Premessa

Il Regolamento UE 679/2016 (di seguito, per brevità, “GDPR“) ha la finalità di garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato con particolare riferimento alla riservatezza e alla identità personale e al diritto alla protezione dei dati.

Il Regolamento intende per “trattamento” qualunque “operazione o complesso di operazioni, svolte con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione“.

1. Titolare del trattamento

Il Titolare del trattamento è Fondazione Nidi Fioriti ETS, con sede legale in 20145 Milano, via Lorenzo Mascheroni 29, C.F. 14440340967, P.IVA 14519920962 (di seguito, per brevità, il “Titolare” o “Fondazione“).

Il Titolare La informa circa il trattamento dei Suoi dati personali effettuato nell’ambito della gestione dell’evento organizzato dal Titolare stesso.

2. Tipologie di dati trattati

I dati personali oggetto di trattamento ricomprendono i Suoi dati identificativi (nome e cognome) e di contatto (indirizzo e-mail, indirizzo di residenza).

3. Finalità del trattamento e base giuridica

I dati personali potranno essere oggetto di trattamento da parte del Titolare per le seguenti finalità:

1. per gestire la Sua partecipazione al festival organizzato dalla Fondazione, ai sensi dell’art. 6.1, lett. b) GDPR;
2. per tenerla aggiornata in relazione ad iniziative analoghe a quella per cui si è iscritto, sulla base del legittimo interesse della Fondazione, ai sensi dell’art. 6.1, lett. f), GDPR;
3. previo Suo consenso, per l’invio di comunicazioni relative agli eventi organizzati dalla Fondazione, ma anche alle attività, ai progetti e, in generale, alle iniziative di vario genere via via organizzate dalla Fondazione nel perseguimento del suo scopo sociale volto alla valorizzazione e alla cura dell’infanzia attraverso la promozione del concetto di comunità educante, mediante l’uso di modalità automatizzate di contatto (posta elettronica), ai sensi dell’art. 6.1, lett. a) GDPR. È possibile in ogni momento revocare il consenso prestato mediante il tasto “disiscriviti” contenuto in calce ad ogni comunicazione oppure scrivendo a privacy@nidifioriti.org;
4. qualora Lei acceda alla pagina di iscrizione all’evento tramite link pubblicati sui siti web o sui canali social di partner e/o sponsor dell’iniziativa, il Titolare potrà trattare alcuni dati tecnici di navigazione (quali, a titolo esemplificativo, indirizzo IP, identificativi online e dati di navigazione) al fine di analizzare e valutare l’efficacia delle attività di promozione dell’evento e delle relative collaborazioni con partner e sponsor. Tale trattamento si basa sul legittimo interesse del Titolare, ai sensi dell’art. 6.1, lett. f) GDPR, a monitorare e migliorare le proprie attività di comunicazione e promozione. I dati potranno essere successivamente anonimizzati e utilizzati per finalità statistiche e di analisi. Informazioni statistiche e aggregate, previa opportuna anonimizzazione, potranno essere condivise con i partner e/o sponsor dell’iniziativa al fine di valutare l’efficacia delle relative attività promozionali.

4. Modalità di trattamento

Il trattamento avverrà con strumenti elettronici, telematici o comunque automatizzati nonché cartacei.

Secondo le norme del GDPR, i trattamenti effettuati dal Titolare saranno improntati ai principi di liceità, correttezza, trasparenza, limitazione delle finalità e della conservazione, minimizzazione dei dati, esattezza, integrità e riservatezza.

5. Natura del conferimento e conseguenze di un eventuale rifiuto

Il conferimento dei dati è facoltativo. Tuttavia, l’eventuale rifiuto non permetterà al Titolare di gestire la Sua partecipazione agli eventi e di tenerLa aggiornata sulle novità di interesse. Con riferimento al trattamento effettuato per la finalità di cui al precedente paragrafo 3.3, Lei potrà in ogni momento revocare il Suo consenso, senza pregiudicare il trattamento effettuato dal Titolare prima di tale revoca.

6. Destinatari dei dati

Ai dati personali potranno avere accesso le persone fisiche debitamente autorizzate dalla Fondazione ai sensi dell’art. 29 GDPR, nonché i fornitori designati da quest’ultima quali responsabili del trattamento ai sensi dell’art. 28 GDPR, funzionalmente al tipo di finalità perseguita.

Eventuali ulteriori categorie di destinatari che potrebbero venire a conoscenza dei suoi dati personali sono:

1. eventuali professionisti e/o società che eroghino prestazioni funzionali, derivanti o connesse alle finalità sopra indicate quali fornitori di servizi di comunicazione, posta elettronica, recapito della corrispondenza, servizi tecnici per la gestione dell’evento e altri fornitori di servizi sempre inerenti alle finalità sopraccitate;
2. in relazione alla finalità di cui al paragrafo 3.4, i partner o sponsor dell’iniziativa potranno ricevere esclusivamente dati aggregati e anonimizzati di natura statistica, relativi all’efficacia delle attività di promozione dell’evento.

I soggetti appartenenti alle categorie sopra riportate operano, in alcune ipotesi, in totale autonomia come distinti titolari del trattamento, in altre ipotesi, in qualità di responsabili del trattamento appositamente nominati dal Titolare nel rispetto dell’articolo 28 GDPR.

L’elenco aggiornato dei Responsabili del trattamento potrà sempre essere richiesto al Titolare del Trattamento.

7. Periodo di conservazione

I dati personali saranno conservati per il tempo necessario ad adempiere alle finalità per le quali sono stati richiesti e, nello specifico:

1. i dati trattati per le finalità di cui al precedente paragrafo 3.1 saranno trattati per tutta la durata dell’evento e anche successivamente per la gestione delle attività successive allo stesso per un periodo non superiore a 10 anni in esecuzione di leggi, norme e regolamenti nazionali e comunitari a cui la Fondazione deve attenersi;
2. i dati trattati per la finalità di cui al paragrafo 3.2 saranno trattati per 12 mesi;
3. i dati trattati per la finalità di cui al paragrafo 3.3 saranno trattati per 24 mesi o fino alla revoca del consenso;
4. i dati trattati per la finalità di cui al precedente paragrafo 3.4 saranno trattati per un periodo non superiore ai 12 mesi.

8. Trasferimento dei dati all’estero

I dati potranno essere oggetto di trasferimento presso Paesi terzi che garantiscono un livello di sicurezza adeguato agli standard europei e per i quali è stata emessa una decisione di adeguatezza della Commissione Europea ai sensi dell’art. 45 GDPR (come ad esempio la decisione di adeguatezza denominata “Data Privacy Framework” per il trasferimento UE-USA) oppure unicamente laddove, salva l’applicazione di deroghe ai sensi dell’art. 49 GDPR, il Titolare abbia sottoscritto con le terze parti intenzionate a ricevere i dati e aventi sedi in paesi extra-UE che non garantiscono lo stesso livello di sicurezza degli standard europei, clausole contrattuali standard o altro strumento appropriato ai sensi dell’art. 46 GDPR, integrate con eventuali misure di sicurezza supplementari.

9. Diritti dell’interessato

Ai sensi degli artt. 15-22 del GDPR, l’interessato può esercitare in qualsiasi momento i diritti riconosciuti dalla normativa in materia di protezione dei dati personali. In particolare, ha il diritto di ottenere dal Titolare l’accesso ai propri dati personali, la loro copia, la rettifica o l’aggiornamento dei dati inesatti, la cancellazione degli stessi, la limitazione del trattamento nei casi previsti dalla legge, nonché la portabilità dei dati. L’interessato ha inoltre il diritto di opporsi al trattamento dei dati personali che lo riguardano e di revocare in qualsiasi momento il consenso eventualmente prestato, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca.

Le richieste per l’esercizio dei diritti possono essere inviate al Titolare del trattamento all’indirizzo: privacy@nidifioriti.org. Il Titolare, previa verifica della legittimità della richiesta, fornirà riscontro di norma entro un mese dal ricevimento della stessa.

Resta, inoltre, fermo il diritto dell’interessato di proporre reclamo o presentare segnalazione all’Autorità di controllo competente, qualora ritenga che il trattamento dei propri dati personali avvenga in violazione del GDPR. In Italia, l’Autorità di controllo è il Garante per la protezione dei dati personali, con sede in Piazza Venezia 11, 00187, Roma (www.garanteprivacy.it – e-mail: garante@gpdp.it).