DATENSCHUTZERKLÄRUNG GEMÄSS ARTIKEL 12, 13 UND GEGEBENENFALLS 14 DER DSGVO – VERORDNUNG (EU) 2016/679 ZUM SCHUTZ NATÜRLICHER PERSONEN BEI DER VERARBEITUNG PERSONENBEZOGENER DATEN (NACHSTEHEND DIE DSGVO)
Der Verantwortliche gibt nachstehend die Datenschutzerklärung gemäß Art. 12, 13 und gegebenenfalls 14 der DSGVO wieder, die die Verarbeitung der personenbezogenen Daten betrifft, die vom Kunden/Betroffenen durch Ausfüllen und Unterzeichnen des Vertrags zum Kauf der vom Verantwortlichen angebotenen Produkte/Dienstleistungen mitgeteilt werden, indem er personenbezogene Daten freiwillig auf die Website lädt (insbesondere durch Ausfüllen von Formularen) oder einfach in dieser navigiert.
1. Verantwortlicher und Kontaktdaten
Der Verantwortliche ist Studio Legale Associato Burchia, Eccher & Eheim mit Firmensitz in 39100 Bolzano , Via Via della Rena 3, USt-IdNr. 01661360212 Tel. 39 0471300534, , E-Mail info@lex.bz.it, Web https://www.burchiaeccher.it/ (nachstehend die Website).
2. Auf die Verarbeitung anwendbare Grundsätze
Entsprechend den Vorschriften der DSGVO bemüht sich der Verantwortliche ständig darum, dass die personenbezogenen Daten:
- auf rechtmäßige, korrekte und transparente Weise verarbeitet werden;
- für festgelegte, ausdrückliche und rechtmäßige Zwecke erhoben und anschließend auf eine mit diesen Zwecken vereinbare Art verarbeitet werden;
- angemessen, relevant und auf das beschränkt sind, was für die Zwecke, für die sie verarbeitet werden, erforderlich ist;
- richtig sind und bei Bedarf aktualisiert werden;
- nur für einen Zeitraum gespeichert werden, der zum Erreichen der Zwecke, für die sie verarbeitet werden, unbedingt notwendig ist;
- mithilfe geeigneter technischer und organisatorischer Maßnahmen verarbeitet werden, die ihre Sicherheit gewährleisten;
- falls eine Einwilligung erforderlich ist, nach freiwilliger Entscheidung des Kunden/Betroffenen auf der Grundlage einer Anforderung, die deutlich vom Übrigen zu unterscheiden ist und in verständlicher und leicht zugänglicher Form, in einer einfachen, klaren Sprache formuliert ist, verarbeitet werden.
Der Verantwortliche ergreift geeignete technische und organisatorische Maßnahmen, um den Datenschutz durch Technikgestaltung und durch entsprechende Voreinstellungen zu sichern und zu gewährleisten, dass nur die für jeden besonderen Verarbeitungszweck erforderlichen Daten verarbeitet werden.
Der Verantwortliche erfasst an die oben angeführten Adressen übermittelte Angaben, Bemerkungen und Meinungen des Kunden/Betroffenen und schenkt ihnen höchste Beachtung, um ein dynamisches Datenschutzmanagement zu implementieren, das den effektiven Schutz der Personen in Bezug auf die Verarbeitung ihrer Daten gewährleistet.
Die vorliegende Datenschutzerklärung kann im Zusammenhang mit der Weiterentwicklung der einschlägigen Rechtsvorschriften und der nach und nach vom Verantwortlichen ergriffenen technischen und organisatorischen Maßnahmen Änderungen unterliegen. Der Kunde/Betroffene wird daher gebeten, den vorliegenden Teil der Website regelmäßig zu besuchen, um die Aktualisierungen und den jeweils gültigen Text der Datenschutzerklärung einzusehen.
3. Modalitäten der Verarbeitung personenbezogener Daten
Die Verarbeitung der personenbezogenen Daten erfolgt manuell und mit elektronischen Geräten, mit Systemen, die eng mit den nachstehend angegebenen Zwecken in Verbindung stehen, und jedenfalls auf eine Weise, die die Sicherheit und Vertraulichkeit der Daten gewährleistet.
4. Zwecke der Verarbeitung personenbezogener Daten
(4a) Zwecke, für die die Datenverarbeitung notwendig ist
Die vom Kunden/Betroffenen mitgeteilten personenbezogenen Daten werden hauptsächlich zur Erfüllung des Vertrags und zur Verwaltung des Kredits und im Allgemeinen der aus dem Vertrag entstehenden Beziehung verarbeitet.
Die Mitteilung der Daten im Vertrag oder anschließend im Laufe des Vertragsverhältnisses für die genannten Verarbeitungszwecke ist zwingend vorgeschrieben. Falls diese Daten nicht, nur teilweise oder unrichtig mitgeteilt werden, ist der Abschluss und/oder die Erfüllung des Vertrags nicht möglich, sodass der Kunde/Betroffene die vom Verantwortlichen angebotenen Produkte/Dienstleistungen nicht nutzen kann und möglicherweise auf Nichterfüllung des Vertrags beruhender Haftung ausgesetzt ist.
Die vom Kunden/Betroffenen mitgeteilten personenbezogenen Daten können ebenfalls Gegenstand der Verarbeitung sein, wenn dies zur Erfüllung einer gesetzlichen Verpflichtung des Verantwortlichen, zur Wahrung der vitalen Interessen des Kunden/Betroffenen oder einer anderen natürlichen Person, zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, oder zur Wahrung des berechtigten Interesses des Verantwortlichen oder dritter Personen notwendig ist, sofern die Interessen oder Rechte und Freiheiten des Kunden/Betroffenen nicht überwiegen. Auch in diesen Fällen ist die Aushändigung der Daten zwingend vorgeschrieben, daher kann der Kunde/Betroffene bei nicht oder nur teilweise erfolgender oder unrichtiger Mitteilung der Daten eventuell von der Rechtsordnung vorgesehener Haftung und Sanktionen ausgesetzt sein.
(4b) Weitere Zwecke der Verarbeitung nach besonderer, ausdrücklicher Einwilligung des Kunden/Betroffenen
Über die oben genannten Verarbeitungszwecke hinaus können die ausgehändigten/erfassten personenbezogen Daten nach Einwilligung des Kunden/Betroffenen, die durch Ankreuzen des Kästchens <<Einwilligung erteilen >> im Vertrag oder auf der Website (oder mithilfe anderer Social-Media- oder Web-Anwendungen des Verantwortlichen) erfolgt, auch zur Durchführung von Marktforschungen und zum Senden von Handels- und Werbemitteilungen, per Telefon (auch unter Verwendung der mitgeteilten Mobiltelefonnummer) und mit elektronischen Kommunikationssystemen (E-Mail, SMS, MMS, Fax usw.), über Produkte/Dienstleistungen des Verantwortlichen oder von Unternehmen der Gruppe, der der Verantwortliche eventuell angehört, verarbeitet werden.
Die Einwilligung für die in diesem Punkt (4b) genannten Verarbeitungszwecke ist freiwillig, bei eventueller Verweigerung werden die Daten nur für die im vorhergehenden Punkt (4a) angegebenen Zwecke verarbeitet, unter Vorbehalt der nachstehenden Angaben in Bezug auf die berechtigten Interessen des Verantwortlichen oder dritter Personen.
5. Verarbeitete Kategorien von personenbezogenen Daten
Der Verantwortliche verarbeitet hauptsächlich zur Identifizierung dienende Daten / Kontaktdaten (Vorname, Nachname, Anschriften, Art und Nummer von Ausweisdokumenten, Telefonnummern, E-Mail-Adressen, Steuer-/Rechnungsadressen und evtl. sonstige) und, falls Handelsgeschäfte vorgesehen sind, Finanz- und Bankangaben (insbesondere Kontodaten, Kreditkartennummern, evtl. sonstige mit den vorgenannten Handelsgeschäften verbundene Angaben).
Die Verarbeitung, die der Verantwortliche vornimmt, sowohl zur Erfüllung des Vertrags als auch kraft ausdrücklicher Einwilligung des Kunden/Betroffenen, betrifft in der Regel weder die besonderen Kategorien von personenbezogen Daten, die als sensible Daten bekannt sind (aus denen die rassische oder ethnische Herkunft, politische Einstellungen, religiöse Überzeugungen, der Gesundheitszustand oder die sexuelle Orientierung usw. hervorgehen), noch genetische und biometrische Daten oder sogenannte Gerichtsdaten (die strafrechtliche Verurteilungen und Straftaten betreffen).
Es kann jedoch nicht ausgeschlossen werden, dass der Verantwortliche zur Erfüllung der sich aus dem Vertrag ergebenden Verpflichtungen sensible, genetische, biometrische oder Gerichtsdaten des Kunden/Betroffenen oder dritter Personen, über die der Kunde/Betroffene als Verantwortlicher verfügt, speichern und/oder verarbeiten muss. Im betreffenden angenommenen Fall erfolgt die Verarbeitung durch den Verantwortlichen kraft, zu den Bedingungen und innerhalb der Grenzen der Ernennung des Verantwortlichen zum Auftragsverarbeiter seitens des Kunden/Betroffenen.
Der Verantwortliche verarbeitet als Verantwortlicher in Bezug auf die Website und möglicherweise als vom Kunden/Betroffenen damit beauftragter Auftragsverarbeiter (siehe oben) auch die sogenannten Navigationsdaten. Die Computersysteme und Software-Verfahren zum Betrieb der Internetseiten erfassen im Laufe ihres normalen Betriebs einige personenbezogene Daten, deren Übertragung in den Kommunikationsprotokollen des Internets implizit enthalten ist. Diese Daten werden nicht erhoben, um mit bestimmten Personen in Verbindung gebracht zu werden, können aber aufgrund ihrer Natur eine Identifizierung der betroffenen Person ermöglichen. Zu dieser Datenkategorie gehören Geo-Lokalisierungsdaten, IP-Adressen, Browsertyp, Betriebssystem, Domänenname und Adressen von Websites, über die der Zugriff oder das Verlassen erfolgte, Informationen über die von den Nutzern besuchten Seiten innerhalb der Website, Uhrzeit des Zugriffs, Verbleiben auf der einzelnen Seite, Pfadanalyse und sonstige Parameter, die das Betriebssystem und die IT-Umgebung des Nutzers betreffen. Es handelt sich hier um Informationen, die aufgrund ihrer Natur durch Verarbeitung und Verknüpfung auch mit Daten, die im Besitz dritter Personen sind, eine Identifizierung der Nutzer ermöglichen.
Auf der Website können auch Cookies verwendet werden, und zwar sowohl Sitzungscookies (die nicht auf dem Computer der betroffenen Person gespeichert werden und beim Schließen des Browsers verschwinden) als auch dauerhafte Cookies zur Übertragung von Informationen persönlicher Natur oder jedenfalls Systeme zur Verfolgung der betroffenen Personen.
6. Herkunft der personenbezogenen Daten
Die personenbezogenen Daten, die der Verantwortliche verarbeitet, werden direkt vom Verantwortlichen beim Kunden/Betroffenen zum Zeitpunkt und während der Navigation auf der Website (oder mithilfe anderer Social-Media- oder Web-Anwendungen des Verantwortlichen) oder auch mittels seiner Verkäufer anlässlich oder nach der Unterzeichnung des Vertrags oder bei dessen Erfüllung oder aus öffentlichen Quellen erhoben.
Wie oben angegeben, kann der Verantwortliche als damit beauftragter Auftragsverarbeiter zur Erfüllung der sich aus dem Vertrag ergebenden Verpflichtungen Daten, insbesondere Navigationsdaten, potenziell auch sensible, genetische und biometrische oder Gerichtsdaten dritter Personen speichern und/oder verarbeiten, über die der Kunde/Betroffene als Verantwortlicher verfügt und die nach vorheriger Einwilligung der besagten dritten Personen zum Zeitpunkt und während der Navigation dieser dritten Personen auf der Website (oder mithilfe anderer, den Verantwortlichen betreffenden Social-Media- oder Web-Anwendungen) erfasst wurden.
7. Berechtigte Interessen
Die berechtigten Interessen des Verantwortlichen oder dritter Personen können eine gültige Rechtsgrundlage der Verarbeitung darstellen, sofern die Interessen oder Rechte und Freiheiten der betroffenen Person nicht überwiegen. Im Allgemeinen können solche berechtigten Interessen vorhanden sein, wenn eine relevante und geeignete Beziehung zwischen dem Verantwortlichen und der betroffenen Person besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist. Ein berechtigtes Interesse des Verantwortlichen stellt insbesondere die Verarbeitung personenbezogener Daten des Kunden/Betroffenen dar: zur Verhinderung von Betrug, zum Zweck der Direktwerbung, zur Gewährleistung des freien Verkehrs dieser Daten innerhalb der Unternehmensgruppe, zu der der Verantwortliche eventuell gehört, oder von Verkehrsdaten, um die Netz- und Informationssicherheit zu gewährleisten, d. h. die Fähigkeit eines Netzes oder Informationssystems, Störungen oder widerrechtliche oder mutwillige Eingriffe abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit der Daten beeinträchtigen.
8. Datenverkehr
(8a) Mitteilung der personenbezogenen Daten – Kategorien von Empfängern
Außer von den Beschäftigten und sonstigen Mitarbeitern des Verantwortlichen (die vom Verantwortlichen selbst zur Verarbeitung aufgrund angemessener schriftlicher Anweisungen ermächtigt werden, um die Vertraulichkeit und Sicherheit der Daten gewährleisten zu können) können einige Datenverarbeitungsvorgänge auch von dritten Personen ausgeführt werden, die der Verantwortliche mit einigen den in Punkt (4a) genannten Zwecken dienenden Tätigkeiten oder Teilen davon zur Erfüllung sowohl vertraglicher als auch gesetzlicher Verpflichtungen beauftragt. Unter diesen sind folgende Personen und Einrichtungen zu erwähnen, aber nicht auf sie beschränkt: Handels- und Technikpartner; Unternehmen für Bank- und Finanzdienstleistungen; Dienstleister im Bereich der Dokumentenarchivierung; Inkassounternehmen; Wirtschaftsprüfungs- und Bilanzierungsgesellschaften; Ratingagenturen; Personen, die Unterstützungs- und Beratungstätigkeiten im Interesse des Verantwortlichen ausüben; Kundenservicegesellschaften; Factoring-Unternehmen zur Verbriefung von Krediten und Forderungen und zur Forderungsabtretung; Unternehmen der Gruppe, der der Verantwortliche eventuell angehört; Wirtschaftsauskunfteien; IT-Dienstleistungsunternehmen. Die zu den vorgenannten Kategorien gehörenden Personen und Einrichtungen verarbeiten die personenbezogenen Daten als selbstständige Auftragsverarbeiter in Bezug auf spezifische Datenverarbeitungsvorgänge, die unter die vertraglichen Leistungen fallen, die diese Personen und Einrichtungen zugunsten/im Interesse des Verantwortlichen ausführen. Der Verantwortliche erteilt den Auftragsverarbeitern angemessene schriftliche Verfahrensanweisungen mit besonderem Bezug auf die zu ergreifenden Mindestsicherheitsmaßnahmen zur Gewährleistung der Datensicherheit.
Einige Datenverarbeitungsvorgänge können von dritten Personen ausgeführt werden, die der Verantwortliche mit einigen Tätigkeiten oder Teilen davon beauftragt, die den in Punkt (4b) genannten Zwecken dienen. Unter diesen sind folgende Personen und Einrichtungen zu erwähnen, aber nicht auf sie beschränkt: Handels- und Technikpartner; Marketinggesellschaften; Werbeagenturen; Personen, die Unterstützungs- und Beratungstätigkeiten in Bezug auf Preisausschreiben und Prämienaktionen ausüben. Die zu den vorgenannten Kategorien gehörenden Personen und Einrichtungen verarbeiten die personenbezogenen Daten als selbstständige Auftragsverarbeiter in Bezug auf spezifische Datenverarbeitungsvorgänge, die unter die vertraglichen Leistungen fallen, die diese Personen und Einrichtungen zugunsten/im Interesse des Verantwortlichen ausführen. Der Verantwortliche erteilt den Auftragsverarbeitern angemessene schriftliche Verfahrensanweisungen mit besonderem Bezug auf die zu ergreifenden Mindestsicherheitsmaßnahmen zur Gewährleistung der Datensicherheit.
Das Verzeichnis der Auftragsverarbeiter, mit denen der Verantwortliche Beziehungen unterhält, ist auf schriftliche Anforderung, die an den Geschäftssitz des Verantwortlichen zu senden ist, erhältlich.
Die personenbezogenen Daten können ferner im Fall der Anforderung zur Erfüllung von Verpflichtungen, die sich aus unabdingbaren Rechtsvorschriften ergeben, den zuständigen Behörden offengelegt werden.
(8b) Übermittlung personenbezogener Daten an Drittländer
Die personenbezogenen Daten des Kunden/Betroffenen können auch ins Ausland, sowohl an EU-Länder als auch an Nicht-EU-Länder, übermittelt werden, im letzteren Fall entweder auf der Grundlage eines Angemessenheitsbeschlusses oder im Bereich und mit den geeigneten Garantien, die von der DSGVO vorgesehen sind (insbesondere, wenn von der Europäischen Kommission verabschiedete Standardvertragsklauseln zum Datenschutz vorliegen), oder, wenn die obigen Voraussetzungen nicht gegeben sind und eine oder mehrere der von der DSGVO vorgesehenen Ausnahmen vorliegen (insbesondere bei ausdrücklicher Einwilligung des Kunden/Betroffenen oder zur Erfüllung eines vom Kunden/Betroffenen abgeschlossenen Vertrags oder zur Erfüllung eines im Interesse des Kunden/Betroffenen von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags, insbesondere zur Ausführung von Tätigkeiten, die dieser vom Verantwortlichen zur Erfüllung des mit dem Kunden/Betroffenen geschlossenen Vertrags) übertragen wurden. Im Fall der Datenübermittlung an Nicht-EU-Länder hat der Kunde/Betroffene das Recht, nach schriftlicher Anforderung, die an den Geschäftssitz des Verantwortlichen zu richten ist, die geeigneten Garantien bzw. die Ausnahmen zu erfahren, die die grenzüberschreitende Verarbeitung rechtfertigen. Im Fall der Datenübermittlung an Nicht-EU-Länder kann sich der Kunde/Betroffene auf jeden Fall für jede die Daten betreffende Anfrage, auch zur Ausübung der ihm von der DSGVO zuerkannten Rechte stets wirksam an den Verantwortlichen wenden.
9. Kriterien zur Festlegung der Dauer der Speicherung personenbezogener Daten
Für die im vorhergehenden Punkt (4a) genannten Zwecke entspricht die Dauer der Speicherung der vom Kunden/Betroffenen ausgehändigten personenbezogenen Daten – und folglich deren mögliche Verarbeitung – der Verjährungsfrist der Rechte/Pflichten (gesetzliche, steuerrechtliche usw.), die sich aus dem Vertrag ergeben: tendenziell 10 Jahre, unter Vorbehalt von Ereignissen, die eine Unterbrechung der Verjährungsfrist bewirken und daher die besagte Frist faktisch verlängern können.
Für die im vorhergehenden Punkt (4b) genannten Zwecke endet die Speicherfrist der vom Kunden/Betroffenen ausgehändigten personenbezogenen Daten – und folglich deren mögliche Verarbeitung – mit dem Widerruf der zuvor vom Kunden/Betroffenen erteilten Einwilligung oder mangels dessen auf jeden Fall nach Ablauf eines Jahres nach der Beendigung jeder Beziehung zwischen dem Verantwortlichen und dem Kunden/Betroffenen.
10. Rechte des Kunden/Betroffenen
Der Verantwortliche erkennt alle von der DSGVO vorgesehenen Rechte zu und erleichtert deren Ausübung vonseiten des Kunden/Betroffenen, insbesondere das Recht auf Auskunft über die personenbezogenen Daten und auf Erhalt einer Kopie davon (Art. 15 DSGVO), auf ihre Berichtigung (Art. 16 DSGVO) und auf ihre Löschung (Art. 17 DSGVO), auf Einschränkung der ihn betreffenden Verarbeitung (Art. 18 DSGVO), auf Datenübertragbarkeit (Art. 20 DSGVO, falls die Voraussetzungen dafür gegeben sind) und auf Widerspruch gegen die ihn betreffende Verarbeitung (Art. 21 und 22 DSGVO in den dort erwähnten Fällen, insbesondere gegen die Verarbeitung für Werbezwecke oder mit automatisierter Entscheidungsfindung – einschließlich Profiling -, die ihr gegenüber rechtliche Wirkung entfaltet, falls die Voraussetzungen dafür gegeben sind).
Der Verantwortliche erkennt dem Kunden/Betroffenen, falls die Verarbeitung auf Einwilligung beruht, ebenfalls das Recht zu, diese Einwilligung jederzeit zu widerrufen, ohne dass dadurch die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. Dazu kann der Kunde/Betroffene sich jederzeit endgültig von der Website (oder von anderen Social-Media- oder Web-Anwendungen) abmelden, indem er den betreffenden Link benutzt, der am unteren Rand jeder erhaltenen Handelsmitteilung vorhanden ist, oder indem er sich über die oben angegebenen Adressen an den Verantwortlichen wendet.
Der Verantwortliche informiert den Kunden/Betroffenen ferner über sein Recht, bei einer Aufsichtsbehörde für den Datenschutz (in Italien ist dies der „Garante per la Protezione dei Dati Personali“) Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen, und zwar sowohl gegen eine Entscheidung der Aufsichtsbehörde als auch gegen den Verantwortlichen und/oder einen Auftragsverarbeiter.
11. Sicherheit der Informationssysteme und der personenbezogenen Daten
Unter Berücksichtigung des Stands der Technik und der Implementierungskosten sowie der Art, des Gegenstands, des Zusammenhangs und der Zwecke der Verarbeitung wie auch der Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen ergreift der Verantwortliche geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Sie schließen insbesondere Folgendes ein: die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen (gegebenenfalls auch durch Verschlüsselung der personenbezogenen Daten), und die Fähigkeit, die Verfügbarkeit der Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, sowie interne Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der ergriffenen technischen und organisatorischen Maßnahmen.
Bei der Beurteilung des angemessenen Schutzniveaus werden die mit der Datenverarbeitung verbundenen Risiken berücksichtigt, insbesondere Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang — ob unbeabsichtigt oder unrechtmäßig — zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten.
Der Kunde/Betroffene nimmt zur Kenntnis und akzeptiert, dass kein Sicherheitssystem mit Gewissheit absoluten Schutz gewährleisten kann. Der Verantwortliche haftet daher nicht für Handlungen dritter Personen, die trotz der getroffenen geeigneten Vorkehrungen ohne entsprechende Genehmigungen missbräuchlich auf die Systeme zugreifen sollten.
12. Automatisierte Entscheidungsfindung, einschließlich Profiling
Der Verantwortliche kann in Bezug auf die im vorhergehenden Punkt (4b) genannten Zwecke automatisierte Datenverarbeitungsvorgänge – einschließlich Profiling – vornehmen, um die Website-Navigation (oder die Nutzung anderer Social-Media- oder Web-Anwendungen) zu optimieren und um das Kauferlebnis zu verbessern, unter Vorbehalt der obigen Angaben bezüglich des Rechts des Kunden/Betroffenen auf Widerspruch und auf Widerruf der Einwilligung.
Unter Profiling wird jede Art der automatisierten Verarbeitung personenbezogener Daten verstanden, die darin besteht, bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, zum Beispiel persönliche Vorlieben, Interessen oder Aufenthaltsort dieser Person zu analysieren oder vorherzusagen, auch um Profile oder Personengruppen mit gleichartigen Merkmalen, Interessen oder Verhaltensweisen zu erstellen.
Der Verantwortliche nimmt keine automatisierte Datenverarbeitung vor, die dem Kunden/Betroffenen gegenüber rechtliche Wirkung entfaltet oder ihn in ähnlicher Weise erheblich beeinträchtigt, es sei denn, dass es für den Abschluss oder die Erfüllung des Vertrags notwendig ist, nach dem Gesetz zulässig ist oder auf der ausdrücklichen Einwilligung des Kunden/Betroffenen beruht. Diesem wird auf jeden Fall stets das Recht auf Erwirkung des Eingreifens einer Person, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung zuerkannt.
INFORMATIVA ESTESA AI SENSI DEGLI ARTT. 12, 13 E, OCCORRENDO, 14 DEL GDPR – REGOLAMENTO (UE) 2016/679 RELATIVO ALLA PROTEZIONE DELLE PERSONE FISICHE, CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI (DI SEGUITO IL GDPR)
Il titolare del trattamento riporta, di seguito, l’Informativa ai sensi degli artt. 12, 13 e, occorrendo, 14 del GDPR relativa al trattamento dei dati personali forniti dal Cliente/interessato tramite la compilazione e sottoscrizione del Contratto per acquistare i prodotti/servizi offerti in vendita dal titolare del trattamento stesso, caricando spontaneamente in questo sito web dati personali (in particolare attraverso la compilazione di form) o semplicemente navigando in esso.
1. Titolare del trattamento e dati di contatto
Titolare del trattamento è Studio Legale Associato Burchia, Eccher & Eheim, con sede in 39100 Bolzano, Via della Rena 3, P.I. 01661360212, tel. +39 0471300534, e-mail info@lex.bz.it, web https://www.burchiaeccher.it/(di seguito il Sito).
2. Principi applicabili al trattamento
Conformemente a quanto prescritto dal GDPR, il titolare del trattamento si adopera costantemente affinché i dati personali siano:
- trattati in modo lecito, corretto e trasparente;
- raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
- adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- esatti e, se necessario, aggiornati;
- conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
- trattati, mediante misure tecniche e organizzative adeguate, in maniera da garantirne la sicurezza;
- trattati, qualora in forza di consenso, per decisione liberamente assunta dal Cliente/interessato, sulla base di richiesta presentata in modo chiaramente distinguibile dal resto, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.
Il titolare del trattamento adotta misure tecniche e organizzative adeguate al fine di assicurare la protezione dei dati personali fin dalla progettazione e per garantire che siano trattati, per impostazione predefinita, solo i dati necessari per ogni specifica finalità di trattamento.
Il titolare del trattamento raccoglie e tiene nella massima considerazione indicazioni, osservazioni e pareri del Cliente/interessato trasmessi ai recapiti sopra riportati, al fine di implementare un sistema di privacy management dinamico che assicuri effettiva protezione delle persone, con riguardo al trattamento dei loro dati.
La presente Informativa può subire modifiche, in coerenza con l’evoluzione della normativa di riferimento e delle misure tecniche e organizzative via via adottate dal titolare del trattamento; il Cliente/interessato è, dunque, pregato di visitare periodicamente la presente sezione del Sito, per prendere visione degli aggiornamenti e dell’Informativa nel testo tempo per tempo vigente.
3. Modalità del trattamento dei dati personali
Il trattamento dei dati personali viene effettuato manualmente e con strumenti elettronici, con logiche strettamente correlate alle finalità di seguito indicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi.
4. Finalità del trattamento dei dati personali
(4a) Finalità per cui il trattamento dei dati è necessario
I dati personali forniti dal Cliente/interessato sono principalmente trattati per l’esecuzione del Contratto e la gestione del credito e, più in generale, del rapporto nascente dal Contratto stesso.
Il conferimento dei dati nel Contratto o in seguito, nel corso del rapporto contrattuale, per le finalità di trattamento in parola è obbligatorio; pertanto, il mancato, parziale o inesatto conferimento di tali dati rende impossibile la stipula e/o l’esecuzione del Contratto e, per il Cliente/interessato, usufruire dei prodotti/servizi offerti dal titolare del trattamento, potenzialmente esponendo il Cliente/interessato medesimo a responsabilità per inadempimento contrattuale.
I dati personali forniti dal Cliente/interessato possono, altresì, formare oggetto di trattamento se ciò è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento, per la salvaguardia degli interessi vitali del Cliente/interessato o di un’altra persona fisica, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, ovvero per il perseguimento del legittimo interesse del titolare del trattamento stesso o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali del Cliente/interessato; anche in questi casi, il conferimento dei dati è obbligatorio e, pertanto, la mancata, parziale o inesatta comunicazione dei dati può esporre il Cliente/interessato a eventuali responsabilità e sanzioni previste dall’Ordinamento giuridico.
(4b) Ulteriori finalità del trattamento a seguito di specifico ed espresso consenso del Cliente/interessato
Oltre che per le finalità di trattamento di cui sopra, i dati personali conferiti/acquisiti possono essere trattati, previo consenso del Cliente/interessato, da esprimere selezionando la casella <<Presta il consenso>> sul Contratto o sul Sito (o utilizzando altre applicazioni social o web del titolare del trattamento), anche per lo svolgimento di indagini di mercato e per effettuare comunicazioni commerciali e promozionali, tramite telefono (anche utilizzando il numero di cellulare fornito) e sistemi automatizzati di contatto (e-mail, sms, mms, fax, ecc.), su prodotti/servizi del titolare del trattamento o di società del Gruppo cui il titolare del trattamento eventualmente appartiene.
Il consenso per le finalità di trattamento di cui al presente punto (4b) è facoltativo; pertanto, a seguito di eventuale diniego, i dati saranno trattati per le sole finalità indicate al precedente punto (4a), salvo quanto di seguito specificato con riferimento agli interessi legittimi del titolare del trattamento o di terzi
5. Categorie di dati personali trattati
Il titolare del trattamento tratta principalmente dati identificativi/di contatto (nome, cognome, indirizzi, tipo e numero di documenti di riconoscimento, numeri di telefono, indirizzi e-mail, di natura fiscale/di fatturazione, salvo altri) e, qualora siano previste transazioni commerciali, dati finanziari (di natura bancaria, in particolare identificativi di conti correnti, numeri di carte di credito, salvo altri connessi alle predette transazioni commerciali).
Il trattamento che il titolare del trattamento effettua, tanto per l’esecuzione del Contratto quanto in forza di espresso consenso del Cliente/interessato, non riguarda, generalmente, categorie particolari di dati personali, conosciuti come sensibili (che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose, lo stato di salute o l’orientamento sessuale, ecc.), né dati genetici e biometrici o dati cosiddetti giudiziari (relativi a condanne penali e reati).
Tuttavia, non può escludersi che il titolare del trattamento, al fine di eseguire le obbligazioni discendenti dal Contratto, debba conservare e/o abbia la necessità di trattare dati sensibili, genetici e biometrici o giudiziari, del Cliente/interessato o di terzi, di cui il Cliente/interessato disponga in qualità di titolare del trattamento; nell’ipotesi in parola, il trattamento ad opera del titolare del trattamento avviene in forza, alle condizioni e nei limiti di cui alla nomina dello stesso titolare del trattamento a responsabile del trattamento, ad opera del Cliente/interessato.
Il titolare del trattamento tratta, in qualità di titolare del trattamento con riferimento al Sito, e, potenzialmente, quale responsabile del trattamento a ciò incaricato (nei termini di cui sopra) dal Cliente/interessato, anche i cosiddetti dati di navigazione. I sistemi informatici e le procedure software preposte al funzionamento dei siti internet acquisiscono, nel corso del loro normale esercizio, alcuni dati personali, la cui trasmissione è implicita nell’uso di protocolli di comunicazione di internet. Si tratta di informazioni che non sono raccolte per essere associate a soggetti identificati, ma che, per la loro stessa natura, potrebbero permettere di identificare l’interessato. In questa categoria di informazioni rientrano dati di geolocalizzazione, indirizzi IP, tipo di browser, sistema operativo, nome di dominio e indirizzi di siti web dai quali è stato effettuato l’accesso o l’uscita, informazioni sulle pagine visitate dagli utenti all’interno del sito, orario d’accesso, permanenza sulla singola pagina, analisi di percorso interno ed altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente. Si tratta, dunque, di informazioni che, per loro stessa natura, consentono, attraverso elaborazioni ed associazioni anche con dati detenuti da terzi, di identificare gli utenti.
Sul Sito può, poi, essere fatto uso di cookies, sia di sessione (che non vengono memorizzati sul computer dell’interessato e svaniscono con la chiusura del browser) che persistenti, per la trasmissione di informazioni di carattere personale, ovvero comunque di sistemi per il tracciamento degli interessati.
6. Fonte dei dati personali
I dati personali che il titolare del trattamento tratta sono raccolti direttamente dal titolare del trattamento stesso presso il Cliente/interessato al momento della, e durante la, navigazione di questo sul Sito (o utilizzando altre applicazioni social o web del titolare del trattamento), ovvero, anche a mezzo dei propri commerciali, in occasione della, o successivamente alla, sottoscrizione del Contratto, in fase di esecuzione del medesimo, ovvero da fonti pubbliche.
Come precisato sopra, il titolare del trattamento, quale responsabile del trattamento a ciò incaricato, al fine di eseguire le obbligazioni discendenti dal Contratto, può conservare e/o trattare dati, in particolare di navigazione, potenzialmente anche sensibili, genetici e biometrici o giudiziari, di terzi, di cui il Cliente/interessato disponga in qualità di titolare del trattamento, acquisiti, previo consenso di detti terzi, al momento della, e durante la, navigazione dei medesimi terzi sul Sito (o utilizzando altre applicazioni social o web riferibili al titolare del trattamento).
7. Interessi legittimi
I legittimi interessi del titolare del trattamento o di terzi possono costituire valida base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato. In generale, possono sussistere tali legittimi interessi quando esiste una relazione pertinente e appropriata tra titolare del trattamento e interessato, ad esempio quando l’interessato è un cliente del titolare. Costituisce, in particolare, legittimo interesse del titolare del trattamento trattare dati personali del Cliente/interessato: a fini di prevenzione delle frodi, per finalità di marketing diretto, per assicurare la libera circolazione dei medesimi dati all’interno del Gruppo imprenditoriale cui il titolare del trattamento eventualmente appartiene, ovvero relativi al traffico, al fine di garantire la sicurezza delle reti e dell’informazione, vale a dire la capacità di una rete o di un sistema di resistere a eventi imprevisti o ad atti illeciti che possano compromettere la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati.
8. Circolazione dei dati personali
(8a) Comunicazione dei dati personali – categorie di destinatari
Oltre che dai dipendenti e collaboratori a vario titolo del titolare del trattamento (che sono dal titolare del trattamento stesso autorizzati al trattamento in forza di adeguate istruzioni operative scritte, al fine di poter garantire la riservatezza e la sicurezza dei dati), alcune operazioni di trattamento possono essere effettuate anche da soggetti terzi, ai quali il titolare del trattamento affida talune attività, o parte di esse, funzionali alle finalità di cui al punto (4a), dunque tanto in esecuzione di obblighi contrattuali quanto legali, tra cui meritano menzione, a titolo comunque, inevitabilmente, non esaustivo: partners commerciali e/o tecnici; società che prestano servizi bancari e finanziari; società che svolgono servizi di archiviazione di documenti; società di recupero crediti; società di revisione contabile e di certificazione dei bilanci; società di rating; soggetti che svolgono, a favore del titolare del trattamento, attività di assistenza e consulenza professionale; società che effettuano attività di customer care; società di factoring, di cartolarizzazione dei crediti o ad altro titolo cessionarie dei crediti; società del Gruppo cui il titolare del trattamento eventualmente appartiene; soggetti che forniscono informazioni commerciali; società di servizi informatici. I soggetti appartenenti alle predette categorie trattano i dati personali medesimi in qualità di autonomi titolari del trattamento, ovvero in qualità di responsabili del trattamento, con riferimento a specifiche operazioni di trattamento che rientrano nelle prestazioni contrattuali che i soggetti medesimi eseguono a favore/nell’interesse del titolare del trattamento; ai responsabili del trattamento il titolare del trattamento impartisce adeguate istruzioni operative scritte, con particolare riferimento all’adozione delle misure minime di sicurezza, al fine di poter garantire la riservatezza e la sicurezza dei dati.
Alcune operazioni di trattamento possono essere effettuate da soggetti terzi, ai quali il titolare del trattamento affida talune attività, o parte di esse, anche funzionalmente alle finalità di cui al punto (4b), tra cui meritano menzione, a titolo comunque, inevitabilmente, non esaustivo: partners commerciali e/o tecnici; società che prestano istituzionalmente servizi di marketing; agenzie pubblicitarie; soggetti che prestano attività di assistenza e consulenza con riferimento a concorsi e operazioni a premio. I soggetti appartenenti alle predette categorie trattano i dati personali in qualità di autonomi titolari del trattamento, ovvero in qualità di responsabili del trattamento, con riferimento a specifiche operazioni di trattamento che rientrano nelle prestazioni contrattuali che i soggetti medesimi eseguono a favore/nell’interesse del titolare del trattamento; ai responsabili del trattamento il titolare del trattamento impartisce adeguate istruzioni operative scritte, con particolare riferimento all’adozione delle misure minime di sicurezza, al fine di poter garantire la riservatezza e la sicurezza dei dati.
È disponibile, previa richiesta scritta da inviarsi presso la sede del titolare del trattamento, l’elenco, soggetto ad aggiornamento periodico, dei responsabili del trattamento con cui il titolare del trattamento stesso intrattiene rapporti.
I dati personali possono, inoltre, essere comunicati, in caso di richiesta, alle autorità competenti, in adempimento di obblighi derivanti da norme inderogabili di legge.
(8b) Trasferimento dei dati personali verso Paesi terzi
I dati personali del Cliente/interessato possono anche essere trasferiti all’estero, sia in Paesi dell’Unione Europea che in Paesi al di fuori dell’Unione Europea e, in quest’ultimo caso, o sulla base di una decisione di adeguatezza, o nell’ambito e con le garanzie adeguate previste dal GDPR (dunque, in particolare, in presenza di clausole contrattuali tipo di protezione dei dati approvate dalla Commissione Europea), o, al di fuori delle ipotesi sopra richiamate, ricorrendo una o più delle deroghe previste dal GDPR (in particolare, in forza di esplicito consenso del Cliente/interessato, o per l’esecuzione del Contratto concluso dal Cliente/interessato, ovvero per l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore del Cliente/interessato, segnatamente per l’esecuzione di attività a questa demandate dal titolare del trattamento medesimo per l’esecuzione del Contratto concluso con il Cliente/interessato). Per l’ipotesi di trasferimenti di dati verso Paesi al di fuori dell’Unione Europea, al Cliente/interessato è consentito, previa richiesta scritta da inviarsi presso la sede del titolare del trattamento, di conoscere le garanzie adeguate, ovvero le deroghe, che legittimano il trattamento transfrontaliero. Resta inteso, in ipotesi di trasferimento dei dati verso Paesi al di fuori dell’Unione Europea, che per ogni richiesta inerente i dati, anche per l’esercizio dei diritti riconosciuti dal GDPR al Cliente/interessato, questo potrà sempre validamente rivolgersi al titolare del trattamento.
9. Criteri per determinare il periodo di conservazione dei dati personali
Per le finalità di cui al punto (4a) che precede, il periodo di conservazione dei dati personali rilasciati dal Cliente/interessato, ed il conseguente loro potenziale trattamento, coincide con il periodo di prescrizione dei diritti/doveri (legali, fiscali, ecc.) discendenti dal Contratto: tendenzialmente 10 anni, quindi, salvo il verificarsi di eventi interruttivi della prescrizione che potrebbero prolungare, di fatto, detto periodo.
Per le finalità di cui al punto (4b) che precede, il periodo di conservazione dei dati rilasciati dal Cliente/interessato, ed il conseguente loro potenziale trattamento, termina con la revoca del consenso preventivamente rilasciato dal Cliente/interessato stesso o, in mancanza di questa, comunque decorso un anno dalla cessazione di ogni rapporto tra il titolare del trattamento ed il Cliente/interessato.
10. Diritti del Cliente/interessato
Il titolare del trattamento riconosce – ed agevola l’esercizio, da parte del Cliente/interessato, di – tutti i diritti previsti dal GDPR, in particolare il diritto di chiedere l’accesso ai propri dati personali e di estrarne copia (art. 15 GDPR), alla rettifica (art. 16 GDPR) ed alla cancellazione degli stessi (art. 17 GDPR), alla limitazione del trattamento che lo riguardi (art. 18 GDPR), alla portabilità dei dati (art. 20 GDPR, ove ne ricorrano i presupposti) e di opporsi al trattamento che lo riguardi (artt. 21 e 22 GDPR, per le ipotesi ivi menzionate e, in particolare, al trattamento per finalità di marketing o che si traduca in un processo decisionale automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano, ove ne ricorrano i presupposti).
Il titolare del trattamento riconosce, altresì, al Cliente/interessato, qualora il trattamento sia basato sul consenso, il diritto di revocare detto consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca. Per fare ciò, il Cliente/interessato può disiscriversi in ogni momento sul Sito (o su altre applicazioni social o web del titolare del trattamento) o utilizzando l’apposito link presente in calce ad ogni comunicazione commerciale ricevuta, oppure contattando il titolare del trattamento ai recapiti sopra riportati.
Il titolare del trattamento informa, inoltre, il Cliente/interessato del diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali, quale autorità di controllo operante in Italia, e di proporre ricorso giurisdizionale, tanto avverso una decisione dell’Autorità Garante, quanto nei confronti del titolare del trattamento stesso e/o di un responsabile del trattamento.
11. Sicurezza dei sistemi e dei dati personali
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio, in termini di probabilità e gravità, per i diritti e le libertà delle persone fisiche, il titolare del trattamento adotta misure tecniche ed organizzative ritenute appropriate a garantire un livello di sicurezza adeguato al rischio, in particolare assicurando, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (anche attraverso la cifratura dei dati personali, ove necessario) e la capacità di ripristinare tempestivamente la disponibilità dei dati in caso di incidente fisico o tecnico, ed adottando procedure interne dirette a testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative impiegate.
Nel valutare l’adeguato livello di sicurezza, si tiene conto dei rischi presentati dal trattamento che derivano, in particolare, dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Il titolare del trattamento si adopera affinché chiunque agisca sotto la propria autorità ed abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal medesimo titolare del trattamento.
Ciò detto, il Cliente/interessato prende atto ed accetta che nessun sistema di sicurezza garantisce, in termini di certezza, la protezione assoluta; pertanto, il titolare del trattamento non risponde per atti o fatti di terzi che abusivamente, nonostante le adeguate cautele adottate, dovessero accedere ai sistemi senza le dovute autorizzazioni.
12. Processi decisionali automatizzati, compresa la profilazione
Il titolare del trattamento può effettuare trattamenti automatizzati, compresa la profilazione, in relazione alle finalità di cui al punto (4b) che precede, per ottimizzare la navigabilità del Sito (o la fruibilità di altre applicazioni social o web del titolare del trattamento) e per migliorare l’esperienza d’acquisto, salvo quanto sopra specificato con riguardo ai diritti di opposizione e revoca del consenso da parte del Cliente/interessato.
Per profilazione s’intende qualsiasi forma di trattamento automatizzato di dati personali diretto a valutare determinati aspetti relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti, ad esempio, le preferenze personali, gli interessi o l’ubicazione di detta persona, anche al fine di creare profili, ovvero gruppi omogenei di soggetti per caratteristiche, interessi o comportamenti.
Il titolare del trattamento non effettua alcun trattamento automatizzato che produca effetti giuridici che riguardano il Cliente/interessato o che incidano in modo analogo significativamente sulla sua persona, salvo che ciò sia necessario per la conclusione o l’esecuzione del Contratto, sia autorizzato dalla legge o si basi sul consenso esplicito del Cliente/interessato, in ogni caso sempre riconoscendo a quest’ultimo il diritto di ottenere l’intervento umano, di esprimere la propria opinione e di contestare la decisione.