Trattamenti in contitolarità  Contitolari: Con riferimento ai dati personali degli utenti presenti negli archivi condivisi del Polo regionale SBN Sardegna (CAG) (da qui in poi “Polo” o “Polo SBN CAG”) e trattati dagli operatori accreditati delle Biblioteche/Enti aderenti e da personale debitamente autorizzato della Regione Sardegna, le Biblioteche/Enti aderenti al Polo e la Regione sono Contitolari del trattamento. L’elenco delle Biblioteche/Enti aderenti al Polo è disponibile al link https://www.iccu.sbn.it/it/SBN/poli-e-biblioteche/polo/CAG-Polo-regionale-SBN-Sardegna/ Dati di contatto dei contitolari e Responsabili della Protezione dei dati: Per l’Ente CAMERA DI COMMERCIO, INDUSTRIA, ARTIGIANATO E AGRICOLTURA DI SASSARI sede in SASSARI via ROMA 74 Tel. 0792080274 PEC cciaa@ss.legalmail.camcom.it email segreteria.generale@ss.camcom.it Responsabile per la Protezione dei Dati (RPD) è l’RPD, con sede in Sassari, via Roma, 74 Tel 079-2080274 PEC rpd-privacy@ss.legalmail.camcom.it Per la Regione Sardegna:  Direzione generale dei Beni Culturali, Informazione, Spettacolo e Sport, Direttore del Servizio Patrimonio culturale, Editoria e Informazione (delegato con Determinazione n. 870 prot. 10254 del 23.06.2020), tel. 0706066798, e-mail: pi.beniculturali@regione.sardegna.it, PEC: pi.benilibrari@pec.regione.sardegna.it Responsabile per la Protezione dei Dati (RPD) è l’Unità di Progetto “Responsabile della protezione dei dati per il sistema Regione” ex DPGR del 25 maggio 2018, n. 51, con sede in Cagliari (09123) Viale Trieste, 186, Tel. 070 6065735, e-mail: rpd@regione.sardegna.it, PEC: rpd@pec.regione.sardegna.it Oggetto e finalità del trattamento Saranno trattati in contitolarità i dati personali inseriti negli archivi condivisi della Piattaforma di servizi del Polo SBN (CAG), ovvero:  codice utente, nome e cognome, data di nascita, sesso, luogo di nascita, nazionalità, fotografia, indirizzo di residenza e di domicilio (indirizzo, città, CAP, provincia, paese, telefono, fax), altri recapiti (cellulare, e-mail), codice fiscale, altro codice, numero matricola, dati del documento di identità (numero, tipo, ente, luogo e data di rilascio, data di scadenza), tipo utente, provenienza, titolo di studio. Tra i dati sono ricompresi anche i dati di utenti minori.   Le schede anagrafiche degli utenti contenenti tali dati potranno essere visualizzate da tutte le Biblioteche aderenti al Polo e dalla Regione. All’atto dell’iscrizione, il sistema attribuisce in automatico a ciascun utente un codice identificativo univoco, valido a livello di Polo.  Sono altresì oggetto di trattamento i dati inerenti le transazioni sui documenti (es. prestiti, prenotazioni, proroghe, consultazioni), gli accessi e la prenotazione di sale e attrezzature gestiti mediante l’applicativo di Polo, con la precisazione che tali dati sono trattati solo dagli operatori della Biblioteca presso la quale l’utente è abilitato e da personale della Regione o di altri Enti espressamente autorizzati. Solo i dati inerenti le transazioni delle risorse digitali poste a disposizione del Polo dalla Regione e per la fruizione delle quali è richiesta un’autenticazione sono visualizzabili dagli operatori di tutte le Biblioteche e dalla Regione o eventuali altri Enti autorizzati.  Il conferimento dei dati è necessario in quanto il mancato conferimento comporta l’impossibilità di fruire dei servizi bibliotecari erogati a livello di Polo SBN (CAG) mediante l’applicativo condiviso. I succitati dati personali saranno trattati nei limiti strettamente necessari all’esecuzione di un compito di interesse pubblico o all’esercizio di pubblici poteri di cui è investito il Titolare o per adempiere un obbligo legale al quale è soggetto il titolare del trattamento (art. 6, par. 1, lett. e) e c) del GDPR), rispondenti nello specifico all’erogazione dei servizi bibliotecari nell’ambito delle Biblioteche aderenti al Polo SBN (CAG) e alla gestione delle comunicazioni connesse alla circolazione dei documenti e agli altri servizi sopra indicati. Sono fatti salvi gli obblighi e l’esercizio dei diritti del titolare previsti dalla legge.  I dati saranno trattati anche in relazione alle necessarie attività di conservazione, backup e ripristino degli stessi ospitati nella piattaforma di servizi del Polo SBN (CAG). Gli interventi potranno essere effettuati tramite il ricorso a personale della competente Direzione generale della Regione Sardegna o aziende/soggetti esterni da questa incaricate, per il tempo minimo necessario. I dati saranno altresì trattati, in forma anonima e aggregata, a fini statistici. La base giuridica del trattamento è costituita dai seguenti atti normativi: - decreto legislativo 22 gennaio 2004, n. 42 (Codice dei Beni culturali e del Paesaggio); - legge regionale 20 settembre 2006 n. 14 (Norme in materia di beni culturali, istituti e luoghi della cultura); - D.G.R. 27/26 del 28 maggio 2020 e atti richiamati nel modello di Convenzione di adesione al Polo SBN (CAG) con essa approvato. La presente informativa potrà essere corredata da un apposito modulo per il rilascio del consenso ai sensi dell’art. 7 del GDPR per il trattamento dei dati finalizzato all’erogazione di ulteriori servizi (ad es. comunicazioni inerenti convegni, eventi o iniziative culturali). Il consenso eventualmente prestato potrà essere revocato in qualsiasi momento. Modalità di trattamento Il trattamento dei dati personali, come definito dall’art. 4, punto 2, del GDPR, è realizzato, con modalità sia elettroniche che cartacee, in forma manuale e, limitatamente all’attribuzione del codice identificativo univoco, in forma automatizzata, nella misura strettamente necessaria a far fronte alle finalità sopra indicate.  Conservazione dei Dati Nel rispetto dei principi di liceità, limitazione rispetto alle finalità e minimizzazione dei dati di cui all'art. 5 del GDPR, i dati personali raccolti saranno trattati per il tempo necessario per adempiere alle finalità sopra indicate e per adempiere agli obblighi di conservazione previsti da norme di legge o regolamento e secondo i criteri indicati dai pareri della Soprintendenza archivistica e dai documenti di indirizzo AGID. La Regione, salvo esplicita richiesta di cancellazione dell’interessato, assicurerà la conservazione dei dati personali presenti negli archivi digitali condivisi ed ospitati nella piattaforma di servizi del Polo regionale SBN (CAG) fino a quando l'utente è attivo in una qualunque biblioteca del Polo e fino ai successivi 5 anni di inattività. Dopo tale termine si provvederà alla completa cancellazione dei dati personali e contestuale anonimizzazione dei dati relativi ai movimenti (es. prestiti, consultazioni, proroghe). Soggetti preposti al trattamento dei Dati I dati potranno essere trattati dagli operatori delle Biblioteche aderenti al Polo SBN (CAG), ciascuno secondo i rispettivi ruoli e permessi all’utilizzo dell’applicativo di Polo, e da personale della Regione debitamente autorizzato nonché da soggetti terzi cui è stata affidata la fornitura di servizi per conto del delegato del Titolare, nella loro qualità di Responsabili del trattamento. Comunicazioni dei Dati a terzi I dati forniti, solo se necessario ai fini dell’adempimento di obblighi di legge o contrattuali o per l’espletamento delle finalità istituzionali, possono essere comunicati a terzi, che li tratteranno in qualità di autonomi titolari del trattamento per finalità istituzionali e/o in forza di legge. Trasferimento dei Dati in paesi extra Ue: non previsto  Diritti dell’interessato al soggetto interessato (persona fisica cui si riferiscono i dati personali) se non ricorrono le limitazioni previste dalla legge (si veda art.2 - undecies D.lgs. 101/2018 “Limitazioni ai diritti dell'interessato”), competono i diritti di cui agli articoli da 15 a 22 e all’art. 77 del GDPR, alle condizioni e con le limitazioni ivi previste, ovvero: 

• il diritto dell’interessato di ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, ottenere l'accesso ai dati personali e alle informazioni di cui all’art. 15;
• il diritto di ottenere, senza ingiustificato ritardo, l’aggiornamento e la rettifica dei dati inesatti ovvero quando vi ha interesse, l’integrazione dei dati incompleti (art.16);
• il diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati personali che lo riguardano, secondo quanto previsto dall’art.17;
• il diritto di ottenere la limitazione del trattamento quando ricorre una delle ipotesi di cui all’art. 18; 
• il diritto alla portabilità dei dati, ovvero al diritto di ricevere i dati personali che lo riguardano in un formato strutturato, di uso comune e leggibile per trasmetterli ad altro titolare o – se tecnicamente fattibile – di ottenere la trasmissione diretta da parte del Titolare ad altro titolare dei dati, alle condizioni e secondo le previsioni di cui all'art. 20;
• il diritto ad opporsi al trattamento dei dati che lo riguardano sempre che ricorrano i presupposti di cui all'art. 21;
• il diritto proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali ai sensi dell’art. 77.

Nei casi di cui sopra, ove necessario, ai sensi dell’art. 19 del GDPR, il Titolare porterà a conoscenza i soggetti terzi ai quali i dati personali forniti sono comunicati dell’eventuale esercizio dei diritti di cui sopra, ad eccezione di specifici casi (es. quando tale adempimento si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato). Modalità di esercizio dei diritti L’esercizio dei diritti menzionati potrà avere luogo, sulla base di quanto previsto dall’art.12 del GDPR., rivolgendo la relativa richiesta presso questa Biblioteca o, comunque, nei confronti di ciascun contitolare del trattamento nei modi di seguito indicati:

• inviando una raccomandata A.R. all’indirizzo: Camera di commercio di Sassari, Via Roma 74 07100 Sassari;
• inviando una email a cciaa@ss.camcom.it;
• inviando una PEC a: cciaa@ss.legalmail.camcom.it;
• telefonando al numero di telefono: 079-2080274.

A tal fine è possibile utilizzare lo specifico modello disponibile sul sito dell’Autorità garante per la protezione dei dati personali (https://www.garanteprivacy.it/) nella sezione “diritti” e seguendo il percorso > “come agire per tutelare i tuoi dati personali” > “modulo”. Estratto dell’Accordo di contitolarità La Regione Sardegna e l’Ente Camera di commercio, industria, artigianato e agricoltura di Sassari aderente al Polo SBN (CAG) sono contitolari del trattamento ai sensi dell’art. 26 del Regolamento (UE) 2016/679 (GDPR), come da Accordo di contitolarità allegato alla Convenzione di cu al prot.n. 21404/U del 30/11/2021, considerato che, in base alle disposizioni citate nella Convenzione, l’utilizzo del medesimo applicativo informatico da parte delle Biblioteche aderenti e della Regione, ciascuno per quanto di competenza, determina un trattamento congiunto di dati personali finalizzato all’erogazione ottimale dei servizi bibliotecari all’utenza e alla valorizzazione del patrimonio librario e documentario nell’ambito della cooperazione, coordinamento e sviluppo delle progettualità comuni fra soggetti pubblici e privati.  In base al suddetto Accordo la Regione e le Biblioteche aderenti al Polo condividono le finalità e le modalità del trattamento dei dati personali attraverso l’applicativo SBN concesso in uso dalla Regione e gli strumenti utilizzati per la gestione dei dati personali, presenti negli archivi condivisi della PIATTAFORMA DI SERVIZI del POLO SBN CAG e definiscono i rispettivi ruoli e responsabilità e i rapporti dei contitolari con gli interessati. In particolare, la Regione gestisce le operazioni di trattamento dei dati personali degli utenti e dei dati inerenti i servizi bibliotecari con riferimento a tutti gli utenti i cui dati sono presenti nell’anagrafica utenti del Polo SBN CAG e provvede alla cancellazione delle schede anagrafiche nei casi previsti; effettua le ulteriori operazioni di trattamento necessarie per lo svolgimento del suo ruolo nell’ambito dei servizi erogati dal Polo SBN e e provvede, altresì, per il tramite della competente Direzione generale o di aziende esterne da questa incaricate, alla conservazione e al back-up dei dati sui propri server e all’attuazione delle relative policy di sicurezza. Le Biblioteche aderenti al Polo, per il tramite degli operatori accreditati, gestiscono le operazioni inerenti la registrazione degli utenti nelle relative schede anagrafiche, la modifica, la consultazione e l’uso dei dati personali degli utenti ovvero ogni altra operazione di cui alla succitata Convenzione _____________.  Le Parti, ai sensi dell’art. 4 dell’Accordo, nei limiti delle proprie funzioni e delle rispettive prerogative, adottano le misure tecniche e organizzative adeguate ai sensi degli artt. 25 - 32 del GDPR e delle vigenti norme in materia di privacy al fine di garantire un livello di sicurezza adeguato al rischio nello svolgimento delle operazioni di trattamento per le quali agiscono in contitolarità, come meglio precisato al comma 3 del suddetto art. 4, e stabiliscono che l’informativa fornita all’utenza da ciascuna Biblioteca/Ente debba recare una parte comune, relativamente ai trattamenti in contitolarità dei dati personali presenti negli archivi condivisi, che contenga un estratto dell’Accordo stesso; gli ulteriori contenuti dell’Accordo sono resi disponibili all’utenza in caso di specifica richiesta da esercitarsi con le modalità previste al punto “Modalità di esercizio dei diritti” della presente informativa. Le Parti saranno responsabili in solido tra loro in virtù del rapporto di contitolarità per i danni cagionati nell’esecuzione delle operazioni inerenti i trattamenti in contitolarità effettuati nell’ambito dei rispettivi ruoli secondo le disposizioni di cui all’art. 82, par. 4 e 5 del GDPR. Con l’Accordo gli Enti aderenti delegano la Regione Sardegna a nominare, ai sensi dell’art. 28 del GDPR, quale Responsabile del trattamento, l’affidatario dei servizi di manutenzione, evoluzione e assistenza della Piattaforma di servizi del Polo regionale Sardegna SBN (CAG).  In caso di “data breach” ovvero di violazione dei dati personali contenuti negli archivi condivisi, il contitolare del trattamento che ha rilevato la violazione, ai sensi dell’art. 33 del GDPR, notifica la stessa all'autorità di controllo competente (Garante per la protezione dai dati personali) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, dandone tempestiva comunicazione anche agli altri contitolari.