PRIVACY POLICY

 PERCHÉ QUESTE INFORMAZIONI

Ai sensi del Regolamento (UE) 2016/679 (General Data Protection Regulation – di seguito “GDPR”), questa pagina descrive le modalità di trattamento dei dati personali dell’utente (di seguito “interessato”) che consulta il sito web di Villa Durazzo accessibile per via telematica al seguente indirizzo:

Le presenti informazioni non riguardano altri siti, pagine o servizi online raggiungibili tramite link ipertestuali eventualmente pubblicati nei siti ma riferiti a risorse esterne al dominio di Villa Durazzo.

TITOLARE DEL TRATTAMENTO

Titolare del trattamento è Progetto Santa Margherita S.r.l. Società unipersonale (P. Iva 01593830993) con sede in Santa Margherita Ligure (GE), via via San Francesco n. 3, telefono 0185/472637, e-mail: info@villadurazzo.it, pec: progettosantamargherita.pec@legalmail.it

 DATI GESTITI DAL SITO

Provenienza

I dati personali che vengono registrati sul sito, arrivano sempre da inserimenti fatti all’interno del sito stesso da parte di utenti.

Condivisione dei dati personali

I dati personali derivanti dalle registrazioni volontarie degli utenti sul sito, ove consentito mediante form di contatto, non sono condivise con nessuna struttura.

Condivisione dei dati statistici – Analytics Google

Mediante questa tecnologia vengono registrati da Analytics sui propri server i dati di accesso per generare statistiche ed aggregati in forma anonima

Condivisione dei dati statistici – Pixel Facebook

Mediante questa tecnologia, il dato legato all’account Facebook del navigatore, viene registrato nel “contenitore” della pagina Facebook collegata al sito su server di Facebook. Questo dato non è direttamente accessibile da noi ma può essere utilizzato a fini di marketing nel caso di campagne promozionali dirette ad utenti che, avendo un account Facebook hanno visitato il sito, usandolo come un generico.

 Profilazione

I dati personali che vengono registrati sul sito di cui al punto 1 non vengono in alcun modo gestiti per profilare l’utenza.

I dati che le terze parti Google e Facebook acquisiscono tramite le metodologie indicate in precedenza, partecipano alla profilazione degli utenti secondo policy proprietarie delle due strutture. L’utilizzo di dati profilati da Facebook, ha solo ed esclusivamente eventuali finalità di marketing. L’utilizzo di dati profilati da Google Analytics ha solo ed esclusivamente finalità statistiche per l’analisi dei flussi sul nostro sito.

INFRASTRUTTURA

Il sistema che attualmente è in uso per questo sito è composto di alcune parti. Di seguito l’elenco e la relativa valutazione del rischio.

Hardware

Il sistema si basa su un server che ospitato e gestito presso un’azienda con sede nella Comunità Europea. Il server è fisicamente in Europa.

Elementi di rischio e soluzioni

Malfunzionamento hardware:

I rischi connessi a malfunzionamenti hardware sono gestiti direttamente dall’azienda che ospita l’apparato e, di per se, non hanno alcuna implicazione in merito alla gestione dei dati personali.

Sistema Operativo

Il sistema operativo in uso è Linux. Viene gestito direttamente dall’azienda che ospita il server inclusi gli aggiornamenti e gli elementi critici al fine di limitarne le vulnerabilità. Il sistema ha attivo anche il servizio SMTP che permette di inviare posta.

Elementi di rischio e soluzioni

Spam:

Un elemento di rischio valutato è stata la possibilità che il sistema potesse essere aggredito ed il servizio SMTP usato per inviare spam, inclusi eventuali dati legati ad utenti registrati. Precisiamo che in ogni caso non viene effettuata alcuna raccolta di dati particolari (art. 9 GDPR) ma ci limitiamo alla email, nome e cognome di chi volesse mettersi in contatto con Villa Durazzo.

È attivo un sistema di controllo che in caso di invio di email ipotizzabile come spam, determinato dalla frequenza, blocca SMTP e segnala il possibile problema, consentendoci di intervenire.

Infrastruttura del sito

Il sito utilizza WordPress come infrastruttura applicativa. La compliance del sistema al GDPR è garantita a livello internazionale dalla comunità di sviluppatori. Al sito si accede tramite credenziali di accesso (utente e password).

Elementi di rischio e soluzioni

Attacco esterno:

Ogni sito è soggetto ad attacchi esterni più o meno frequenti. Questi attacchi hanno generalmente lo scopo di utilizzare il sito come strumento attivo di spam, attività di defacement o di blocco del sito stesso.

Un rischio legato ai dati personali è esclusivamente del primo caso, mentre gli altri due hanno solo obiettivo di bloccare l’attività. La soluzione è quella indicata al precedente punto – Spam. Naturalmente abbiamo preso precauzioni per evitare comunque che utenti esterni possano entrare in modo incontrollato e non consentito alla piattaforma. Per questo motivo, abbiamo installato una plug-in che permette una serie di controlli all’accesso arrivando a bloccare l’IP di chi cerca di forzare (prima temporaneamente, poi in modo definitivo) avendo anche un registro di questi eventi, indicante gli estremi e la provenienza.

FINALITÀ E BASE GIURIDICA DEL TRATTAMENTO

  • Navigazione sul sito web: la base giuridica che giustifica il trattamento è il legittimo interesse del Titolare del trattamento, art. 6 lett. f) e considerando 47, GDPR: il trattamento è necessario per il perseguimento del legittimo interesse del Titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il Titolare del trattamento.

Trattasi di attività strettamente necessarie al funzionamento del sito e all’erogazione del servizio di navigazione sulla piattaforma.

  • Eventuale compilazione form raccolta dati per contatti: la base che giustifica il trattamento è l’esecuzione di misure precontrattuali adottate anche su richiesta dell’interessato.

DESTINATARI DEI DATI

I dati di natura personale forniti saranno comunicati a destinatari per le finalità sopra elencate. Precisamente, i dati saranno comunicati a:

  • provider per servizi connessi al dominio;
  • autorità competenti per adempimenti di obblighi di leggi e/o di disposizioni di organi pubblici, su richiesta.

I dati non saranno comunque trasferiti in Paesi Extra UE.

PERIODO DI CONSERVAZIONE DEI DATI O CRITERI PER DETERMINARE IL PERIODO

Il trattamento sarà svolto in forma automatizzata e manuale, con modalità e strumenti volti a garantire la massima sicurezza e riservatezza, ad opera di soggetti di ciò appositamente incaricati.

Nel rispetto di quanto previsto dall’art. 5, paragrafo, 1 lett. e) GDPR i dati personali raccolti verranno conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati personali sono trattati. La conservazione dei dati di natura personale forniti dipende dalla finalità del trattamento:

  • per richiesta di contatto (massimo 1 anno);

DIRITTI DEGLI INTERESSATI

L’interessato potrà esercitare i diritti previsti dal GDPR, rivolgendosi al Titolare attraverso i dati di contatto indicati più sopra.

In particolare, l’interessato ha il diritto, in qualunque momento, di chiedere al Titolare del trattamento l’accesso ai propri dati personali (art. 15 GDPR), la rettifica (art. 16 GDPR), la cancellazione degli stessi (art 17 GDPR), la limitazione del trattamento (art 18 GDPR), la portabilità dei dati (art. 20 GDPR) o di opporsi al loro trattamento (art. 21 GDPR).

L’interessato ha, inoltre, il diritto di proporre reclamo a un’autorità di controllo (Garante per la protezione dei dati personali www.garanteprivacy.it).

La comunicazione di dati personali non è un obbligo. L’interessato è libero di fornire i dati personali nelle aree dedicate sul sito. Il mancato conferimento dei dati personali comporta l’impossibilità di fruire dei servizi offerti dal titolare del trattamento. Non vi è l’esistenza di un processo decisionale automatizzato.

RESPONSABILE DELLA PROTEZIONE DEI DATI (RPD/DPO)

Il DPO nominato è reperibile ai seguenti dati di contatto: Labor Service srl, via A. Righi n. 29 – Novara (NO), telefono: 0321.1814220, e-mail: privacy@labor-service.it, PEC: pec@pec.labor-service.it.