Informativa sul trattamento dei dati personali ai sensi dell’art.13 Reg. UE 2016/679
Il Regolamento UE 2016/679 “Regolamento Generale sulla Protezione dei Dati Personali” (GDRP) sancisce il diritto alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
I dati personali sono qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Ai sensi di tale disciplina il trattamento dei Suoi dati personali sarà improntato al rispetto dei principi di cui all’art. 5 GDRP e, in particolare, a quelli di liceità, correttezza, trasparenza.
I dati personali trattati saranno:
- raccolti per finalità determinate, esplicite e legittime (vedi punto 2);
- adeguati, pertinenti e limitati a quanto necessario rispetto alla finalità per cui sono trattati;
- conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
- trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
Inoltre, saranno adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.
PERCHÉ QUESTE INFORMAZIONI
Ai sensi del Regolamento (UE) 2016/679 (di seguito “Regolamento”), questa pagina descrive le modalità di trattamento dei dati personali degli utenti che fruiscono del servizio di biglietteria online per conto del Museo Egizio tramite il sito web egizio.museitorino.it.
Di seguito Le vengono fornite, in qualità di Interessato, le specifiche informazioni relative al trattamento dei Suoi dati personali.
1. TITOLARE DEL TRATTAMENTO
Il Titolare del trattamento è:
- Fondazione Museo delle Antichità Egizie di Torino (di seguito FME o Organizzatore) con sede in Torino, Via Accademia delle Scienze, n. 6, IT-10123; email: privacy.museoegizio.it;
1.1 RESPONSABILE DELLA PROTEZIONE DEI DATI
Il Responsabile della Protezione dei Dati (RPD) è raggiungibile al seguente indirizzo:
- Fondazione Museo delle Antichità Egizie di Torino: Via Accademia delle Scienze n. 6, IT-10123, Torino (To) email: dpo@museoegizio.it
2. FINALITÀ DEL TRATTAMENTO DEI DATI PERSONALI
I Suoi dati personali verranno trattati per le seguenti finalità:
- esecuzione del contratto e gestione dell’ordine, in particolare per:
- dare esecuzione al contratto di fornitura del servizio e permettere agli organizzatori dei singoli eventi di gestire l’emissione dei titoli di accesso;
- gestire le prenotazioni di beni e servizi eseguite dall’utente e permettere la consegna dei beni acquistati dagli utenti;
- adempiere in maniera corretta a tutti gli obblighi derivanti dai rispettivi rapporti contrattuali con Lei instaurati, nonché agli obblighi derivanti dalla legge o dai regolamenti in vigore, in particolare, in ambito fiscale, e di pubblica sicurezza;
- per finalità di tipo amministrativo e contabile, ivi inclusa l’eventuale trasmissione per posta elettronica di fatture commerciali;
- iscrizione al servizio di newsletter, limitatamente all’utilizzo delle Sue coordinate di posta elettronica e/o di posta ordinaria
- Invio di materiale promozionale e informativo; Invito e partecipazione ad eventi.
- Promuovere raccolte fondi da parte di FME per la valorizzazione, promozione, gestione e adeguamento strutturale, funzionale ed espositivo del Museo Egizio, dei beni culturali ricevuti o acquisiti a qualsiasi titolo e della promozione e valorizzazione delle attività museali.
3. BASE GIURIDICA DEL TRATTAMENTO
Il trattamento dei Suoi dati personali viene effettuato dai Titolari:
- con riferimento alle finalità di cui al punto 2 lettere a) e b), nell’ambito dell’esecuzione del contratto di cui Lei è parte o delle misure precontrattuali adottate su Sua richiesta (art. 6, par. 1, lett. b), GDPR);
- con riferimento alle finalità di cui al punto 2 lett. c) e d), previo Suo espresso consenso (art. 6, par. 1, lett. a), GDPR).
- con riferimento alle finalità di cui al punto 2 lett. e), il legittimo interesse del titolare a perseguire una finalità statutaria (art. 6, 1° par. lett. f).
4. CATEGORIE DI DATI PERSONALI TRATTATI
La realizzazione delle finalità sopra indicate implica il trattamento dei seguenti dati personali:
- dati anagrafici (nome, cognome, data di nascita, nazionalità, sesso, codice fiscale, partita IVA);
- dati di contatto (e-mail, numero di telefono, indirizzo);
- informazioni relative al pagamento (dati della carta di credito).
5. MODALITÀ DEL TRATTAMENTO
Il trattamento dei Suoi dati verrà effettuato mediante strumenti cartacei e/o elettronici.
I Suoi dati personali saranno trattati esclusivamente dai Titolari e/o dai soggetti da essi autorizzati.
6. PERIODO DI CONSERVAZIONE DEI DATI
I Suoi dati personali saranno conservati per il solo tempo necessario a garantire la corretta prestazione dei servizi offerti ed eventualmente, fino al completo espletamento degli adempimenti previsti da obblighi di legge e da quelli derivanti dai rapporti contrattuali instauratosi tra Lei e la Società.
Con riferimento ai dati trattati per le finalità di marketing, in assenza di norme specifiche che prevedano tempi di conservazione differenti, il Titolare del Trattamento avrà cura di utilizzare i dati per un tempo congruo rispetto all’interesse manifestato dalla persona cui si riferiscono i dati verso le iniziative del Titolare. In ogni caso FME adotterà ogni cura per evitare un utilizzo dei dati stessi a tempo indeterminato, procedendo con cadenza periodica (almeno quinquennale) a verificare in modo idoneo l’effettivo permanere dell’interesse del soggetto cui si riferiscono i dati a far svolgere il trattamento.
Al termine dei suddetti periodi i Suoi dati saranno cancellati; pertanto il diritto di accesso, cancellazione, rettificazione ed il diritto alla portabilità non potranno più essere esercitati.
7. NATURA DEL CONFERIMENTO DEI DATI
Il conferimento dei Suoi dati per le finalità di cui al punto 2 lett. a) e b) è facoltativo e non discende da un obbligo normativo. Resta fermo che il mancato conferimento pregiudicherà l’erogazione del servizio o l’adempimento degli obblighi contrattuali assunti.
Il conferimento dei Suoi dati relativi per le finalità di cui al punto 2 lett. c) e d) è facoltativo ed un eventuale diniego al loro conferimento non pregiudica l’instaurazione o la prosecuzione dei rapporti contrattuali. Lei ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.
8. CATEGORIE DI DESTINATARI
I Suoi dati personali potranno essere comunicati a:
- società e/o persone, che prestano servizi di consulenza in ambito marketing, anche esterni, per conto del Titolare come indicato al punto d) del paragrafo 2) della presente informativa (previo Vostro consenso)
- soggetti terzi incaricati di trattare dati personali per conto della FME in qualità di “responsabili esterni del trattamento”, nominati ai sensi dell’articolo 28 del regolamento, quali, a titolo esemplificativo, fornitori di servizi informatici e logistici funzionali al raggiungimento delle finalità dichiarate, di biglietteria, call center, accoglienza o guardiania per conto degli organizzatori, i prestatori di servizi contabili e di gestione, gli organizzatori degli eventi e coloro che sono chiamati a fornire il bene e/o il servizio richiesto e/o prenotato dall’utente Dietro apposita richiesta è disponibile l’elenco dei responsabili esterni del trattamento.
- tutti quei soggetti (ivi incluse le Pubbliche Autorità) che hanno accesso ai dati personali in forza di provvedimenti normativi o amministrativi.
Il trattamento dei dati personali sarà limitato ai soli fini connessi alla prestazione in Suo favore dei servizi offerti dagli organizzatori e dai soggetti coinvolti nell’organizzazione dei singoli eventi.
I dati raccolti non saranno in alcun caso diffusi.
9. MINORI DI ANNI 14
Il servizio di biglietteria online non contiene informazioni né funzionalità o servizi direttamente destinati a utenti di età inferiore a 14 anni. Si invitano, dunque, tutti gli utenti che non abbiano compiuto 14 anni a non comunicare in nessun caso i propri dati personali senza previa autorizzazione di un genitore o dell’esercente la potestà genitoriale. Qualora si venisse a conoscenza del fatto che i dati personali siano stati forniti da persona minore di età (minore di anni 14) si provvederà all’immediata distruzione degli stessi, riservandosi altresì la facoltà di inibire l’accesso ai servizi disponibili sul Sito a qualsiasi utente che abbia nascosto la propria minore età o che abbia comunque comunicato i propri dati personali in assenza del consenso di chi esercita la potestà genitoriale.
In caso di violazione di quanto sopra da parte di un minore di 14 anni, il fornitore del servizio non potrà considerarsi responsabile dell’accaduto e non risponderà di richieste di risarcimento di danni diretti e/o indiretti derivanti e conseguenti da tale violazione.
10. DIRITTI DELL’INTERESSATO
In qualità di Interessato ha diritto di chiedere in ogni momento al Titolare l’esercizio di diritti di cui agli artt. 15 e ss. del GDPR e, in particolare di:
- chiedere la conferma dell’esistenza o meno di un trattamento in corso di dati personali che lo riguardano e in tal caso di ottenere l’accesso ai dati personali;
- ottenere le indicazioni circa le finalità del trattamento, le categorie dei dati personali, i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati e, quando possibile, il periodo di conservazione;
- ottenere la rettifica o la cancellazione dei dati;
- ottenere la limitazione del trattamento;
- opporsi al trattamento in qualsiasi momento;
- ottenere il diritto alla portabilità dei dati.
Con riferimento al trattamento posto in essere per la finalità di cui al punto 2, lett. c) e d), l’Interessato ha il diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca.
Per l’esercizio dei suddetti diritti l’Interessato può rivolgersi ai Titolari del trattamento di cui al punto 1 inviando una e-mail agli indirizzi indicati.
11. DIRITTO DI RECLAMO
Gli interessati che ritengono che il trattamento dei dati personali a loro riferiti effettuato attraverso questo sito avvenga in violazione di quanto previsto dal Regolamento hanno il diritto di proporre reclamo all’autorità di controllo, come previsto dall’art. 77 del Regolamento stesso, o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).
Specifiche del servizio “Lezione didattica a distanza (modalità audio/video) in collegamento on line con l’egittologo per le classi di Scuola Primaria”
Oggetto:
Lezione didattica a distanza (modalità audio/video) in collegamento on line con l’egittologo.
Durata:
fino alla scadenza del servizio sottoscritto. Qualora il rapporto tra le parti venisse meno o perdesse efficacia per qualsiasi motivo, il presente contratto verrà automaticamente meno senza bisogno di comunicazioni o revoche, ed il Responsabile non sarà più legittimato a trattare i dati del Titolare.
Natura del trattamento:
trattamento di dati personali dei partecipanti alla lezione, comunicazione dei dati al Titolare.
Finalità:
Erogazione di servizi educativi.
Tipologia di dati personali trattati:
Audio; Immagini.
Categorie di interessati: studenti, docenti, persone fisiche che presenziano alla lezione.
Nomina a Responsabile del Trattamento
Il Cliente in qualità di Titolare del Trattamento, per il Servizio oggetto del presente Contratto, nomina la Fondazione Museo delle Antichità Egizie di Torino con sede in Torino, Via Accademia delle Scienze n. 6, cap 10123 Partita IVA 97656000011 (di seguito FME) quale Responsabile per il trattamento dei dati. La presente nomina a Responsabile del trattamento e le relative clausole hanno durata pari a quella del Contratto stipulato tra il Titolare ed FME in relazione al Servizio prescelto.
- Dati trattati da FME nell’erogazione dei servizi di cui al Contratto
I Servizi erogati da FME, compatibilmente con le Specifiche tecniche degli stessi, comportano un trattamento dei dati personali che avviene in tempo reale durante la trasmissione della lezione, i dati non verranno registrati in alcun modo su libera iniziativa di FME e dei Sub Responsabili gestori della piattaforma utilizzata. L’ambito della nomina ad FME è relativo unicamente al trattamento dei dati personali immessi e/o trasmessi autonomamente dal Cliente durante il Servizio prescelto e/o nell’ambito dello stesso, e comunque nel rispetto delle finalità volte alla sua corretta erogazione da parte di FME e secondo quanto previsto dalla normativa applicabile tempo per tempo vigente.
Resta inteso che, ai sensi e agli effetti del D.Lgs. 70/2003, FME, nell’erogazione dei Servizi, non è responsabile delle informazioni trattate a richiesta del Cliente né è assoggettata ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite.
Per quanto non previsto dalla presente designazione, si fa espresso riferimento alle condizioni generali di incarico a Responsabile del Trattamento dei dati pubblicata da FME all’indirizzo https://egizio.museitorino.it/privacy-policy/ e alla normativa europea e nazionale.
Condizioni generali applicate agli incarichi a Responsabile del Trattamento dei Dati per i servizi di didattica a distanza.
Ai sensi e per gli effetti dell’art. 28 del Regolamento (UE) 2016/679 la Fondazione Museo delle Antichità Egizie di Torino con sede in Torino, Via Accademia delle Scienze n. 6, IT-10123 Partita IVA 97656000011 (di seguito FME) ad integrazione dei contratti di incarico per i servizi di didattica a distanza puntualizza le proprie condizioni generali in qualità di Responsabile del Trattamento dei Dati concernenti gli obblighi derivanti dall’incarico assunto.
- Obblighi del Responsabile del Trattamento:
Per la durata del Contratto e per le attività in esso disciplinate, il Responsabile del trattamento dei dati personali designato, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, della tipologia di dati personali trattati, delle categorie di interessati nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, si impegna nei confronti del Titolare a:
- trattare i dati personali nel rispetto dei principi e delle disposizioni previsti dal Codice, dal Regolamento, dagli indirizzi e dai provvedimenti a carattere generale emanati dal Garante in materia di protezione dei dati personali e da ogni altra vigente normativa in materia di protezione dei dati personali;
- Attraverso misure tecniche e organizzative adeguate alla natura del trattamento, assistere il Titolare nell’adempimento dei propri obblighi derivanti dall’esercizio, da parte degli interessati, dei diritti di cui al capo III del Regolamento
- adottare le misure di sicurezza previste dall’art. 32 del Regolamento.
- se necessario, ricorrere ad altro responsabile nel rispetto di quanto previsto nel paragrafo 2) denominato “ricorso a sub-responsabili”
- garantire che i propri dipendenti e/o le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza e, in ogni caso, che abbiano ricevuto la formazione necessaria;
- ai sensi dell’art. 30, comma 2 del Regolamento, tenere il registro delle categorie di attività relative al trattamento dei dati personali effettuate per conto del Titolare e, su richiesta, mettere tale registro a disposizione del Titolare e/o del Garante per la protezione dei dati personali;
- mettere a disposizione tutte le informazioni necessarie a dimostrare il rispetto degli obblighi di cui alla presente designazione e di cui all’art. 28 del Regolamento.
- Ricorso a sub responsabili:
- Il titolare autorizza, ai sensi di quanto previsto dal paragrafo 2 dell’articolo 28 del Regolamento, al Responsabile del Trattamento a poter ricorrere a Sub Responsabili, esclusivamente per procedere alla fornitura del Servizio e nel rispetto di quanto stabilito nel presente Atto.
Nel caso in cui il Responsabile faccia effettivo ricorso a sub responsabili, il Responsabile medesimo si impegna a selezionare sub responsabili tra soggetti che per esperienza, capacità e affidabilità forniscano garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti della normativa pro tempore applicabile e garantisca la tutela dei diritti degli interessati. - Il Titolare del Trattamento autorizza espressamente, altresì, il Responsabile, che a ciò si impegna, a stipulare per suo conto con eventuali sub responsabili, quando stabiliti in un paese al di fuori dell’Unione europea per il quale la Commissione europea non abbia emesso un giudizio di adeguatezza del livello di protezione dei dati personali, un accordo per il trasferimento dei dati all’estero contenente le apposite clausole contrattuali adottate dalla stessa Commissione europea con Decisione 2010/87/EU del 5 febbraio 2010.
3) misure di sicurezza:
Il responsabile del Trattamento mette in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio che comprendono:
- Cifratura dei dati trasmessi attraverso Internet. Il responsabile si impegna ad utilizzare metodi di cifratura per le trasmissioni dati via internet tra le parti.
- È attivo sui device aziendali il controllo dei virus e dei malware e c’è una idonea consapevolezza sul punto da parte degli utenti.
- Back up. Vengono eseguiti back up periodici dei dati presenti su device aziendali e del server di posta elettronica su supporti informatici
- Ogni attività ed evento relativo alla sicurezza delle informazioni da parte degli utenti del sistema avviene previo inserimento delle credenziali di autenticazione.
- Uso esclusivo credenziali di autenticazione. Ogni credenziale di autenticazione (username e password) viene assegnata ad un unico operatore che la utilizzerà in modo esclusivo.
- Policy per l’utilizzo degli strumenti IT. Sono predisposte policy per l’utilizzo degli strumenti elettronici relativamente agli aspetti di:
– utilizzo del pc
– navigazione internet
– utilizzo posta elettronica - Policy aziendali. La direzione provvede alla redazione di una policy con i principi di base in materia privacy a cui dichiara di essersi adeguata. La policy è resa nota a collaboratori e terzi.
- Inventario degli asset. Definizione e aggiornamento annuale dell’inventario degli strumenti informatici in dotazione all’azienda
- Sicurezza delle attrezzature. Le attrezzature mobili sono conservate in luoghi sicuri quando non utilizzate.
- Armadi chiusi a chiave
Il Responsabile del Trattamento può a sua discrezione, al sopraggiungere di condizioni nuove o evoluzioni tecnologiche, modificare le misure di sicurezza adottate a condizione che le misure tecniche e organizzative modificate garantiscano un livello di protezione non inferiore rispetto a quelle sopra elencate, resta inteso che manterrà aggiornato il titolare sui cambiamenti avvenuti.
4) In caso di violazione dei dati personali, il Responsabile del Trattamento si impegna ad informare il Titolare del trattamento entro 48 ore dopo essere venuto a conoscenza della violazione e a fornire la più ampia collaborazione al Titolare medesimo, nonché alle Autorità di Controllo competenti e coinvolte al fine di soddisfare ogni obbligo imposto dalla normativa.
Per quanto non previsto dalle presenti condizioni generali, si fa espresso riferimento alla normativa europea e nazionale, in materia di protezione dei dati personali nonché al contratto di incarico per i servizi di didattica a distanza.