TRATTAMENTI IN CONTITOLARITÁ
Contitolari
Con riferimento ai dati personali dei FORNITORI persone fisiche presenti negli archivi condivisi (Anagrafica Fornitori) del Polo regionale SBN Sardegna (CAG) (da qui in poi “Polo” o “Polo SBN CAG”) e trattati dagli operatori accreditati delle Biblioteche/Enti aderenti e da personale debitamente autorizzato della Regione Sardegna, le Biblioteche/Enti aderenti al Polo e la Regione sono contitolari del trattamento.
L’elenco delle Biblioteche/Enti aderenti al Polo è disponibile al link: https://www.iccu.sbn.it/it/SBN/poli-e-biblioteche/polo/CAG-Polo-regionale-SBN-Sardegna/
La Regione Sardegna, con sede legale in Cagliari, viale Trento 69, legalmente rappresentata dal Presidente pro tempore della Giunta Regionale, nella sua qualità di Titolare del Trattamento con il D.P. n. 48/2018 ha delegato i propri compiti e funzioni relativi all’attuazione dei principi dettati in materia di trattamento dei Dati personali ai Direttori Generali pro tempore, i quali, a loro volta, possono esercitare le proprie funzioni in materia anche delegandole ai direttori di servizio pro tempore della medesima Direzione o Ufficio, secondo le relative competenze e responsabilità.
Dati di contatto dei contitolari e Responsabili della Protezione dei dati
Per la Biblioteca/Ente Camera di Commercio, Industria, Artigianato e Agricoltura di Sassari con sede in Sassari via Roma 74, Tel. 079 2080274, PEC cciaa@ss.legalmail.camcom.it email segreteria.generale@ss.camcom.it
Responsabile per la Protezione dei Dati (RPD), con sede in SASSARI, via Roma 74, Tel. 079 2080274, PEC rpd-privacy@ss.legalmail.camcom.it
Per la Regione Sardegna:
Direzione generale dei Beni Culturali, Informazione, Spettacolo e Sport, Direttore del Servizio Patrimonio culturale, Editoria e Informazione (delegato con Determinazione n. 870 prot. 10254 del 23.06.2020), tel. 0706066798, e-mail: pi.beniculturali@regione.sardegna.it, PEC: pi.benilibrari@pec.regione.sardegna.it
Responsabile per la Protezione dei Dati (RPD) è l’Unità di Progetto “Responsabile della protezione dei dati per il sistema Regione” ex DPGR del 25 maggio 2018, n. 51, con sede in Cagliari (09123) Viale Trieste, 186, Tel. 070 6065735, e-mail: rpd@regione.sardegna.it, PEC: rpd@pec.regione.sardegna.it
Oggetto e finalità del trattamento
Saranno trattati in contitolarità i dati personali inseriti nelle schede dell’anagrafica fornitori della Piattaforma di servizi del Polo SBN CAG, ovvero:
codice fornitore (univoco e attribuito dall’operatore), cognome e nome, indirizzo, città, provincia, Paese, n. di telefono, indirizzo e-mail inseriti nell’anagrafica fornitori del Polo SBN CAG. Tra i dati potrebbero essere ricompresi anche i dati di minori, qualora l’esercente la potestà genitoriale richieda espressamente l’intestazione della scheda fornitore al minore.
I succitati dati personali saranno trattati nei limiti strettamente necessari allo svolgimento delle funzioni istituzionali delle biblioteche aderenti al Polo regionale SBN CAG tramite l’applicativo di Polo (articolo 6.1.c GDPR), per assolvere ad adempimenti previsti da leggi e/o regolamenti di settore e/o d’ambito fiscale, assicurativo, dalla normativa comunitaria o da un ordine dell’autorità, e per esercitare un compito di interesse pubblico connesso all’esercizio di pubblici poteri (articolo 6.1. e GDPR), e in particolare, mediante l’inserimento nelle anagrafiche e nei database informatici della piattaforma di servizi del Polo SBN CAG:
– per la gestione del flusso delle acquisizioni (acquisti, doni, scambi, depositi legali, comodati d’uso) delle biblioteche aderenti al Polo regionale SBN CAG;
– per assolvere a specifiche richieste dell’interessato tra cui, ad es. ricevere comunicazioni in merito alla propria fornitura (accuse di ricevuta, etc.).
I dati dei fornitori potranno essere trattati dalla Regione e dagli operatori con adeguato profilo accreditati presso le Biblioteche/Enti aderenti e dal personale debitamente autorizzato della Regione Sardegna e da soggetti terzi cui è stata affidata la fornitura di servizi per conto del delegato del titolare, nella loro qualità di responsabili del trattamento.
All’atto della registrazione dei dati nella piattaforma, l’operatore attribuisce a ciascun fornitore un codice identificativo univoco, valido a livello di Polo, costituito con elementi tratti da paese e città di provenienza, tipo fornitore e nome e cognome.
Il conferimento dei dati Cognome e Nome, Indirizzo, Città, Provincia, Paese, è necessario in quanto il mancato conferimento comporta l’impossibilità per la biblioteca di svolgere le sopraelencate attività mediante l’applicativo di Polo. L’inserimento dei dati dei fornitori negli archivi condivisi (anagrafica fornitori) del Polo, oltre a consentire l’eventuale gestione centralizzata delle acquisizioni per gruppi di biblioteche (ad es. sistemi bibliotecari), permette di evitare duplicazioni e ridondanza dei dati (informazioni ripetute); riduce i dati da gestire e il rischio di errori, consente e garantisce maggiore efficienza ed efficacia in termini di:
– esattezza dei dati, integrità e riservatezza, aggiornamento e rettifica;
– cancellazione dei dati;
– limitazione della conservazione: ossia, conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
in quanto le relative operazioni effettuate una sola volta hanno effetto in tutte le biblioteche, agevolando così l’esercizio dei diritti dell’interessato di cui agli articoli da 15 a 22 e 77 GDPR.
I dati saranno trattati anche in relazione alle necessarie attività di conservazione, backup e ripristino degli stessi ospitati nella piattaforma di servizi del Polo SBN (CAG). Gli interventi potranno essere effettuati tramite il ricorso a personale della competente Direzione generale della Regione Sardegna o aziende/soggetti esterni da questa incaricate, per il tempo minimo necessario. I dati saranno altresì trattati, in forma anonima e aggregata, a fini statistici. Sono fatti salvi gli obblighi e l’esercizio dei diritti del titolare previsti dalla legge.
La base giuridica del trattamento è costituita dai seguenti atti normativi:
– decreto legislativo 22 gennaio 2004, n. 42 (Codice dei Beni culturali e del Paesaggio);
– legge regionale 20 settembre 2006 n. 14 (Norme in materia di beni culturali, istituti e luoghi della cultura);
– D.G.R. 27/26 del 28 maggio 2020 e atti richiamati nel modello di Convenzione di adesione al Polo SBN (CAG) con essa approvato.
Se necessario, la presente informativa potrà essere corredata da un apposito modulo per il rilascio del consenso ai sensi dell’art. 7 del GDPR per il trattamento di ulteriori dati finalizzato all’erogazione di ulteriori servizi. Il consenso eventualmente prestato potrà essere revocato in qualsiasi momento.
N.B. In caso di raccolta dati presso terzi occorre altresì specificare nell’informativa, ai sensi dell’art. 14 del GDPR, la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico; il soggetto che fornisce i dati dovrà garantire di averli forniti lecitamente e di aver svolto ogni adempimento necessario (quale, ad es. fornendo preventivamente la presente informativa al terzo).
Modalità di trattamento
Il trattamento dei dati personali, come definito dall’art. 4, punto 2, del GDPR, è realizzato, con modalità sia elettroniche che cartacee, in forma manuale nella misura strettamente necessaria a far fronte alle finalità sopra indicate.
Conservazione dei Dati
Nel rispetto dei principi di liceità, limitazione rispetto alle finalità e minimizzazione dei dati di cui all’art. 5 del GDPR, i dati personali raccolti saranno trattati per il tempo necessario per adempiere alle finalità sopra indicate e per adempiere agli obblighi di conservazione previsti da norme di legge o regolamento e secondo i criteri indicati dai pareri della Soprintendenza archivistica e dai documenti di indirizzo AGID. La Regione, salvo esplicita richiesta di cancellazione dell’interessato, assicurerà la conservazione dei dati personali presenti negli archivi digitali condivisi ed ospitati nella piattaforma di servizi del Polo regionale SBN (CAG), per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Dopo tale termine si provvederà alla completa cancellazione dei dati personali.
Soggetti preposti al trattamento dei Dati
I dati potranno essere trattati dagli operatori delle Biblioteche aderenti al Polo SBN (CAG), ciascuno secondo i rispettivi ruoli e permessi all’utilizzo dell’applicativo di Polo, e da personale della Regione debitamente autorizzato nonché da soggetti terzi cui è stata affidata la fornitura di servizi per conto del delegato del Titolare, nella loro qualità di responsabili del trattamento.
Comunicazioni dei Dati a terzi
I dati forniti, solo se necessario ai fini dell’adempimento di obblighi di legge o contrattuali o per l’espletamento delle finalità istituzionali, possono essere comunicati a terzi, che li tratteranno in qualità di autonomi titolari del trattamento per finalità istituzionali e/o in forza di legge.
Trasferimento dei Dati in Paesi extra UE
Non previsto
Diritti dell’interessato
(N.B. se già indicati in altre parti dell’informativa si può effettuare un richiamo) al soggetto interessato (persona fisica cui si riferiscono i dati personali) se non ricorrono le limitazioni previste dalla legge (si veda art. 2 – undecies D.lgs. 101/2018 “Limitazioni ai diritti dell’interessato”), competono i diritti di cui agli articoli da 15 a 22 e all’art. 77 del GDPR, alle condizioni e con le limitazioni ivi previste, ovvero:
- il diritto dell’interessato di ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, ottenere l’accesso ai dati personali e alle informazioni di cui all’art. 15;
- il diritto di ottenere, senza ingiustificato ritardo, l’aggiornamento e la rettifica dei dati inesatti ovvero quando vi ha interesse, l’integrazione dei dati incompleti (art.16);
- il diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati personali che lo riguardano, secondo quanto previsto dall’art.17;
- il diritto di ottenere la limitazione del trattamento quando ricorre una delle ipotesi di cui all’art. 18;
- il diritto alla portabilità dei dati, ovvero al diritto di ricevere i dati personali che lo riguardano in un formato strutturato, di uso comune e leggibile per trasmetterli ad altro titolare o – se tecnicamente fattibile – di ottenere la trasmissione diretta da parte del Titolare ad altro titolare dei dati, alle condizioni e secondo le previsioni di cui all’art. 20;
- il diritto ad opporsi al trattamento dei dati che lo riguardano sempre che ricorrano i presupposti di cui all’art. 21;
- il diritto proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali ai sensi dell’art. 77.
Nei casi di cui sopra, ove necessario, ai sensi dell’art. 19 del GDPR, il Titolare porterà a conoscenza i soggetti terzi ai quali i dati personali forniti sono comunicati dell’eventuale esercizio dei diritti di cui sopra, ad eccezione di specifici casi (es. quando tale adempimento si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato).
Modalità di esercizio dei diritti
L’esercizio dei diritti menzionati potrà avere luogo, sulla base di quanto previsto dall’art.12 del GDPR, rivolgendo la relativa richiesta presso questa Biblioteca o, comunque, nei confronti di ciascun contitolare del trattamento nei modi di seguito indicati:
- inviando una raccomandata A.R. all’indirizzo: Camera di commercio di Sassari, Via Roma, 74 07100 Sassari;
- inviando una email a: cciaa@ss.camcom.it;
- inviando una PEC a: cciaa@ss.legalmail.camcom.it;
- telefonando al numero di telefono: 0792080274.
A tal fine è possibile utilizzare lo specifico modello disponibile sul sito dell’Autorità garante per la protezione dei dati personali (https://www.garanteprivacy.it/) nella sezione “diritti” e seguendo il percorso > “come agire per tutelare i tuoi dati personali” > “modulo”.
Estratto dell’Accordo di contitolarità
La Regione Sardegna e la Biblioteca/Ente Camera di commercio, industria, artigianato e agricoltura di Sassari aderente al Polo SBN (CAG) sono contitolari del trattamento ai sensi dell’art. 26 del Regolamento (UE) 2016/679 (GDPR), come da Accordo di contitolarità allegato alla Convenzione di cu al prot.n. 21404/U del 30/11/2021, considerato che, in base alle disposizioni citate nella Convenzione, l’utilizzo del medesimo applicativo informatico da parte delle Biblioteche aderenti e della Regione, ciascuno per quanto di competenza, determina un trattamento congiunto di dati personali finalizzato all’erogazione ottimale dei servizi bibliotecari all’utenza e alla valorizzazione del patrimonio librario e documentario nell’ambito della cooperazione, coordinamento e sviluppo delle progettualità comuni fra soggetti pubblici e privati.
In base al suddetto Accordo la Regione e le Biblioteche aderenti al Polo condividono le finalità e le modalità del trattamento dei dati personali attraverso l’applicativo SBN concesso in uso dalla Regione e gli strumenti utilizzati per la gestione dei dati personali, presenti negli archivi condivisi della PIATTAFORMA DI SERVIZI del Polo SBN CAG e definiscono i rispettivi ruoli e responsabilità e i rapporti dei contitolari con gli interessati. In particolare, la Regione tratta i dati dei fornitori presenti nell’anagrafica fornitori del Polo SBN CAG; effettua le ulteriori operazioni di trattamento necessarie per lo svolgimento del suo ruolo nell’ambito dei servizi erogati dal Polo SBN e provvede, altresì, per il tramite della competente Direzione generale o di aziende esterne da questa incaricate, alla conservazione e al back-up dei dati sui propri server e all’attuazione delle relative policy di sicurezza.
Le Parti, ai sensi dell’art. 4 dell’Accordo, nei limiti delle proprie funzioni e delle rispettive prerogative, adottano le misure tecniche e organizzative adeguate ai sensi degli artt. 25 – 32 del GDPR e delle vigenti norme in materia di privacy al fine di garantire un livello di sicurezza adeguato al rischio nello svolgimento delle operazioni di trattamento per le quali agiscono in contitolarità, come meglio precisato al comma 3 del suddetto art. 4. Le Parti stabiliscono, ai sensi dell’art. 5, comma 2 dell’Accordo, che l’informativa fornita da ciascun Ente agli interessati debba recare una parte comune, relativamente ai trattamenti in contitolarità dei dati personali presenti negli ARCHIVI CONDIVISI, da redigere sulla base del modello allegato al medesimo Accordo e che contenga un estratto dell’Accordo stesso; gli ulteriori contenuti dell’Accordo sono resi disponibili all’utenza in caso di specifica richiesta da esercitarsi con le modalità previste al punto “Modalità di esercizio dei diritti” della presente informativa.
Le Parti saranno responsabili in solido tra loro in virtù del rapporto di contitolarità per i danni cagionati nell’esecuzione delle operazioni inerenti i trattamenti in contitolarità effettuati nell’ambito dei rispettivi ruoli secondo le disposizioni di cui all’art. 82, par. 4 e 5 del GDPR. Con l’Accordo gli Enti aderenti delegano la Regione Sardegna a nominare, ai sensi dell’art. 28 del GDPR, quale Responsabile del trattamento, l’affidatario dei servizi di manutenzione, evoluzione e assistenza della Piattaforma di servizi del Polo regionale Sardegna SBN (CAG).
In caso di “data breach” ovvero di violazione dei dati personali contenuti negli archivi condivisi, il contitolare del trattamento che ha rilevato la violazione, ai sensi dell’art. 33 del GDPR, notifica la stessa all’autorità di controllo competente (Garante per la protezione dai dati personali) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, dandone tempestiva comunicazione anche agli altri contitolari.