Informativa sulla privacy GDPR

Informativa sulla privacy GDPR di ATPI

1. Scopo della presente Informativa sulla privacy GDPR

La presente Informativa sulla privacy GDPR fornisce informazioni obbligatorie ai sensi degli articoli 13 e 14 del Regolamento generale sulla protezione dei dati (GDPR) in merito alla trasparenza del trattamento dei dati personali. Le definizioni di alcuni termini contenuti nella presente Informativa sulla privacy GDPR sono riportate in appendice.

Nel Regno Unito il General Data Protection Act (DPA2018) del 2018 si applica al trattamento dei dati personali. La Parte 2 del DPA2018 riconosce e si allinea al GDPR; in questo documento, pertanto, i requisiti del GDPR saranno considerati comprensivi del trattamento dei dati nell’UE, nel SEE e nel Regno Unito, se non diversamente specificato.

2. Il Titolare del trattamento dei dati personali

Il Titolare del trattamento dei dati personali da noi trattati è la Società Cliente di ATPI (il datore di lavoro della persona fisica i cui dati sono raccolti, di seguito denominata Interessato). Il Titolare del trattamento trasmetterà i dati personali dei propri dipendenti ad ATPI per la gestione dei viaggi per conto di tali dipendenti in relazione alla propria attività. ATPI, in qualità di Responsabile del trattamento dei dati che agisce su istruzioni del Titolare del trattamento dei dati in base a un contratto scritto con quest’ultimo, utilizzerà successivamente tali dati personali per facilitare l’organizzazione dei viaggi dell’interessato. Questo contratto costituisce la “base giuridica” del trattamento dei dati personali effettuato da ATPI in queste circostanze.

ATPI sarà un Titolare del trattamento solo se raccoglie dati personali direttamente da un Soggetto interessato in relazione a un contratto separato con quest’ultimo. ATPI agisce inoltre in qualità di Titolare del trattamento per i dati personali dei propri dipendenti, elaborando i dati in base al contratto di lavoro con tali soggetti. In entrambi i casi ATPI tratta i dati personali ai sensi dell’Articolo 6.1(b) del GDPR (esecuzione di un contratto) e della Sezione 8 del DPA2018.

3. I tuoi diritti

In qualità di soggetto interessato, hai dei diritti ai sensi del GDPR. Tali diritti sono riportati di seguito. ATPI rispetterà sempre pienamente i tuoi diritti in merito al trattamento dei tuoi dati personali e ha fornito di seguito i dettagli della persona da contattare in caso di dubbi o domande sul modo in cui trattiamo i tuoi dati o se desideri esercitare i diritti previsti dal GDPR.

4. Dettagli di contatto

L’identità e i dati di contatto del responsabile della protezione dei dati di ATPI sono i seguenti:

Nikki Matthews, General Counsel
ATPI Ltd
The Royals
353 Altrincham Road
M22 4BJ
Manchester
Regno Unito

5. Principi di protezione dei dati

ATPI ha adottato i seguenti principi per disciplinare la raccolta e l’elaborazione dei Dati personali:

• I dati personali saranno trattati in modo lecito, equo e trasparente.
• I Dati personali raccolti saranno solo quelli specificamente richiesti per soddisfare le esigenze di viaggio, alloggio o altre esigenze legate al viaggio. Tali dati possono essere raccolti direttamente dall’interessato o forniti ad ATPI tramite il suo datore di lavoro. Tali dati saranno trattati solo a tale scopo.
• I dati personali saranno conservati solo per il tempo necessario a soddisfare i requisiti contrattuali o a fornire statistiche alla nostra azienda cliente.
• I Dati Personali saranno adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per cui vengono raccolti e/o elaborati. I Dati Personali saranno accurati e, ove necessario, aggiornati.
• L’interessato ha il diritto di richiedere ad ATPI l’accesso, la rettifica o la cancellazione dei propri dati personali, di opporsi o richiedere la limitazione del trattamento dei dati, o il diritto alla portabilità dei dati. In ogni caso, tale richiesta deve essere formulata per iscritto come indicato nella sezione 3 di cui sopra. ATPI è registrata presso il servizio di risoluzione alternativa delle controversie (ADR) JAMS negli Stati Uniti e gli interessati possono contattare JAMS per qualsiasi controversia che ritengano non possa essere risolta tra loro e ATPI.
• L’interessato ha il diritto di presentare un reclamo direttamente a un’autorità di controllo (Autorità per la protezione dei dati) nel proprio paese. ATPI utilizza le autorità di protezione dei dati dell’UE (DPA) come meccanismo di ricorso indipendente (IRM) della nostra organizzazione per i dati trasferiti dall’UE.
• I Dati Personali saranno trattati esclusivamente sulla base delle basi giuridiche illustrate nella sezione 2 di cui sopra, ad eccezione dei casi in cui tali interessi siano prevalenti rispetto ai diritti e alle libertà fondamentali dell’Interessato, che avranno sempre la precedenza. Se l’Interessato ha fornito uno specifico consenso aggiuntivo al trattamento, tale consenso può essere revocato in qualsiasi momento (ma potrebbe comportare l’impossibilità di soddisfare i requisiti di viaggio).
• ATPI non utilizzerà i dati personali per alcuna attività o processo di monitoraggio o profilazione e non adotterà alcun processo decisionale automatizzato.

6. Trasferimenti a terzi

Per organizzare il viaggio di un Soggetto interessato, nella maggior parte dei casi sarà necessario trattare i dati personali tramite terzi (tra cui, a titolo esemplificativo e non esaustivo, compagnie aeree, hotel, società di autonoleggio e società di rilascio di visti o passaporti). I Dati Personali saranno trasferiti a, o elaborati da, società terze solo nel caso in cui tali società siano necessarie per l’esecuzione dell’organizzazione del viaggio.

I dati personali non saranno trasferiti in un paese o territorio al di fuori dello Spazio Economico Europeo (SEE) o del Regno Unito, a meno che il trasferimento non avvenga in un paese o territorio riconosciuto dall’UE come dotato di un adeguato livello di sicurezza dei dati, o sia effettuato con il consenso dell’Interessato, o sia effettuato per soddisfare il Legittimo Interesse di ATPI in relazione agli accordi contrattuali con i suoi clienti.

Tutti i trasferimenti interni al gruppo di dati personali saranno soggetti ad accordi scritti nell’ambito dell’Accordo di Trasferimento di Dati Intra-Gruppo (IGDTA) della Società per i trasferimenti interni di dati che si basano sulle Clausole Contrattuali Standard riconosciute dall’Autorità Europea per la Protezione dei Dati.

Appendice – Definizioni di alcuni termini di cui sopra:

Dati personali:
(articolo 4 del GDPR): Per “dati personali” si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile (“interessato”); per persona fisica identificabile si intende una persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Elaborazione:

(Articolo 4 del GDPR): si intende qualsiasi operazione o insieme di operazioni eseguite su dati personali o insiemi di dati personali, con o senza l’ausilio di mezzi automatizzati, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o l’alterazione, l’estrazione, la consultazione, l’uso, la divulgazione mediante trasmissione, diffusione o messa a disposizione in altro modo, il raffronto o l’interconnessione, la cancellazione o la distruzione.

Base giuridica del trattamento:
(articolo 6 del GDPR): Almeno una di queste deve essere applicata ogni volta che i dati personali vengono elaborati:

1. Consenso: l’individuo ha dato un chiaro consenso al trattamento dei suoi dati personali per uno scopo specifico.
2. Contratto: il trattamento è necessario per l’adempimento di un contratto.
3. Obbligo legale: il trattamento è necessario per ottemperare alla legge (esclusi gli obblighi contrattuali).
4. Interessi vitali: il trattamento è necessario per proteggere la vita di una persona.
5. Compito pubblico: il trattamento è necessario per svolgere un compito di interesse pubblico e il compito o la funzione hanno una chiara base giuridica.
6. Interessi legittimi: il trattamento è necessario per i legittimi interessi del Titolare del trattamento, a meno che non vi sia un buon motivo per proteggere i dati personali dell’individuo che prevalga su tali interessi legittimi.

Titolare del trattamento:
(articolo 4 del GDPR): si intende la persona o la società che determina le finalità e i mezzi del trattamento dei dati personali.

Responsabile del trattamento:
(articolo 4 del GDPR): indica una persona fisica o giuridica, un’autorità pubblica, un’agenzia o qualsiasi altro organismo che tratta i dati personali per conto del responsabile del trattamento.

Diritti dell’interessato:
(Capitolo 3 del GDPR) Ogni interessato ha otto diritti. Questi sono:

1. Il diritto di essere informato; ciò significa che chiunque tratti i tuoi dati personali deve chiarire cosa sta trattando, perché e a chi altri possono essere trasmessi i dati.
2. Il diritto di accesso; si tratta del tuo diritto di vedere quali dati sono conservati da un Titolare del trattamento. Diritto di accesso: è il tuo diritto di vedere quali sono i tuoi dati in possesso di un Titolare del trattamento.
3. Diritto di rettifica: è il diritto di far correggere o modificare i tuoi dati se quelli in possesso sono in qualche modo errati.
4. Diritto alla cancellazione: in determinate circostanze, puoi chiedere che i tuoi dati personali vengano cancellati. Questo diritto è anche chiamato “diritto all’oblio”. Questo diritto si applica se i dati personali non sono più necessari per le finalità per cui sono stati raccolti, se il tuo consenso al trattamento di tali dati è stato revocato o se i dati personali sono stati trattati illegalmente.
5. Il diritto di limitare il trattamento; questo dà all’Interessato il diritto di chiedere una sospensione temporanea del trattamento dei dati personali, ad esempio nel caso in cui si debba concludere una controversia o una causa legale, oppure nel caso in cui i dati vengano corretti.
6. Il diritto alla portabilità dei dati; l’Interessato ha il diritto di chiedere che i dati da lui forniti direttamente al Titolare del trattamento siano forniti in un formato strutturato, comunemente utilizzato e leggibile da una macchina.
7. Il diritto di opporsi; l’Interessato ha il diritto di opporsi a ulteriori trattamenti dei suoi dati che non siano coerenti con lo scopo primario per cui sono stati raccolti, compresi la profilazione, l’automazione e il marketing diretto.
8. Diritti in relazione al processo decisionale automatizzato e alla profilazione; gli interessati hanno il diritto di non essere sottoposti a una decisione basata esclusivamente sul trattamento automatizzato.