PRIVACY POLICY – ADESIONE ASSOCIAZIONE ASSO DPO

Documento informativo ai sensi e per gli effetti di cui all’articolo 13 Regolamento (UE) 2016/679 (GDPR)

1. CHI È IL TITOLARE DEL TRATTAMENTO? COME CONTATTARLO?
Titolare del trattamento, ai sensi degli artt. 4 e 24 del Reg. UE 2016/679, è l’Associazione Data Protection Officer (ASSO DPO), con sede legale in P.le Principessa Clotilde, n. 6 - 20121 - Milano, P.IVA 08258580961, C.F. 97656960156, in persona del Presidente e legale rappresentante pro-tempore Dott. Matteo Colombo.

Per contattare il Titolare: email info@assodpo.it oppure numero verde 800561720.

2. FINALITÀ DEL TRATTAMENTO, BASE GIURIDICA, PERIODO DI CONSERVAZIONE DEI DATI E NATURA DEL CONFERIMENTO

Finalità A)
Diffusione – previo consenso - di dati identificativi, attraverso la pubblicazione degli stessi nel “Registro soci” (applicabile solo alle categorie di “Soci Educational”, come definiti all’interno dello Statuto).

BASE GIURIDICA: la base giuridica varia in funzione del tipo di socio: il consenso (art. 6 par. 1 lett. a) GDPR) viene richiesto solo laddove tipologie di soci diversi dai “Soci Effettivi”, quali i “Soci Educational”, desiderassero comparire nell’elenco (“Registro Soci”).
PERIODO CONSERVAZIONE DATI: l’interessato è sempre libero di revocare il consenso prestato.
NATURA DEL CONFERIMENTO: il conferimento dei dati è facoltativo. Il mancato conferimento dei dati per tale finalità non comprometterà l’adesione all’Associazione.

Finalità B)
Diffusione di ulteriori informazioni personali nel “Registro soci”: tutte le categorie di soci, al momento dell’iscrizione, potranno anche liberamente scegliere se conferire, dietro consenso, ulteriori informazioni identificative da inserire in tale elenco (quali, ad es., nome, cognome e la provincia di residenza).
Qualora gli interessati non dovessero acconsentire a tale trattamento, all’interno del “Registro soci” verrà riportato l’identificativo con il “numero tessera” correlato a dati personali pseudonimizzati (al posto di nome e cognome completo verranno riportate solo le iniziali seguite da un asterisco).

BASE GIURIDICA: consenso (art. 6 par. 1 lett. a) GDPR): l’interessato ha espresso il consenso al trattamento dei propri dati personali.
PERIODO CONSERVAZIONE DATI: l’interessato è sempre libero di revocare il consenso prestato.
NATURA DEL CONFERIMENTO: il conferimento dei dati è facoltativo. Il mancato conferimento dei dati per tale finalità non comprometterà l’adesione all’Associazione.

Finalità C)
Diffusione dei dati personali, inclusa l’immagine (foto/video/audio), per attività promozionali e divulgative volte a pubblicizzare l’attività, i servizi della Associazione. I dati personali potranno essere raccolti in occasione di eventi organizzati da ASSO DPO (es. congressi, seminari, formazione, etc.), anche in modalità webinar o a distanza tramite la registrazione dell’evento. La diffusione avverrà attraverso la pubblicazione di dati personali (incluse le immagini) attraverso diversi strumenti e canali di comunicazione quali magazine, brochure, presentazioni, siti internet, social networks.

BASE GIURIDICA: consenso (art. 6 par. 1 lett. a) GDPR): l’interessato ha espresso il consenso al trattamento dei propri dati personali.
PERIODO CONSERVAZIONE DATI: l’eventuale utilizzo di materiale divulgativo cartaceo avverrà fino ad esaurimento delle scorte del materiale prodotto. Alla successiva produzione di materiale divulgativo i dati personali e la sua immagine non verranno più riprodotti. L’interessato è sempre libero di revocare il consenso prestato.
NATURA DEL CONFERIMENTO: il conferimento dei dati è facoltativo. Il mancato conferimento dei dati per tale finalità non comprometterà l’adesione all’Associazione.

Finalità D)
Cessione dei dati a terzi (partners e sponsor del Titolare) per finalità di marketing, ossia per ricevere materiale promozionale e comunicazioni commerciali/informative da parte dei soggetti terzi, i quali operano, ad esempio, nei seguenti settori merceologici: compagnie di assicurazione per polizze di responsabilità professionale del Data Protection Officer, enti di certificazione, società di consulenza e formazione, università, software house e, in generale, terzi convenzionati ad ASSO DPO. L’elenco dei predetti terzi e delle convenzioni attive è disponibile al seguente link: https://www.assodpo.it/convenzioni/

BASE GIURIDICA: consenso (art. 6 par. 1 lett. a) GDPR), l’interessato ha espresso il consenso al trattamento dei propri dati personali.
PERIODO CONSERVAZIONE DATI: l’interessato è sempre libero di revocare il consenso prestato.
NATURA DEL CONFERIMENTO: il conferimento dei dati è facoltativo. Il mancato conferimento dei dati per tale finalità non comprometterà l’adesione all’Associazione.

Finalità E)
Registrazione per l’iscrizione all’Associazione Data Protection Officer e perseguimento di tutte le finalità correlate all’adesione e al raggiungimento degli scopi dell’Associazione, fra cui, in particolare:
- l’organizzazione di riunioni e di momenti di confronto, anche mediante strumenti online, al fine di favorire “il confronto e lo scambio di informazioni fra i soci” (v. art. 4 par. 1 lett. a) dello Statuto), anche per “sviluppare soluzioni condivise ai problemi applicativi posti dalla normativa in materia di privacy” (v. art. 4 par. 1 lett. d) dello Statuto);
- l’organizzazione di “attività culturali, conferenze, seminari, dibattiti, assemblee, incontri, corsi di formazione, qualificazione e specializzazione, borse di studio, attività varie nel settore culturale e ricreativo, attinenti allo scopo sociale” (v. art. 4 par. 1 lett. g) dello Statuto);
- l’organizzazione di sessioni d’esame per la certificazione della figura del DPO (v. art. 4 par. 1 lett. i) dello Statuto).

BASE GIURIDICA: la base giuridica è costituita dall’adempimento di obblighi contrattuali (art. 6, par. 1 lett. b) GDPR).
PERIODO CONSERVAZIONE DATI: durata dell’iscrizione e, dopo la cessazione del rapporto, 10 anni.
NATURA DEL CONFERIMENTO: il conferimento dei dati è necessario per l’adesione all’Associazione. Il mancato conferimento dei dati contrassegnati con il simbolo* o dicitura (richiesto), comporterà l’impossibilità di iscriversi. Il conferimento dei dati senza * è facoltativo e non precluderà il completamento della registrazione.

Finalità F)
Rilascio degli attestati professionali su richiesta degli Associati e previa verifica della presenza di tutti i requisiti necessari previsti per legge.

BASE GIURIDICA: la base giuridica è costituita da un obbligo di legge (art. 6, par. 1 lett. c) GDPR e LEGGE 14 gennaio 2013, n. 4, art. 7) c. 1, il quale prevede che “Al fine di tutelare i consumatori e di garantire la trasparenza del mercato dei servizi professionali, le associazioni professionali possono rilasciare ai propri iscritti, previe le necessarie verifiche, sotto la responsabilità del proprio rappresentante legale, un'attestazione […]”.
PERIODO CONSERVAZIONE DATI: durata dell’iscrizione e, dopo la cessazione del rapporto, 10 anni.
NATURA DEL CONFERIMENTO: il conferimento dei dati richiesti mediante l’apposito modulo è obbligatorio per consentire all’Associazione di effettuare le verifiche previste per legge ed emettere l’attestato. In caso di mancato conferimento l’Associazione non potrà emettere l’attestato richiesto.

Finalità G)
Diffusione di dati identificativi attraverso la pubblicazione del “Registro soci”.

BASE GIURIDICA: la base giuridica è costituita da un obbligo di legge (art. 6, par. 1 lett. c) GDPR e LEGGE 14 gennaio 2013, n. 4, art. 4 c. 1 e art. 5 c. 2 lett. b)) che impone all’Associazione di allestire e pubblicare l’elenco degli iscritti “Soci Effettivi – Persone Fisiche” aggiornato annualmente (il “Registro Soci”).
PERIODO CONSERVAZIONE DATI: durata dell’iscrizione.
NATURA DEL CONFERIMENTO: il conferimento dei dati è obbligatorio per l’adesione all’Associazione.

Finalità H)
Servizio di newsletter. L’associazione, nel perseguire gli scopi fondamentali previsti dallo Statuto, fra cui “promuovere la ricerca e la diffusione delle conoscenze”; “promuovere la valorizzazione del ruolo del DPO e favorirne la crescita professionale”, offre un servizio di newsletter. Tale attività viene condotta tramite le coordinate di posta elettronica fornite direttamente dall'interessato nella fase di iscrizione all’associazione. L’interessato riceverà, tramite questo canale, comunicazioni istituzionali, notizie sull’associazione e, più in generale, avvisi, riguardo, ad esempio, ad eventi quali il Congresso, nuovi webinar, nuovi articoli pubblicati sul sito e sui canali ufficiali della Associazione.
Il Titolare per confrontare ed eventualmente migliorare i risultati delle comunicazioni, utilizza sistemi per invio di newsletter con report. Grazie ai report il Titolare potrà conoscere, a titolo esemplificativo: il numero dei lettori, delle aperture, dei “cliccatori” unici e dei clic; i dispositivi ed i sistemi operativi utilizzati per leggere la comunicazione; il dettaglio delle email inviate, recapitate e non. Tutti questi dati sono utilizzati allo scopo di confrontare, ed eventualmente migliorare, i risultati delle comunicazioni.

BASE GIURIDICA: il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali. L’interesse legittimo del titolare è quello di perseguire gli scopi istituzionali di informazione perseguiti dall’Associazione (art. 6 par. 1 lett. f) GDPR e considerando 47). Come previsto dal Parere 6/2014 del Gruppo di Lavoro Art. 29 – WP29 – sul concetto di interesse legittimo, il Titolare ha condotto un “LIA” (Legitimate Interests Assessment), bilanciando gli interessi delle parti e i diritti in gioco. L’interessato potrà opporsi al legittimo interesse del Titolare del trattamento sia all’atto della adesione alla Associazione, sia successivamente.
PERIODO CONSERVAZIONE DATI: L’interessato si può opporre al trattamento in maniera agevole e gratuita (utilizzando i sistemi di cancellazione automatica previsti per le sole e-mail, ogni comunicazione conterrà il link per esercitare l’opt-out).
NATURA DEL CONFERIMENTO: Il conferimento dei dati è facoltativo e in mancanza dello stesso, i dati dell’interessato non saranno trattati per il perseguimento di tale finalità. Il diniego del conferimento non pregiudicherà la fruibilità di altri servizi della Associazione.

3. A CHI VERRANNO COMUNICATI I DATI PERSONALI RACCOLTI? DESTINATARI DEI DATI
I dati personali saranno comunicati a soggetti che tratteranno i dati in qualità di Titolari autonomi del trattamento, o Responsabili del trattamento (art. 28 GDPR) e trattati da persone fisiche (art. 29 GDPR) che agiscono sotto l’autorità del Titolare e dei Responsabili sulla base di specifiche istruzioni fornite in ordine a finalità e modalità del trattamento. I dati saranno comunicati a destinatari appartenenti alle seguenti categorie:

- agli altri Associati, su richiesta;
- utenti del sito / visitatori che decidano liberamente di consultare l’elenco soci (i dati ivi inseriti dipendono dall’eventuale consenso degli interessati alla finalità b), cui si rinvia);
- società, con sede in Italia, contrattualmente legate all’Associazione Data Protection Officer;
- soggetti, con sede in Italia, che forniscono servizi per la gestione del sistema informativo usato dall’Associazione Data Protection Officer e delle reti di telecomunicazioni;
- soggetti, con sede in Italia, che forniscono servizi per il sito web e le reti di comunicazione, ivi comprese la posta elettronica, l’hosting, la gestione del servizio di newsletter;
- provider delle piattaforme utilizzate per l’organizzazione di riunioni in presenza e online (distribuzione degli inviti, raccolta adesioni e partecipazione), per la gestione e l’erogazione di “attività culturali, conferenze, seminari, dibattiti, assemblee, incontri, corsi di formazione, qualificazione e specializzazione, borse di studio, attività varie nel settore culturale e ricreativo, attinenti allo scopo sociale”, anche con sede in Paesi extra SEE (v. par. 4 a seguire);
- liberi professionisti, studi o società nell’ambito di rapporti di assistenza e consulenza, con sede in Italia;
- solo previo consenso, soggetti, con sede in Italia, che forniscono servizi per la gestione delle attività correlate alla finalità c) – diffusione dell’immagine – quali la realizzazione di foto e video, la comunicazione, la stampa di brochure, la creazione di volantini, la pubblicazione di foto e filmati su siti web e sui canali social dell’Associazione, etc.;
- solo previo consenso alla finalità c) – diffusione dell’immagine – provider delle piattaforme social e fornitori di servizi correlati (ad esempio, per l’upload dei video realizzati nel corso degli eventi), anche con sede in Paesi extra SEE (v. par. 4 a seguire);
- solo previo consenso, partner commerciali / sponsor, con sede in Italia, per la finalità d) – cessione dei dati a terze parti;
- Autorità competenti per adempimenti di obblighi di leggi e/o di disposizioni di organi pubblici.

L’elenco dei Responsabili del trattamento è costantemente aggiornato e disponibile scrivendo a info@assodpo.it o presso la sede legale del Titolare.

4. ASSO DPO TRASFERISCE I DATI EXTRA SEE?

I dati personali saranno trasferiti anche in Paesi ubicati al di fuori dello Spazio Economico Europeo (SEE), nel caso in cui gli interessati acconsentano alla diffusione per attività promozionali e divulgative condotte dall’Associazione, anche mediante l’utilizzo di piattaforme social. Tale trasferimento verrà poi gestito come stabilito nelle condizioni generali e nelle privacy policy di tali piattaforme. In particolare, si rinvia alle seguenti policy:

YouTube, con sede negli Stati Uniti - https://www.youtube.com/howyoutubeworks/our-commitments/protecting-user-data/;
X, con sede negli Stati Uniti - https://twitter.com/en/privacy
LinkedIn, con sede negli Stati Uniti - https://www.linkedin.com/legal/privacy-policy;
Facebook / Meta, con sede negli Stati Uniti - https://www.facebook.com/privacy/policy/.

Inoltre, il trasferimento di dati personali al di fuori dello Spazio Economico Europeo (SEE) avverrà anche nel contesto dell’organizzazione e gestione di riunioni ed altre iniziative online, attraverso strumenti quali:

Doodle, con sede in svizzera - https://doodle.com/it/privacy-policy/#location-of-data;
Microsoft Teams, con sede negli Stati Uniti - https://learn.microsoft.com/en-us/microsoftteams/privacy/location-of-data-in-teams;
GoToWebinar, con sede negli Stati Uniti - https://www.goto.com/it/company/legal/privacy/international.

Nei casi in cui si renda necessario il trasferimento dei dati personali degli interessati verso Paesi ubicati al di fuori del SEE, questo avverrà nel rispetto dei limiti e delle condizioni di cui agli artt. 44 e ss. del Reg. UE 2016/679.
In particolare:

art. 45 GDPR - verso Paesi terzi / organizzazioni internazionali per cui la Commissione è intervenuta con una valutazione di adeguatezza:
- Stati Uniti. Per ulteriori informazioni si rinvia al sito del Data Privacy Framework: https://www.dataprivacyframework.gov/;
- Svizzera. Per ulteriori informazioni si rinvia alla decisione di adeguatezza del 26 luglio 2000 e al rapporto del 15 gennaio 2024 con cui la Commissione europea ha confermato l’adeguatezza del livello della protezione dei dati svizzero (https://www.edoeb.admin.ch/edoeb/it/home/kurzmeldungen/km2024/15012024_angemessenheitsbeschluss.html).

L’interessato potrà ottenere informazioni circa le garanzie per il trasferimento dati scrivendo una mail all’indirizzo info@assodpo.it o presso la sede legale del Titolare.

5.VI È UN PROCESSO AUTOMATIZZATO?
I dati personali saranno sottoposti a trattamento manuale tradizionale, elettronico e automatizzato. Si precisa che non si effettuano processi decisionali completamente automatizzati.

6. QUALI SONO I DIRITTI DEGLI INTERESSATI? COME ESERCITARLI?
Gli interessati potranno far valere i propri diritti come espressi dagli artt. 15 e ss. GDPR, rivolgendosi al Titolare del trattamento all’indirizzo e-mail: info@assodpo.it, o scrivendo ai contatti sopra indicati.
Il titolare garantisce agli interessati la possibilità di richiedere, in qualunque momento, l’accesso ai propri dati personali (art.15), la rettifica (art.16), la cancellazione degli stessi (art.17), la limitazione del trattamento (art.18). Il titolare del trattamento comunica (art. 19), a ciascuno dei destinatari cui sono stati trasmessi i dati personali, le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate. Il titolare del trattamento comunica agli interessati che ne facciano richiesta tali destinatari.

Il titolare garantisce il diritto alla portabilità (art.20) e, in caso di richieste ai sensi dell’art.20, fornirà agli interessati i dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico.

È riconosciuto agli interessati il diritto di opporsi (art.21), in qualsiasi momento, al trattamento dei dati basato sul legittimo interesse, scrivendo ai contatti sopra riportati con oggetto “opposizione”. In caso di esercizio del diritto di opposizione al trattamento basato sul legittimo interesse, il titolare riconosce agli interessati la possibilità di ottenere, su richiesta, informazioni sul test di bilanciamento effettuato.
Per disiscriversi dal servizio di newsletter (e-mail), gli interessati sono invitati a scrivere una e-mail all’indirizzo info@assodpo.it con oggetto “cancellazione da automatizzato” o ad utilizzare i nostri sistemi di cancellazione automatica all’interno delle e-mail di comunicazione.

Nei casi previsti, gli interessati hanno il diritto di revocare il consenso senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca.

Nel caso in cui gli interessati ritengano che il trattamento dei dati personali effettuato dal Titolare avvenga in violazione di quanto previsto dal Regolamento (UE) 2016/679, sono liberi di presentare un reclamo all’Autorità nazionale di controllo , in particolare nello Stato membro in cui risiedono abitualmente o lavorano, oppure nel luogo ove si è verificata la presunta violazione del Regolamento (Garante Privacy https://www.garanteprivacy.it/ ), o di adire le opportune sedi giudiziarie.

7. MODIFICHE ALL’INFORMATIVA

Il titolare potrebbe cambiare, modificare, aggiungere o rimuovere qualsiasi parte della presente Informativa sulla privacy. Al fine di facilitare la verifica di eventuali cambiamenti, l'informativa conterrà l'indicazione della data di aggiornamento.

Data di aggiornamento: 02/04/2024