INFORMATIVA PRIVACY SUL TRATTAMENTO DEI DATI PERSONALI – UTENTI INTERCHECK

L’Istituto di Ricerche Farmacologiche Mario Negri IRCCS, C.F./P.I. 03254210150, con sede legale in Via Mario Negri, 2 (Milano, Italy), in persona del Legale Rappresentante Prof. Giuseppe Remuzzi, in qualità di Direttore, (l’”Istituto”) desidera informarLa che, ai sensi e per gli effetti (i) del D. Lgs. 30 giugno 2003, n. 196, il “Codice Privacy”, (ii) del Regolamento UE 2016/679 relativo alla “protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, il “GDPR”, art.13, (iii) del D.Lgs. 101/2018 recante disposizioni di adeguamento della normativa nazionale al GDPR, norme denominate congiuntamente anche “Normativa privacy”, sono previsti una serie di obblighi in capo a chi effettua trattamenti (cioè raccolta, registrazione, elaborazione, conservazione, comunicazione, diffusione, ecc.) di dati personali riferiti ad altri soggetti (il “Trattamento”).

A tal riguardo, l’Istituto è tenuto a fornirLe le informazioni di seguito dettagliate:

A) Titolare del Trattamento
Il titolare del Trattamento è il soggetto che determina le finalità e i mezzi di trattamento dei dati personali (il “Titolare”), e viene identificato nell’Istituto, in persona del Prof. Giuseppe Remuzzi in qualità di Direttore. Il Titolare del Trattamento è l’Istituto di Ricerche Farmacologiche Mario Negri IRCCS, con sede legale in Via Mario Negri 2, 20156 Milano. Indirizzo e-mail privacy@marionegri.it
Il Responsabile della protezione dati (DPO) è contattabile all’indirizzo e-mail dedicato DPO@marionegri.it

B) Categorie di dati oggetto del Trattamento
I dati acquisiti possono essere dati identificativi, ossia qualsiasi informazione riguardante una persona fisica identificata o identificabile («Interessato» o «Utente»), come ad esempio il nome, cognome, dati di contatto, indirizzo mail, dati degli account creati («Account»), di seguito anche “Dati”.

C) Finalità, base giuridica del Trattamento e periodo di conservazione
Ai sensi della Normativa Privacy, il Trattamento di dati personali deve essere legittimato da uno tra i vari presupposti giuridici previsti dall’art. 6 del GDPR. Tali presupposti sono di seguito espressamente indicati per ciascuna finalità secondo la quale il Titolare esegue il Trattamento dei Suoi dati:

1. Creazione account e gestione profilo Utente: i Dati verranno trattati per consentire all’Utente la creazione dell’Account, necessario per l’accesso al servizio.
   Il conferimento dei Dati nei form contrassegnati dall’asterisco è obbligatorio, mentre per gli ulteriori dati il conferimento è facoltativo. L’eventuale rifiuto a fornire i dati obbligatori o l’eventuale successiva mancanza di autorizzazione al loro Trattamento potrà determinare l’impossibilità per il Titolare di erogare i servizi.
   Base giuridica del trattamento: per dare esecuzione al contratto di cui Lei è parte (art. 6 par. 1 lett. b del GDPR).
   Politica di conservazione dei Dati: i Dati fornitici saranno conservati fino alla Sua richiesta di cancellazione dell’account online o disiscrizione.
2. Adempimento degli obblighi giuridicamente vincolanti: i Suoi dati potranno essere trattati per adempiere a obblighi di legge, regolamenti o provvedimenti dell’autorità giudiziaria, nonché per difendere un diritto in sede giudiziaria. Base giuridica del trattamento: per dare esecuzione al rapporto di cui Lei è parte (art. 6 par. 1 lett. b del GDPR), per adempiere ad un obbligo legale a cui è soggetto il Titolare (art. 6 par. 1 lett. c del GDPR).
   Periodo di conservazione: i Suoi dati saranno conservati per tutta la durata del rapporto contrattuale oltre che per i successivi dieci anni dalla data di cessazione del medesimo.
3. Difesa in giudizio per i diritti del Titolare: laddove ne ricorra l’obbligo, il Titolare provvederà a fornire informazioni che La riguardano alle Autorità e agli organismi preposti all’applicazione della legge, dei regolamenti e degli atti giudiziari, nonché a terze parti in contenzioso. Il Titolare si riserva di trattare idati per prevenire possibili rischi e frodi, nonché per difendere i propri diritti derivanti dal contratto in sede giudiziale o stragiudiziale (es. inadempimenti contrattuali, diffide, transazioni, recupero crediti, arbitrati, controversie giudiziarie), direttamente o attraverso consulenti esterni ai quali saranno solo a tali fini comunicati.
   Base giuridica del trattamento: per il perseguimento di un legittimo interesse del Titolare del Trattamento consistente nel prevenire possibili frodi o nel difendere un proprio diritto o avanzare una qualche pretesa derivante dal rapporto commerciale con Lei in essere, salvo che non prevalgano i Suoi interessi o i Suoi diritti fondamentali (art. 6 par. 1 lett. f e art. 9 par. 2 lett. f del GDPR).
   Periodo di conservazione: i dati saranno conservati per il periodo di tempo necessario allo scopo di consentire all’Istituto di agire o difendersi contro eventuali pretese avanzate nei confronti Suoi o di terze parti.

D) Natura del conferimento dei dati
Il conferimento dei Dati per le finalità di cui alle lett. a), b), c), è obbligatorio in quanto richiesto ai fini dell’adempimento degli obblighi legali e contrattuali. L’eventuale rifiuto a fornirli o l’eventuale successiva mancanza di autorizzazione al loro Trattamento potrà determinare l’impossibilità del Titolare a dar corso ai rapporti contrattuali e ai processi amministrativi in oggetto.

E) Modalità di Trattamento dei dati
Il Trattamento sarà svolto in forma automatizzata e/o manuale, con logiche di organizzazione ed elaborazione strettamente correlate alle finalità stesse e, comunque, in modo tale da garantirne la sicurezza, l’integrità e la riservatezza dei dati stessi, nonché nel rispetto delle misure di sicurezza organizzative, fisiche e logiche di cui all’art. 32 del GDPR. Tali misure dovranno essere rigorosamente applicate anche ad opera di soggetti appositamente incaricati dal Titolare del Trattamento, in ottemperanza a quanto previsto dagli art. 29 del GDPR.
La informiamo, inoltre, che l’Istituto tratta i Suoi dati personali nel pieno rispetto dei principi di correttezza, liceità e trasparenza e che sebbene non sia possibile garantire la sicurezza da intrusioni per la trasmissione dei dati che avviene su internet e applicazioni, l’Istituto i fornitori ed i partner commerciali identificati si adoperano per assicurare tutele fisiche, elettroniche e procedurali volte a proteggere i Suoi dati personali in conformità ai requisiti previsti in materia di protezione dei dati. Adottiamo, tra le altre, misure come:

• la restrizione rigorosa dell’accesso ai Suoi dati personali, in base alla necessità e per le sole finalità comunicate;
• il trasferimento di dati raccolti, ove ritenuto opportuno per specifiche necessità, solo nei confronti di soggetti specificatamente nominati;
• sistemi IT di firewall per proibire accessi non autorizzati;
• il monitoraggio permanente dell’accesso a sistemi IT per individuare e fermare l’abuso di dati personali.

Se Le abbiamo fornito (o Lei ha scelto) una password che Le consenta l’accesso ad alcune sezioni dell’applicazione, Lei sarà responsabile di mantenere la segretezza di tale password e di rispettare ogni altra procedura di sicurezza di cui Le dessimo notizia. Le chiediamo di non condividere le Sue credenziali di accesso (ivi inclusa la Sua password) con nessuno.

F) Ambito di comunicazione dei dati
I dati personali forniti non saranno oggetto di diffusione, ovvero non ne verrà data conoscenza a soggetti indeterminati, in nessuna possibile forma, inclusa quella della loro messa a disposizione o semplice consultazione. Potranno, invece, essere oggetto di comunicazione, a soggetti ben definiti, in conformità alle prescrizioni di legge e per finalità strettamente correlate all’esecuzione degli obblighi contrattuali. In particolare, i Suoi dati potranno essere resi accessibili a:

• Dipendenti e collaboratori del Titolare nella loro qualità di persone autorizzate o delegati al Trattamento e/o amministratori di sistema;
• Professionisti/consulenti/collaboratori esterni e qualsiasi altro soggetto che - per conto dell’Istituto - svolgono compiti tecnici, di supporto e di controllo (quali servizi legali, servizi informatici, spedizioni), nei limiti delle loro competenze e nella qualità di Titolari esterni autonomi o di Responsabili del Trattamento,nominati dal Titolare medesimo;
• Eventuale/i soggetto/i terzo/i pubblico/i o privato/i con cui l’Istituto abbia stipulato rapporti contrattuali aventi ad oggetto la realizzazione di opere/lavori;
• Organismi di Vigilanza, Autorità giudiziarie nonché a tutti gli Enti istituzionali ai quali la comunicazione sia obbligatoria per legge per l’espletamento delle finalità dette.

G) Trasferimento dei dati a un Paese terzo o a un’organizzazione internazionale
I dati personali sono trattati all’interno dell’Unione Europea e conservati su server ivi ubicati. Resta in ogni caso inteso che il Titolare, ove si rendesse necessario, avrà facoltà di trasmettere tali dati ad un Paese terzo o a un’organizzazione internazionale e/o spostare i server anche extra-UE. In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge applicabili, di cui all’art. 44 e ss. del GDPR.

H) Diritti dell’Interessato
L’Istituto La informa, infine, che ai sensi della normativa vigente in materia di protezione dei dati personali, potrà esercitare in ogni momento specifici diritti – di cui agli artt. 15-22 del GDPR - rivolgendosi al Titolare, quali:

1. il diritto di accesso ossia la possibilità di ottenere dal Titolare la conferma che sia o meno in corso il Trattamento di dati personali e in tal caso, di ottenere l’accesso ai propri dati personali;
2. il diritto alla rettifica, l’esattezza dei dati personali è fondamentale per garantire un elevato livello di protezione dei dati personali. L’interessato potrà chiedere di modificare i dati comunicati in precedenza come ad es. cambio indirizzo, cambio numero di telefono; compresa l’integrazione dei dati personali incompleti;
3. il diritto alla cancellazione dei dati senza ritardo su richiesta dell’Interessato e obbligatoriamente se:
   • i dati personali non sono più necessari rispetto alle finalità del Trattamento;
   • il consenso su cui si basa il Trattamento è revocato e non sussiste altro fondamento giuridico per ilTrattamento;
   • i dati personali sono stati trattati illecitamente;
   • i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’UE o dello Stato membro.
   • l’Interessato si opponga al Trattamento e non sussista alcun motivo legittimo prevalente per procedere al Trattamento, oppure quando si opponga al Trattamento nei casi previsti dall’art. 21, paragrafo 2, del GDPR (dati personali trattati per finalità di marketing diretto);
4. il diritto alla limitazione di trattamento nei casi in cui sia contestata l’esattezza dei dati personali (per il periodo necessario al Titolare del Trattamento per verificare l’esattezza di tali dati personali) ovvero il Trattamento sia illecito e/o l’Interessato si sia opposto al Trattamento chiedendone la limitazione;
5. il diritto alla portabilità dei dati personali quale facoltà di ricevere dal Titolare in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali e di trasmettere tali dati ad altro titolare del Trattamento, solo per i casi in cui il Trattamento sia basato sul consenso e per i soli dati il cui Trattamento sia effettuato con mezzi automatizzati;
6. il diritto di opporsi al Trattamento dei propri dati personali fatto salvo il diritto del Titolare del Trattamento di dimostrare l’esistenza di motivi legittimi per procedere comunque al Trattamento;
7. il diritto di revoca del consenso in qualsiasi momento, qualora il Trattamento sia basato sul Suo consenso esplicito, senza che ciò pregiudichi la liceità dei trattamenti effettuati sino all’esercizio della revoca;
8. il diritto di proporre reclamo a un’Autorità di controllo dello Stato membro in cui risiede o lavora abitualmente ovvero dello Stato in cui si è verificata la presunta violazione, fatto salvo ogni altro ricorso amministrativo o giurisdizionale, in caso di violazioni alle disposizioni del citato Regolamento.

Se desidera avere maggiori informazioni sul Trattamento dei Suoi dati personali ed esercitare i diritti precedentemente indicati, può inviare una richiesta scritta utilizzando i contatti forniti nella sezione “Titolare del Trattamento e Responsabile Protezione Dati” della presente informativa.
In caso di richiesta da parte Sua di informazioni relative ai Suoi dati, il Titolare darà riscontro al più presto – salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato – e comunque non oltre i trenta giorni dall’istanza. Eventuali impossibilità o ritardi da parte del Titolare nel soddisfare le richieste saranno adeguatamente motivati.