NOTA INFORMATIVA REDACTADA EN VIRTUD DE LOS ARTÍCULOS 12, 13 Y, DE SER NECESARIO, 14 DEL GDPR – REGLAMENTO (UE) 2016/679 CONCERNIENTE A LA PROTECCIÓN DE LAS PERSONAS FÍSICAS, EN RELACIÓN CON EL TRATAMIENTO DE LOS DATOS PERSONALES (EN ADELANTE EL GDPR)
El titular del tratamiento incluye, a continuación, la nota informativa en virtud de los artículos 12, 13 y, de ser necesario, 14 del GDPR concerniente al tratamiento de los datos personales proporcionados por el Cliente/interesado mediante la cumplimentación y firma del Contrato para comprar los productos/servicios ofrecidos a la venta por el titular del propio tratamiento, cargando espontáneamente en este sitio web datos personales (en particular, a través de la cumplimentación de formularios) o simplemente navegando por el mismo.
1. Titular del tratamiento y datos de contacto
El Titular del tratamiento es Villalta s.r.l., con sede en Via Vittorio Alfieri 43 – 35010 Villalta di Gazzo, C.F. , NIF-IVA 046336440281, tel. +39 049 9425577, fax , e-mail info@villaltasrl.it, web https://www.villaltasrl.it/ (en adelante, el Sitio).
2. Principios aplicables al tratamiento
En conformidad con cuanto prescribe el GDPR, el titular del tratamiento trabaja constantemente para que los datos personales sean:
- tratados de forma lícita, correcta y transparente;
- recopilados para finalidades determinadas, explícitas y legítimas, y posteriormente tratados de tal forma que no sean incompatibles con las mismas;
- adecuados, pertinentes y limitados a cuanto es necesario para el respeto de las finalidades para las que son tratados;
- exactos y, si es necesario, actualizados;
- conservados durante un periodo de tiempo no superior al necesario para conseguir las finalidades para las que son tratados;
- tratados, mediante medidas técnicas y organizativas adecuadas, a fin de garantizar su seguridad;
- ratados, por vía de consentimiento, por decisión tomada libremente por el Cliente/interesado, sobre la base de la solicitud presentada de forma claramente diferenciable del resto, comprensible y fácilmente accesible, utilizando un lenguaje simple y claro.
El titular del tratamiento adopta medidas técnicas y organizativas adecuadas a fin de asegurar la protección de los datos personales desde el proyecto y para garantizar que solo sean tratados, por un planteamiento predefinido, los datos necesarios para cada finalidad de tratamiento específica.
El titular del tratamiento reúne y tiene muy en cuenta indicaciones, observaciones y opiniones del Cliente/interesado transmitidos a las direcciones más arriba referidas, con el objetivo de implementar un sistema de gestión de la privacidad dinámico que asegure una protección efectiva de las personas, en relación con el tratamiento de sus datos.
La presente Nota Informativa puede sufrir modificaciones en coherencia con la evolución de la normativa de referencia y de las medidas técnicas y organizativas adoptadas gradualmente por el titular del tratamiento; por lo tanto, se ruega al Cliente/interesado visitar periódicamente esta sección del Sitio Web, para conocer las actualizaciones y la Nota Informativa en el texto en cada momento vigente.
3. Modalidades del tratamiento de los datos personales
El tratamiento de los datos personales se realiza manualmente y con herramientas electrónicas, con lógicas estrechamente relacionadas con las finalidades indicadas a continuación y, de cualquier forma, a fin de garantizar la seguridad y la confidencialidad de los datos.
4. Finalidades del tratamiento de los datos personales
(4a) Finalidades por las que es necesario el tratamiento de los datos
Los datos personales facilitados por el Cliente/interesado se tratan principalmente para la ejecución del Contrato y la gestión del crédito y, más en general, de la relación derivada de dicho Contrato.
La comunicación de los datos en el momento del Contrato o después, a lo largo de la relación contractual, para las finalidades de tratamiento en cuestión es obligatoria; por tanto, si no se comunican los datos o bien se comunican parcialmente o de forma inexacta, es imposible la estipulación y/o ejecución del Contrato, y el Cliente/interesado no podrá disfrutar de los productos/servicios ofrecidos por el titular del tratamiento, y potencialmente este último quedará expuesto a responsabilidades por incumplimiento contractual.
Los datos personales facilitados por el Cliente/interesado pueden, asimismo, ser objeto de tratamiento, si esto fuera necesario, para cumplir una obligación legal a la que está sujeto el titular del tratamiento, para proteger los intereses vitales del Cliente/interesado o de otra persona física, para la ejecución de una tarea de interés público o relacionada con el ejercicio de los poderes públicos de los que está investido el titular del tratamiento, o bien para la búsqueda del interés legítimo del propio titular del tratamiento o de terceros, a condición de que no prevalezcan los intereses o los derechos y las libertades fundamentales del Cliente/interesado; también en estos casos, la transmisión de los datos es obligatoria y, por tanto, su falta de comunicación o su comunicación parcial o inexacta puede exponer al Cliente/interesado a las responsabilidades y sanciones previstas por el Ordenamiento jurídico.
(4b) Otras finalidades del tratamiento tras el consentimiento específico y expreso del Cliente/interesado
Además de para las finalidades de tratamiento mencionadas más arriba, los datos personales comunicados/adquiridos pueden ser tratados, previa autorización del Cliente/interesado, que se expresará seleccionando la casilla <<Autorizar>> en el Contrato o en el Sitio (o utilizando otras aplicaciones sociales o web del titular del tratamiento), también para la realización de estudios de mercado y pata efectuar comunicaciones comerciales y promocionales, mediante teléfono (incluso utilizando el número del móvil facilitado) y sistemas automatizados de contacto (e-mail, sms, mms, fax, etc.), sobre productos/servicios del titular del tratamiento o de sociedades del Grupo a las que pertenece el titular del tratamiento.
El consentimiento para las finalidades de tratamiento referidas en este punto (4b) es facultativo; por tanto, tras una posible negativa, los datos serán tratados solo para las finalidades indicadas en el anterior punto (4a), salvo cuanto se especifica a continuación en relación con los intereses legítimos del titular del tratamiento o de terceros.
5. Categorías de datos personales tratados
El titular del tratamiento trata principalmente datos de identificación/de contacto (nombre, apellidos, direcciones, tipo y número de documentos de reconocimiento, número de teléfono, direcciones de correo electrónico, de naturaleza fiscal/de facturación, salvo otros) y, cuando estén previstas transacciones comerciales, datos financieros (de índole bancaria, en particular, identificativos de cuentas corrientes, números de tarjetas de crédito, salvo otros relacionados con las transacciones comerciales antedichas).
El tratamiento que el titular del tratamiento efectúa, tanto para la ejecución del Contrato como por consentimiento expreso del Cliente/interesado, no atañe, generalmente, a categorías particulares de datos personales, conocidos como sensibles (que revelen el origen racional o étnico, las opiniones políticas, las convicciones religiosas, el estado de salud o la orientación sexual, etc.), ni a datos genéticos y biométricos o datos llamados judiciales (correspondientes a condenas penales o delitos).
Sin embargo, no puede excluirse que el titular del tratamiento, a fin de cumplir con las obligaciones derivadas del Contrato, deba conservar y/o tenga la necesidad de tratar datos sensibles, genéticos y biométricos o judiciales del Cliente/interesado o de terceros en posesión del Cliente/interesado en calidad por ser el titular del tratamiento; en dicha hipótesis, el tratamiento entra en vigor, con las condiciones y dentro de los límites del nombramiento del propio titular del tratamiento como responsable del tratamiento, por parte del Cliente/interesado.
El titular del tratamiento trata también, en calidad de titular del tratamiento con referencia al Sitio, y, potencialmente, como responsable del tratamiento encargado para ello (según las condiciones referidas más arriba) por el Cliente/interesado, los datos de navegación. Los sistemas informáticos y los procedimientos software utilizados para el funcionamiento de los sitios de Internet obtienen, durante su ejercicio normal, algunos datos personales, cuya transmisión está implícita en el uso de protocolos de comunicación de Internet. Se trata de informaciones que no son recopiladas para ser asociadas a sujetos identificados, sino que, por su propia naturaleza, podrían permitir identificar al interesado. De esta categoría de informaciones forman parte los datos de geolocalización, las direcciones IP, el tipo de navegador, el sistema operativo, el nombre del dominio y las direcciones de sitios web desde los que se ha accedido o se ha salido, informaciones sobre las páginas visitadas por los usuarios dentro del sitio, el horario de acceso, la permanencia en una página determinada, los análisis de recorrido interno y otros parámetros correspondientes al sistema operativo y al ambiente informático del usuario. Se trata, pues de informaciones que, por su naturaleza, permiten, a través de elaboraciones y asociaciones incluso con datos en posesión de terceros, identificar a los usuarios.
Además, en el Sitio puede hacerse uso de cookie, tanto de sesión (que no son memorizadas en el ordenador del interesado y desaparecen al cerrar el navegador) como persistentes, para la transmisión de informaciones de carácter personal, o bien de sistemas para rastrear a los interesados.
6. Fuente de los datos personales
Los datos personales que el titular del tratamiento trata son recibidos directamente por el titular del tratamiento del Cliente/interesado en el momento de la, y durante la, navegación por este Sitio (o utilizando otras aplicaciones sociales o web del titular del tratamiento), o bien, también por medio de los propios comerciales, con motivo de la, o después de la, suscripción del Contrato, en la fase de ejecución del mismo, o de fuentes públicas.
Como hemos precisado más arriba, el titular del tratamiento, como responsable del mismo, a fin de cumplir con las obligaciones derivadas del Contrato, puede conservar y/o tratar datos, en particular de navegación, potencialmente también sensibles, genéticos y biométricos o judiciales, de terceros, en posesión del Cliente/interesado en calidad de titular del tratamiento, obtenidos, previa autorización de dichos terceros, en el momento de la, y durante la, navegación de dichos terceros por el Sitio (o utilizando otras aplicaciones sociales o web referibles al titular del tratamiento).
7. Intereses legítimos
Los intereses legítimos del titular del tratamiento o de terceros pueden constituir una válida base jurídica del tratamiento, a condición de que no prevalezcan los intereses o los derechos ni las libertades fundamentales del interesado. En general, pueden existir estos intereses legítimos cuando hay una relación pertinente y apropiada entre el titular del tratamiento y el interesado, por ejemplo, cuando el interesado es un cliente del titular. En particular, es un interés legítimo del titular del tratamiento es poder tratar los datos personales del Cliente/interesado: para prevenir fraudes, para finalidades de marketing directo, para asegurar la libre circulación de dichos por todo el Grupo empresarial al que el titular el tratamiento pertenece, o bien correspondientes al tráfico, a fin de garantizar la seguridad de las redes y de la información, esto es, la capacidad de una red o de un sistema de resistir a eventos imprevistos o a actos ilícitos que puedan comprometer la disponibilidad, la autenticidad, la integridad y la confidencialidad de los datos.
8. Circulación de los datos personales
(8a) Comunicación de los datos personales – categorías de destinatarios
Además de por los empleados y colaboradores a diferente título del titular del tratamiento (que están autorizados por el titular del tratamiento a tratar los datos según una adecuadas instrucciones operativas escritas, a fin de poder garantizar la confidencialidad y la seguridad de los datos), algunas operaciones de tratamiento pueden ser efectuadas también por sujetos terceros, a los que el titular del tratamiento confía algunas actividades, o parte de éstas, funcionales para las finalidades referidas en el punto (4a), así pues tanto para cumplir obligaciones contractuales como legales, entre las que destacan, por ejemplo: socios comerciales y/o técnicos; sociedades que prestan servicios bancarios y financieros; sociedades que realizan servicios de archivado de documentos; sociedades de recuperación de créditos; sociedades de revisión contable y de certificación de los balances; sociedades de rating; sujetos que desempeñan, a favor del titular del tratamiento, actividades de asistencia y asesoramiento profesional; sociedades que efectúan actividades de atención al cliente; sociedades de factoring, de titularización de los créditos o a otro título cesionarias de los créditos; sociedades del Grupo al que el titular del tratamiento pertenece; sujetos que proporcionan informaciones comerciales; sociedades de servicios informáticos. Los sujetos pertenecientes a estas categorías tratan los datos personales en calidad de autónomos titulares del tratamiento, o bien en calidad de responsables del tratamiento, con referencia a operaciones específicas de tratamiento que forman parte de prestaciones contractuales que los mismo sujetos ejecutan a favor/en el interés del titular del tratamiento; a los responsables del tratamiento, el titular del tratamiento da unas instrucciones operativas escritas adecuadas, con especial referencia a la adopción de las medidas mínimas de seguridad, a fin de poder garantizar la confidencialidad y la seguridad de los datos.
Algunas operaciones de tratamiento pueden ser realizadas por sujetos terceros, a los que el titular del tratamiento encarga algunas actividades, o parte de éstas, incluso de forma funcional para las finalidades referidas en el punto (4b), entre los que destacamos, por ejemplo: socios comerciales y/o técnicos; sociedades que prestan institucionalmente servicios de marketing; agencias publicitarias; sujetos que prestan actividades de asistencia o asesoramiento con referencia a concursos y operaciones con premio. Los sujetos pertenecientes a dichas categorías tratan los datos personales en calidad de autónomos titulares del tratamiento, o bien en calidad de responsables del tratamiento, con referencia a operaciones de tratamiento específicas que forman parte de las prestaciones contractuales que dichos sujetos realizan a favor/en el interés del titular del tratamiento; a los responsables del tratamiento el titular del tratamiento da unas instrucciones operativas escritas adecuadas, con especial referencia a la adopción de las medidas mínimas de seguridad, a fin de poder garantizar la confidencialidad y la seguridad de los datos.
Está disponible, previa solicitud escrita que debe enviarse a la sede del titular del tratamiento, la lista, sujeta a actualización periódica, de los responsables del tratamiento con los que el titular del tratamiento establece relaciones.
Asimismo, los datos personales pueden ser comunicados, en caso de solicitud, a las autoridades competentes, en cumplimiento de las obligaciones derivadas de normas legales inderogables.
(8b) Transferencia de los datos personales a Países terceros
Los datos personales del Cliente/interesado pueden ser transferidos también al extranjero, tanto a Países de la Unión Europea como a Países no pertenecientes a la Unión Europea y, en este último caso, o sobre la base de una decisión de adecuación, o en el ámbito y con las garantías adecuadas previstas por el GDPR (en particular, en presencia de cláusulas contractuales tipo de protección de datos aprobadas por la Comisión Europea), o, fuera de las hipótesis referidas, recurriendo a una o varias de las derogaciones previstas por el GDPR (en particular, por consentimiento explícito del Cliente/interesado, o para la ejecución del Contrato cerrado por el Cliente/interesado, o bien para la ejecución de un contrato estipulado entre el titular del tratamiento y otra persona física o jurídica a favor del Cliente/interesado, especialmente para la ejecución de actividades solicitadas a esta última por el titular del tratamiento para la ejecución del Contrato cerrado con el Cliente/interesado). En el caso de transferencias a Países fuera de la Unión Europea, al Cliente/interesado se le permite, previa solicitud escrita que debe enviarse a la sede del titular del tratamiento, conocer las garantías adecuadas, o bien las derogaciones, que legitiman el tratamiento transfronterizo. Se entiende, en el caso de transferencias de datos a Países situado fuera de la Unión Europea, que, por cada solicitud inherente a los datos, también para el ejercicio de los derechos reconocidos por el GDPR al Cliente/interesado, éste podrá dirigirse válidamente siempre al titular del tratamiento.
9. Criterios para determinar el periodo de conservación de los datos personales
Para las finalidades referidas en el punto (4a), el periodo de conservación de los datos personales comunicados por el Cliente/interesado, y su consiguiente tratamiento potencial, coincide con el periodo de prescripción de los derechos/deberes (legales, fiscales, etc.) derivados del Contrato: por lo general, 10 años, por lo tanto, salvo que se produzcan eventos de interrupción de la prescripción que puedan prolongar, de hecho, dicho periodo.
Para las finalidades referidas en el punto (4b), el periodo de conservación de los datos comunicados por el Cliente/interesado, y su consiguiente tratamiento potencial, termina con la revocación de la autorización previamente dada por el Cliente/interesado o, a falta de ésta, transcurrido un año desde la interrupción de las relaciones entre el titular del tratamiento y el Cliente/interesado.
10. Derechos del Cliente/interesado
El titular del tratamiento reconoce –y agiliza el ejercicio, por parte del Cliente/interesado– todos los derechos previstos por el GDPR, en particular, el derecho a solicitar el exigir el acceso a su datos personales y a disponer de una copia (art. 15 GDPR), a la rectificación (art. 16 GDPR) y a la anulación de los mismos (art. 17 GDPR), a la limitación del tratamiento que le concierna (art. 18 GDPR), a la portabilidad de los datos (art. 20 GDPR, de cumplirse las condiciones) y a oponerse al tratamiento que le concierna (art. 21 y 22 GDPR), para los casos aquí mencionados y, en particular, al tratamiento para finalidades de marketing o que se traduzca en un proceso de toma de decisiones automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos que le conciernan, de cumplirse las condiciones).
Asimismo, el titular del tratamiento reconoce al Cliente/interesado, cuando el tratamiento esté basado en el consentimiento,el derecho a revocar dicho consentimiento en cualquier momento, sin perjudicar la licitud del tratamiento basada en el consentimiento prestado antes de la revocación. Para ello, el Cliente/interesado puede desinscribirse en cualquier momento en el Sitio (o en otras aplicaciones sociales o web del titular del tratamiento) o utilizando el enlace presente a pie de página de todas las comunicaciones comerciales recibidas, o bien poniéndose en contacto con el titular del tratamiento en las direcciones más arriba referidas.
Asimismo, el titular del tratamiento informa al Cliente/interesado del derecho de proponer una reclamación a la Autoridad Garante para la Protección de los Datos personales, como autoridad de control que actúa en Italia, y a proponer un recurso judicial, tanto contra una decisión de la Autoridad Garante, como con respecto al titular del tratamiento y/o a un responsable del tratamiento.
11. Seguridad de los sistemas y de los datos personales
Teniendo en cuenta el estado actual de la técnica y de los costes de aplicación, así como la naturaleza, el objeto, el contexto y las finalidades del tratamiento, y también el riesgo, por lo que se refiere a la probabilidad y gravedad, para los derechos y las libertades de las personas físicas, el titular del tratamiento adopta medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado para el riesgo, en particular asegurando, sobre una base permanente, la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas y de los servicios de tratamiento (incluso a través del cifrado de los datos personales, de ser necesario) y la capacidad de restablecer oportunamente la disponibilidad de los datos en caso de incidente físico o técnico, y adoptando procedimientos internos pensados para probar, comprobar y valorar regularmente la eficacia de las medidas técnicas y organizativas empleadas.
Al valorar el nivel adecuado de seguridad, se tienen en cuenta los riesgos presentados por el tratamiento que derivan, en particular, de la destrucción, de la pérdida, de la modificación, de la divulgación no autorizada o del acceso, de forma accidental o ilegal, a datos personales transmitidos, conservados o tratados.
El titular del tratamiento trabaja para que quienquiera que actúe bajo su autoridad y tenga acceso a datos personales no trate estos datos si no ha sido instruido en dicho sentido por el propio titular del tratamiento.
Dicho esto, el Cliente/interesado entiende y acepta que ningún sistema de seguridad garantiza, en términos de certeza, la protección absoluta; por tanto, el titular del tratamiento no responde por actos o hechos de terceros que, de forma abusiva, a pesar de las cautelas adecuadas adoptadas, accedan a los sistemas sin las debidas autorizaciones.
12. Procesos de toma de decisiones automatizados, incluida la elaboración de perfiles
El titular del tratamiento puede efectuar tratamientos automatizados, incluyendo la elaboración de perfiles, en relación con las finalidades referidas en el punto (4b), para optimizar la navegabilidad del Sitio (o el disfrute de otras aplicaciones sociales o web del titular del tratamiento) y para mejorar la experiencia de compra, con excepción de cuanto se ha especificado más arriba sobre los derechos de oposición y revocación del consentimiento por parte del Cliente/interesado.
Por la elaboración de perfiles se entiende cualquier forma de tratamiento automatizado de datos personales encaminado a evaluar determinados aspectos concernientes a una persona física, en particular, para analizar o prever aspectos concernientes, por ejemplo, a las preferencias personales, los intereses o la ubicación de dicha persona, incluso con la finalidad de crear perfiles, lo grupos homogéneos de sujetos por características, interese o comportamientos.
El titular del tratamiento no efectúa ningún tratamiento automatizado que produzca efectos jurídicos que conciernan al Cliente/interesado o que incidan de forma análoga significativamente en su persona, a no ser que esto sea necesario para la conclusión o la ejecución del Contrato, ya esté autorizado por la ley ya se base en el consentimiento explícito del Cliente/interesado y, en cualquier caso, reconociendo siempre a este último el derecho a obtener la intervención humana, a expresar su opinión o a poner en duda la decisión.