Resi gratuiti entro 30 giorni
      Sono già aggiunti al carrello:
      Importo totale del carrello

      Caricamento

      Regolamento generale sulla protezione dei dati

      1. Introduzione

      Il Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679, noto come GDPR) è pienamente applicabile in tutti gli Stati membri dell’Unione Europea a decorrere dal 25 maggio 2018. In Italia, il GDPR è stato integrato e attuato mediante le disposizioni del Decreto Legislativo 30 giugno 2003, n. 196, come modificato dal Decreto Legislativo 10 agosto 2018, n. 101, noto come “Codice in materia di protezione dei dati personali” o “Codice della Privacy”. La vigilanza sull’applicazione della normativa è affidata al Garante per la protezione dei dati personali (di seguito “Garante”), l’Autorità amministrativa indipendente competente a livello nazionale. Il titolare del trattamento, Roomviae, aderisce pienamente ai principi e alle disposizioni del GDPR e del Codice della Privacy. Gli obiettivi principali della normativa sono:

      • Attribuire agli interessati un controllo effettivo sui propri dati personali;

      • Garantire che il trattamento dei dati avvenga in modo trasparente, lecito e sicuro;

      • Definire in modo chiaro le responsabilità e gli obblighi di conformità per i titolari e i responsabili del trattamento.

      2. Ambito di applicazione

      Il GDPR si applica:

      • A tutti i soggetti (persone fisiche, società, enti, associazioni) stabiliti nel territorio dell’Unione Europea che trattano dati personali, indipendentemente dal luogo in cui avviene il trattamento;

      • A soggetti non stabiliti nell’UE che offrono beni o servizi (anche gratuiti, come app o piattaforme digitali) a interessati situati nell’Unione, o che monitorano il loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’UE (ad esempio mediante cookie, tracking, geolocalizzazione, profilazione finalizzata a pubblicità comportamentale).

      Sono escluse dall’ambito di applicazione del GDPR le attività di trattamento effettuate da persone fisiche per l’esercizio di attività puramente personali o domestiche (ad esempio la gestione di una rubrica privata o la corrispondenza personale).

      3. Principi fondamentali del trattamento

      Il trattamento dei dati personali deve rispettare i seguenti principi essenziali (articolo 5 del GDPR):

      • Liceità, correttezza e trasparenza: il trattamento deve avere una valida base giuridica (consenso, esecuzione di un contratto, adempimento di un obbligo legale, salvaguardia di interessi vitali, esecuzione di un compito di interesse pubblico o perseguimento di un legittimo interesse del titolare) e l’interessato deve ricevere informazioni chiare e complete.

      • Limitazione della finalità: i dati sono raccolti per finalità determinate, esplicite e legittime, e non sono successivamente trattati in modo incompatibile con tali finalità.

      • Minimizzazione dei dati: i dati trattati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

      • Esattezza: i dati devono essere esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità del trattamento.

      • Limitazione della conservazione: i dati sono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

      • Integrità e riservatezza (sicurezza) : i dati sono trattati in modo da garantire un’adeguata sicurezza, mediante misure tecniche e organizzative appropriate, compresa la protezione da trattamenti non autorizzati o illeciti, dalla perdita, dalla distruzione o dal danno accidentale.

      4. Diritti degli interessati

      La normativa riconosce agli interessati i seguenti diritti (articoli 15-22 del GDPR), esercitabili con richiesta scritta senza particolari oneri formali:

      • Diritto di accesso: ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, ottenere l’accesso ai dati e a informazioni specifiche (finalità, categorie di dati, destinatari, periodo di conservazione, ecc.).

      • Diritto di rettifica: ottenere la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo, nonché il completamento dei dati incompleti.

      • Diritto alla cancellazione (“diritto all’oblio”) : ottenere la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo, nei casi previsti dalla legge (dati non più necessari rispetto alle finalità, revoca del consenso, opposizione al trattamento, trattamento illecito, obbligo legale, ecc.).

      • Diritto di limitazione del trattamento: ottenere dal titolare la limitazione del trattamento quando ricorrono determinate condizioni (contestazione dell’esattezza dei dati, trattamento illecito ma l’interessato si oppone alla cancellazione, il titolare non ha più bisogno dei dati ma l’interessato li necessita per l’accertamento di un diritto, l’interessato si è opposto al trattamento in attesa della verifica).

      • Diritto alla portabilità dei dati: ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare, e trasmettere tali dati a un altro titolare senza impedimenti, quando il trattamento si basa sul consenso o su un contratto ed è effettuato con mezzi automatizzati.

      • Diritto di opposizione: opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f) (esecuzione di un compito di interesse pubblico o perseguimento di un legittimo interesse del titolare), compresa la profilazione sulla base di tali disposizioni. In particolare, l’interessato ha diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano per finalità di marketing diretto, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.

      • Protezione dei minori: per l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali di un minore di età inferiore ai 16 anni è lecito solo se e nella misura in cui il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Roomviae non raccoglie né tratta consapevolmente dati di minori senza il consenso verificabile dei genitori o dei tutori.

      L’esercizio dei diritti è gratuito, salvo nei casi in cui le richieste siano manifestamente infondate o eccessive, anche ripetitive, in cui il titolare può applicare un contributo spese ragionevole. In caso di mancato riscontro entro un mese (prorogabile di due mesi in relazione alla complessità e al numero delle richieste), l’interessato può proporre reclamo al Garante ai sensi dell’articolo 77 del GDPR.

      5. Obblighi del titolare e del responsabile del trattamento

      Il GDPR distingue tra titolare del trattamento (Roomviae, che determina le finalità e i mezzi del trattamento) e responsabile del trattamento (eventuale soggetto terzo che tratta dati per conto del titolare). Entrambi i soggetti sono vincolati a specifici obblighi:

      • Rispettare le istruzioni scritte del titolare;

      • Adottare misure di sicurezza tecniche e organizzative adeguate (crittografia, controllo degli accessi, firewall, backup, pseudonimizzazione, anonimizzazione, sistemi di rilevazione delle intrusioni, procedure interne di gestione degli incidenti);

      • Fornire assistenza al titolare per garantire la conformità agli obblighi in materia di sicurezza, notifica di violazione e valutazione d’impatto;

      • Garantire che chiunque agisca sotto la propria autorità e abbia accesso a dati personali sia tenuto alla riservatezza;

      • Comunicare al titolare senza ingiustificato ritardo qualsiasi violazione dei dati personali di cui venga a conoscenza, fornendo ogni informazione utile per consentire al titolare di adempiere all’obbligo di notifica all’autorità di controllo entro 72 ore;

      • Tenere un registro delle attività di trattamento svolte per conto del titolare;

      • Mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e consentire o contribuire alle attività di verifica, comprese le ispezioni;

      • Su istruzione del titolare, cancellare o restituire tutti i dati personali al termine della prestazione dei servizi, salvo diverso obbligo di legge.

      Qualora il trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare è tenuto a effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’articolo 35 del GDPR, analizzando la necessità e la proporzionalità del trattamento nonché i relativi rischi, e adottando le misure per mitigarli.

      6. Nomina del Responsabile della protezione dei dati (DPO/RPD)

      Il GDPR prevede l’obbligo di nominare un Responsabile della protezione dei dati (Data Protection Officer – DPO) nei seguenti casi (articolo 37):

      • Il trattamento è effettuato da un’autorità pubblica o un organismo pubblico;

      • Le attività principali del titolare o del responsabile consistono in trattamenti che, per loro natura, ambito e/o finalità, richiedono monitoraggi regolari e sistematici degli interessati su larga scala;

      • Le attività principali del titolare o del responsabile consistono nel trattamento, su larga scala, di dati sensibili (categorie particolari di dati personali) o di dati relativi a condanne penali e reati.

      Anche in assenza dell’obbligo giuridico, la nomina volontaria di un DPO rappresenta una best practice per garantire un livello più elevato di conformità. Il DPO deve disporre di conoscenze specialistiche della normativa e delle prassi in materia di protezione dei dati, nonché della capacità di assolvere i compiti di cui agli articoli 38 e 39 del GDPR. Roomviae ha provveduto alla nomina del proprio RPD, i cui recapiti sono disponibili presso la sede aziendale per tutte le comunicazioni relative al trattamento dei dati.

      7. Trasferimento di dati verso Paesi terzi extra SEE

      Il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale al di fuori dello Spazio Economico Europeo (SEE) può avvenire solo se la Commissione Europea ha riconosciuto che il Paese terzo, il territorio o uno o più settori specifici all’interno di tale Paese terzo garantiscono un livello di protezione adeguato (decisione di adeguatezza). In assenza di una decisione di adeguatezza, il trasferimento è consentito solo se sono state fornite garanzie appropriate (ad esempio clausole contrattuali tipo approvate dalla Commissione Europea, norme vincolanti d’impresa, certificazioni, codici di condotta) e se gli interessati dispongono di diritti esigibili e mezzi di ricorso effettivi. Roomviae adotta tali garanzie per ogni trasferimento di dati verso Paesi terzi, comprese misure supplementari di sicurezza come la cifratura end-to-end.

      8. Violazione dei dati personali (data breach)

      In caso di violazione dei dati personali (incidente di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque trattati), Roomviae si impegna a:

      • Dare immediata comunicazione all’Autorità di controllo competente (Garante) entro 72 ore dal momento in cui ne viene a conoscenza, se la violazione presenta un rischio per i diritti e le libertà delle persone fisiche, indicando la natura della violazione, i dati interessati, le possibili conseguenze e le misure adottate o proposte per porvi rimedio;

      • Comunicare la violazione all’interessato senza ingiustificato ritardo, qualora la violazione presenti un rischio elevato per i diritti e le libertà delle persone fisiche;

      • Documentare ogni violazione, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati.

      Il Garante può svolgere ispezioni e verifiche presso la sede del titolare o del responsabile, nonché presso i locali dove avviene il trattamento, in qualsiasi momento, anche senza preavviso.

      9. Sorveglianza, poteri dell’Autorità e sanzioni

      Il Garante per la protezione dei dati personali dispone di ampi poteri di controllo e sanzionatori, tra cui:

      • Potere di ordinare al titolare o al responsabile del trattamento di rendere conformi alle disposizioni del GDPR le attività di trattamento;

      • Potere di limitare, sospendere o vietare del tutto un trattamento;

      • Potere di irrogare sanzioni pecuniarie amministrative, fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, applicando l’importo più elevato tra i due;

      • Potere di svolgere indagini sotto forma di verifiche della protezione dei dati, anche in collaborazione con altre Autorità di controllo;

      • Potere di avvertire o ammonire il titolare o il responsabile del trattamento.

      Il Garante ha già inflitto sanzioni significative per violazioni del GDPR, tra cui multe di 15 milioni di euro a operatori tecnologici globali, 5 milioni di euro a fornitori di servizi energetici, 1 milione di euro a istituti bancari e 900.000 euro per carenze nella sicurezza informatica.

      10. Disposizioni particolari previste dal Codice della Privacy italiano

      Il Codice della Privacy italiano (D.Lgs. 196/2003) introduce alcune disposizioni specifiche che integrano il GDPR:

      • Dati relativi a deceduti: l’interessato può, mediante una dichiarazione scritta presentata al titolare del trattamento o attraverso un atto pubblico o un testamento, disporre in merito all’esercizio dei diritti di cui agli articoli 15-22 del GDPR per il periodo successivo alla propria morte, indicando i soggetti ai quali delegare l’esercizio dei diritti o i limiti cui tale esercizio è sottoposto. In assenza di tale dichiarazione, i diritti possono essere esercitati da chi ha un interesse proprio o agisce a tutela dell’interessato, in qualità di suo rappresentante o per motivi familiari meritevoli di protezione;

      • Sanzioni penali: il Codice prevede ipotesi di reato per determinate violazioni in materia di protezione dei dati (ad esempio trattamento illecito di dati, comunicazione e diffusione illecita di dati, falsa dichiarazione al Garante, inosservanza dei provvedimenti del Garante);

      • Trattamento di categorie particolari di dati: il Codice individua specifiche basi giuridiche per il trattamento di dati genetici, biometrici, relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona, nel rispetto delle disposizioni del GDPR.

      11. L’impegno di Roomviae per una conformità piena e trasparente

      Roomviae, in qualità di titolare del trattamento, adotta tutte le misure necessarie per assicurare che i dati personali raccolti (attraverso il sito web, le comunicazioni commerciali, l’iscrizione alla newsletter, l’acquisto di servizi o la partecipazione a iniziative promozionali) siano trattati in modo lecito, corretto e trasparente. I dati raccolti sono:

      • Finalità: gestione degli account utente, erogazione dei servizi richiesti, assistenza clienti, adempimento di obblighi fiscali e contabili, invio di comunicazioni di servizio e, previo consenso, attività di marketing diretto (newsletter, offerte personalizzate, sondaggi di gradimento) e profilazione limitata a finalità statistiche e di miglioramento dell’esperienza utente.

      • Periodo di conservazione: i dati sono conservati per il tempo strettamente necessario al conseguimento delle finalità per cui sono raccolti e comunque nel rispetto dei termini previsti dalla legge (generalmente 12-36 mesi per i dati di marketing, fino al termine del rapporto contrattuale e oltre per adempiere a obblighi fiscali e di conservazione documentale). Decorsi tali termini, i dati vengono cancellati o resi anonimi in modo irreversibile.

      • Misure di sicurezza: Roomviae adotta un insieme di misure tecniche e organizzative (crittografia SSL/TLS per i dati in transito, cifratura AES-256 per i dati statici, autenticazione a più fattori, firewall applicativi, backup crittografati, controllo degli accessi basato su ruoli, registrazione dei log di accesso) per garantire un livello di sicurezza adeguato al rischio, proteggendo i dati da accessi non autorizzati, perdita, distruzione o danno accidentale.

      Roomviae non vende né cede a terzi i dati personali degli utenti per finalità di marketing non direttamente connesse ai propri servizi, se non previo consenso esplicito e separato dell’interessato.

      12. Contatti e modalità di esercizio dei diritti

      Per qualsiasi richiesta relativa alla protezione dei dati personali (accesso, rettifica, cancellazione, limitazione, opposizione, portabilità), per informazioni sulla presente informativa o per segnalare eventuali violazioni, è possibile contattare Roomviae ai seguenti recapiti:

      • Indirizzo postale: 48070 Windward Cir #110, Lexington Park, MD 20653, USA

      • Numero di telefono (assistenza clienti) : +1(973) 902-3777

      • Indirizzo e-mail (contatto diretto) : contact@roomviae.com

      • Orario di ricevimento: dal lunedì al venerdì, dalle 9:00 alle 12:30 e dalle 14:00 alle 18:00 (CET – Central European Time, ora dell’Europa centrale)

      Le richieste verranno gestite senza ingiustificato ritardo e, in ogni caso, entro un mese dal ricevimento. Qualora la richiesta sia complessa o siano pervenute più richieste dallo stesso interessato, il termine può essere prorogato di due mesi, con comunicazione al richiedente.

      13. Reclamo al Garante e tutela giurisdizionale

      Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, qualora l’interessato ritenga che il trattamento dei dati personali che lo riguardano violi il GDPR, ha il diritto di proporre reclamo a un’Autorità di controllo, in particolare nello Stato membro in cui risiede abitualmente, lavora o del luogo in cui si verifica la presunta violazione. In Italia, l’Autorità competente è il Garante per la protezione dei dati personali. L’interessato ha altresì il diritto di proporre ricorso giurisdizionale effettivo nei confronti di un’Autorità di controllo o nei confronti del titolare o del responsabile del trattamento.

      14. Modifiche alla presente informativa

      Roomviae si riserva il diritto di modificare o aggiornare la presente informativa sulla protezione dei dati in qualsiasi momento, anche al fine di conformarsi a eventuali modifiche della normativa applicabile. Eventuali modifiche saranno pubblicate sul sito web di Roomviae e, ove sostanziali, potranno essere comunicate agli interessati tramite i consueti canali di comunicazione (e-mail, notifica sul sito). La versione aggiornata dell’informativa è sempre disponibile sul sito web di Roomviae. Si invita l’utente a consultare periodicamente questa pagina per prendere visione degli eventuali aggiornamenti.

      Informazioni correlate

      Politica

      Contattaci

      Indirizzo postale: 48070 Windward Cir #110, Lexington Park, MD 20653, USA
      Telefono: +1(973) 902-3777
      Email: contact@roomviae.com
      Orari di assistenza: dal lunedì al venerdì, 9:00 – 12:30 e 14:00 – 18:00 (ora dell’Europa centrale, CET)
      Copyright © Roomviae