Seleziona una pagina

Privacy Policy

Informativa privacy Informazioni ex art. 13 e 14, Reg. EU 679/16 – GDPR

Identità e contatti del Titolare del trattamento

Il Titolare del trattamento è CTP S.r.l. con sede legale e operativa in Milano, Corso Sempione 44 – 20154 – e C.F./P.IVA 01518550189, tel. +39 02-36520459, e-mail eventi@ctpeople.it (di seguito: “CTP” o “il Titolare”). Il titolare ha nominato un DPO contattabile all’indirizzo dpo@ctpeople.it per le sole questioni di sua competenza ed attinenti al trattamento.

Natura e tipologia di dati

I dati raccolti sono dati personali comuni quali nome, cognome e indirizzo e-mail. Il Titolare non raccoglie dati personali relativi a soggetti minori di anni 18. Oltre ai dati identificativi, il sistema raccoglie e conserva i punteggi ottenuti nelle sfide, le risposte fornite alle domande, il tempo di completamento delle prove e altri dati statistici relativi alle performance dell’utente sulla piattaforma.

Fonte e finalità del trattamento

I dati personali sono raccolti direttamente dal Titolare presso l’interessato al momento della registrazione sulla piattaforma e durante l’utilizzo del servizio. Sono trattati per le seguenti finalità:

  1. Consentire all’utente la registrazione e l’accesso alla piattaforma di sfide online, l’identificazione univoca del profilo utente, la partecipazione alle sfide proposte attraverso domande e risposte, il calcolo e l’attribuzione dei punteggi ottenuti, la visualizzazione dello storico delle proprie performance e dei risultati conseguiti;
  2. Garantire il corretto funzionamento tecnico della piattaforma, gestire eventuali problematiche tecniche segnalate dagli utenti, prevenire utilizzi fraudolenti o non conformi alle condizioni d’uso del servizio, assicurare la sicurezza informatica del sistema e proteggere i dati degli utenti da accessi non autorizzati;
  3. Ottemperare a norme amministrative, fiscali, contabili e di altro genere obbligatorie in forza di legge nazionale vigente o in virtù di decisioni dell’Unione Europea;
  4. Eseguire attività di analisi statistica aggregata e anonimizzata sulle modalità di utilizzo della piattaforma, sui tassi di completamento delle sfide, sui livelli di difficoltà percepiti, al fine di migliorare continuativamente il servizio offerto, sviluppare nuove funzionalità e ottimizzare l’esperienza utente. Tali analisi vengono condotte esclusivamente su dati aggregati che non permettono l’identificazione dei singoli utenti;
  5. Esercitare, far valere o difendere in sede giudiziaria un diritto proprio o di un terzo, qualora si rendesse necessario in presenza di controversie, contestazioni o violazioni dei termini d’uso della piattaforma;
  6. Inviare comunicazioni informative relative al servizio, quali notifiche di nuove sfide disponibili, aggiornamenti delle funzionalità della piattaforma, modifiche ai termini d’uso o altre comunicazioni di carattere tecnico o amministrativo strettamente connesse all’erogazione del servizio;

Modalità del trattamento

I dati personali sono trattati dal Titolare con modalità prevalentemente elettroniche e automatizzate attraverso sistemi informatici e applicativi web. I dati sono conservati su server sicuri protetti da idonee misure di sicurezza tecniche e organizzative, volte a prevenire la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso indebito ai dati – sia accidentale che doloso.

Il Titolare adotta protocolli di cifratura per la trasmissione dei dati, sistemi di autenticazione per l’accesso alle informazioni, procedure di backup regolari, firewall e sistemi di monitoraggio delle attività sospette. L’accesso ai dati personali è consentito esclusivamente al personale autorizzato e adeguatamente formato, che agisce sulla base di specifiche istruzioni fornite dal Titolare.

I dati personali non sono soggetti a diffusione al pubblico né ad alcun processo decisionale interamente automatizzato, ivi compresa la profilazione. I punteggi e le statistiche degli utenti rimangono privati e non vengono condivisi con altri utenti della piattaforma, salvo diversa e specifica autorizzazione dell’interessato.

I dati relativi alle performance (punteggi, risposte, tempi di completamento) sono utilizzati esclusivamente per fornire all’utente il proprio storico personale e per elaborare statistiche aggregate e anonimizzate a fini di miglioramento del servizio.

Base giuridica del trattamento

In funzione delle finalità di trattamento di cui al capitolo “Fonte e finalità del trattamento”, le basi giuridiche sono le seguenti:

  • Per le finalità di cui al punto 1. “Fonte e finalità del trattamento”, la base giuridica è l’art. 6, comma 1, lettera b), GDPR, in quanto il trattamento è necessario per l’esecuzione del contratto di servizio di cui l’interessato è parte, vale a dire per consentire la fruizione della piattaforma di sfide online, o per l’esecuzione di misure precontrattuali adottate su richiesta dello stesso (registrazione, accesso, partecipazione alle sfide, visualizzazione dei risultati);
  • Per le finalità di cui al punto 2. “Fonte e finalità del trattamento”, la base giuridica è l’art. 6, comma 1, lettera f), GDPR, ossia il “legittimo interesse” del Titolare (considerando C47, GDPR e Opinion 6/2014 del Working Party 29, par. III.3.1.) a garantire il corretto funzionamento tecnico della piattaforma, la sicurezza informatica del sistema e la protezione dei dati degli utenti, nonché a prevenire utilizzi fraudolenti o abusi del servizio. Tale interesse è ritenuto prevalente rispetto agli interessi o ai diritti e alle libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative degli utenti basate sulla loro relazione con il Titolare;
  • Per le finalità di cui al punto 3. “Fonte e finalità del trattamento”, la base giuridica è l’art. 6, comma 1, lettera c), GDPR, poiché il trattamento è necessario per adempiere a obblighi legali cui il Titolare è soggetto (obblighi fiscali, contabili, amministrativi previsti dalla normativa vigente);
  • Per le finalità di cui al punto 4. “Fonte e finalità del trattamento”, la base giuridica è l’art. 6, comma 1, lettera f), GDPR, ossia il “legittimo interesse” del Titolare (considerando C47, GDPR e Opinion 6/2014 del Working Party 29, par. III.3.1.) a migliorare continuativamente la qualità del servizio offerto attraverso l’analisi statistica aggregata e anonimizzata dei dati di utilizzo della piattaforma. Tale trattamento è strettamente funzionale all’ottimizzazione dell’esperienza utente e allo sviluppo di nuove funzionalità che rispondano alle esigenze manifestate dagli utenti;
  • Per le finalità di cui al punto 5. “Fonte e finalità del trattamento”, la base giuridica è l’art. 6, comma 1, lettera f), GDPR, ossia il “legittimo interesse” del Titolare o di un terzo (considerando C47, GDPR e Opinion 6/2014 del Working Party 29, par. III.3.1.) a esercitare, far valere o difendere in sede giudiziaria i propri diritti o quelli di terzi;
  • Per le finalità di cui al punto 6. “Fonte e finalità del trattamento”, la base giuridica è l’art. 6, comma 1, lettera b), GDPR, in quanto le comunicazioni di carattere informativo, tecnico e amministrativo relative al servizio sono strettamente connesse e funzionali all’esecuzione del contratto di servizio di cui l’interessato è parte. Alternativamente, laddove tali comunicazioni non siano strettamente necessarie all’esecuzione del contratto, la base giuridica è l’art. 6, comma 1, lettera f), GDPR, ossia il legittimo interesse del Titolare a mantenere gli utenti informati su aspetti rilevanti del servizio;

Criteri della raccolta dei dati

Il conferimento dei dati identificativi (nome, cognome, indirizzo e-mail) è necessario per la registrazione alla piattaforma e per la fruizione del servizio. La mancata indicazione di tali dati comporta l’impossibilità per il Titolare di erogare il servizio e, conseguentemente, di consentire all’utente la partecipazione alle sfide online.

I dati relativi alle performance (punteggi, risposte, tempi) vengono raccolti automaticamente durante l’utilizzo della piattaforma e sono indispensabili per il corretto funzionamento del servizio stesso (calcolo punteggi, storico prestazioni).

Il Titolare ha implementato misure tecniche e organizzative adeguate per garantire che, in conformità ai principi di privacy by design e privacy by default (ex art. 25 del GDPR), siano trattati, per impostazione predefinita e fin dalla progettazione del sistema, soltanto i dati personali strettamente necessari per ciascuna specifica finalità del trattamento.

In particolare, sono raccolti e conservati solo i dati minimi indispensabili per l’erogazione del servizio, l’accessibilità ai dati è limitata al personale strettamente autorizzato, la conservazione è limitata ai tempi necessari e i dati sono protetti mediante adeguate misure di sicurezza tecniche e organizzative.

Destinatari – Responsabili del trattamento, persone autorizzate al trattamento dei dati, autonomi titolari del trattamento

Le persone fisiche autorizzate al trattamento dei dati personali, che agiscono sotto l’autorità diretta del Titolare e su sua specifica istruzione, sono i dipendenti e i collaboratori del Titolare opportunamente formati e istruiti, con particolare riferimento al personale addetto: • ai servizi informatici e di sviluppo software della piattaforma; • all’amministrazione dei sistemi e alla sicurezza informatica; • all’assistenza tecnica e al supporto utenti; • all’amministrazione, alla contabilità e agli adempimenti fiscali; • al servizio clienti e alla gestione delle comunicazioni con gli utenti;

I dati personali potrebbero essere trattati anche da soggetti terzi esterni, sia in qualità di responsabili del trattamento (che agiscono per conto e su istruzione del Titolare), sia in qualità di autonomi titolari del trattamento (che agiscono in autonomia per proprie finalità).

In particolare, i dati potrebbero essere comunicati a: • fornitori di servizi informatici e di hosting che ospitano i server e gestiscono l’infrastruttura tecnologica della piattaforma (in qualità di responsabili del trattamento); • fornitori di servizi di assistenza tecnica, manutenzione e sviluppo software (in qualità di responsabili del trattamento); • consulenti professionali quali commercialisti, avvocati, revisori contabili (in qualità di autonomi titolari o responsabili del trattamento, a seconda dei casi); • fornitori di servizi di invio comunicazioni e-mail e di gestione newsletter (in qualità di responsabili del trattamento, limitatamente agli utenti che hanno prestato consenso); • autorità pubbliche, organi di vigilanza, magistratura, forze dell’ordine, enti previdenziali e fiscali, qualora la comunicazione dei dati sia imposta da legge, regolamento o normativa comunitaria, ovvero sia necessaria per far valere o difendere un diritto in sede giudiziaria (in qualità di autonomi titolari del trattamento).

Gli utenti hanno il diritto di ottenere in qualsiasi momento l’elenco completo e aggiornato degli eventuali responsabili del trattamento nominati dal Titolare, facendone richiesta a quest’ultimo con le modalità previste nel capitolo “Diritti degli interessati ai sensi degli artt.15-22, GDPR”.

Periodo di conservazione dei dati

In funzione delle finalità di trattamento dei dati e in conformità al principio di limitazione della conservazione (art. 5, par. 1, lett. e) GDPR), il periodo di conservazione determinato dal Titolare è il seguente:

  • Per le finalità di cui al punto 1. “Fonte e finalità del trattamento”, i dati personali dell’utente (nome, cognome, e-mail) e i dati relativi alle performance (punteggi, risposte, storico sfide) sono conservati per tutta la durata del rapporto contrattuale, vale a dire fino a quando l’account dell’utente rimane attivo sulla piattaforma. In caso di cancellazione dell’account da parte dell’utente o di cessazione del servizio, i dati saranno cancellati entro 30 giorni dalla richiesta di cancellazione o dalla disattivazione dell’account, fatti salvi gli obblighi di conservazione previsti dalla legge e le esigenze di difesa in giudizio;
  • Per le finalità di cui al punto 2. “Fonte e finalità del trattamento”, i dati necessari per garantire il corretto funzionamento tecnico della piattaforma e la sicurezza informatica (log di accesso, tracce di attività sospette, segnalazioni di problematiche tecniche) sono conservati per un periodo non superiore a 12 mesi dalla loro raccolta, salvo che la loro ulteriore conservazione si renda necessaria per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
  • Per le finalità di cui al punto 3. “Fonte e finalità del trattamento”, i dati personali sono conservati per il periodo necessario ad adempiere agli obblighi legali cui il Titolare è soggetto, in conformità alle specifiche disposizioni di legge applicabili. A titolo esemplificativo, i dati rilevanti ai fini fiscali e contabili sono conservati per 10 anni dalla cessazione del rapporto, in conformità all’art. 2220 del Codice Civile e alle normative fiscali vigenti;
  • Per le finalità di cui al punto 4. “Fonte e finalità del trattamento”, i dati utilizzati per analisi statistiche sono trattati esclusivamente in forma aggregata e anonimizzata, in modo tale da non permettere l’identificazione diretta o indiretta degli interessati. Pertanto, tali dati aggregati e anonimi possono essere conservati senza limiti di tempo, in quanto non costituiscono più dati personali ai sensi del GDPR;
  • Per le finalità di cui al punto 5. “Fonte e finalità del trattamento”, i dati sono conservati per il periodo necessario allo svolgimento delle singole fasi di eventuali procedimenti giudiziari, stragiudiziali o controversie che dovessero manifestarsi, fino alla conclusione definitiva dei medesimi, e comunque entro i termini di prescrizione previsti dalla legge applicabile. Decorsi tali termini, i dati saranno cancellati o resi anonimi in modo irreversibile;
  • Per le finalità di cui al punto 6. “Fonte e finalità del trattamento”, le comunicazioni di carattere informativo, tecnico e amministrativo relative al servizio sono inviate per tutta la durata del rapporto contrattuale e i relativi dati sono conservati secondo i criteri indicati al punto 1;

Al termine dei periodi di conservazione sopra indicati, i dati personali saranno definitivamente cancellati o resi anonimi in modo irreversibile, salvo che la loro ulteriore conservazione sia necessaria per adempiere a un obbligo di legge o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Luogo del trattamento e trasferimento dei dati in Paesi extra-UE

Il trattamento dei dati personali, ivi compresa la loro conservazione, avviene esclusivamente su server ubicati all’interno dell’Unione Europea, di proprietà del Titolare e/o di società terze debitamente nominate quali responsabili del trattamento ai sensi dell’art. 28 GDPR.

Il Titolare non effettua alcun trasferimento di dati personali verso Paesi terzi al di fuori dello Spazio Economico Europeo (SEE) né verso organizzazioni internazionali. Qualora, per ragioni tecniche o organizzative, si rendesse necessario in futuro effettuare trasferimenti di dati personali verso Paesi extra-UE, il Titolare si impegna a: • informare preventivamente gli interessati attraverso un aggiornamento della presente informativa privacy; • adottare tutte le garanzie appropriate previste dal Capo V del GDPR (artt. 44-50), quali le decisioni di adeguatezza della Commissione Europea, le clausole contrattuali standard (SCC) approvate dalla Commissione, le norme vincolanti d’impresa (BCR), la certificazione e i codici di condotta; • garantire che i dati personali continuino a godere di un livello di protezione sostanzialmente equivalente a quello assicurato all’interno dell’Unione Europea.

Diritti degli interessati ai sensi degli artt.15-22, GDPR

Gli interessati hanno il diritto di esercitare, in qualunque momento e senza alcuna formalità, i diritti previsti dagli articoli 15-22 del GDPR. Per esercitare tali diritti, è possibile scrivere al Titolare del trattamento all’indirizzo postale Milano, Corso Sempione 44 – 20154, oppure inviare una comunicazione all’indirizzo e-mail eventi@ctpeople.it, o ancora contattare il Data Protection Officer (DPO) all’indirizzo dpo@ctpeople.it.

In particolare, l’interessato ha il diritto di:

  1. Accesso ai dati personali (art. 15 GDPR): ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, ottenere l’accesso a tali dati e alle seguenti informazioni: finalità del trattamento, categorie di dati personali, destinatari o categorie di destinatari, periodo di conservazione previsto, esistenza di processi decisionali automatizzati compresa la profilazione, garanzie applicate in caso di trasferimenti verso Paesi extra-UE;
  2. Rettifica dei dati personali (art. 16 GDPR): ottenere senza ingiustificato ritardo la rettifica dei dati personali inesatti che lo riguardano e l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa, tenuto conto delle finalità del trattamento;
  3. Cancellazione dei dati personali – “diritto all’oblio” (art. 17 GDPR): ottenere senza ingiustificato ritardo la cancellazione dei dati personali che lo riguardano, qualora ricorra uno dei seguenti motivi:
    1. i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
    2. l’interessato revoca il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico per il trattamento;
    3. l’interessato si oppone al trattamento ai sensi dell’art. 21, par. 1 o 2 GDPR e non sussistono motivi legittimi prevalenti per procedere al trattamento;
    4. i dati personali sono stati trattati illecitamente;
    5. i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento. Il diritto alla cancellazione non si applica nelle ipotesi previste dall’art. 17, par. 3 GDPR, quali ad esempio quando il trattamento è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
  4. Limitazione del trattamento (art. 18 GDPR): ottenere la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
    1. l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati;
    2. il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
    3. benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
    4. l’interessato si è opposto al trattamento ai sensi dell’art. 21, par. 1 GDPR, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato;
  5. Portabilità dei dati (art. 20 GDPR): ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano, e che egli ha fornito al titolare del trattamento, nonché trasmettere tali dati a un altro titolare del trattamento senza impedimenti, qualora:
    1. il trattamento si basi sul consenso (art. 6, par. 1, lett. a) o art. 9, par. 2, lett. a) GDPR) o su un contratto (art. 6, par. 1, lett. b) GDPR);
    2. il trattamento sia effettuato con mezzi automatizzati. L’interessato ha inoltre il diritto di ottenere che i dati personali siano trasmessi direttamente da un titolare del trattamento a un altro, se tecnicamente fattibile;
  6. Opposizione al trattamento (art. 21 GDPR): opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano, qualora il trattamento sia basato sull’art. 6, par. 1, lett. e) GDPR (esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri) o sull’art. 6, par. 1, lett. f) GDPR (legittimo interesse del titolare o di terzi), compresa la profilazione. Il Titolare si asterrà dal trattare ulteriormente i dati personali, salvo che dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato, oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
  7. Proporre reclamo all’Autorità di controllo (art. 77 GDPR): fermo restando ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritiene che il trattamento che lo riguarda violi il GDPR ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione. In Italia, l’Autorità di controllo competente è il Garante per la Protezione dei Dati Personali, con sede in Piazza Venezia 11, 00187 Roma (RM), sito web: www.garanteprivacy.it, e-mail PEC: protocollo@pec.gpdp.it. Il modulo per la presentazione del reclamo è reperibile all’indirizzo https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4535524.

Il Titolare si impegna a fornire riscontro alle richieste degli interessati senza ingiustificato ritardo e, comunque, entro un mese dal ricevimento della richiesta. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. In tal caso, il Titolare informerà l’interessato della proroga e dei motivi del ritardo entro un mese dal ricevimento della richiesta.

Le informazioni e le comunicazioni relative alle richieste degli interessati sono fornite gratuitamente. Tuttavia, se le richieste sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il Titolare può addebitare un contributo spese ragionevole, tenendo conto dei costi amministrativi sostenuti per fornire le informazioni, oppure rifiutare di soddisfare la richiesta, motivando adeguatamente il rifiuto.

Modifiche alla presente informativa

La presente informativa privacy è un documento in costante aggiornamento. Il Titolare si riserva il diritto di apportarvi modifiche in qualunque momento, al fine di adeguarla a eventuali cambiamenti normativi, organizzativi o tecnologici che dovessero intervenire.

Gli utenti sono pertanto invitati a consultare periodicamente la presente informativa per rimanere costantemente informati su come il Titolare raccoglie e utilizza i dati personali.

La presente informativa è aggiornata al 20.01.2025

Cardio Renal RACE
Powered by  GDPR Cookie Compliance
Panoramica privacy

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.