Colophon

Dichiarazione di protezione dei dati

La presente dichiarazione di protezione dei dati spiega il tipo, l’entità e lo scopo del trattamento dei dati personali (di seguito denominati «dati») all’interno della nostra offerta online e delle pagine web, delle funzioni e dei contenuti ad essa collegati, così come dei siti web esterni, quali i nostri profili sui social media (di seguito denominati collettivamente «offerta online»). Con riferimento ai termini utilizzati, come «trattamento» o «titolare del trattamento» si rimanda alle definizioni di cui all’art. 4 del Regolamento generale sulla protezione dei dati (GDPR).

Titolare del trattamento

Direzione
Fondazione EQUAM

Tipi di dati trattati:

– dati anagrafici (ad es. nomi, indirizzi)
– dati di contatto (ad es. e-mail, numeri di telefono)
– dati di contenuto (ad es. testi, fotografie, video)
– dati di utilizzo (ad es. pagine web visitate, interesse per i contenuti, orari di accesso).
– metadati/dati di comunicazione (ad es. informazioni sui dispositivi, indirizzi IP).

Categorie di persone interessate

Visitatori e utenti dell’offerta online (di seguito le persone interessate sono denominate collettivamente anche «utenti»).

Scopo del trattamento

– Fornitura dell’offerta online, delle sue funzioni e dei suoi contenuti
– Risposta alle richieste di contatto e comunicazione con gli utenti
– Misure di sicurezza
– Misurazione della portata/marketing

Termini utilizzati

«Dati personali»: qualsiasi informazione relativa a una persona fisica identificata o identificabile (di seguito «interessato»); è considerata identificabile una persona fisica che può essere identificata direttamente o indirettamente, con particolare riferimento a un identificativo come un nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online (ad es. cookie) o a uno o più elementi caratteristici che sono espressione dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di tale persona fisica.

«Trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali. Il termine è ampio e comprende praticamente ogni trattamento di dati.

«Pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

«Profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

«Titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

«Responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Basi giuridiche determinanti

Ai sensi dell’art. 13 GDPR vi comunichiamo i fondamenti giuridici del nostro trattamento dei dati. A meno che la base giuridica non sia indicata nella dichiarazione sulla protezione dei dati, vale quanto segue: la base giuridica per la raccolta del consenso è l’art. 6 cpv. 1 lett. a e l’art. 7 GDPR, la base giuridica per il trattamento ai fini dell’adempimento delle nostre prestazioni e per l’esecuzione di misure contrattuali nonché la risposta alle richieste è l’art. 6 cpv. 1 lett. b GDPR, la base giuridica per il trattamento ai fini dell’adempimento dei nostri obblighi legali è l’art. 6, cpv. 1, lett. c GDPR, e la base giuridica per il trattamento a tutela dei nostri legittimi interessi è l’art. 6, cpv. 1, lett. f GDPR. Nel caso in cui gli interessi vitali dell’interessato o di un’altra persona fisica rendano necessario il trattamento dei dati personali, si applica l’art. 6, cpv. 1 lett. d GDPR come base giuridica.

Misure di sicurezza

Ai sensi dell’art. 32 GDPR mettiamo in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.

Le misure includono in particolare la garanzia della riservatezza, integrità e disponibilità dei dati controllando l’accesso fisico ai dati, così come l’accesso, l’immissione, la trasmissione, la garanzia della disponibilità e l’interruzione dei dati. Inoltre abbiamo introdotto procedure che garantiscono l’esercizio dei diritti dell’interessato, la cancellazione dei dati e la reazione in caso di pericolo per i dati. Inoltre consideriamo la protezione dei dati personali già durante lo sviluppo o la scelta di hardware, software e procedure conformemente al principio della protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (art. 25 GDPR).

Collaborazione con responsabili del trattamento e terzi

Qualora, nell’ambito del nostro trattamento, comunichiamo i dati ad altre persone e aziende (responsabili del trattamento o terzi), li divulghiamo o concediamo loro altrimenti l’accesso ai dati, ciò avviene solo sulla base di un consenso di legge (ad es. se la trasmissione dei dati a terzi, come a fornitori di servizi di pagamento, è necessaria ai fini dell’esecuzione del contratto ai sensi dell’art. 6 cpv. 1 lett. b GDPR) accordato dall’utente, che preveda un obbligo legale o sulla base dei nostri legittimi interessi (ad es. in caso di impiego di addetti, web host, ecc.).

Qualora affidiamo a terzi il trattamento dei dati sulla base di un cosiddetto «contratto di trattamento dei dati», ciò avviene ai sensi dell’art. 28 GDPR.

Trasmissioni a Paesi terzi

Qualora trattiamo dati in un Paese terzo (ovvero al di fuori dell’Unione Europea (UE) o dello Spazio Economico Europeo (SEE)) o ciò avvenga nell’ambito dell’utilizzo di servizi di terzi, della divulgazione o del trasferimento di dati a terzi, ciò si verifica solo ai fini dell’adempimento dei nostri obblighi (pre)contrattuali, sulla base del consenso dell’utente, di un obbligo legale o dei nostri legittimi interessi. Fatti salvi permessi legali o contrattuali, trattiamo o facciamo trattare i dati in un Paese terzo solo se sussistono i requisiti particolari di cui all’art. 44 ss. GDPR, ossia se il trattamento avviene sulla base, ad esempio, di garanzie speciali, come l’accertamento ufficialmente riconosciuto di un livello di protezione dei dati corrispondente all’UE (ad es. per gli USA, «Privacy Shield») o il rispetto di obblighi contrattuali speciali ufficialmente riconosciuti (le cosiddette «clausole contrattuali standard»).

Diritti degli interessati

L’interessato ha il diritto di ottenere una conferma dell’eventuale trattamento dei dati che lo riguardano e di ottenere informazioni su tali dati, nonché ulteriori informazioni e copia dei dati ai sensi dell’art. 15 GDPR (Diritto di accesso).

In conformità all’articolo 16 del GDPR, l’utente ha il diritto di ottenere l’integrazione dei dati o la rettifica dei dati inesatti che lo riguardano.

Ai sensi dell’art. 17 del GDPR, l’utente ha il diritto di ottenere la cancellazione dei dati in questione senza ingiustificato ritardo (diritto all’oblio) o, in alternativa, di ottenere una limitazione del trattamento dei dati ai sensi dell’art. 18 del GDPR.

L’interessato ha il diritto di ottenere i dati che lo riguardano e che ci ha messo a disposizione ai sensi dell’art. 20 GDPR e di richiederne la trasmissione ad altri titolari del trattamento.

Ai sensi dell’art. 77 GDPR l’utente ha inoltre il diritto di proporre reclamo all’autorità di controllo competente.

Diritto di revoca

L’interessato ha il diritto di revocare il consenso concesso ai sensi dell’art. 7, cpv. 3 GDPR con effetto per il futuro.

Diritto di opposizione

L’interessato può opporsi in qualsiasi momento al trattamento futuro dei dati che lo riguardano ai sensi dell’art. 21 del GDPR. L’opposizione può avvenire in particolare contro il trattamento per finalità di marketing diretto.

Cookie e diritto di opposizione in caso di pubblicità diretta

I «cookie» sono piccoli file che vengono memorizzati sui computer degli utenti. All’interno dei cookie possono essere memorizzati diversi dati. Un cookie serve principalmente a memorizzare i dati di un utente (o del dispositivo su cui è memorizzato il cookie) durante o dopo la visita all’interno di un’offerta online. Per cookie temporanei, «cookie di sessione» o «cookie transitori» si intendono i cookie che vengono cancellati quando un utente lascia un’offerta online e chiude il browser. In un cookie di questo tipo si può memorizzare, ad esempio, il contenuto di un carrello in uno shop online o uno stato di login. Per «permanenti» o «persistenti» si intendono i cookie che rimangono memorizzati anche dopo la chiusura del browser. Può essere salvato ad esempio lo stato di login se gli utenti effettuano una nuova visita dopo diversi giorni. Questi cookie possono anche contenere gli interessi degli utenti, che vengono utilizzati per la misurazione della raggiungibilità o per scopi di marketing. Per «cookie di terza parte» si intendono i cookie offerti da fornitori diversi dal titolare del trattamento che gestisce l’offerta online (altrimenti, se si tratta solo di questi cookie, si parla di «cookie di prima parte»).

Possiamo utilizzare cookie temporanei e permanenti e fornire informazioni al riguardo nell’ambito della nostra dichiarazione sulla protezione dei dati.

Se gli utenti non desiderano che i cookie siano memorizzati sul loro computer, sono pregati di disattivare l’opzione corrispondente nelle impostazioni di sistema del browser. I cookie salvati possono essere cancellati dalle impostazioni di sistema del browser. L’esclusione dei cookie può comportare limitazioni funzionali di questa offerta online.

Un’opposizione generale all’utilizzo dei cookie ai fini del marketing online può essere espressa per una vasta gamma di servizi, soprattutto nel caso del tracciamento, attraverso il sito statunitense http://www.aboutads.info/choices/ o il sito UE http://www.youronlinechoices.com/. Inoltre la memorizzazione dei cookie può essere ottenuta tramite la loro disattivazione nelle impostazioni del browser. Si prega di notare che in questo caso determinate funzioni di questa offerta online potrebbero non essere disponibili.

Cancellazione dei dati

I dati da noi trattati vengono cancellati o limitati nel loro trattamento ai sensi degli artt. 17 e 18 del GDPR. Salvo espressa indicazione nell’ambito della presente dichiarazione sulla protezione dei dati, i dati da noi salvati vengono cancellati non appena risultino non più necessari per lo scopo previsto e non sussistano obblighi di legge di conservazione che ne impediscano la cancellazione. Se i dati non vengono cancellati perché necessari per altri scopi e per legge, il loro trattamento viene limitato, ossia i dati vengono bloccati e non trattati per altri scopi. Ciò vale, ad esempio, per dati che devono essere conservati per motivi di diritto commerciale o fiscale.

Iscrizione ai commenti

L’utente può iscriversi ai commenti successivi prestando il proprio consenso ai sensi dell’art. 6, cpv. 1, lett. a del GDPR. L’utente riceve un’e-mail di conferma per verificare che sia effettivamente il titolare dell’indirizzo e-mail inserito. L’utente può revocare tale consenso in qualsiasi momento. L’e-mail di conferma contiene indicazioni sulle possibilità di revoca. A scopo di documentazione del consenso dell’utente, salviamo la data del consenso assieme all’indirizzo IP dell’utente e cancelliamo tali informazioni se l’utente lo revoca.

L’utente può revocare l’iscrizione e il consenso in qualsiasi momento. Possiamo conservare gli indirizzi e-mail registrati per un periodo massimo di tre anni sulla base dei nostri legittimi interessi prima di cancellarli, a scopo di documentazione del consenso precedentemente accordato. Il trattamento di tali dati è limitato allo scopo di evitare eventuali rivendicazioni. Una richiesta di cancellazione individuale è possibile in qualsiasi momento, a condizione che venga contemporaneamente confermata la precedente esistenza del consenso.

Utilizzo di emoji e smiley

All’interno del nostro blog WordPress vengono utilizzati emoji grafici (o smiley), cioè piccoli file grafici che esprimono emozioni, ricavati da server esterni. I fornitori dei server raccolgono gli indirizzi IP degli utenti. Ciò è necessario per poter trasmettere i file emoji ai browser dell’utente. Il servizio di emoji è fornito da Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA. Dichiarazione sulla protezione dei dati di Automattic: https://automattic.com/privacy/. I domini dei server utilizzati sono s.w.org e twemoji.maxcdn.com. Si tratta, per quanto a nostra conoscenza, di cosiddetti Content Delivery Network, ossia di server che servono solo a trasmettere file in modo rapido e sicuro e i dati personali degli utenti vengono cancellati dopo la trasmissione.

L’utilizzo di emoji avviene sulla base dei nostri legittimi interessi, ossia l’interesse di una rappresentazione attraente della nostra offerta online ai sensi dell’art. 6 cpv. 1 lett. f del GDPR.

Presa di contatto

Quando ci contatta (ad es. tramite modulo di contatto, e-mail, per telefono o sui social media), i dati dell’utente vengono trattati per la gestione della richiesta oggetto del contatto ai sensi dell’art. 6 cpv. 1 lett. b. (nell’ambito di rapporti contrattuali/precontrattuali), art. 6 cpv. 1 lett. f. (altre richieste) del GDPR. I dati dell’utente possono essere memorizzati in un sistema Customer Relationship Management («sistema CRM») o in un’organizzazione equivalente.

Cancelliamo le richieste quando non sono più necessarie, ne verifichiamo la necessità ogni due anni; applichiamo inoltre gli obblighi di legge in materia di archiviazione.

Newsletter – Mailchimp

L’invio della newsletter avviene tramite il fornitore di servizi di invio «MailChimp», una piattaforma per l’invio di newsletter di Rocket Science Group, LLC, 675 Ponce De Leon Ave NE #5000, Atlanta, GA 30308, USA. Le disposizioni sulla protezione dei dati del fornitore di servizi di invio possono essere consultate qui: https://mailchimp.com/legal/privacy/. The Rocket Science Group LLC d/b/a MailChimp è certificato tra l’altro ai sensi dell’accordo Privacy Shield e offre quindi una garanzia di rispettare il livello europeo di protezione dei dati (https://www.privacyshield.gov/participant?id=a2zt0000000TO6hAAG&status=Active). Il fornitore di servizi di invio viene impiegato sulla base dei nostri legittimi interessi ai sensi dell’art. 6, cpv. 1, lett. f del GDPR e di un contratto di trattamento dei dati ai sensi dell’art. 28, cpv. 3, frase 1 del GDPR.

Il fornitore di servizi di invio può utilizzare i dati dei destinatari in forma pseudonima, ossia senza attribuirli a un utente, per ottimizzare o migliorare i propri servizi, ad es. per ottimizzare tecnicamente l’invio e la presentazione della newsletter o per scopi statistici. Tuttavia il fornitore di servizi di invio non utilizza i dati dei destinatari della nostra newsletter per contattarli direttamente o non per divulgarli a terzi.

Newsletter – Misurazione dei risultati

Le newsletter contengono un cosiddetto «web beacon», ossia un file delle dimensioni di un pixel, che aprendo la newsletter viene richiamato dal nostro server o dal server di un eventuale fornitore di servizi di invio, del quale ci serviamo. Nell’ambito di questo richiamo vengono raccolte innanzitutto informazioni tecniche, come informazioni sul browser e sul sistema dell’utente, nonché il relativo indirizzo IP e l’ora della consultazione.

Queste informazioni vengono utilizzate per migliorare tecnicamente i servizi in base ai dati tecnici o ai gruppi target e al comportamento di lettura in base ai luoghi di accesso (determinabili con l’indirizzo IP) o agli orari di accesso. Le rilevazioni statistiche comprendono anche la verifica dell’apertura della newsletter, della data di apertura e dei link cliccati. Queste informazioni possono essere associate ai singoli destinatari della newsletter per motivi tecnici. Tuttavia non è nostra intenzione né quella del fornitore di servizi di invio, se impiegato, osservare i singoli utenti. Le analisi ci servono piuttosto per identificare le abitudini di lettura dei nostri utenti e per adattare i nostri contenuti di conseguenza o per inviare contenuti diversi in funzione degli interessi dei nostri utenti.

Purtroppo non è possibile revocare separatamente la misurazione dei risultati, ma bisogna disdire l’intero abbonamento alla newsletter.

Hosting e invio e-mail

I servizi di hosting da noi utilizzati servono a fornire i seguenti servizi: servizi di infrastruttura e piattaforma, capacità di calcolo, spazio di archiviazione e servizi di banche dati, invio di e-mail, prestazioni di sicurezza e manutenzione tecnica che impieghiamo ai fini della gestione della presente offerta online.

In tale contesto, noi o il nostro fornitore di hosting trattiamo dati anagrafici, di contatto, di contenuto, dati contrattuali, di utilizzo, metadati e dati di comunicazione di clienti, persone interessate e visitatori di questa offerta online sulla base dei nostri legittimi interessi per una fornitura efficiente e sicura della presente offerta online ai sensi dell’art. 6, cpv. 1, lett. f del GDPR in combinato disposto con l’art. 28 del GDPR (conclusione del contratto di trattamento dei dati).

Rilevamento dei dati di accesso e file di registro (logfile)

Noi o il nostro fornitore di hosting raccogliamo, sulla base dei nostri legittimi interessi ai sensi dell’art. 6, cpv. 1, lett. f del GDPR, dati su ogni accesso al server sul quale si trova tale servizio (detti file di registro o logfile del server). I dati di accesso includono nome del sito web visitato, file, data e ora della visita, quantità di dati trasferiti, notifica di avvenuta visita, tipo e versione del browser, sistema operativo dell’utente, il referrer URL (la pagina visitata in precedenza), l’indirizzo IP e il provider richiedente.

Le informazioni dei logfile vengono conservate per un periodo massimo di 7 giorni per motivi di sicurezza (ad es. in caso di abuso o frode) e successivamente cancellate. I dati la cui conservazione ulteriore è necessaria a scopo di evidenza non possono essere cancellati fino al chiarimento definitivo del corrispondente caso.

Presenza online sui social media

Siamo presenti online su social network e piattaforme per comunicare con clienti, persone interessate e utenti attivi e per informarli sulle nostre prestazioni. All’apertura delle corrispondenti reti e piattaforme si applicano le condizioni generali e le direttive sul trattamento dei dati dei rispettivi gestori.

Se non diversamente indicato nella nostra dichiarazione sulla protezione dei dati, trattiamo i dati dell’utente qualora questi comunichi con noi all’interno di social network e piattaforme, ad es. scrivendo e inviando messaggi e commenti sulle nostre pagine online.

Integrazione di servizi e contenuti di terzi

All’interno della nostra offerta online, sulla base dei nostri legittimi interessi (ossia l’interesse ad analizzare, ottimizzare e gestire sotto il profilo economico la nostra offerta online ai sensi dell’art. 6 cpv. 1 lett. f del GDPR), utilizziamo offerte di contenuti o servizi di terzi, al fine di integrare i loro contenuti e servizi, come video o font (di seguito denominati «contenuti» per uniformità).

Ciò presuppone sempre che i fornitori terzi di tali contenuti siano a conoscenza dell’indirizzo IP degli utenti poiché, senza indirizzo IP, non potrebbero inviare i contenuti ai loro browser. L’indirizzo IP è quindi necessario per la visualizzazione di tali contenuti. Ci impegniamo ad utilizzare solo i contenuti i cui fornitori impiegano l’indirizzo IP soltanto per fornire i contenuti. I fornitori terzi possono anche utilizzare i cosiddetti pixel tag (immagini grafiche invisibili, detti anche web beacon) per scopi statistici o di marketing. I pixel tag consentono di analizzare informazioni come il traffico dei visitatori sulle pagine di questo sito. Le informazioni pseudonime possono anche essere memorizzate nei cookie sul dispositivo dell’utente e contenere, tra l’altro, informazioni tecniche sul browser e sul sistema operativo, siti web di riferimento, orari di visita e altre informazioni sull’utilizzo della nostra offerta online, nonché essere collegate con tali informazioni da altre fonti.

Google Maps

Integriamo le mappe del servizio «Google Maps» del fornitore Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. I dati trattati possono comprendere in particolare indirizzi IP e dati di posizione degli utenti, che tuttavia non possono essere raccolti senza il loro consenso (di norma concesso nelle impostazioni dei rispettivi dispositivi mobili). I dati possono essere trattati negli USA. Dichiarazione sulla protezione dei dati: https://www.google.com/policies/privacy/, opt-out: https://adssettings.google.com/authenticated.