Categorie e Dati oggetto del trattamento
Il Trattamento riguarda le persone fisiche che richiedono servizio al CSV Lazio o per altre ragioni sono inserite nella mailing list curata dal Titolare e possono ricevere comunicazioni via mail (newsletter) allo scopo di segnalare loro eventi organizzati dal Csv Lazio o da terzi. I dati compresi nel Trattamento sono o possono essere:
- nome, cognome
- ente di appartenenza
- indirizzo email
- numero di telefono
- esito dell’invio
- eventuali risposte degli Interessati
Finalità per le quali i dati sono raccolti e finalità del Trattamento
Il nome e il cognome consentono al Titolare di identificare l’interlocutore. L’indirizzo email e il numero telefonico sono strettamente necessari per la spedizione delle mail e per ricevere o inviare comunicazioni. Il dato relativo all’esito dell’invio (newsletter non ricevuta, ricevuta, aperta, apertura di eventuali link) è necessario per valutare l’efficacia della comunicazione. La maggioranza dei dati sono stati raccolti da CSV Lazio con un consenso coerente con la normativa in vigore. I dati non sono soggetti a ulteriori trattamenti da parte di terzi.
Trattamento operato dal Titolare
- CSV Lazio informa gli stakeholder sulle proprie attività e mantiene il dialogo con loro attraverso delle mailing list. I dati trattati in queste mailing list sono nome, cognome e indirizzo mail. Queste mailing list consentono di inviare comunicazioni a specifici gruppi di interlocutori o a tutti gli interlocutori.
- CSV Lazio riceve e registra le eventuali mail di risposta, ove previste (per esempio al fine di confermare la propria presenza a un evento)
- CSV Lazio potrebbe elaborare temporaneamente liste di persone che hanno annunciato la loro presenza all’evento
- CSV Lazio a fini organizzativi e statistici potrebbe tenere traccia delle persone che accedono alla biblioteca o richiedono opere in consultazione.
Trattamento operato dal Responsabile
Per le comunicazioni il CSV Lazio utilizza apposite piattaforme informatiche che consentono di inserire i dati necessari, di rispondere facilmente alle richieste di esercizio dei diritti da parte dell’Interessato, di gestire policy di scadenza e di back up dei dati. Per l’organizzazione di eventi, potrebbero essere realizzati elenchi di persone che hanno confermato la loro partecipazione. Questi elenchi in copia cartacea e informatica saranno distrutte al termine del 1° anno seguente alla loro data. Per fini organizzativi e statistici CSV Lazio potrebbe registrare su carta o con mezzi informatici le persone che accedono al Centro documentazione e/o che richiedono opere in consultazione.
Durata del Trattamento
Le liste di nominativi con indirizzo mail saranno trattate indefinitamente. I moduli di consenso firmati saranno detenuti indefinitamente Le mail inviate e ricevute saranno distrutti al termine del 8° anno seguente alla loro data. Le liste relative agli accessi al Centro e/o al prestito saranno cancellate al termine dell’anno solare. Ulteriori dati statistici saranno trattati in forma anonima.
Consenso ai dati attualmente trattati
Considerando che
- i dati personali sono stati raccolti in sede di iscrizione e dietro la firma di un consenso a norma delle leggi al tempo in vigore
- la ricezione/invio/memorizzazione dei messaggi è una premessa o conseguenza prevedibile di ogni comunicazione email
- anche qualora non sia possibile reperire il modulo di consenso, ricevere comunicazioni periodiche da parte di CSV è conseguenza prevedibile degli atti che hanno portato gli interessati a riceverla (ad esempio la richiesta di accesso al Centro documentazione volontariato, partecipazione a di iniziative del CSV ecc)
- in ogni invio era ed è presente una facile e veloce procedura per cancellare l’iscrizione
- la durata di alcuni Trattamenti è ragionevolmente limitata
Il Titolare non ritiene strettamente necessario richiedere agli interessati un nuovo consenso né subordinare il Trattamento alla presenza di un consenso esplicito. Si farà parte attiva nel notificare a tutti gli interessati:
- che dispone di alcune categorie di dati personali a loro riferite
- le finalità di questo trattamento e la sua legittimità
- la possibilità per gli interessati di conoscere questi dati, modificarli o chiederne la cancellazione
Il Consenso ai dati che verranno trattati
Alle persone che entrano in contatto per la prima volta con il CSV Lazio dopo il 25 ottobre 2018 sarà richiesto di firmare un modulo a norma Regolamento europeo 2016/679. I moduli firmati saranno custoditi indefinitamente in versione cartacea in appositi folder custoditi presso la sede del CSV Lazio
Collocazione dei server
I dati sono fisicamente custoditi e trattati da server collocati presso la sede di CSV Lazio
Esercizio dei diritti
Il Titolare si impegna ad aderire immediatamente o al massimo entro 5 giorni alle richieste di accesso, rettifica e cancellazione dei dati personali qualora questa provenga dall’interessato e ha approntato allo scopo un modulo disponibile presso la sua sede. Accetterà comunque anche richieste – purché scritte e firmate – che gli pervenissero in altro modo.
Rischi per l’interessato
In caso di distruzione della mailing list il danno per la privacy dell’interessato sarebbe limitatissimo. In caso di accesso indebito o di diffusione delle informazioni, il danno sarebbe comunque ridotto.
Misure di minimizzazione del rischio
La mailing list è accessibile da parte del Titolare solo attraverso una password sicura e frequentemente sostituita nota solo a due persone del CSV. Il Responsabile del Trattamento ha assicurato:
- di avere disposto procedure coerenti con la normativa GDPR
- che a protezione dei dati contenuti dei server, in particolare contro il rischio di accesso indebito ai dati sono state prese adeguate misure di sicurezza hardware e software
- che il personale addetto al trattamento di questi dati personali ha ricevuto una approfondita formazione sul GDPR e una specifica formazione su questo Trattamento dati.
Data breach
Nel caso in cui il Titolare del Trattamento dati subisca il furto dei dati e abbia motivo di credere che questi siano stati divulgati (data breach) attiverà – se del caso – una segnalazione alla Autorità garante e comunicherà l’accaduto a tutti gli interessati.
Legittimità del trattamento dati
Il trattamento in questione comporta un rischio non probabile e molto ridotto per la privacy del cliente. Tuttavia, considerando che:
- il Titolare ha un legittimo interesse a svolgere questa attività che coincide con l’interesse degli stakeholder
- l’interessato riceve gratuitamente informazioni di suo interesse
- i dati trattati sono pochissimi e necessari per la esecuzione dei servizi richiesti
- gli interessati sono stati avvertiti dell’esistenza di un trattamento di loro dati personali
- è possibile in ogni momento esercitare il diritto di accesso, modifica e cancellazione dei dati
- i dati non sono e non saranno condivisi con terzi nè soggetti ad alcun ulteriore Trattamento
il Titolare ritiene che il Trattamento dati in questione sia legittimo e conforme allo spirito e alla lettera del Regolamento europeo per la protezione dei dati personali 679/2016 e ritiene di avere la base giuridica per proseguirlo.
Titolare, Responsabile Dpo
Titolare del Trattamento è il CSV Lazio via Liberiana 17 Roma privacy@csvlazio.org Il Titolare, vista la natura e la scala dei dati trattati non ritiene necessario nominare un Responsabile per la protezione dei dati (DPO).