Informativa per il trattamento dei dati personali - Servizi per Pubblica Amministrazione

Ai sensi del Regolamento Europeo n. 2016/679 - GDPR

Art. 1 Titolare del trattamento

Ai sensi del Regolamento Europeo n. 2016/679 – GDPR, di seguito “Regolamento”, il Titolare del trattamento è CRESME Consulting S.r.l., P.IVA: 09264931008, sede legale in Largo Valtournanche 7 – 00141 (RM), sede operativa in Via Nomentana, 150 – 00162 Roma (RM), PEC: cresmeconsulting@pec.it, e-mail: info@cresmeconsulting.it.

Il Titolare ha nominato un Responsabile della protezione dei dati, di seguito “Responsabile”, a cui è possibile rivolgersi per tutte le questioni relative al trattamento dei propri dati personali e all’esercizio dei relativi diritti come di seguito indicato.

Il Titolare ha dipendenti, collaboratori o altri soggetti formalmente nominati che tratteranno dati personali in base alle istruzioni ricevute dal Titolare e/o Responsabile e, in ogni caso, in compliance al Regolamento.

Art. 2 Oggetto del trattamento

I dati personali dell’Interessato saranno trattati per le finalità e con le modalità di seguito indicate e unicamente ai fini dell’erogazione del Servizio richiesto, di seguito “Servizio”.

Il Titolare e/o gli altri soggetti da lui formalmente nominati (Responsabile, dipendenti collaboratori, altro), in qualità di somministrante del Servizio richiesto dal cliente, di seguito “Interessato”, può trattare dati personali (nome, azienda di appartenenza, città, contatto telefonico, indirizzo e-mail, altro) e documenti di tipo digitale e cartaceo, di seguito “Dati”, rilasciati dall’Interessato e/o gli altri soggetti dallo stesso formalmente nominati (Responsabile, dipendenti, dipendenti collaboratori, altro).

Ai sensi dell’Art. 4 del Regolamento Europeo n. 2016/679 – GDPR, i “dati personali“ sono qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Per “trattamento” di dati personali si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, anche se non registrati in una banca di dati, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'elaborazione, la selezione, il blocco, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
Il trattamento verrà svolto in forma manuale (es. raccolta moduli cartacei) e/o in forma elettronica ovvero con l’ausilio di strumenti informatizzati o automatizzati.

Se previsto ai fini dell’erogazione del Servizio, dati personali dell’Interessato possono essere inseriti in Web Application sviluppate da CRESME Consulting S.r.l. allo scopo di supportare e migliorare l’erogazione del Servizio medesimo, quali le Web Application DiBiD e Shalling.

DiBiD, acronimo di Digital Building Dossier, è una Web Application di proprietà di CRESME Consulting S.r.l. sviluppata per la costruzione e condivisione del fascicolo digitale del fabbricato. Nel DiBiD verranno caricati informazioni e dati che concorrono alla costruzione del fascicolo digitale del fabbricato (planimetrie, visure, dati catastali, contratti di locazione, altro). L’interessato può accedere a DiBiD dal sito www.cresmeconsulting.it con username e password generiche assegnate preventivamente dall’Interessato. I dati inseriti nel DiBiD vengono conservati per la durata di tre anni dal termine del contratto.

Shalling è un’innovativa piattaforma web di sharing-design che consente di costruire un progetto insieme alla comunità. Shalling consente di attivare, accrescere e gestire processi di progettazione partecipata, facilitando la comunicazione, l’interazione e la divulgazione di informazioni tra ente, cittadini e stakeholder pubblici e privati (associazioni, imprese, ecc.). L’interessato può accedere a Shalling dal sito www.shalling.it. Sono previste aree riservate dedicate alla interazione tra i diversi soggetti che partecipano all’iniziativa di sharing-design, alle quali si accede con username e password scelte dall’Interessato durante la procedura di registrazione all’applicativo.

Art. 3 Finalità del trattamento

Il trattamento dei Dati è finalizzato alla corretta e completa esecuzione del Servizio. I Dati saranno trattati per:

  • adempiere agli obblighi ed alle finalità previste dal Servizio;
  • adempiere agli obblighi previsti in ambito amministrativo, fiscale e contabile;
  • finalità informative e non commerciali;
  • raccogliere Dati per gli adempimenti connessi alla fase post-contrattuale.

Art. 4 Modalità del trattamento

I dati personali vengono trattati dal Titolare nel rispetto dei principi di liceità, correttezza e trasparenza.

I Dati sono sottoposti a trattamento sia cartaceo che elettronico.

Il Titolare tratterà i dati personali per il tempo necessario per adempiere alle finalità di cui sopra e comunque non oltre la conclusione del Servizio.

Il Titolare, al termine del Servizio, conserverà i Dati per un periodo superiore a 10 anni nel caso in cui la cancellazione possa compromettere il suo legittimo diritto di difesa o, in generale, per la tutela dei propri asset aziendali. Tale conservazione avverrà limitando l’accesso ai suddetti dati soltanto ai responsabili di funzione per garantire il legittimo esercizio del diritto di difesa del Titolare.

Art. 5 Accesso ai dati

I Dati potranno essere resi accessibili per le finalità di cui all’art. 3 ai seguenti destinatari:

  • a società collegate a CRESME Consulting S.r.l. nella misura in cui ciò sia necessario per eseguire il Servizio;
  • a società o altri soggetti terzi (studi professionali, consulenti, società di assicurazione per la prestazione di servizi assicurativi, fornitori, soggetti che forniscono servizi per la gestione del sistema informativo e delle reti di telecomunicazioni di servizi, etc.) che svolgono attività in outsourcing per conto del Titolare e che sono stati formalmente nominati Responsabili del Trattamento;
  • soggetti pubblici, per l’adempimento di obblighi di legge.

Senza la necessità di un espresso consenso da parte dell’Interessato, il Titolare potrà comunicare i Dati per le finalità di cui all’art. 3 ad organismi di vigilanza (quale ad esempio ANAC), autorità giudiziarie, società di assicurazione per la prestazione di servizi assicurativi, nonché a quei soggetti ai quali la comunicazione dei Dati sia obbligatoria per legge.

Art. 6 Trasferimento dati

I Dati sono conservati presso la sede del Titolare in archivi cartacei e/o server. Al contempo, gli stessi Dati, posso essere conservati su server virtuali ubicati all’interno dell’Unione Europea.

I soggetti abilitati all’accesso al server e all’archivio sono il Titolare, il Responsabile, i dipendenti, i collaboratori e qualsiasi altro soggetto formalmente nominato per l’erogazione del servizio.

I soggetti abilitati tratteranno i dati personali in base alle istruzioni ricevute dal Titolare e/o Responsabile e, in ogni caso, in compliance al Regolamento.

Il server fisico installato presso la sede del Titolare è accessibile unicamente con username e password. Le password impiegate sono di tipo “complesso”, ovvero sono composte da: lettere minuscole, lettere maiuscole, numeri e simboli. Le password sono rinnovate ogni 12 mesi.

I servizi come hosting del sito web, e-mail e PEC di CRESME Consulting S.r.l. sono forniti e gestiti da Aruba S.p.A.

Le Web Application DiBiD e Shalling sono installate su server virtuali gestiti da Aruba S.p.A.

Aruba S.p.A. è un provider italiano che eroga servizi IT di data center, web hosting, e-mail, PEC e registrazione domini. Sul proprio portale web Aruba S.p.A. conferma che i suoi servizi sono erogati da una rete di data center distribuita in tutta Europa. I data center proprietari italiani vantano struttura e impianti conformi e superiori al Rating 4 ANSI/TIA 942-B.

Resta in ogni caso inteso che il Titolare, ove si rendesse necessario e previa comunicazione all’Interessato, avrà facoltà di spostare i server anche al di fuori dell’UE. In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge applicabili, anche attraverso la previsione di clausole contrattuali standard previste dalla Commissione Europea e l’adozione di norme vincolanti l’impresa per i trasferimenti infragruppo.

Art. 7 Consenso

Il conferimento dei Dati e il relativo trattamento per le finalità di cui all’articolo 3 è necessario, da parte del Titolare, per dare esecuzione alle richieste formulate dall’Interessato dal momento dell’accettazione dell’offerta di Servizio e/o della stipula di un contratto di Servizio.

Art. 8 Diritti dell'interessato

All’Interessato sono riconosciuti i diritti di cui al Regolamento, ovvero di chiedere al Titolare del trattamento: l'accesso ai dati personali, l’indicazione delle modalità, finalità e logiche del trattamento e la richiesta di limitazione, opposizione o portabilità dei dati, la rettifica e la cancellazione, nei limiti e nelle modalità indicate dal Regolamento.

Ai sensi del Capo III del Regolamento l’Interessato può esercitare specifici diritti, quali:

  • art.15 Diritto di Accesso: diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che li riguardano;
  • art.16 Diritto di rettifica: diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che li riguardano;
  • art.17 Diritto alla cancellazione («diritto all’oblio»): diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che li riguardano;
  • art.18 Diritto di limitazione di trattamento: diritto di ottenere dal titolare un trattamento limitato dei propri dati quando si contesta l’esattezza dei dati personali, quando il trattamento è illecito e se ci si è opposti al trattamento;
  • art 19 Diritto di ricevere dal Titolare del trattamento la notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento;
  • art. 20 Diritto alla portabilità dei dati: ottenere la portabilità dei dati, ossia riceverli da un titolare del trattamento, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad un altro titolare del trattamento senza impedimenti;
  • art. 21 Diritto di opposizione: opporsi al trattamento in qualsiasi momento, anche nel caso di trattamento per finalità di marketing diretto.

Laddove il trattamento dei dati si basi sul consenso, l’Interessato ha il diritto di revocarlo in qualsiasi momento. Pertanto, l’Interessato può far valere tutti i diritti di cui ai predetti articoli (15 – 21) del Regolamento.

Laddove il trattamento dei dati si basi sul consenso, l’interessato ha il diritto di revocarlo in qualsiasi momento. La revoca del trattamento Dati non determina la conclusione del Servizio.

L’Interessato, ai sensi dell’art. 77 del Regolamento, ha il diritto di proporre reclamo al Garante per la protezione dei dati personali, seguendo le procedure e le indicazioni pubblicate sul sito web ufficiale dell’Autorità su www.garanteprivacy.it.

Art. 9 Modalità di esercizio dei diritti e comunicazioni

Il Titolare ha nominato un Responsabile della protezione dei dati, a cui è possibile rivolgersi per tutte le questioni relative al trattamento dei propri dati personali e all’esercizio dei relativi diritti.

Pertanto, l’Interessato potrà in qualsiasi momento contattare il Responsabile con le seguenti modalità:

  • inviando una raccomandata a/r a CRESME Consulting S.r.l., Via Nomentana, 150 – 00162 Roma (RM), all’attenzione del Responsabile per la protezione dei dati;
  • inviando una lettera al seguente indirizzo e-mail: info@cresmeconsulting.it.

Si precisa che l’Interessato ha sempre il diritto di revocare il consenso prestato, scrivendo a info@cresmeconsulting.it.