattati per tali finalità in maniera personalizzata in base alle caratteristiche di comportamento (es.: azioni cui si è aderito, zona di residenza, età), a interessi e preferenze rispetto le nostre azioni (“profilazione”, come sopra definita). La profilazione comporterà la selezione delle informazioni archiviate rispetto all’interessato, affinché riceva comunicazioni di suo interesse e in linea con le sue preferenze, evitando di essere disturbata da contatti non graditi o di non interesse. La base giuridica del trattamento è il consenso dell’interessato (art. 6, comma 1, lettera a), GDPR) prestato attraverso analoga formula inequivocabile che manifesti l’accettazione a tale trattamento
- elaborazioni statistiche sulla consistenza di sostenitori, donatori e utenti del sito. La base giuridica del trattamento è il legittimo interesse di cui all’art. 6, comma 1, lettera f), GDPR, Considerando 47 GDPR, Opinion 6/2014 WP29 di ActionAid nel valutare l’interesse, in forma anonima, degli interessati che svolgono azioni sul proprio sito e ne condividono le cause istituzionali, anche per offrire servizi e opportunità secondo le esigenze manifestate.
Modalità di trattamento dei dati e criteri per la raccolta dei dati
- La modulistica da compilare – on-line oppure da scaricare – prevede sia dati che sono strettamente necessari per aderire a quanto di interesse e la cui mancata indicazione non consente di dar corso alla richiesta, sia dati di conferimento facoltativo. Pertanto, l’utente è libero di fornire i dati personali riportati nei moduli di richiesta o comunque indicati in contatti con l’Organizzazione per richiedere informazioni o per le altre finalità dapprima elencate. In questi casi di obbligatorietà di conferimento dei dati, la loro mancanza può comportare l’impossibilità di ottenere quanto richiesto. La necessità di richiedere i dati quali obbligatori per l’adesione ai singoli progetti o alle singole iniziative o per avanzare richieste è stata considerata nel rispetto delle prescrizioni di cui all’art. 25, GDPR (“Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” – “Data Protection by design and by default”), che impongono di valutare previamente le misure tecniche e organizzative adeguate, quali la “pseudonimizzazione” (art. 4, comma 5, GDPR: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”), volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati. Inoltre, AA ha messo in atto misure tecniche e organizzative adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per la specifica finalità del trattamento derivante dal progetto cui l’interessato ha volontariamente aderito.
- Tutti i trattamenti effettuati nell’ambito di questo sito saranno realizzati con strumenti sia cartacei sia elettronici o telematici, con logiche correlate alle finalità per le quali i dati sono stati raccolti e nel rispetto delle vigenti norme di sicurezza, per le finalità specificate di volta in volta nelle informazioni da fornire ex art. 13, GDPR.
- ActionAid non utilizzerà i dati forniti per fini diversi da quelli connessi al servizio a cui l’utente ha aderito, e, comunque, soltanto entro i limiti indicati di volta in volta nelle informazioni da fornire ai sensi dell’art. 13, GDPR. In caso di trattamento diversi e per cui non sono state rese le informazioni da fornire ai sensi dell’art. 13, GDPR, sarà possibile anche la comunicazione a terzi per loro scopi promozionali e informativi previo consenso dell’interessato.
Luogo del trattamento dei dati
I trattamenti connessi ai servizi web di questo sito hanno luogo presso la sede dell’Organizzazione e sono curati da personale tecnico autorizzato al trattamento. In caso di necessità, i dati connessi possono essere trattati dal personale di società terze che curano la manutenzione della parte tecnologica del sito (responsabile del trattamento ai sensi dell’art. 28, GDPR), presso le proprie sedi.
Titolare del trattamento
ActionAid International Italia E.T.S. – con sede in Via Carlo Tenca 14, 20124 Milano (MI)) – è il titolare del trattamento (art. 4, comma 7, GDPR: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”), ai sensi e per gli effetti del GDPR, poiché decide in quale modo e per quali motivi, comunicati nelle informazioni da fornire agli interessati, raccogliere e utilizzare i dati personali conferiti dall’utente, nonché con quali strumenti trattarli e quali procedure di sicurezza attivare per garantirne l’integrità, la riservatezza e la disponibilità, nel rispetto degli obblighi e alle responsabilità previsti dall’art. 24, GDPR.
Data Protection Officer
Il Data Protection Officer è la persona che AA coinvolge in molte questioni riguardanti la protezione dei dati personali e che sostiene AA nel controllare, laddove richiesto, come trattare e proteggere i dati. È anche il punto di contatto per gli interessati che intendono conoscere dettagli sul trattamento dei loro dati. Il Data Protection Officer di AA è contattabile all’e-mail dpo.ita@actionaid.org.
Diritti degli interessati rispetto ai dati che li riguardano
Sono garantiti i diritti di cancellare, modificare o integrare i dati già spontaneamente forniti, nonché richiederne il blocco, la trasformazione in forma anonima od opporsi al loro trattamento per motivi legittimi o se non si desidera ricevere “pubblicità sociale” anche con “profilazione”, nonché per limitare il trattamento ed esercitare il diritto alla portabilità dei dati. Inoltre, è possibile rivolgersi all’autorità di controllo. Grazie all’esercizio di questi diritti Vi sarà possibile controllare l’utilizzo dei Vostri dati anche dopo il loro conferimento.
Si possono esercitare, in qualsiasi momento, all’indirizzo sostenitori@actionaid.org (in alternativa, scrivendo a ActionAid International Italia E.T.S. – Via Carlo Tenca 14, 20124 Milano (MI)) i diritti ex artt.15-22, GDPR nel seguito riportati:
Diritto di accesso (articolo 15, GDPR)
La persona ha il diritto di richiedere se sia in corso un trattamento dei suoi dati personali e, dunque, ha diritto di accesso alle informazioni che lo riguardano e di avere notizie su:
- finalità del trattamento (es.: gestione di una donazione);
- categorie di dati personali (es.: anagrafica, dati comportamentali);
- destinatari o categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di Paesi terzi o organizzazioni internazionali;
- quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- esistenza del diritto di chiedere la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali o di opporsi al loro trattamento;
- diritto di proporre reclamo a un’autorità di controllo;
- se i dati non sono raccolti direttamente dalla persona, tutte le informazioni disponibili sulla loro origine;
- esistenza di un processo decisionale automatizzato, compresa la profilazione e informazioni significative sulla logica utilizzata, nonché importanza e conseguenze previste di tale trattamento per la persona. (es.: se la persona ha associato un profilo di abitudini di donazione incrociando importo donazione con frequenza e campagna).
Diritto di rettifica (articolo 16, GDPR)
La persona ha il diritto di ottenere la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, la persona ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Diritto alla cancellazione (“diritto all’oblio”) (articolo 17, GDPR)
La persona ha il diritto di ottenere la cancellazione dei dati personali che lo riguardano e Actionaid ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, per uno dei seguenti motivi:
i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
- è revocato il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento (es.: proprio legittimo interesse, adempimenti normativi o contrattuali);
- ci si oppone al trattamento per fini di marketing e profilazione e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
- i dati personali sono stati trattati illecitamente;
- i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è si è soggetti.
Diritto di limitazione di trattamento (articolo 18, GDPR)
La persona ha il diritto di ottenere la limitazione del trattamento dei suoi dati personali quando sussiste uno dei seguenti motivi:
- la persona contesta l’esattezza dei dati personali, per il periodo necessario che si ha per verificare l’esattezza di tali dati personali;
- il trattamento è illecito e la persona si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo (es.: non intende che il trattamento sia svolto per fini di marketing ma solo per fini gestionali e amministrativi)
- benché non si abbia più bisogno dei dati ai fini del trattamento, i dati personali sono necessari alla persona per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
- la persona si è opposta al trattamento se il trattamento è basato su propri legittimi interessi, in attesa della verifica in merito all’eventuale prevalenza dei propri motivi legittimi rispetto a quelli del titolare.
Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento (articolo 19, GDPR)
La persona ha il diritto di richiedere che la rettifica o la cancellazione dei dati o limitazione del trattamento sia comunicata da AA ad altri soggetti cui eventualmente i dati sono stati comunicati. AA potrebbe non ottemperare alla richiesta, se i mezzi da impiegare sono sproporzionati rispetto al diritto alla riservatezza invocato dalla persona.
Diritto alla portabilità dei dati (“data portability”) (articolo 20, GDPR)
Questo diritto permette alla persona di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un soggetto che sottopone i suoi dati a trattamento e ha il diritto di trasmettere tali dati a un soggetto per uso di quest’ultimo senza impedimenti da parte del soggetto cui li ha forniti. Questo diritto può essere esercitato nei seguenti casi:
- il trattamento è basato sul consenso o su di un contratto o su misure precontrattuali richieste dalla stessa persona e, contemporaneamente
- il trattamento sia svolto con mezzi automatizzati.
La persona ha il diritto di ottenere che i suoi dati siano trasferiti direttamente da un soggetto all’altro (da quello cui li ha conferiti a quello cui vuole siano trasmessi), se tecnicamente possibile.
Diritto di opposizione (articolo 21, GDPR)
La persona ha il diritto di opporsi al trattamento dei suoi dati per il perseguimento del legittimo interesse di AA o di terzi. Se i dati personali sono trattati per finalità di marketing, la persona ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale attività di marketing.
Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione (articolo 22, GDPR)
La persona ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che la riguardano o che incida in modo analogo significativamente sulla sua persona. In particolare, ha il diritto di opporsi alla profilazione cui è sottoposto attraverso processi automatizzati.
Non si può esercitare questo diritto se la decisione:
- è necessaria per la conclusione o l’esecuzione di un contratto;
- è autorizzata dal diritto dell’Unione o dello Stato membro cui si è soggetti, che precisa anche misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi della persona;
- si basa sul consenso esplicito.
La persona ha il diritto di esprimere la propria opinione e di contestare la decisione di AA.
Tempi di risposta
Come stabilito dal GDPR, AA risponderà alla persona entro un mese dalla richiesta, a meno che si debbano mettere in atto procedure complesse (o le richieste siano numerose) che non permettono di rispettare questo tempo. È ammesso il riscontro completo entro tre mesi dalla richiesta, ma siamo obbligati a darvene notizia, comunque, entro un mese dalla richiesta originariamente trasmessa (art. 12, comma 3, GDPR).
Reclamo all’Autorità di Controllo
L’interessato ha il diritto di rivolgersi all’Autorità di Controllo per far valere i propri diritti.
Per l’Italia è il Garante per la Protezione dei Dati Personali, Piazza Venezia 11, 00187 Roma (RM) – www.garanteprivacy.it, a cui il reclamo può essere inviato all’indirizzo protocollo@pec.gpdp.it, usando il modello (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4535524&zx=e0yn0riezmmw) messo a disposizione dall’autorità o in forma libera.
Criteri usati per definire il limite della conservazione dei dati
I dati saranno mantenuti nei nostri archivi (art. 4, comma 6, GDPR: “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”) secondo criteri variabili in funzione della categoria del dato, della natura del trattamento e delle finalità del trattamento medesimo. I criteri o il limite preciso di conservazione sono descritti nelle informazioni da fornire ai sensi dell’art. 13, GDPR all’atto del conferimento dei dati personali.
In linea di principio, valgono le seguenti valutazioni di AA per stabilire il criterio di conservazione dei dati:
- tutti i dati rispetto alla donazione sono conservati fintanto che il rapporto rimane attivo e per un numero di anni pari a quello che leggi, regolamenti, anche comunitari, impongono per fini amministrativi e contabili
- tutti i dati dei sostenitori o interessati alla nostra missione usati per fini di marketing sono conservati per il periodo temporale necessario a erogare i servizi di informazione riservati a dette persone. Tale diritto e interesse di informazione sono acquisiti all’atto dell’adesione al progetto che comporta la donazione. Tale periodo è anche giustificato dal legittimo interesse di AA a mantenere costante il rapporto instaurato con la persona per mantenerla informata su quali sono i progetti che potrebbero essere finanziati con il contributo del donatore stesso o sulle azioni di sensibilizzazione che AA ritiene utile far conoscere per dimostrare il proprio costante impegno nella realizzazione della propria missione. Tale legittimo interesse è ammesso ai sensi dell’art. 6, comma 1, lettera f), GDPR quale meccanismo alternativo al consenso esplicito dell’interessato. Ovviamente, tale periodo di conservazione è esteso fintanto che dura l’interesse della persona a rimanere in contatto con AA: se non ha più interesse, è sufficiente sia comunicato attraverso le modalità di cui al paragrafo “Diritti degli interessati rispetto ai dati che li riguardano” e AA adotterà le appropriate misure tecniche e organizzative per non disturbare più la persona
- tutti i dati usati per attività di marketing con profilazione, il cui trattamento è supportato dal consenso esplicito della persona, sono conservati fintanto che il profilo dell’interessato è in linea con le comunicazioni personalizzate create attraverso l’incrocio delle informazioni a nostra disposizione e, dunque, fintanto che AA prosegue la propria missione con progetti, iniziative, azioni e attività che richiedono contributi economici o che spronano alla sensibilizzazione (es.: petizioni, appelli di emergenza, richieste di opinione e sondaggi) che sono di interesse della persona che ha manifestato il consenso a ricevere informazioni di tale tenore e che rispecchiano le caratteristiche e i comportamenti della persona e sono, dunque, di suo specifico interesse e non di disturbo. Anche in questo caso, tale conservazione verrà meno se l’interessato manifesta opposizione in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.
Decorsi i periodi sopra enunciati, i dati identificativi sono trasformati in forma anonima e usati soltanto per rapporti statistici che non consentono di risalire all’identità della persona ma che sono utili per adeguare i progetti, le iniziative e le azioni per la realizzazione e il raggiungimento degli obiettivi statutari e istituzionali di AA. I dati personali saranno, perciò, distrutti.
Responsabili del trattamento e persone autorizzate al trattamento, autonomi titolari del trattamento
- I Vostri dati personali possono essere trattati, sia manualmente sia elettronicamente o telematicamente, sia direttamente da AA sia da soggetti terzi che, dotati di esperienza, capacità tecniche, professionalità ed affidabilità, svolgono operazioni di trattamento per conto della nostra associazione, nel rispetto della sicurezza e della riservatezza delle informazioni e da noi costantemente controllati nel loro operato. Il responsabile del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (art. 4, comma 8, GDPR) ed è vincolato da AA contrattualmente, con definizione dei limiti di operatività sui dati, relativamente ai dati che può trattare e delle categorie di interessati cui sono riferiti, e con il divieto di farne uso differente rispetto all’incarico affidato. Può, se autorizzato formalmente da AA, avvalersi di altri responsabili, che sono vincolati contrattualmente dal responsabile nominato direttamente da AA: le violazioni commesse da tali altri responsabili ricadono sotto la responsabilità del primo responsabile e non di AA.
L’elenco completo ed aggiornato dei responsabili del trattamento (e, se del caso, dei responsabili nominati dal primo responsabile, previa autorizzazione di AA) può essere richiesto all’e-mail dpo.ita@actionaid.org (in alternativa, scrivendo a ActionAid International Italia E.T.S. – Via Carlo Tenca 14, 20124 Milano (MI)).
- Le persone autorizzate al trattamento, individuate nelle informazioni fornite nelle sezioni di conferimento dei dati, sono preposte ai singoli servizi del sito, attività istituzionali e raccolta fondi, organizzazione di eventi di sensibilizzazione, comunicazione, servizi informativi e di sicurezza dei dati.
- I dati degli utenti del sito potranno essere trattati anche da autonomi titolari del trattamento che erogano servizi tecnici per la sua funzionalità o per garantire la connessione telematica (es.: Internet Provider) o enti pubblici, magistratura o forze dell’ordine per loro finalità istituzionali o laddove espressamente richiesto di comunicarli da parte di AA.
Soggetti terzi a cui sono comunicati i Vostri dati e diffusione dei dati
- I Vostri dati potranno essere messi a disposizione di soggetti terzi, autonomi titolari del trattamento, per fini connessi all’erogazione dei servizi di interesse o in ottemperanza a norme di legge e regolamenti che ne dispongono la comunicazione, nonché ad organi di controllo. Ad esempio, saranno messi a disposizione degli istituti di credito o di emissione di carte di credito per permettere le transazioni necessarie alla donazione, nonché PayPal. La comunicazione dei dati a terzi per scopi di marketing e/o profilazione, nonché l’eventuale diffusione possono avvenire, previo consenso dell’interessato, secondo quanto detto al capitolo “Informazioni da fornire ai sensi dell’art. 13, GDPR” della presente privacy policy
- In particolare, i dati dei donatori e dettagli della donazione dovranno, per obbligo di legge, essere tramessi all’Agenzia delle Entrate. I dati comunicati all’Agenzia delle Entrate saranno quelli riferiti all’anno precedente all’attivazione della donazione
- Inoltre, i dati potranno essere comunicati a terze organizzazioni senza scopo lucro, società partner di progetti, enti, per autonomi utilizzi (in qualità di autonomi titolari del trattamento) per loro fini istituzionali: tale “comunicazione” avverrà soltanto se l’interessato ha manifestato il proprio consenso esplicito.
- Il trasferimento di dati personali verso Paesi terzi potrà avvenire soltanto con il consenso dell’utente: in primis, si tratta di attività connesse all’adesione dell’utente del progetto di adozione a distanza, per permettere di creare un abbinamento tra beneficiario e sostenitore. Tali soggetti terzi sono aderenti al network internazionale di cui l’Organizzazione è parte oppure ha rapporti di partnership
- Potrebbero essere comunicati a terzi, previo espresso e specifico consenso informato, come dapprima descritto, per loro autonomi utilizzi aventi finalità prioritariamente di contatto promozionale.
- Non è esclusa la possibilità che i dati personali siano oggetto di diffusione: ciò può avvenire qualora il servizio cui l’utente ha aderito contempli tale trattamento: per esempio, potranno essere diffusi tramite i nostri canali social, anche in formato di immagine, qualora l’interessato intenda testimoniare la propria esperienza con AA o si voglia relazionare con AA tramite i canali social. Tutti questi casi di diffusione dei dati avverranno previo consenso dell’interessato.
Social media
I dati degli utenti che aderiscono alle pagine dei social media di AA (fans della pagina oppure iscritti a un gruppo di followers di una determinata iniziativa promozionale o di incentivazione di vendita di prodotti o di novità a catalogo di AA), decidono, con tale azione, di esplicitare la propria intenzione di voler seguire novità, commenti, evoluzioni di AA. Tali utenti, successivamente al loro comportamento, possono lecitamente ricevere messaggi promozionali concernenti gli argomenti per i quali hanno manifestatamente dichiarato, in modo implicito aderendo alla pagina, di essere interessati. L’invio di comunicazioni promozionali riguardanti un determinato progetto o iniziativa o un’attività istituzionale in senso lato, effettuato da AA cui fa riferimento la relativa pagina deve considerarsi lecitamente conducibile se, dal contesto e dalle modalità di funzionamento del social network, anche in funzione delle informazioni fornire spontaneamente dall’utente, può evincersi che, inequivocabilmente, l’utente ha in qualche modo espresso la propria volontà di ricevere proprio quel tipo di messaggi, con una formula comportamentale che è conclusiva di un consenso implicitamente dichiarato. Pertanto, ai sensi del provvedimento del Garante emanante linee guida in materia di attività promozionale e contrasto allo spam del 04 luglio 2013, registro dei provvedimenti n. 330, AA potrà contattare gli aderenti attivi delle proprie pagine social al fine di inviare messaggi di carattere informativo e promozionale su iniziative, servizi, eventi e attività di raccolta di fondi per sviluppare la propria attività benefica.
Nel momento in cui l’utente abbandona il gruppo o smette di seguire le vicende di AA o esercita il diritto di opposizione al trattamento dei dati per scopi promozionali, allora tale presupposto decade e, se AA intenderà continuare a usare i dati per tali attività promozionali e istituzionali, richiederà il consenso dell’utente.
Viceversa, i dati dei contatti dell’utente primario saranno utilizzati da AA previa richiesta al singolo contatto di un espresso consenso adeguatamente e previamente informato, specifico per i messaggi promozionali di AA e rilasciato in forma libera.
Che cosa sono i cookies e come sono utilizzati da ActionAid
I cookies sono informazioni salvate sul disco fisso del Vostro PC che sono inviate dal Vostro browser a un Web server e si riferiscono al Vostro utilizzo della rete. Di conseguenza, permettono di conoscere i servizi, i siti frequentati e le opzioni che, navigando in rete, sono state manifestate.
Queste informazioni non sono, quindi, fornite spontaneamente e direttamente, ma lasciano traccia. I dati rilevati attraverso i cookies saranno utilizzati per esigenze di carattere tecnico, al fine di garantire un più agevole, immediato e rapido accesso al sito e ai suoi servizi e una navigazione facilitata al singolo utente.
Potranno essere utilizzati, previo consenso dell’utente, anche cookie di profilazione, per creare profili dell’utente in base alle sezioni del sito o alle azioni compiute dall’utente medesimo su questo sito o navigando in rete.
L’uso di c.d. cookies di sessione (che non sono memorizzati in modo persistente sul computer dell’utente e sono automaticamente eliminati con la chiusura del browser) è strettamente limitato alla trasmissione di identificativi di sessione (costituiti da numeri casuali generati dal server) necessari per consentire l’esplorazione sicura ed efficiente del sito. I c.d. cookies di sessione che sono utilizzati in questo sito evitano il ricorso ad altre tecniche informatiche potenzialmente pregiudizievoli per la riservatezza della navigazione degli utenti e non consentono l’acquisizione di dati personali identificativi dell’utente. In ogni caso, è possibile configurare il browser in modo che si sia avvisati nel momento in cui è ricevuto un cookie e decidere quindi se accettarlo.
Per conoscere la nostra politica sui cookies e le politiche cookies di terze parti, invitiamo a leggere l’informativa estesa relativa cliccando QUI.
Dati di navigazione
I sistemi informatici e le procedure software preposte al funzionamento di questo sito acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet. Si tratta di informazioni che non sono raccolte per essere associate a utenti identificati ma che per loro stessa natura potrebbero, attraverso elaborazioni e associazioni con dati detenuti da terzi, permettere di identificare gli utenti medesimi. In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore o simili) e altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente. Questi dati sono usati soltanto per ricavare informazioni statistiche anonime sull’uso del sito e per controllarne il corretto funzionamento e sono cancellati immediatamente dopo l’elaborazione. I dati potrebbero essere utilizzati per l’accertamento di responsabilità in caso di ipotetici reati informatici ai danni del sito.
La sicurezza dei Vostri dati personali
ActionAid International Italia E.T.S. adotta idonee e preventive misure di sicurezza atte a salvaguardare la riservatezza, l’integrità, la completezza, la disponibilità dei Vostri dati personali. Così come stabilito dai disposti normativi che disciplinano la sicurezza dei dati personali, sono messi a punto accorgimenti tecnici, logistici e organizzativi che hanno per obiettivo la prevenzione di danni, perdite anche accidentali, alterazioni, utilizzo improprio e non autorizzato dei dati che Vi riguardano.
In particolare, AA ha messo in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio che potrebbe inficiare i vostri diritti e le vostre libertà, ivi compresa la riservatezza e la confidenzialità, delle persone. AA adotta criteri di sicurezza che comprendono, tra gli altri:
- la “pseudonimizzazione” (art. 4, comma 5, GDPR: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”) e la cifratura dei dati
- sistemi che permanentemente salvaguardano la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento
- sistemi atti a ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico
- procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Analoghe misure preventive di sicurezza sono adottate dai soggetti terzi (responsabili del trattamento) cui l’Organizzazione ha affidato operazioni di trattamento dei Vostri dati per proprio conto.
D’altro canto, l’Organizzazione non si ritiene responsabile circa le informazioni non veritiere inviate direttamente dall’utente (esempio: correttezza dell’indirizzo e-mail o recapito postale o altri dati anagrafici), così come delle informazioni che lo riguardano e che sono state fornite da un soggetto terzo, anche fraudolentemente.
Carta di credito e informazioni finanziarie necessarie per la donazione
Nel caso di donazione eseguita attraverso carta di credito, AA ne garantisce la massima riservatezza e sicurezza. Le informazioni finanziarie della carta di credito (numero, scadenza, generalità del titolare) potranno essere conosciute esclusivamente dall’istituto di emissione. AA entrerà a conoscenza esclusivamente di un codice (“token”) che non ha possibilità di ricondurre all’identità del titolare della carta di credito o agli estremi della carta di credito, salvo eccezioni.
Analogamente, gli stessi criteri di riservatezza e confidenzialità saranno mantenuti in caso di donazione effettuata tramite bonifico bancario, per il quale è richiesto soltanto di inserire un “codice causale” all’atto dell’effettuazione del bonifico.
Se la donazione è eseguita tramite PayPal, si verrà reindirizzati al sito di PayPal e, dunque, i criteri di riservatezza e sicurezza competono esclusivamente a PayPal, escludendo qualsiasi responsabilità da parte di AA.
In generale, infine, ActionAid International Italia E.T.S. non si assume nessuna responsabilità con riferimento a utilizzi non autorizzati o fraudolenti da parte di soggetti terzi delle informazioni attinenti agli strumenti usati per la transazione connessa alla donazione.
P3P
La presente privacy policy è consultabile in forma automatica dai più recenti browser che implementano lo standard P3P (“Platform for Privacy Preferences Project”) proposto dal World Wide Web Consortium (www.w3c.org).
Ogni sforzo verrà fatto per rendere il più possibile interoperabili le funzionalità di questo sito con i meccanismi di controllo automatico della privacy disponibili in alcuni prodotti utilizzati dagli utenti.
Considerando che lo stato di perfezionamento dei meccanismi automatici di controllo non li rende attualmente esenti da errori e disfunzioni, si precisa che il presente documento costituisce la “Privacy Policy” di questo sito che sarà soggetta ad aggiornamenti.