Italian version below
Information pursuant to Articles 13 and 14 of the EU Regulation No. 679/2016
INFORMATION AND ACQUISITION OF CONSENT FOR THE PROCESSING AND COMMUNICATION OF DATA, WITHIN THE SCOPE OF THE SERVICE CONTRACT, IN APPLICATION OF THE EUROPEAN DATA PROTECTION REGULATION - REG. 679/2016 (GDPR)
Pursuant to Articles 13 and 14 of the EU Regulation 2016/679 (GDPR), laying down provisions for the protection of individuals with regard to the processing of personal data, the Data Controller is required to provide data subjects with certain information regarding the use of their personal data.
In particular, the undersigned company (hereinafter referred to as the "organization") in the performance of its activities/functions needs to process personal data of its customers (later also referred to as "data subjects") and therefore holds the role of the Data Controller.
The personal data of the data subject, acquired as part of the contract for the sale of travel tickets, rental and/or sale of related services and equipment (hereinafter referred to as "service contract") with the writer, are processed in compliance with applicable laws and confidentiality obligations that have always inspired the organization's activities.
Data controller
The Data Controller is the company Imprese Turistiche Barziesi S.p.A. with legal office in Valtorta (BG) 24010 - Località Ceresola n. 1 and administrative office in Barzio (LC) 23816 - Località La Piazza n. 1 -, tel - +390341996101, mail -info@pianidibobbio.com, PEC - itbspa@pec..it.
Alsitech srl (the developer) is acting in behalf of Imprese Turistiche Barziesi S.p.A
Purposes of processing
The processing of data is primarily for the purpose of user registration for the use of the Blueticketing access system.
For the system to work properly, the Piani di Bobbio app will require access to the location of your smartphone in "always" mode, so even when the app is in the background.
The app does not save the user's location data in any way, but simply uses GPS within the Bluetooth-based communication protocol.
Type of data processed
The data that the company will process are:
- the phone number, which is processed temporarily and is not stored on the servers.
- The geolocation, which is also detected in the background.
Lawfulness of processing
The processing of personal data by the Controller is legitimized by the conditions of Article 6 of GDPR 696/2016.
The processing is necessary:
- for authentication in the system;
- for geolocation. In particular, geolocation in the background is necessary to detect the skier's position when the skier is near the turnstile, without the need to take the smartphone out of the pocket and activate the app.
Method of processing and storage
Processing will be carried out manually, through electronic instruments and by means of computer tools by appointed and authorized persons. As part of the processing described, the knowledge, acquisition and storage of potential data attributable to Art. 4 of EU Regulation 2016/679 is necessary, as well as the acquisition of changes in such data that the person concerned will want to take care to communicate as soon as they occur, in order to properly manage the service contract
The data will be stored at the company and will be communicated exclusively to the competent parties, internal or external to the organization, for the performance of the services necessary for the proper management of the service contract, with guaranteed protection of the rights of the data subject.
Data protection is guaranteed by the adoption of security measures aimed at allowing access and use of data only to those authorized to perform the services and related administrative activities.
Data processing is carried out by ensuring the security requirements of the law and through the adoption of measures and arrangements that promote continuous protection and its constant improvement.
Scope of communication and dissemination
Personal data collected by the organization may be communicated and/or transferred to external parties to whom the company entrusts certain activities or with whom it collaborates to manage and provide services. (ex. Alsitech srl)
Conferment of Data and consequences of non-compulsory conferment
The conferment of data must be considered obligatory with regard to the processing that the organization must carry out in order to fulfill its obligations to the interested party on the basis of the existing contract, as well as obligations of law, rules, regulations.
Failure to provide such data may make it impossible for the organization to carry out the existing relationship and has as consequences:
- the inability of the owner to guarantee the requested services;
- the failure of the results of the processing itself to correspond to the obligations imposed by the fiscal, administrative or accounting regulations to which it is addressed.
Consent is not mandatory for any other purpose and, where also given, may be revoked at any time by the data subject.
Period of data retention
Data are retained only for the period necessary for the purposes for which they are processed, even after the termination of the contractual relationship, for the fulfillment of all obligations related to or arising from the relationship itself, or within the terms required by national and EU laws, rules and regulations with which the organization must comply.
Transfer of personal data
The personal data of the 'data subject will not be transferred to third countries outside the European Union.
Rights of the data subject
The data subject vis-à-vis the data controller has the right to the provisions of EU Regulation No. 679/2016; in particular, he/she has the right:
- To access his data at any time (Art.15);
- To request their rectification (Art.16);
- to request the deletion of overabundant, but not legally required data from the Data Controller (Art.17);
- To request to restrict its processing (Art.18 and Art.19);
- to obtain portability of data to take them with him or transfer them to another data controller (Art.20);
- to object to the processing, assuming the repercussions, without prejudice to the obligation of the Data Controller to continue to hold the data in accordance with the Law, including for future checks by the relevant bodies (Art.21 and Art.22).
The Data Subject may assert the rights expressed above by contacting the Data Controller by written request sent to the following address:
- email: privacy@pianidibobbio.com
- PEC: itbspa@pec.it
and may lodge a complaint with the Guarantor if he/she considers that the processing of his/her data takes place against the relevant provisions in force.
The data controller is obliged to notify the data subject, without undue delay, of the breach of personal data provided, when it presents a high risk to the rights and freedoms of the data subject.
Barzio, 15.10.2023
The Data Controller
Imprese Turistiche Barziesi S.p.A.
Informativa ex artt. 13 e 14 del Regolamento UE n. 679/2016
INFORMATIVA E ACQUISIZIONE DEL CONSENSO PER IL TRATTAMENTO E LA COMUNICAZIONE DEI DATI, NELL'AMBITO DEL CONTRATTO DI SERVIZIO, IN APPLICAZIONE DEL REGOLAMENTO EUROPEO PER LA PROTEZIONE DEI DATI - REG. 679/2016 (GDPR)
Ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR), recante disposizioni per la tutela delle persone fisiche rispetto al trattamento dei dati personali, il Titolare del trattamento è tenuto a fornire agli interessati alcune informazioni riguardanti l'utilizzo dei loro dati personali.
In particolare, la scrivente azienda (di seguito definita "organizzazione") nello svolgimento delle sue attività/funzioni necessita di trattare dati personali dei propri clienti (successivamente riferiti anche come "interessati") e riveste quindi il ruolo di Titolare del trattamento.
I dati personali dell'interessato, acquisiti nell'ambito del contratto di vendita dei titoli di viaggio, di noleggio e/o vendita di servizi ed attrezzature ad essi correlati (di seguito definito “contratto di servizio”) intercorrente con la scrivente, vengono trattati nel rispetto delle leggi vigenti e degli obblighi di riservatezza cui si è sempre ispirata l'attività dell'organizzazione.
Titolare del trattamento
Il Titolare del trattamento è la società Imprese Turistiche Barziesi S.p.A. con sede leg. in Valtorta (BG) 24010 - Località Ceresola n. 1 e sede amm. in Barzio (LC) 23816 - Località La Piazza n. 1 -, tel - +390341996101, mail - info@pianidibobbio.com, PEC - itbspa@pec..it.
Alsitech srl (lo sviluppatore) agisce per conto di Imprese Turistiche Barziesi S.p.A
Finalità del trattamento
ll trattamento dei dati è finalizzato essenzialmente alla registrazione dell'utente per l'utilizzo del sistema di accesso Blueticketing.
Per il corretto funzionamento del sistema, l'app Piani di Bobbio richiederà l'accesso alla localizzazione del tuo smartphone in modalità "sempre", dunque anche quando l'app è in background. L'app' non salva in alcun modo i dati di localizzazione dell'utente, ma semplicemente usa il GPS all'interno del protocollo di comunicazione basato su Bluetooth.
Tipologia dei dati trattati
I dati che l’azienda tratterà sono:
- il numero di telefono, che viene trattato temporaneamente e non viene memorizzato sui server.
- la geolocalizzazione che viene rilevata anche in background.
Liceità del trattamento
Il trattamento dei dati personali da parte del Titolare è legittimato dalle condizioni di cui all’art.6 del GDPR 696/2016.
Il trattamento è necessario:
• per l'autenticazione nel sistema;
• per la geolocalizzazione. In particolare la geolocalizzazione in background è necessaria per rilevare la posizione dello sciatore quando questi si trova nei pressi del tornello, senza necessità di estrarre lo smartphone dalla tasca e attivare l'app.
Liceità del trattamento
Il trattamento dei dati personali da parte del Titolare è legittimato dalle condizioni di cui all’art.6 del GDPR 696/2016.
Il trattamento è necessario:
• per l'autenticazione nel sistema;
• per la verifica della regolare registrazione nel luogo previsto per l'attività;
• per il contrasto di comportamenti fraudolenti;
• per l'adempimento agli obblighi di legge.
Modalità di trattamento e conservazione
Il trattamento sarà effettuato manualmente, tramite strumenti elettronici e tramite strumenti informatici ad opera di soggetti incaricati ed autorizzati. Nell'ambito dei trattamenti descritti, è necessaria la conoscenza, l'acquisizione e la memorizzazione dei potenziali dati riconducibili all‘art. 4 del Regolamento UE 2016/679, nonché l'acquisizione delle variazioni di tali dati che l’interessato vorrà premurarsi di comunicare non appena verificatesi, al fine di una corretta gestione del contratto di servizio
I dati saranno conservati presso l’azienda e saranno comunicati esclusivamente ai soggetti competenti, interni o esterni all'organizzazione, per l'espletamento dei servizi necessari ad una corretta gestione del contratto di servizio, con garanzia di tutela dei diritti dell'interessato.
La protezione dei dati è garantita dall’adozione di misure di sicurezza finalizzate a consentire l’accesso e l’utilizzo dei dati ai soli operatori autorizzati a svolgere i servizi e le attività amministrative ad essi correlate.
Il trattamento dei dati avviene garantendo i requisiti di sicurezza previsti dalla legge e attraverso l’adozione di misure e di accorgimenti che favoriscono la protezione continua e il suo costante miglioramento.
Ambito di comunicazione e diffusione
I dati personali raccolti dall'organizzazione potranno essere comunicati e/o trasferiti a soggetti esterni a cui l’azienda affida alcune attività o con cui collabora per la gestione e l’erogazione di servizi (ad es. Alsitech srl)'.
Conferimento dei Dati e conseguenze del mancato conferimento
Il conferimento dei dati non e' obbligatorio
Il mancato conferimento di tali dati consentira' l'utilizzo di tutte le funzionalita' dell'app ma impedira' l'utilizzo della tecnologia Blueeticketing per l'accesso ai tornelli.
Il consenso può essere revocato in qualunque momento da parte dell'interessato.
Periodo di conservazione dei dati
I dati sono conservati per il solo periodo necessario alle finalità per cui sono trattati, anche dopo la cessazione del rapporto contrattuale, per l'espletamento di tutti gli adempimenti connessi o derivanti dal rapporto stesso, o nei termini previsti da leggi, norme e regolamenti nazionali e comunitari a cui l'organizzazione debba attenersi.
Trasferimento dei dati personali
I dati personali dell’ interessato non saranno trasferiti in Stati terzi non appartenenti all’Unione Europea.
Diritti dell’interessato
L’interessato nei confronti del titolare del trattamento ha diritto a quanto stabilito nel Regolamento UE n.679/2016; in particolare ha diritto:
• ad accedere in qualsiasi momento ai suoi dati (Art.15);
• a chiederne la rettifica (Art.16);
• a richiedere la cancellazione di dati sovrabbondanti, ma non di quelli richiesti per legge al Titolare del trattamento (Art.17);
• a chiedere di limitarne il trattamento (Art.18 e art.19);
• ad ottenere la portabilità dei dati per portarli con sé o trasferirli ad altro titolare (Art.20);
• ad opporsi al trattamento, assumendosene le ricadute, fermo restando l’obbligo per il Titolare di continuare a detenere i dati a norma di Legge, anche per futuri controlli degli organi preposti (Art.21 e Art.22).
L’Interessato può far valere i diritti sopra espressi rivolgendosi al titolare del trattamento mediante richiesta scritta inviata al seguente indirizzo:
• e-mail: privacy@pianidibobbio.com
• PEC: itbspa@pec.it
e può proporre reclamo al Garante qualora ritenga che il trattamento dei propri dati avvenga contro le disposizioni vigenti in materia.
Il titolare del trattamento ha l’obbligo di comunicare all’interessato, senza ingiustificato ritardo, la violazione dei dati personali forniti, allorché presenti un rischio elevato per i diritti e per la libertà dell’interessato.
Barzio, 15.10.2023
Il Titolare del Trattamento dei Dati
Imprese Turistiche Barziesi S.p.A.