INFORMATIVA COMPLETA DI UFFICIO SICURO®

Il Regolamento Europeo 679/2016 (di seguito anche “Regolamento” e/o “GDPR”) disciplina la tutela delle persone fisiche con riguardo al trattamento dei dati personali nel rispetto dei principi di correttezza, liceità, nonché per la salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento.

Il documento che stai leggendo è stato scritto per chiarirti ed integrare l’informativa semplice che hai visualizzato al momento della procedura di acquisto dei servizi di Ufficio Sicuro®.

Al fine di una completa comprensione dei tuoi diritti, obblighi e delle responsabilità, alla fine di questo documento sono riportati integralmente gli articoli del Regolamento Generale Europeo sul trattamento dei dati personali delle persone fisiche.

In questo modo tu che sei l’interessato hai tutti gli strumenti sia descrittivi che normativi per comprendere cosa accade ai tuoi dati personali.

1.1 Il Titolare del trattamento dei dati personali è Digitance S.r.l. a Socio Unico

Società sottoposta ad attività di direzione e coordinamento da parte di Digitance Group S.r.l. (di seguito anche soltanto “Digitance” e/o “Ufficio Sicuro” e/o “Titolare”)

[email protected]

1.2 Il Titolare del trattamento può essere contattato presso:

  1. Il domicilio fiscale e sede legale in via di Valle Lupara n. 10, 00148 Roma;
  2. al numero di tel. +39 06 6220 2322 e fax +39 06 6220 1562;
  3. all’indirizzo mail ordinaria [email protected]:
  4. all’indirizzo pec [email protected].

1.3 Il Titolare ha nominato un Responsabile Protezione dati Personali nella persona dell’Avv. Emiliano Vitelli che può essere raggiunto scrivendo a [email protected].

1.4. Per l’esercizio dei diritti dell’interessato il Titolare ha predeterminato le apposite procedure che verranno comunicate all’Interessato a seguito di ogni legittima richiesta del medesimo ad uno dei contatti sopra elencati.

2.1 I dati personali sono raccolti per le seguenti ragioni:

a) adempiere gli obblighi precontrattuali e contrattuali di cui alle condizioni generali di contratto;
b) gestione del contenzioso (compresi pre-contenziosi) in caso di inadempimenti, contestazioni, controversie giudiziarie e/o transazioni;
c) adempiere tutti gli obblighi di legge inerenti le attività connesse all’utilizzo dell’Applicazione e/o i provvedimenti delle competenti autorità.

3.1 Ai meri fini della procedura di acquisto tratteremo:

  1. Nome e cognome;
  2. dati di connessione internet;
  3. dati fiscali;
  4. indirizzo mail
  5. numero di telefono.

3.2 Ai fini dell’erogazione dei servizi di Ufficio Sicuro® potremmo trattare dati personali, anche di categorie particolari o giudiziari eventualmente presenti nei computer verso cui i servizi medesimi sono erogati.

3.3 In particolare il servizio potrebbe trattare i seguenti dati:

Categoria di dati personaliSpecifiche dei dati personali
Metadati di uso generale (telemetria)Indirizzi IP interniNome host dell’endpointDettagli del sistema operativo (“OS”) (versione OS, dettagli della CPU, elenco delle applicazioni installate)Elenco degli indirizzi di controllo di accesso ai media (“MAC”)
Dati degli eventi di telemetriaEvent timestampFull process pathEndpoint/UsernameProcess Privilege levelFile path dell’operazione coinvoltaProcess and/or file hash (MD5, SHA-1, SHA-256)File operations (Lettura/scrittura/eliminazione)Operazioni di registro (Registry path, key, value)Network activity (IP address, protocol, direction outbound/inbound)Account activity information (Account name, Subject and Target Sid, i metadati possono variare a seconda del tipo di attività dell’account)Domain address, se l’Endponit è collegato ad un Domain Controller
Dati di manutenzione e risoluzione dei problemiIndirizzi IPNomi utenteNomi di computerMetadati generali e dati telemetrici menzionati sopra (nomi dei file, dimensioni del file, tempo di creazione, tempo di rimozione, ecc.)
Servizi di risposta agli incidentiQualsiasi dato personale fornito o reso disponibile a Ufficio Sicuro® nel contesto di qualsiasi degli elementi dei Servizi relativi alla risposta agli incidenti;qualsiasi dato personale raccolto, acceduto o analizzato da Ufficio Sicuro® durante l’esecuzione dei servizi legati alla risposta agli incidenti;qualsiasi dato personale contenuto all’interno di file, materiali, contenuti, dati, software ecc. da Ufficio Sicuro® durante l’esecuzione dei servizi legati alla risposta agli incidenti.

4.1 Per fruire dei servizi di Ufficio Sicuro® fornire tutti i dati richiesti al momento dell’acquisto e/o registrazione è obbligatorio. In caso di rifiuto oppure di dati personali inesatti, errati o falsi la procedura potrebbe non andare a buon fine oppure essere revocata.

4.2 In caso di incidente informatico fornire i dati richiesti oltre quelli già raccolti da Digitance è facoltativo, ma il servizio di risposta e assistenza potrebbe non essere completo o anche inesatto e fallace.

5.1. La tabella che segue riporta un elenco dei dati trattati dal Titolare sulla base delle informazioni fornite direttamente dall’Interessato, la base giuridica (cioè la giustificazione legale del trattamento) e, nell’ultima colonna, il periodo di conservazione.

Tipologia di dati personaliBase giuridica del trattamentoPeriodo di conservazione del trattamento
Dati personali comuni Le condizioni generali di contratto;Il contratto;Il consenso;Specifiche disposizioni di legge.I dati vengono conservati per tutta la durata in cui l’Utente fruisce del Servizio.Successivamente a tale periodo i dati saranno conservati nei termini di legge al fine di garantire la difesa in giudizio del Titolare o per tutelare i diritti fondamentali dell’Utente. 
Dati di categorie particolariPotrebbero essere trattati ove presenti nei sistemi informatici dell’Interessato. Si specifica che il trattamento di tali dati non è connesso 
Dati giudiziari  

6.1 Il trattamento dei dati personali e particolari degli interessati, da parte del Titolare, non prevede l’esistenza di processi decisionali automatizzati (cioè scelte determinati in assenza di un intervento umano), compresa la profilazione (cioè l’individuazione delle abitudini di una persona fisica), che possano comportare effetti giuridici che riguardano gli interessati o che incidano sugli stessi in modo rilevante.

7.1 Le informazioni in possesso del Titolare saranno condivise solo con i soggetti che abbiano effettiva necessità di conoscerle.

7.2 I dati personali saranno comunicati, in stretta relazione alle finalità sopra indicate:

Il Titolare, tramite l’applicazione Ufficio Sicuro®, ottiene e condivide dati personali da e con diversi soggetti tra i quali si menzionano, a mero titolo esemplificativo e non esaustivo, i seguenti:

  • i fornitori di servizi IT;
  • il personale, ivi inclusi volontari, agenti, lavoratori occasionali, soci, lavoratori autonomi e persone che lavorano e/o collaborano, in qualunque modalità con il titolare;
  • i soggetti che presentino reclami;
  • fornitori di servizi per l’adeguata verifica del cliente;
  • eventuali partner commerciali del Titolare nell’ambito dell’erogazione di Servizi richiesti dall’Utente;
  • eventuali partner per le informazioni commerciali;
  • intermediari finanziari (a titolo esemplificativo, le Banche e i prestatori di servizi di pagamento autorizzati);
  • responsabili del trattamento di dati personali che operano per conto del Titolare;
  • ove richiesto, le competenti Autorità Giudiziarie;
  • ove richiesto, le Forze dell’Ordine;
  • ove richiesto, le Amministrazioni Pubbliche e le Autorità di vigilanza e controllo.

7.3 Tutti questi soggetti agiscono come titolari autonomi oppure sono stati autorizzati dal Titolare, ove agiscano per suo conto, in qualità di responsabili del trattamento ovvero autorizzati al trattamento.

7.4 Qualora sia strumentale al perseguimento delle finalità indicate sopra, i dati personali potranno altresì essere trasferiti all’estero a società aventi sede sia all’interno sia al di fuori dell’Unione Europea. Alcune di queste giurisdizioni potrebbero non garantire lo stesso livello di tutela dei dati garantito dal Paese in cui l’interessato risiede. In tal caso, il Titolare si impegna a che i dati siano trattati con la massima riservatezza stipulando, se necessario, accordi che garantiscano un livello di protezione adeguato e/o adottando le clausole contrattuali standard previste dalla Commissione Europea.7.5 I dati non verranno diffusi

8.1 Il Titolare presta estrema attenzione alla sicurezza dei dati personali degli interessati. A tale fine, ha predisposto apposite procedure per la sicurezza dei dati nonché una policy sulla sicurezza dell’informazione che consentono di proteggere i dati da perdite accidentali o da un uso improprio.8.2 Il Titolare permette l’accesso alle informazioni solo in presenza di un legittimo motivo.

In questa sezione ti spieghiamo quali sono i tuoi diritti

9.1 L’Interessato potrà chiedere al Titolare:

  1. la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano;
  2. l’accesso ai propri dati personali elencati agli artt. 12 e 15 riportati in calce.

9.2 Il presente diritto è gratuito salve le eccezioni previste dal Regolamento.9.3 Il ricorso al diritto di accesso non può ledere i diritti e le libertà altrui.

10.1 L’Interessato ha il diritto di ottenere dal Titolare la rettifica dei dati personali inesatti e, tenuto conto delle finalità del trattamento, ha il diritto di ottenere l’integrazione dei dati personali incompleti.

10.2 I diritti di accesso o rettifica sono disciplinati agli artt. 12, 15 e 19 riportati in calce.

11.1 L’Interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali se sussiste uno degli specifici motivi previsti all’art. 16 riportato in calce.

11.2 L’Interessato potrà chiedere la cancellazione dei propri dati personali secondo le modalità previste agli artt. 12, 16 e 19 riportati in calce.

12.1 L’Interessato ha il diritto che i propri dati personali non siano ulteriormente trattati, ma non cancellati se sussiste uno degli specifici motivi previsti all’art. 17 riportato in calce.

12.2 Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato, salvi i casi di: consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante.

12.3 L’Interessato potrà chiedere la cancellazione dei propri dati personali secondo le modalità previste agli artt. 12, 17 e 19 riportati in calce.

13.1 L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano, compresa la profilazione.

13.2 L’Interessato potrà far valere il diritto di opposizione sulla base dei presupposti e nelle modalità previste all’art. 21 riportato in calce.

14.1 L’Interessato ha il diritto di ricevere dati personali, in un formato strutturato, di uso comune e leggibile meccanicamente.

14.2 L’Interessato ha il diritto di memorizzare i dati personali su un dispositivo nella propria disponibilità per fini personali, senza trasferirli a un diverso titolare.

14.3 L’Interessato ha il diritto di trasmettere i propri dati personali da un titolare del trattamento a un altro senza impedimenti.

14.4 Il diritto alla portabilità potrà essere fatto valere nei termini e limiti di cui all’art. 20 riportato in calce.

15.1 Al fine di far valere i propri diritti l’Interessato potrà rivolgersi, nelle modalità e nei termini previsti dagli artt. 77, 78, 79 e 82 riportati in calce, all’Autorità Giudiziaria oppure al Garante per la protezione dei dati di cui si riportano qui di seguito i recapiti:

  • Piazza Venezia n. 11 – 00187 Roma;
  • Fax: (+39) 06.69677.3785 – Centralino telefonico: (+39) 06.696771;

E-mail: [email protected] – Posta certificata: [email protected]

Articolo 4 Definizioni

Ai fini del presente regolamento s’intende per:

a) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («Interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

b) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

c) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;

d) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;

e) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un Interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

f) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

g) «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

h) «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

i) «destinatario»: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

j) «terzo»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’Interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;

k) «consenso dell’Interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’Interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento; 

l) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

m) «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;

n) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;

o) «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

p) «stabilimento principale»:  a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale; b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;

q) «rappresentante»: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;

r) «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica;

s) «gruppo imprenditoriale»: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;

t) «norme vincolanti d’impresa»: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune;

u) «autorità di controllo»: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;

v) «autorità di controllo interessata»: un’autorità di controllo interessata dal trattamento di dati personali in quanto: a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo; b) gli interessati che risiedono nello Stato membro dell’autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure c) un reclamo è stato proposto a tale autorità di controllo; 

w) «trattamento transfrontaliero»: a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

x) «obiezione pertinente e motivata»: un’obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all’interno dell’Unione;

y) «servizio della società dell’informazione»: il servizio definito all’articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio (19);

z) «organizzazione internazionale»: un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

Art. 7 Condizioni per il consenso

1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

2. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.

3. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.

Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.

4. Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.

Articolo 12 Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’Interessato

1. Il titolare del trattamento adotta misure appropriate per fornire all’Interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’Interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’Interessato.

2. Il titolare del trattamento agevola l’esercizio dei diritti dell’Interessato ai sensi degli articoli da 15 a 22. Nei casi di cui all’articolo 11, paragrafo 2, il titolare del trattamento non può rifiutare di soddisfare la richiesta dell’Interessato al fine di esercitare i suoi diritti ai sensi degli articoli da 15 a 22, salvo che il titolare del trattamento dimostri che non è in grado di identificare l’Interessato.

3. Il titolare del trattamento fornisce all’Interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’Interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’Interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’Interessato.

4. Se non ottempera alla richiesta dell’Interessato, il titolare del trattamento informa l’Interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.

5. Le informazioni fornite ai sensi degli articoli 13 e 14 ed eventuali comunicazioni e azioni intraprese ai sensi degli articoli da 15 a 22 e dell’articolo 34 sono gratuite. Se le richieste dell’Interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può:

a) addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta; oppure

b) rifiutare di soddisfare la richiesta.

Incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.

6. Fatto salvo l’articolo 11, qualora il titolare del trattamento nutra ragionevoli dubbi circa l’identità della persona fisica che presenta la richiesta di cui agli articoli da 15 a 21, può richiedere ulteriori informazioni necessarie per confermare l’identità dell’Interessato.

7. Le informazioni da fornire agli interessati a norma degli articoli 13 e 14 possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto. Se presentate elettronicamente, le icone sono leggibili da dispositivo automatico.

8. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 92 al fine di stabilire le informazioni da presentare sotto forma di icona e le procedure per fornire icone standardizzate.

Articolo 15 Diritto di accesso dell’Interessato

1. L’Interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni: 

a) le finalità del trattamento; 
b) le categorie di dati personali in questione;
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; 
d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; 
e) l’esistenza del diritto dell’Interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
f) il diritto di proporre reclamo a un’autorità di controllo; 
g) qualora i dati non siano raccolti presso l’Interessato, tutte le informazioni disponibili sulla loro origine; 
h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’Interessato. 

2. Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’Interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento. 

3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’Interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’Interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’Interessato, le informazioni sono fornite in un formato elettronico di uso comune. 4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui. 

Articolo 16 Diritto di rettifica

L’Interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’Interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa. 

Articolo 17 Diritto alla cancellazione (“diritto all’oblio”) 

1. L’Interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: 
a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; 
b) l’Interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento; 
c) l’Interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
d) i dati personali sono stati trattati illecitamente; 
e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; 
f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.

2. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’Interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. 

3. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario: 
a) per l’esercizio del diritto alla libertà di espressione e di informazione;
b) per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento; 
c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 9, paragrafo 2, lettere h) e i), e dell’articolo 9, paragrafo 3; 
d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o 
e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. 

Articolo 18 Diritto di limitazione di trattamento

1. L’Interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi: 
a) l’Interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali; 
b) il trattamento è illecito e l’Interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo; 
c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’Interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; 
d) l’Interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’Interessato. 

. Se il trattamento è limitato a norma del paragrafo 1, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’Interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro. 

3. L’Interessato che ha ottenuto la limitazione del trattamento a norma del paragrafo 1 è informato dal titolare del trattamento prima che detta limitazione sia revocata. 

Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell’articolo 16, dell’articolo 17, paragrafo 1, e dell’articolo 18, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all’Interessato tali destinatari qualora l’Interessato lo richieda. 

Articolo 20 Diritto alla portabilità dei dati 

1. L’Interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora: 

  1. il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b); e 
  2. il trattamento sia effettuato con mezzi automatizzati.

2. Nell’esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l’Interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile. 

3. L’esercizio del diritto di cui al paragrafo 1 del presente articolo lascia impregiudicato l’articolo 17. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. 

4. Il diritto di cui al paragrafo 1 non deve ledere i diritti e le libertà altrui. 

Articolo 21 Diritto di opposizione 

1. L’Interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’Interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. 

2. Qualora i dati personali siano trattati per finalità di marketing diretto, l’Interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto. 

3. Qualora l’Interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento per tali finalità. 

4. Il diritto di cui ai paragrafi 1 e 2 è esplicitamente portato all’attenzione dell’Interessato ed è presentato chiaramente e separatamente da qualsiasi altra informazione al più tardi al momento della prima comunicazione con l’Interessato. 

5. Nel contesto dell’utilizzo di servizi della società dell’informazione e fatta salva la direttiva 2002/58/CE, l’Interessato può esercitare il proprio diritto di opposizione con mezzi automatizzati che utilizzano specifiche tecniche. 6.Qualora i dati personali siano trattati a fini di ricerca scientifica o storica o a fini statistici a norma dell’articolo 89, paragrafo 1, l’Interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguarda, salvo se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico.

Articolo 22 Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione

1. L’Interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. 

2. Il paragrafo 1 non si applica nel caso in cui la decisione: 

  1. sia necessaria per la conclusione o l’esecuzione di un contratto tra l’Interessato e un titolare del trattamento; 
  2. sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’Interessato; 
  3. si basi sul consenso esplicito dell’Interessato. 

3. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’Interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione. 

4. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’Interessato.

Articolo 77 Diritto di proporre reclamo all’autorità di controllo

1. Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’Interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.

2. L’autorità di controllo a cui è stato proposto il reclamo informa il reclamante dello stato o dell’esito del reclamo, compresa la possibilità di un ricorso giurisdizionale ai sensi dell’articolo 78.

Articolo 78 Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo

1. Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda.

2. Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ciascun Interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora l’autorità di controllo che sia competente ai sensi degli articoli 55 e 56 non tratti un reclamo o non lo informi entro tre mesi dello stato o dell’esito del reclamo proposto ai sensi dell’articolo 77.

3. Le azioni nei confronti dell’autorità di controllo sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’autorità di controllo è stabilita.

4. Qualora siano promosse azioni avverso una decisione di un’autorità di controllo che era stata preceduta da un parere o da una decisione del comitato nell’ambito del meccanismo di coerenza, l’autorità di controllo trasmette tale parere o decisione all’autorità giurisdizionale.

Articolo 79 Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento

1. Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni Interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento.

2. Le azioni nei confronti del titolare del trattamento o del responsabile del trattamento sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento. In alternativa, tali azioni possono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’Interessato risiede abitualmente, salvo che il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica di uno Stato membro nell’esercizio dei pubblici poteri.

Articolo 82 Diritto al risarcimento e responsabilità

1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’Interessato.

5. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.

6. Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2.