INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI Soggetti interessati: CLIENTI e potenziali CLIENTI
NATURELLE S.R.L. UNIPERSONALE, con sede legale in Bologna (BO), alla via Via della Ferriera 4, C.F. e P. IVA 03231991203, in qualità di Titolare del trattamento, ai sensi dell’art.13 Regolamento (UE) n.2016/679 (relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, anche detto GDPR) informa che il trattamento dei dati personali oggetto della presente informativa avverrà nel rispetto dei principi di liceità, equità, correttezza, proporzionalità, necessità, esattezza, completezza e sicurezza nonché degli ulteriori obblighi normativi vigenti in materia di protezione dei dati personali ed in particolare previsti dal D.Lgs. n.196/2003 e ss.mm.ii..
Il Titolare, nel rispetto dei principi sopra ricordati, desidera rendere al Cliente (o potenziale Cliente) cui si riferiscono i dati personali trattati (identificato in questa sede quale soggetto Interessato del trattamento) la seguente informativa.
1. Finalità del trattamento dei dati personali
Il trattamento dei dati personali è finalizzato a:
a) adempiere a specifiche richieste dell’Interessato ed a dare esecuzione a misure precontrattuali o contrattuali di cui l’Interessato è parte nonché alle prestazioni ed ai servizi da queste nascenti o comunque a queste strettamente riconducibili;
b) inviare comunicazioni per ricordare il giorno e l’ora dell’appuntamento;
c) dare corso agli obblighi di legge ed agli ulteriori adempimenti correlati ai servizi forniti ed alle prestazioni erogate (quali quelli di natura amministrativa, fiscale o contabile).
Il Titolare non tratterà i dati personali degli Interessati per finalità di marketing né di profilazione commerciale.
I dati personali potranno essere altresì utilizzati per la tutela di interessi legittimi del Titolare, tra cui la difesa in giudizio e la gestione dell’eventuale contenzioso (art.6 par.1 lett.f. GDPR).
2. Base giuridica del trattamento dei dati personali
I trattamenti relativi alle finalità sub a) e c) prescindono dal consenso dell’Interessato e l’eventuale rifiuto a fornire le informazioni necessarie comporta l’impossibilità di dare esecuzione, in tutto o in parte, al rapporto contrattuale o precontrattuale. I trattamenti relativi alle finalità sub a) e sub c) che abbiano ad oggetto dati particolari di cui all’art.9 GDPR potranno essere espletati solo previo conferimento del consenso da parte dell’Interessato.
I trattamenti relativi alla finalità sub b) prevedono il necessario preventivo consenso dell’interessato.
Dal punto di vista giuridico, il trattamento dei dati personali relativamente alle finalità sopra indicate è lecito:
— in relazione alle finalità sub a), in quanto necessario all’esecuzione del rapporto contrattuale o precontrattuale di cui l’Interessato è parte, secondo quanto previsto dall’art.6 par.1 lett.b. GDPR;
— in relazione alle finalità sub b), in quanto sussiste specifico e informato consenso dell’interessato, secondo quanto previsto dall’art.6 par.1 lett. a) del GDPR. Il mancato rilascio del consenso non pregiudicherà i rapporti con il titolare né l’esecuzione della prestazione in favore dell’interessato, ma impedirà l’invio delle comunicazioni che ricordano il giorno e l’ora dell’appuntamento fissato;
— in relazione alle finalità sub c), in quanto il trattamento è prescritto o previsto da norma di legge, secondo quanto previsto dall’art.6 par.1 lett.c. GDPR;
— in relazione alle finalità sub a) e sub b) qualora abbiano ad oggetto dati particolari, in quanto il trattamento è fondato sul consenso esplicito dell’Interessato, secondo quanto previsto dall’art.9 par.2 lett.a) GDPR.
3. Dati personali trattati. Necessità e fonte del conferimento
Nel rispetto del principio di minimizzazione dei dati oggetto di trattamento (secondo l’art.5 par.1 lett.c GDPR), sono trattati i soli dati personali strettamente funzionali, adeguati, pertinenti e limitati al perseguimento delle finalità sopra indicate e precisamente:
— dati anagrafici (nome, cognome, indirizzo di residenza, C.F.) e dati di contatto (telefono ed e-mail);
— dati relativi alla tipologia di trattamento medico/sanitario programmato, dati cd. particolari;
— dati di misurazione cranica per la creazione del prodotto personalizzato (protesi capillare su misura), comprese riproduzioni fotografiche del cranio e di sezioni del volto (quest’ultimo, per quanto strettamente necessario alle finalità), dati cd. particolari;
— dati di tipo economico e fiscale strettamente connessi alle prestazioni oggetto dei rapporti contrattuali o precontrattuali, compresi i dati di pagamento.
I dati personali sono raccolti direttamente presso l’Interessato e, poiché aventi tutti carattere strettamente necessario, il mancato conferimento impedisce l’instaurazione del rapporto contrattuale o precontrattuale.
Si precisa che il conferimento dei dati particolari indicati è necessario al fine di fornire il prodotto richiesto, dovendo quest’ultimo conformarsi ai dati predetti (ossia allo specifico trattamento sanitario programmato e alla tipologia di conformazione cranica dell’Interessato).
4. Modalità del trattamento dei dati personali
Il trattamento dei dati personali è realizzato per mezzo delle operazioni indicate all’art.4 Codice Privacy e all’art.4 n.2 GDPR e precisamente: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati. I dati personali sono sottoposti a trattamento sia cartaceo che elettronico e/o automatizzato.
I dati raccolti sono custoditi e monitorati mediante l’adozione di misure di sicurezza adeguate, di natura tecnica ed organizzativa, volte ad attuare in modo efficace i principi di protezione dei dati e, pertanto, ad impedire/arginare i rischi di distruzione o di perdita anche accidentale, di accesso, modifica o divulgazione non autorizzati o illegali e di trattamento non consentito o non conforme alle finalità della raccolta (artt.25 e 32 GDPR).
I dati sono conservati su database elettronici di proprietà del fornitore dei prodotti/servizi software, i cui server sono ubicati nel territorio di Paesi appartenenti all’Unione Europea (UE) e, qualora fosse fatto ricorso a server extra UE, sarà osservata la normativa vigente nonché le prescrizioni del Garante in materia di protezione dei dati personali.
5. Persone autorizzate al trattamento e Responsabili del trattamento. Comunicazione dei dati personali
I dati potranno essere trattati dal personale interno alla Società quali collaboratori o dipendenti, espressamente autorizzato al trattamento sotto l’autorità del Titolare ed adeguatamente formato e munito delle necessarie istruzioni operative per garantire la sicurezza e la protezione dei dati trattati. Nell’ambito di servizi consulenziali, strumentali o di supporto i dati possono essere trattati, per conto del Titolare, da soggetti esterni alla Società che, ove necessario o opportuno, saranno designati quali Responsabili del trattamento (art.28 GDPR). L’elenco aggiornato dei Responsabili del trattamento nominati dal Titolare e delle persone autorizzate al trattamento è consultabile presso la sede della Società. Infine, i dati trattati possono essere comunicati ad autorità di vigilanza e controllo nonché ad ogni soggetto legittimato per legge ad averne accesso.
6. Conservazione dei dati personali
I dati raccolti saranno conservati per il tempo strettamente necessario e funzionale alla gestione ed esecuzione del rapporto contrattuale e, successivamente, saranno conservati secondo i termini stabiliti, di volta in volta, dalla normativa di settore per fini amministrativi, contabili e fiscali (di regola, 10 anni). La conservazione dei dati sanitari è giustificata dalla eventualità di ritrattamento del cliente. I dati necessari alla mera organizzazione della consulenza saranno cancellati, se non vi siano ulteriori necessità contrattuali, dopo 2 anni dalla raccolta.
7. Diritti dell’Interessato
Secondo le vigenti norme di legge, il Titolare si impegna a garantire il più agile e pieno esercizio dei diritti spettanti all’Interessato in relazione ai dati personali che lo riguardano e che di seguito si riportano (artt.15-20 GDPR):
i) chiedere la conferma dell’esistenza di dati personali, conoscerne l’origine ed avere informazioni circa la logica, le modalità e le finalità del trattamento;
ii) richiedere l’aggiornamento dei dati personali, chiederne la rettifica, l’integrazione o la cancellazione degli stessi, la trasformazione in forma anonima, il blocco dei dati trattati in violazione di legge, ivi compresi quelli non più necessari al perseguimento degli scopi per i quali sono stati raccolti;
iii) ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali forniti al Titolare nonché il diritto di trasmettere tali dati a un altro titolare senza impedimenti da parte del Titolare cui li ha forniti;
iv) opporsi al trattamento dei dati personali, essendo il conferimento dei dati facoltativo;
v) revocare il consenso prestato in qualsiasi momento senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca;
vi) presentare reclamo all’Autorità Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).
L’esercizio dei suddetti diritti può essere esercitato mediante comunicazione scritta inoltrata al Titolare del trattamento all’indirizzo e-mail info@naturelle.it oppure tramite lettera raccomandata a/r all’indirizzo di via Sandro Botticelli n.10/C in Bologna (BO).
Con le stesse modalità può essere richiesta qualsiasi altra informazione inerente al trattamento di dati personali.
Senza ingiustificato ritardo e comunque al più tardi entro un mese dal ricevimento della richiesta (art.12 p.3 GDPR), il Titolare si impegna a fornire adeguato riscontro.
Il Titolare non ha nominato la figura del DPO (Responsabile della protezione dei dati) in quanto, secondo i riferimenti dettati dal GDPR (Considerando n.91) e dalle Linee Guida del cd. Gruppo di Lavoro ex art.29 (adottate il 5 aprile 2017), non si effettuano trattamenti su larga scala di categorie particolari di dati personali né ricorrono i presupposti previsti dall’art.37 GDPR.