Viaggi e Turismo

 

Informativa sulla tutela dei dati personali ai sensi
del Regolamento (UE) 2016/679 (“GDPR”)


Il Regolamento (UE) 2016/679 ("GDPR") prevede la disciplina finalizzata alla tutela delle persone fisiche e di altri soggetti rispetto al trattamento dei dati personali. Ai sensi della predetta normativa, il trattamento dei Suoi dati personali sarà improntato ai principi di correttezza, liceità e trasparenza e di tutela della Sua riservatezza e dei Suoi diritti. La società ATACAMA TRAVEL S.R.L Unipersonale, con sede legale in Via Montesuello, 129/a, 25065 Lumezzane (BS), P.IVA 01921140982 (di seguito, la “Società”), in qualità di titolare del trattamento dei dati, Le fornisce le seguenti informazioni ai sensi dell'art. 13 del GDPR:

 

1. Finalità e modalità del trattamento dei dati

I Suoi dati personali vengono raccolti unicamente presso di Lei, in fase di stipula del contratto, e saranno trattati esclusivamente per finalità strettamente connesse e strumentali all'adempimento delle obbligazioni inerenti ai rapporti con la Società, in particolare:

a) per prestare i servizi oggetto del contratto;

b) per l'inserimento delle anagrafiche nei data base informatici aziendali;

c) per la tenuta della contabilità e fatturazione;

d) per la gestione degli incassi e pagamenti;

e) per adempiere agli obblighi previsti dalle forme di legge civilistiche e fiscali, dai regolamenti, dalla normativa comunitaria.

Il trattamento dei dati personali sarà effettuato tramite supporti cartacei ed informatici dal titolare, dal responsabile/dai responsabili e dagli incaricati con l'osservanza di ogni misura cautelativa, che ne garantisca la sicurezza e riservatezza.

 

2. Natura della raccolta dei dati e conseguenze di un eventuale mancato conferimento

La base giuridica dei trattamenti indicati alle lettere da (a) a (d) del paragrafo che precede è l’esecuzione del contratto stipulato con la nostra agenzia, mentre la base giuridica del trattamento indicato alla lettera (e) del paragrafo che precede è l’adempimento di obblighi legali cui è soggetta la Società in qualità di titolare del trattamento. Il conferimento dei Suoi dati personali è facoltativo ma l’eventuale mancato conferimento potrà comportare l'impossibilità da parte nostra di instaurare il rapporto contrattuale o adempiere agli obblighi contrattuali.

 

3. Comunicazione e diffusione dei dati

I Suoi dati personali, ai fini dell'esecuzione del contratto e per le finalità sopra indicate, potranno essere comunicati a:

- persone fisiche e giuridiche (studi di consulenza legale, amministrativa, fiscale, società di revisione, corrieri e spedizionieri etc.) di cui si serve il titolare ai fini dell'adempimento degli obblighi amministrativi, contabili, commerciali e gestionali;

- istituti bancari per la gestione degli incassi e dei pagamenti;

- società di factoring o di recupero crediti;

- nostri collaboratori e dipendenti appositamente incaricati e nell'ambito delle relative mansioni.

I suoi dati personali potranno altresì essere comunicati al soggetto (ad esempio tour operator, organizzatore di eventi) che presta il servizio da Lei acquistato, che agirà come titolare autonomo del Suoi dati e Le fornirà a sua volta idonea informativa.

Qualsiasi comunicazione avrà ad oggetto unicamente i dati che risultano necessari per le finalità sopra illustrate. I Suoi dati personali saranno conservati in server situati all’interno dell’Unione Europea. La Società non effettua trasferimenti di dati personali verso Paesi situati al di fuori dell’Unione Europea.

 

4. Periodo di conservazione

I dati personali che La riguardano saranno conservati per tutto il tempo di durata del Suo rapporto contrattuale con la Società. Successivamente alla cessazione del rapporto contrattuale, la Società conserverà i dati personali relativi all’esecuzione del contratto per l’adempimento degli obblighi di contratto e di legge, anche di tipo fiscale. Successivamente, i dati personali relativi all’esecuzione del contratto verranno conservati per un periodo non eccedente il termine di prescrizione previsto dalla legge per far eventualmente valere o difendere un diritto in giudizio.

 

5. Diritti dell'interessato

In ogni momento potrà esercitare i Suoi diritti nei confronti del Titolare del trattamento, ai sensi degli artt. 15 – 22 del GDPR, che per Sua comodità riassumiamo di seguito. In particolare, Lei ha il diritto:

- di ottenere la cessazione del trattamento nei casi in cui i suoi dati personali siano trattati per fini di marketing diretto, anche in relazione a servizi identici a quelli già acquistati dalla nostra Società (c.d. diritto di opposizione);

- di ottenere informazioni in relazione alle finalità per cui i Suoi dati personali sono trattati, al periodo del trattamento e ai soggetti cui i dati sono comunicati (c.d. diritto di accesso);

- di ottenere la rettifica o integrazione dei dati personali inesatti che La riguardano (c.d. diritto di rettifica);

- di ottenere la cancellazione dei dati personali che La riguardano nei seguenti casi (a) i dati non siano più necessari per le finalità per le quali sono stati raccolti; (b) Lei abbia ritirato il Suo consenso al trattamento dei dati qualora essi siano trattati sulla base del Suo consenso; (c) Lei si sia opposto al trattamento dei dati personali che La riguardano nel caso in cui essi siano trattari per un nostro legittimo interesse; o (d) il trattamento dei suoi dati personali non sia conforme alla legge. Tuttavia, Le segnaliamo che la conservazione dei dati personali da parte della Società è lecita qualora sia necessaria per consentirle di adempiere un obbligo legale o per accertare, esercitare o difendere un diritto in sede giudiziaria (c.d. diritto di cancellazione);

- di ottenere che i dati personali che La riguardano siano solo conservati senza che di essi sia fatto altro uso nei seguenti casi (a) Lei contesti l'esattezza dei dati personali, per il periodo necessario a consentirci di verificare l'esattezza di tali dati personali; (b) il trattamento sia illecito ma Lei si opponga comunque alla cancellazione dei dati personali da parte nostra; (c) i dati personali Le siano necessari per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria; (d) Lei si sia opposto al trattamento e si sia in attesa della verifica in merito all'eventuale prevalenza dei nostri motivi legittimi al trattamento rispetto a quelli dell'interessato (c.d. diritto di limitazione);

- di ricevere in un formato di uso comune, leggibile da dispositivo automatico e interoperabile i dati personali che La riguardano trattati con mezzi automatizzati, se essi siano trattati in forza di contratto o sulla base del Suo consenso (c.d. diritto di portabilità).

Le ricordiamo infine che Lei ha diritto di rivolgersi al Garante per la protezione dei dati personali (Piazza di Monte Citorio, 121 - 00186 Roma RM) per far valere i Suoi diritti in relazione al trattamento dei Suoi dati personali.

Qualsiasi richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica attraverso i riferimenti riportati sotto.

 

6. Titolare e responsabile del trattamento

Il titolare del trattamento è: RINALDO BERTOLETTI – indirizzo email: atacama@atacama.it . L'elenco dei responsabili del trattamento dei dati personali è disponibile presso gli uffici del Titolare e può essere richiesto mediante l'invio di una mail all'indirizzo atacama@atacama.it .

 

 

 

 

DESCRIZIONE DELLE POLICY DELL’AGENZIA IN MATERIA DI DATA BREACH, TERMINI DI CONSERVAZIONE DEI DATI E GESTIONE DELLE RICHIESTE DEGLI INTERESSATI

 

ATACAMA TRAVEL S.R.L. Unipersonale

Legale Rappresentante: RINALDO BERTOLETTI

Sede legale: VIA MONTESUELLO, 129/A - 25065 LUMEZZANE (BS)

P. IVA: IT 01921140982

 

 

 

POLICY AZIENDALI GDPR

 

A. POLICY PER IL CASO DI VIOLAZIONE DI DATI

B. POLICY RELATIVA AL PERIODO DI CONSERVAZIONE DEI DATI

C. POLICY PER RICHIESTE CIRCA DIRITTO DI ACCESSO, RETTIFICA, CANCELLAZIONE, LIMITAZIONE, OPPOSIZIONE E PORTABILITÀ

 

 

A. POLICY PER IL CASO DI VIOLAZIONE DI DATI

 

1. Nell’ambito del Regolamento UE 679/2016 (“GDPR”), la “violazione dei dati personali” (c.f. data breach) si ha nei casi in cui (a) accidentalmente o in modo illecito (a seguito di violazione del sistema di sicurezza della Società), (b) si verifica l’accesso e/o la distruzione e/o la perdita e/o la modifica e/o la divulgazione non autorizzata, (c) di dati personali conservati o trasmessi su reti elettroniche dalla Società.

Nei casi di violazione di dati personali, il GDPR prevede che il titolare del trattamento notifichi la violazione all'autorità di controllo competente (per l’Italia, il Garante per la protezione dei dati personali) entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Anche nei casi in cui alla violazione dei dati non segua la notifica al Garante, sarà necessario redigere e conservare un verbale interno della violazione, riportandone tutte le caratteristiche principali (ad esempio, strumento informatico interessato, durata, numero di soggetti interessati coinvolti nella violazione, modalità di risoluzione della violazione).

Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione anche all'interessato salvo che (a) il titolare del trattamento abbia messo in atto le misure tecniche e organizzative adeguate di protezione (ad esempio la cifratura); (b) il titolare abbia adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati; o (c) detta comunicazione richiederebbe sforzi  proporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

 

2. la Società ATACAMA TRAVEL S.R.L Unipersonale, con sede legale in Via Montesuello, 129/a, 25065 Lumezzane (BS), P.IVA 01921140982 (di seguito la Società) ha deciso di incaricare della gestione della presente policy la seguente funzione aziendale: AMMINISTRATORE UNICO: RINALDO BERTOLETTI. Tutte le comunicazioni relative alla presente procedura – in uscita e in entrata, interne ed esterne – devono avvenire all’indirizzo atacama@atacama.it .

 

3. Procedura in caso di violazione dei dati

 

·         Evento accidentale o illecito che implichi accesso, distruzione, perdita, modifica, divulgazione i dati personali

o    Redazione di un Verbale dell’Evento

o    Valutazione se l’evento rappresenti un rischio anche solo teorico per i diritti e le libertà di persone fisiche (in quanto possa potenzialmente provocare un danno economico, un furto d’identità o un pregiudizio reputazionale)

§   Valutazione positiva

·         Invio di comunicazione al Garante entro 72 ore

·         Valutazione se l’evento rappresenti un rischio elevato per i diritti e le libertà di persone fisiche (in quanto possa potenzialmente provocare un danno economico, un furto d’identità o un pregiudizio reputazionale)

o    Valutazione positiva
    §  
Invio di comunicazione agli interessati

o    Valutazione negativa

  §   Redigere verbale della valutazione negativa

§   Valutazione negativa

·         Integrazione del verbale

 

 

 

B. POLICY RELATIVA AL PERIODO DI CONSERVAZIONE DEI DATI

Il GDPR prevede che i dati personali siano conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore a quello necessario per il conseguimento delle finalità per le quali sono trattati (c.d. principio di “limitazione della conservazione”).

Al fine di dare attuazione al principio di “limitazione della conservazione”, la Società ATACAMA TRAVEL S.R.L Unipersonale, con sede legale in Via Montesuello, 129/a, 25065 Lumezzane (BS), P.IVA 01921140982 ha valutato i trattamenti da essa effettuati, e determinato le regole relative al periodo di conservazione delle diverse categorie di dati da essa trattati come sotto indicate.

 

Dati dei dipendenti - Categorie di dati e periodo di conservazione

Categorie di dati

Tipologia di dati

Modalità di determinazione del periodo di conservazione

Motivi

Comuni

Sensibili

Giudiziari

Dati dei candidati raccolti per la potenziale instaurazione di un rapporto di lavoro

X

 

X

(a discrezione del candidato - non richiesti dalla Società)

 

Tutto l’anno solare in corso dalla data di ricezione del curriculum o dall’aggiornamento della candidatura e fino al termine dell’anno solare successivo

Considerato l’interesse della Società a mantenere una banca dati di possibili candidati alle posizioni aziendali, e i diritti dell’interessato dall’altro lato, il tempo di conservazione indicato appare congruo a bilanciare gli interessi in gioco, anche considerato che la disponibilità del curriculum da parte della Società può aprire delle chance lavorative a favore dell’interessato

Dati dei dipendenti e collaboratori inerenti alla gestione ordinaria del rapporto di lavoro (inclusi tutti gli incombenti e adempimenti, di legge o di contratto, di natura retributiva, contributiva, contabile e fiscale)

X

X

 

5 anni dalla data di cessazione del rapporto di lavoro

Il periodo di 5 anni è giustificato dal termine di prescrizione previsto nel nostro ordinamento per far valere in giudizio la maggior parte dei crediti connessi ad un rapporto di lavoro. Entro questo lasso di tempo la Società può trovarsi nella necessità di trattare i dati dei propri ex dipendenti ed ex collaboratori per difendere o far valere in giudizio i propri diritti nei confronti dell’ex dipendente ed ex collaboratori e dei suoi aventi causa, della pubblica amministrazione e degli enti previdenziali

Dati di identificazione (nome, cognome, data e luogo di nascita, sesso, codice fiscale, indirizzo di residenza, recapiti telefonici e informatici), mansione, dati dei dipendenti inerenti a infortuni e malattie e dati inerenti alla cessazione del rapporto (ad esempio, licenziamento, accordo di risoluzione, dimissioni)

X

X

 

10 anni dalla data di cessazione del rapporto di lavoro

Il periodo di 10 anni è giustificato dal termine di prescrizione previsto nel nostro ordinamento per far valere un diritto in giudizio (ad esempio, giudizi in materia di demansionamento). Entro questo lasso di tempo la Società può trovarsi nella necessità di trattare i dati dei propri dipendenti per difendere in giudizio i propri diritti nei confronti del dipendente e dei suoi aventi causa o di terzi

Dati di fornitori persone fisiche (collaboratori)

X

X

 

Per quanto concerne i dati anche personali relativi all’instaurazione e gestione del rapporto contrattuale: 10 anni dalla data in cui è stata eseguita l’ultima prestazione ai sensi del contratto

Il periodo di 10 anni è giustificato dal termine di prescrizione previsto nel nostro ordinamento per far valere un diritto in giudizio. Entro questo lasso di tempo la Società può trovarsi nella necessità di trattare i dati dei propri fornitori per difendere in giudizio i propri diritti nei confronti del fornitore e dei suoi aventi causa o di terzi

Dati trattati per l’assegnazione delle dotazioni aziendali ai dipendenti

X

 

 

5 anni dalla cessazione del rapporto di lavoro

Il periodo di 5 anni è giustificato dal termine di prescrizione previsto nel nostro ordinamento per far valere in giudizio la maggior parte dei crediti connessi ad un rapporto di lavoro. Entro questo lasso di tempo la Società può trovarsi nella necessità di trattare i dati dei propri ex dipendenti per difendere o far valere in giudizio i propri diritti nei confronti dell’ex dipendente e dei suoi aventi causa o della pubblica amministrazione e degli enti previdenziali

Dati raccolti (dati Telepass e spese carburante) e trattati nel contesto dell’utilizzo delle autovetture date in dotazione ai dipendenti e collaboratori

X

 

 

5 anni dalla cessazione del rapporto di lavoro

 

Il periodo di 5 anni è giustificato dal termine di prescrizione previsto nel nostro ordinamento per far valere in giudizio la maggior parte dei crediti connessi ad un rapporto di lavoro. Entro questo lasso di tempo la Società può trovarsi nella necessità di trattare i dati dei propri ex dipendenti ed ex collaboratori per difendere o far valere in giudizio i propri diritti nei confronti dell’ex dipendente o ex collaboratori, dei loro aventi causa o della pubblica amministrazione e degli enti previdenziali

Dati raccolti e trattati per l’istruzione e gestione di eventuali contenziosi minacciati o in essere con i dipendenti

X

X (eventualmente)

X

Fino al passaggio in giudicato della sentenza conclusiva del procedimento, e quindi fino al termine per proporre revocazione della sentenza.

In caso di vicenda conclusasi mediante conciliazione o transazione, 10 anni dalla data di adempimento dell’ultima obbligazione posta a carico di ciascuna delle parti nell’accordo conciliativo o transattivo, o comunque fino al termine del periodo di prescrizione per far valere la nullità o l’inadempimento della conciliazione/transazione

Questi periodi di conservazione sono giustificati alla luce dei termini necessari nel nostro ordinamento alla conclusione di una vicenda giudiziale.

 

Questi termini sono giustificati alla luce dei termini di prescrizione previsti nel nostro ordinamento per far valere o difendere in giudizio i diritti collegati a un accodo transattivo o conciliativo

Trattamento dei dati relativi alle credenziali d’accesso ai sistemi informatici aziendali

X

 

 

Fino alla cessazione del rapporto di lavoro

Questo periodo di conservazione è giustificato dall’interesse della Società a mantenere un livello adeguato di sicurezza dei sistemi informatici aziendali

Accesso da remoto alle registrazioni di videosorveglianza degli uffici della Società

X

 

 

24 ore dal momento della registrazione

Questo periodo di conservazione è quello previsto dalla legge

 

Dati dei CLIENTI - Categorie di dati e periodo di conservazione

Categorie di dati

Tipologia di dati

Modalità di determinazione del periodo di conservazione

Motivi

Comuni

Sensibili

Giudiziari

Dati relativi all’acquistato da parte del cliente dei Servizi della Società

X

 

 

 

10 anni dalla data di acquisto del servizio

Il periodo di 10 anni è giustificato dal termine di prescrizione previsto nel nostro ordinamento per far valere un diritto in giudizio. Entro questo lasso di tempo la Società può trovarsi nella necessità di trattare i dati dei propri clienti per difendere in giudizio i propri diritti nei confronti del cliente e dei suoi aventi causa o della pubblica amministrazione

Dati raccolti nel contesto della fornitura del servizio di assistenza ai clienti

X

 

 

Per tutto il periodo necessario alla gestione della richiesta dell’interessato, e per 2 anni successivo alla chiusura del relativo ticket di assistenza, salvo il caso di eccezionale necessità della Società di conservare i dati per difendere i propri diritti in relazione a contestazioni in essere al momento della richiesta o su indicazione delle autorità pubbliche

Il trattamento dei dati comunicati dal cliente che chieda assistenza da parte della Società è necessario per tutto il tempo utile a fare fronte alla richiesta del cliente. Una volta riscontrata positivamente la richiesta dell’interessato, i suoi dati vengono conservati per un ulteriore lasso di tempo, in quanto la Società può trovarsi nella necessità di trattare i dati del cliente per difendere in giudizio i propri diritti nei suoi confronti. Considerato l’interesse della Società a poter difendere le proprie ragioni in giudizio da un lato, e i diritti dell’interessato dall’altro lato, il tempo di conservazione di due anni appare quello più congruo a bilanciare gli interessi in gioco, vista la tipologia del contatto, salvo il caso di eccezionale necessità della Società di conservare i dati per difendere i propri diritti in relazione a contestazioni in essere al momento della richiesta o su indicazione delle autorità pubbliche

Dati degli iscritti ad eventi organizzati dalla Società

X

 

 

Solo per il periodo necessario a gestire la partecipazione all’evento e attività successive (ad esempio invio di ringraziamenti o documenti relativi all’evento), salvo il caso di eccezionale necessità della Società di conservare i dati per difendere i propri diritti in relazione a contestazioni in essere al momento della richiesta o su indicazione delle autorità pubbliche

Il trattamento dei dati di registrazione all’evento è necessario per consentire all’iscritto di partecipare al medesimo. Entro questo lasso di tempo la Società tratta dunque i dati dell’iscritto per consentirgli la partecipazione e di fruire delle attività successive.

Dati trattati nel contesto di eventuali contenziosi attuali o minacciati della Società con i clienti

X

 

X

Fino al passaggio in giudicato della sentenza conclusiva del procedimento, e quindi fino al termine per proporre revocazione della sentenza.

In caso di vicenda conclusasi mediante conciliazione o transazione, 10 anni dalla data di adempimento dell’ultima obbligazione posta a carico di ciascuna delle parti nell’accordo conciliativo o transattivo, o comunque fino al termine del periodo di prescrizione per far valere la nullità o l’inadempimento della conciliazione/transazione

Questi periodi di conservazione sono giustificati alla luce dei termini necessari nel nostro ordinamento alla conclusione di una vicenda giudiziale

 

Questi termini sono giustificati alla luce dei termini di prescrizione previsti nel nostro ordinamento per far valere o difendere in giudizio i diritti collegati a un accodo transattivo o conciliativo

Raccolta dei dati relativi a ospiti e visitatori degli uffici della Società

X

 

 

Fino a 30 giorni dalla data di visita

Questi periodi di conservazione dei dati, sono giustificati in quanto necessari per assicurare un adeguato livello di sicurezza degli uffici della Società.

 

Dati dei FORNITORI - Categorie di dati e periodo di conservazione

Categorie di dati

Tipologia di dati

Modalità di determinazione del periodo di conservazione

Motivi

Comuni

Sensibili

Giudiziari

Dati trattati nel contesto della gestione dei rapporti con fornitori e locatori della Società

X

 

 

10 anni dalla data di cessazione del rapporto contrattuale

Il periodo di 10 anni è giustificato dal termine di prescrizione previsto nel nostro ordinamento per far valere o difendere in giudizio un diritto. Entro questo lasso di tempo la Società può trovarsi nella necessità di trattare i dati dei propri fornitori/locatori per difendere o far valere in giudizio i propri diritti nei confronti di questi ultimi e dei loro aventi causa, e della pubblica amministrazione

Dati trattati nel contesto di eventuali contenziosi attuali o minacciati della Società con terzi

X

 

X

Fino al passaggio in giudicato della sentenza conclusiva del procedimento, e quindi fino al termine per proporre revocazione della sentenza

 

In caso di vicenda conclusasi mediante conciliazione o transazione, 10 anni dalla data di adempimento dell’ultima obbligazione posta a carico di ciascuna delle parti nell’accordo conciliativo o transattivo, o comunque fino al termine del periodo di prescrizione per far valere la nullità o l’inadempimento della conciliazione/transazione

Questi periodi di conservazione sono giustificati alla luce dei termini necessari nel nostro ordinamento alla conclusione di una vicenda giudiziale

 

Questi termini sono giustificati alla luce dei termini di prescrizione previsti nel nostro ordinamento per far valere o difendere in giudizio i diritti collegati a un accodo transattivo o conciliativo

Dati relativi a ospiti e visitatori degli uffici della Società

X

 

 

Fino a 30 giorni dalla data di visita

Questo periodo di conservazione è giustificato dall’esigenza di assicurare un adeguato livello di sicurezza degli uffici della Società.

Accesso da remoto alle registrazioni di videosorveglianza degli uffici della Società

X

 

 

24 ore dal momento della registrazione

Questo periodo di conservazione è quello previsto dalla legge

  

Interessati al trattamento dei Dai - Categorie di dati e periodo di conservazione

Categorie di dati

Tipologia di dati

Modalità di determinazione del periodo di conservazione

Motivi

Comuni

Sensibili

Giudiziari

Gestione delle richieste degli Interessati sul trattamento dei dati personali di cui la Società è titolare

X

X

 

Fino alla risoluzione della problematica privacy e quindi per un periodo di 5 anni

Questo periodo di conservazione è giustificato dall’esigenza di dare corso alla richiesta dell’interessato, e quindi dall’interesse del titolare a conservare i dati atti a dimostrare, entro un periodo ragionevole e per il caso di contestazioni, di aver dato corso alle richieste degli interessati.

 

C. POLICY PER RICHIESTE CIRCA DIRITTO DI ACCESSO, RETTIFICA, CANCELLAZIONE, LIMITAZIONE, OPPOSIZIONE E PORTABILITÀ

 

1. Nell’ambito del GDPR sono previsti i seguenti diritti a favore dell’interessato:

- accesso
- rettifica
- cancellazione (oblio)
- limitazione
- portabilità

Il diritto di accesso è il diritto dell’interessato di ottenere comunicazioni in relazione alle finalità per cui i suoi dati personali sono eventualmente trattati, al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali, alla logica cui risponde un eventuale trattamento automatizzato dei dati e (quando è basato sulla profilazione) alle possibili conseguenze di tale trattamento. Per il caso in cui un interessato formuli una richiesta di accesso ai dati, si raccomanda di seguire la procedura (a) indicata qui di seguito e di utilizzare i relativi modelli di risposta.

Il diritto di rettifica è il diritto dell’interessato di ottenere la rettifica o integrazione dei dati personali inesatti che lo riguardano (senza ritardo). Per il caso in cui un interessato formuli una richiesta di rettifica/integrazione dei dati, si raccomanda di seguire la procedura (b) indicata qui di seguito e di utilizzare i relativi modelli di risposta.

Il diritto di cancellazione (o “oblio”) è – per quanto qui interessa – il diritto dell’interessato di ottenere la cancellazione dei dati personali che lo riguardano nei seguenti casi: (a) i dati non sono più necessari per le finalità per le quali sono stati raccolti; (b) l’interessato ha ritirato il proprio consenso; (c) l’interessato si è opposto al trattamento dei dati personali che lo riguardano; o (d) il trattamento dei suoi dati personali non è conforme alla legge. Tuttavia, l'ulteriore conservazione dei dati personali da parte della Società è lecita qualora sia necessaria per consentirle di adempiere un obbligo legale o per accertare, esercitare o difendere un diritto in sede giudiziaria. Per il caso in cui un interessato formuli una richiesta di cancellazione dei dati, si raccomanda di seguire la procedura (c) indicata qui di seguito e di utilizzare i relativi modelli di risposta.

Il diritto di limitazione è il diritto dell’interessato di ottenere che i dati personali che lo riguardano siano solo conservati senza che di essi sia fatto altro uso – per quanto qui interessa – nei seguenti casi (a) l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l'esattezza di tali dati personali; (b) il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo; (c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria; (d) l'interessato si è opposto al trattamento, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato. Per il caso in cui un interessato formuli una richiesta di limitazione, si raccomanda di seguire la procedura (d) indicata qui di seguito e di utilizzare i relativi modelli di risposta.

Il diritto di opposizione è il diritto dell’interessato di ottenere la cessazione del trattamento nei casi in cui i suoi dati personali siano trattati per finalità di marketing diretto (o qualora i dati personali siano trattati per il legittimo interesse del titolare e l’interessato contesti l’esistenza di questo interesse). Per il caso in cui un interessato formuli una opposizione al trattamento dei dati per finalità di marketing diretto, si raccomanda di seguire la procedura (e) indicata qui di seguito e di utilizzare i relativi modelli di risposta. Questa policy non copre invece i casi di opposizione al trattamento effettuato per legittimo interesse del titolare in quanto non risulta che la Società compia trattamenti su questa base giuridica.

Il diritto di portabilità è il diritto dell’interessato di ricevere in un formato di uso comune, leggibile da dispositivo automatico e interoperabile i dati personali che lo riguardano trattati con mezzi automatizzati, se essi siano trattati in forza di contratto o sulla base del consenso. Per il caso in cui un interessato formuli una richiesta di portabilità, si raccomanda di seguire la procedura (f) indicata qui di seguito e di utilizzare i relativi modelli di risposta.

 

2. la Società ATACAMA TRAVEL S.R.L Unipersonale, con sede legale in Via Montesuello, 129/a, 25065 Lumezzane (BS), P.IVA 01921140982 (di seguito la Società) ha deciso di incaricare della gestione della presente policy la seguente funzione aziendale: AMMINISTRATORE UNICO: RINALDO BERTOLETTI. Tutte le comunicazioni relative alla presente procedura – in uscita e in entrata, interne ed esterne – devono avvenire all’indirizzo atacama@atacama.it .

I soggetti coinvolti nella gestione delle richieste degli interessati sono i seguenti:

- AMMINISTRATORE UNICO: RINALDO BERTOLETTI

Quale principio generale applicabile alle procedure descritte di seguito, se i dati personali in possesso della Società non consentono di identificare la persona che ha trasmesso la richiesta, la Società non è obbligata ad acquisire ulteriori informazioni per identificare

l'interessato al solo fine di rispettare una disposizione del GDPR. Tuttavia, la Società non potrà rifiutare le ulteriori informazioni fornite dall'interessato insieme alla richiesta al fine di sostenere l'esercizio dei propri diritti.

In caso un utente registrato sul sito www.atacama.it (di seguito il Sito) invii una richiesta per l’esercizio dei propri diritti dal medesimo indirizzo email utilizzato per la registrazione, non sarà necessario svolgere la procedura di verifica dell’identità attraverso la richiesta di copia della carta d’identità e si potrà procedere direttamente alla verifica dell’esistenza dei dati in oggetto nel database della Società.


 

(a) Gestione delle richieste di accesso

Procedura

 

·         Richiesta di accesso:

    • Verifica dell’identità dell’interessato (se necessaria)

    • Conferma della verifica di identità (se svolta)

    • Verifica dell’esistenza dei dati e del relativo trattamento

      • Esito positivo: Comunicazione delle informazioni richieste

      • Esito negativo: Invio di comunicazione negativa

 

La richiesta relativa all’esistenza dei dati deve essere inoltrata al Responsabile AMMINISTRATORE UNICO. In caso la richiesta sia trasmessa da un dipendente o ex-dipendente della Società, anche il Responsabile AMMINISTRATORE UNICO dovrà anche svolgere la verifica relativa all’esistenza dei dati nei database nella Società.

All’esito della verifica sull’esistenza dei dati nel database di ATACAMA TRAVEL, la risposta all’interessato avverrà a cura dell’AMMINISTRATORE UNICO.

 

 

(b) Gestione delle richieste di rettifica

Procedura

 

  • Richiesta di integrazione/rettifica

    • Verifica dell’identità dell’interessato (se necessaria)

    • Conferma della verifica d’identità (se svolta)
      Verifica dell’esistenza dei dati nei DB della Società
      Verifica che l’incongruenza sussista

      • Esito positivo:

        • Rettifica/integrazione nei DB dati secondo quanto indicato

        • Comunicazione di conferma

        • Comunicazione della rettifica a eventuali terzi destinatari dei dati

      • Esito negativo:

        • Invio di comunicazione negativa

 

In particolare, la richiesta relativa all’esistenza/correttezza dei dati deve essere inoltrata al Responsabile AMMINISTRATORE UNICO. Il medesimo soggetto deve eventualmente rettificare/aggiornare i dati, inviandone conferma all’Indirizzo. In caso la richiesta sia trasmessa da un dipendente o ex-dipendente della Società, anche il Responsabile AMMINISTRATORE UNICO dovrà anche svolgere la verifica relativa all’esistenza dei dati nei database nella Società. La comunicazione della rettifica ai terzi destinatari dei dati deve avvenire a cura del Responsabile AMMINISTRATORE UNICO secondo quanto risulta dal registro dei trattamenti.


 

(c) Gestione delle “opposizioni” ai trattamenti per “marketing diretto”

Procedura

 

  • Opposizione

    • Richiesta di conferma dell’identità dell’interessato (se necessaria)

    • Verifica dell’esistenza dei dati nei DB della Società

      • Esito positivo

        • Esistono altri motivi di trattamento dei dati ulteriori al marketing

          • Cessazione del marketing

        • Non esistono altri motivi di trattamento ma solo marketing diretto

          • Cancellazione dei dati

      • Esito negativo

 

La richiesta relativa all’esistenza dei dati deve essere inoltrata al Responsabile AMMINISTRATORE UNICO. In caso la richiesta sia trasmessa da un dipendente o ex-dipendente della Società, anche il Responsabile AMMINISTRATORE UNICO dovrà anche svolgere la verifica relativa all’esistenza dei dati nei database nella Società. L’esistenza di contestazioni in essere o potenziali relativi al soggetto che si oppone al trattamento deve essere svolta dall’AMMINISTRATORE UNICO. La cancellazione dei dati raccolti solo per finalità di marketing diretto deve essere eseguita dal Responsabile AMMINISTRATORE UNICO che deve darne conferma scritta all’Indirizzo. La cessazione dell’utilizzo dei dati raccolti anche per altre finalità rispetto alle finalità di marketing diretto deve essere eseguita dal Responsabile AMMINISTRATORE UNICO che deve darne conferma scritta all’Indirizzo.

 

 

 

 

(d) Gestione delle richieste di cancellazione (oblio)

Procedura

 

  • Richiesta di cancellazione

    • Verifica dell’identità dell’interessato (se necessaria)

    • Verifica dell’esistenza dei dati nei DB della Società

      • Esito positivo

        • Cancellazione dei dati trattati sulla base del consenso

          • Esistono contestazioni in essere o potenziali relative ai dati

            • Comunicazione

          • Non esistono contestazioni

            • Cancellazione dei dati

            • Invio comunicazione

            • Comunicazione a terzi

        • Cancellazione di dati trattati altrimenti

          • Base sussiste ancora

            • Comunicazione

          • Base non sussiste

            • Esistono contestazioni

              • Comunicazione

            • Non esistono contestazioni in essere o potenziali relative ai dati

              • Cancellazione dei dati

              • Invio comunicazione

              • Comunicazione a terzi

      • Esito negativo

La richiesta relativa all’esistenza dei dati deve essere inoltrata al Responsabile AMMINISTRATORE UNICO. In caso la richiesta sia trasmessa da un dipendente o ex-dipendente della Società, anche il Responsabile AMMINISTRATORE UNICO dovrà anche svolgere la verifica relativa all’esistenza dei dati nei database nella Società. La verifica della base giuridica del trattamento (consenso o perdurare di altra base giuridica: legittimo interesse o esecuzione del contratto o difesa di diritto in giudizio) deve essere svolta dall’AMMINISTRATORE UNICO. La verifica sulla sussistenza di contestazioni in essere o potenziali relativi al soggetto che chiede la cancellazione o ai dati deve essere svolta dall’AMMINISTRATORE UNICO. In caso si proceda alla cancellazione, la cancellazione (in tutti i sistemi della Società) deve essere curata dal Responsabile CRM che deve darne conferma scritta all’Indirizzo. La comunicazione della rettifica ai terzi destinatari dei dati deve avvenire a cura del Responsabile AMMINISTRATORE UNICO, secondo quanto risulta dal registro dei trattamenti.



(e)
Gestione delle richieste di limitazione

Procedura

 

·         Richiesta di limitazione

o   Richiesta di conferma dell’identità dell’interessato (se necessaria)

o   Conferma della verifica di identità (se svolta)

o   Verifica dell’esistenza dei dati nei DB della Società

§  Esito positivo

·         Esistono contestazioni in essere o potenziali relative ai dati
    o   Comunicazione

·         Non esistono contestazioni

o   Blocco dei dati

o   Invio comunicazione

o   Comunicazione a terzi

§  Esito negativo


La richiesta relativa all’esistenza dei dati deve essere inoltrata al Responsabile AMMINISTRATORE UNICO. In caso la richiesta sia trasmessa da un dipendente o ex-dipendente della Società, anche il Responsabile AMMINISTRATORE UNICO dovrà anche svolgere la verifica relativa all’esistenza dei dati nei database nella Società. La verifica della base giuridica del trattamento (consenso o perdurare di altra base giuridica: legittimo interesse o esecuzione del contratto o difesa di diritto in giudizio) deve essere svolta dall’AMMINISTRATORE UNICO. La verifica sulla sussistenza di contestazioni in essere o potenziali relativi al soggetto che chiede la cancellazione o ai dati deve essere svolta dall’AMMINISTRATORE UNICO. In caso si proceda alla limitazione, la limitazione (in tutti i sistemi della Società) deve essere curata dal Responsabile AMMINISTRATORE UNICO che deve darne conferma scritta all’Indirizzo. La comunicazione della limitazione ai terzi destinatari dei dati deve avvenire a cura del Responsabile AMMINISTRATORE UNICO, secondo quanto risulta dal registro dei trattamenti.

 

 

 

(f) Gestione delle richieste di portabilità

Procedura

 

·  Richiesta di portabilità

o  Richiesta di conferma dell’identità dell’interessato (se necessaria)

o  Conferma della verifica di identità (se svolta)

o  Verifica dell’esistenza dei dati e del relativo trattamento

§  Esito positivo

·   Invio email a diverso titolare con in copia richiedente

·   Richiesta di ulteriori informazioni

§  Esito negativo

·   Invio comunicazione negativa


La richiesta relativa all’esistenza dei dati deve essere inoltrata al Responsabile AMMINISTRATORE UNICO. In caso la richiesta sia trasmessa da un dipendente o ex-dipendente della Società, anche il Responsabile AMMINISTRATORE UNICO dovrà anche svolgere la verifica relativa all’esistenza dei dati nei database nella Società. La comunicazione all’altro titolare, recante tutti i dati sull’interessato in possesso della Società, deve avvenire a cura del Responsabile AMMINISTRATORE UNICO 


 

Per informazioni o prenotazioni scrivi ad atacama@atacama.it
oppure chiama i nostri operatori al numero 030 8922696

COPYRIGHT © 2012 Atacama Travel