Informativa sul Trattamento dei Dati Personali

1Premessa e titolare del trattamento

La presente informativa sul trattamento dei dati personali è resa agli utenti del servizio digitale “Ora” ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del d.lgs. 196/2003, come modificato dal d.lgs. 101/2018. Il titolare del trattamento è la società Vela Blu Ltd (di seguito, il “Titolare”), i cui dati di contatto sono:

Il Responsabile della Protezione dei Dati è il Sig. Andrea Colangelo.

2Tipologia di dati trattati e modalità di raccolta

Il Titolare tratta dati personali comuni e dati particolari (o sensibili) degli utenti, eventualmente anche dati relativi all’accesso tramite dispositivi elettronici e alla navigazione (es. indirizzo IP, log, cookie).

I dati possono essere raccolti direttamente presso l’interessato (registrazione, uso dell’app, comunicazioni) oppure ottenuti da terzi, nel qual caso la presente informativa è resa ai sensi dell’art. 14 GDPR.

I pagamenti avvengono tramite piattaforma di pagamenti globali sicuri denominata “Stripe” e Vela Blu Ltd non conserva i dati delle carte di debito o credito utilizzate dall’Utente.

3Finalità e basi giuridiche del trattamento

I dati personali sono trattati per finalità determinate, esplicite e legittime, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, esattezza e limitazione della conservazione. In particolare:

• Gestione dell’account e dell’accesso al servizio “Ora”, erogazione delle funzionalità e assistenza: base giuridica è l’esecuzione del contratto di cui l’Utente è parte (art. 6, par. 1, lett. b GDPR);
• Adempimento di obblighi di legge (es. fiscali, normativi): base giuridica è l’adempimento di obblighi legali (art. 6, par. 1, lett. c GDPR);
• Sicurezza del servizio, tutela dei diritti del Titolare (difesa in giudizio, prevenzione abusi): base giuridica è il legittimo interesse del Titolare (art. 6, par. 1, lett. f GDPR), bilanciato con i diritti degli interessati;
• Comunicazioni promozionali e marketing diretto (es. newsletter, offerte personalizzate), ove attivate: base giuridica è il consenso dell’Utente (art. 6, par. 1, lett. a GDPR), libero, specifico, informato e revocabile in ogni momento;
• Profilazione per personalizzare il servizio o le comunicazioni, ove effettuata: base giuridica è il consenso e/o il legittimo interesse, nel rispetto delle condizioni di cui agli artt. 6, 21 e 22 GDPR.

4Cookie e strumenti di tracciamento

Il servizio “Ora” può utilizzare cookie e altri strumenti di tracciamento (es. cookie tecnici, analytics, di profilazione) nel rispetto del GDPR e delle Linee guida del Garante Privacy su cookie e altri strumenti di tracciamento del 10 giugno 2021. In particolare:

• i cookie tecnici sono utilizzati per consentire il corretto funzionamento del servizio e non richiedono il consenso, fermo l’obbligo di informativa;
• i cookie analytics, ove utilizzati, sono preferibilmente impiegati per sole finalità statistiche, con misure di riduzione dell’identificabilità;
• i cookie di profilazione e altri tracciatori non tecnici sono attivati solo previo consenso esplicito dell’utente, acquisito tramite un banner chiaro e ben distinguibile, che consente anche di proseguire la navigazione senza essere tracciati.

La cookie policy, integrata o collegata alla presente informativa, specifica le categorie di

5Destinatari dei dati e trasferimenti verso Paesi terzi

I dati personali dell’Utente possono essere comunicati a soggetti terzi che agiscono in qualità di responsabili del trattamento (es. fornitori di servizi IT, hosting, manutenzione, assistenza, piattaforme di comunicazione), sulla base di contratti conformi all’art. 28 GDPR.

Potranno inoltre essere comunicati, nei limiti di quanto necessario, a soggetti legittimati (es. autorità amministrative, autorità giudiziaria) in adempimento di obblighi di legge o per la tutela dei diritti del Titolare.

Eventuali trasferimenti di dati verso Paesi terzi o organizzazioni internazionali avvengono nel rispetto degli artt. 44–49 GDPR, sulla base di decisioni di adeguatezza della Commissione europea o di garanzie adeguate (es. clausole contrattuali standard), informando l’Utente dei rischi e delle misure di protezione adottate.

6Tempi di conservazione dei dati

I dati personali sono conservati per un periodo non superiore a quello necessario al conseguimento delle finalità per cui sono raccolti, nel rispetto del principio di limitazione della conservazione (art. 5, par. 1, lett. e GDPR). In particolare:

• i dati necessari all’esecuzione del contratto e alla gestione dell’account sono conservati per tutta la durata del rapporto e, successivamente, per il tempo richiesto dalla normativa civile, fiscale e contabile applicabile;
• i dati utilizzati per finalità di marketing e profilazione sono conservati per un periodo congruo, di norma non superiore a quello indicato nelle Linee guida e nelle best practice (es. 24 mesi per marketing, 12 mesi per profilazione), salvo revoca del consenso;
• i dati di navigazione e i cookie hanno tempi di conservazione differenziati, indicati nella cookie policy.

Decorso il periodo di conservazione, i dati sono cancellati o resi anonimi in modo irreversibile.

7Diritti degli interessati

Gli Utenti, in qualità di interessati, possono esercitare in ogni momento, nei confronti del Titolare, i diritti previsti dagli artt. 15–22 GDPR, tra cui:

• diritto di accesso ai dati personali e alle informazioni sul trattamento;
• diritto di rettifica dei dati inesatti e di integrazione di quelli incompleti;
• diritto alla cancellazione dei dati (“diritto all’oblio”) nelle ipotesi previste dall’art. 17 GDPR;
• diritto alla limitazione del trattamento nelle ipotesi di cui all’art. 18 GDPR;
• diritto alla portabilità dei dati, quando il trattamento si basi sul consenso o sul contratto e sia effettuato con mezzi automatizzati;
• diritto di opposizione al trattamento per motivi connessi alla situazione particolare dell’interessato e, in ogni caso, al trattamento per finalità di marketing diretto, compresa la profilazione connessa a tale marketing;
• diritto di non essere sottoposto a decisioni esclusivamente automatizzate, comprese la profilazione, che producano effetti giuridici o incidano significativamente sulla persona (art. 22 GDPR).

Le richieste possono essere rivolte al Titolare ai recapiti sopra indicati; il Titolare fornisce un riscontro senza ingiustificato ritardo e, comunque, entro un mese, prorogabile, ove necessario, ai sensi dell’art. 12 GDPR.

8Profilazione e decisioni automatizzate

Qualora il servizio “Ora” effettui profilazione degli utenti (es. analisi delle preferenze, comportamenti di utilizzo, interessi), l’Utente è informato:

• dell’esistenza di processi decisionali automatizzati, inclusa la profilazione;
• delle logiche utilizzate, dell’importanza e delle conseguenze previste per l’interessato.

La profilazione è soggetta alle regole del GDPR in materia di liceità, limitazione delle finalità, minimizzazione, esattezza, limitazione della conservazione e alle Linee guida EDPB/WP29 (WP251) sulla profilazione e sulle decisioni automatizzate. Per i trattamenti di profilazione su base di consenso, l’Utente può revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente. Per i trattamenti basati su legittimo interesse, l’Utente può esercitare il diritto di opposizione ai sensi dell’art. 21 GDPR.

9Sicurezza dei dati e data breach

Il Titolare adotta misure tecniche e organizzative adeguate per garantire un livello di sicurezza dei dati adeguato al rischio, ai sensi dell’art. 32 GDPR. In caso di violazione dei dati personali (data breach), il Titolare valuta il rischio per i diritti e le libertà degli interessati e, ove necessario, procede alla notifica al Garante e alla comunicazione agli interessati, in conformità agli artt. 33 e 34 GDPR e alle Linee guida EDPB 9/2022 sulla notifica delle violazioni dei dati personali.

10Reclami e autorità di controllo competente

Gli Utenti hanno il diritto di proporre reclamo al Garante per la protezione dei dati personali, quale autorità di controllo competente ai sensi degli artt. 55–57 GDPR e del Codice Privacy, qualora ritengano che il trattamento dei dati che li riguarda violi la normativa applicabile.

Resta ferma la possibilità di adire l’autorità giudiziaria competente, secondo le modalità previste dal GDPR e dalla normativa nazionale.