El responsable del tratamiento informa, a continuación, la información de conformidad con los artículos 12, 13 y, en su caso, 14 del RGPD relativos al tratamiento de los datos personales facilitados por el Cliente/interesado mediante la cumplimentación y firma del Contrato de compra de los productos/servicios puestos a la venta por el propio responsable del tratamiento, cargando datos espontáneamente a este sitio web datos de carácter personal (en particular mediante la cumplimentación de formularios) o simplemente navegando por él.
1. Responsable del tratamiento
CASTEL D’ARNO GUEST HOUSE DI VERA V.J. JIMENEZ VALVERDE, STRADA CASTEL D’ARNO 8 – 06134 – Perugia (PG), P.I. 03836360549, tel. +39 075602009, e-mail verajimenez@gmail.com, web https://www.casteldarno.it/ .
2. Finalidad del tratamiento
De acuerdo con las disposiciones del RGPD, el controlador de datos se esfuerza constantemente para garantizar que los datos personales sean:
- procesados de manera lícita, leal y transparente;
- recopilados para fines específicos, explícitos y legítimos, y no procesados de manera incompatible con esos fines;
- adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados;
precisa y, si es necesario, actualizada; - conservados durante un período de tiempo que no exceda la consecución de los fines para los que son tratados;
- tratados, mediante medidas técnicas y organizativas apropiadas, para garantizar su seguridad;
- tratados, si en virtud del consentimiento, por decisión libremente adoptada por el Cliente/interesado, sobre la base de una solicitud presentada de forma claramente distinguible del resto, de forma comprensible y fácilmente accesible, utilizando un lenguaje sencillo y claro.
El responsable del tratamiento adopta las medidas técnicas y organizativas adecuadas para garantizar la protección de los datos personales desde la fase de diseño y para garantizar que, por defecto, solo se traten los datos necesarios para cada finalidad específica del tratamiento.
El responsable del tratamiento recoge y tiene muy en cuenta las indicaciones, observaciones y opiniones del Cliente/interesado enviadas a las direcciones indicadas anteriormente, con el fin de implementar un sistema dinámico de gestión de la privacidad que asegure la protección efectiva de las personas, en relación con el tratamiento. de sus datos
Esta información puede sufrir modificaciones, en consonancia con la evolución de la legislación de referencia y las medidas técnicas y organizativas que vaya adoptando el responsable del tratamiento; por lo tanto, se solicita al Cliente/parte interesada que visite periódicamente esta sección del Sitio, para ver las actualizaciones y la Información en el texto vigente en cada momento.
3. Modalidades del tratamiento
Los datos se tratarán, respetando la seguridad y confidencialidad necesarias, mediante las siguientes modalidades: recogida de los datos del interesado, recogidos y registrados con fines determinados, explícitos y legítimos y utilizados en operaciones posteriores de tratamiento en términos compatibles con estos fines, tratamiento realizado con la ayuda de instrumentos manuales, electrónicos.
4. Finalidad del tratamiento de los datos personales
(4a) Finalidad para la que es necesario el tratamiento de datos
Los datos personales facilitados por el Cliente/interesado se tratan principalmente para la ejecución del Contrato y la gestión del crédito y, de forma más general, para la relación derivada del propio Contrato.
El suministro de datos en el Contrato o posteriormente, durante la relación contractual, para los fines del tratamiento de que se trate es obligatorio; por lo tanto, la falta, parcial o incorrecta provisión de tales datos imposibilita la estipulación y/o ejecución del Contrato y, para el Cliente/interesado, el aprovechamiento de los productos/servicios ofrecidos por el responsable del tratamiento, exponiendo potencialmente al Cliente /interesado en responsabilidad por incumplimiento de contrato.
Los datos personales facilitados por el Cliente/interesado también podrán ser tratados si ello es necesario para el cumplimiento de una obligación legal a la que esté sujeto el responsable del tratamiento, para la protección de intereses vitales del Cliente/interesado o de otra persona física, para la ejecución de una misión de interés público o relacionada con el ejercicio de poderes públicos de los que el responsable del tratamiento esté investido, o para la búsqueda del interés legítimo del propio responsable del tratamiento o de terceros, siempre que no prevalezca la intereses o derechos y libertades fundamentales del Cliente/interesado; aun en estos casos, la comunicación de los datos es obligatoria y, por tanto, la falta, comunicación parcial o inexacta de los datos puede exponer al Cliente/interesado a las responsabilidades y sanciones previstas en el ordenamiento jurídico.
(4b)Otras finalidades del tratamiento previo consentimiento específico y expreso del Cliente/interesado
Además de los fines de procesamiento antes mencionados, los datos personales proporcionados/adquiridos pueden ser procesados, sujeto al consentimiento del Cliente/interesado, que se expresará seleccionando la casilla <> en el Contrato o en el Sitio (o mediante el uso de otras aplicaciones redes sociales o web del responsable del tratamiento), también para la realización de estudios de mercado y para la realización de comunicaciones comerciales y promocionales, vía telefónica (también utilizando el número de teléfono móvil facilitado) y sistemas automatizados de contacto (correo electrónico, sms, mms , fax, etc.), sobre productos/servicios del responsable del tratamiento o de empresas del Grupo al que pueda pertenecer el responsable del tratamiento.
El consentimiento para los fines de procesamiento mencionados en este punto (4b) es opcional; por lo tanto, tras cualquier negativa, los datos serán tratados únicamente para los fines indicados en el punto (4a) anterior, salvo lo especificado a continuación con referencia a los intereses legítimos del responsable del tratamiento o de terceros.
5. Categorie di dati personali trattati
El responsable del tratamiento trata principalmente datos de identificación/contacto (nombre, apellidos, direcciones, tipo y número de documentos de identificación, números de teléfono, direcciones de correo electrónico, direcciones fiscales/de facturación, salvo otros) y, en el caso de transacciones comerciales, datos financieros (de de carácter bancario, en particular identificadores de cuentas corrientes, números de tarjetas de crédito, excepto otros relacionados con las transacciones comerciales mencionadas).
El tratamiento que realiza el responsable del tratamiento, tanto para la ejecución del Contrato como en virtud del consentimiento expreso del Cliente/interesado, no se refiere con carácter general a determinadas categorías de datos personales, denominados sensibles (que revelan el origen racial o étnico , opiniones políticas, creencias religiosas, estado de salud u orientación sexual, etc.), ni datos genéticos, biométricos o los denominados datos judiciales (relativos a condenas e infracciones penales).
Sin embargo, no puede excluirse que el responsable del tratamiento, para el cumplimiento de las obligaciones derivadas del Contrato, deba conservar y/o necesite tratar datos sensibles, genéticos y biométricos o judiciales, del Cliente/interesado o de terceros, de los que el Cliente/interesado disponga como responsable del tratamiento; en la hipótesis en cuestión, el tratamiento por parte del responsable del tratamiento se realiza en las condiciones y dentro de los límites establecidos en la designación del mismo responsable como encargado del tratamiento, por parte del Cliente/interesado.
El controlador de datos también procesa los llamados datos de navegación, como controlador de datos con referencia al Sitio y, potencialmente, como procesador de datos designado (en los términos indicados anteriormente) por el Cliente/interesado. Los sistemas informáticos y los procedimientos de software utilizados para operar los sitios web adquieren, durante su funcionamiento normal, algunos datos personales, cuya transmisión está implícita en el uso de los protocolos de comunicación de Internet. Se trata de información que no se recoge para asociarla a sujetos identificados, pero que, por su propia naturaleza, podría permitir identificar al interesado. Esta categoría de información incluye datos de geolocalización, direcciones IP, tipo de navegador, sistema operativo, nombre de dominio y direcciones del sitio web desde el que accedió o salió, información sobre las páginas visitadas por los usuarios dentro del sitio, tiempo de acceso, permanencia en la página única, análisis de la ruta interna y otros parámetros relacionados con el sistema operativo y el entorno de TI del usuario. Por tanto, se trata de información que, por su propia naturaleza, permite identificar a los usuarios mediante su tratamiento y asociación también con datos en poder de terceros.
Asimismo, en el Sitio podrán utilizarse cookies, tanto de sesión (que no se memorizan en el ordenador del usuario y desaparecen al cerrar el navegador) como persistentes, para la transmisión de información de carácter personal, o en todo caso de sistemas para seguimiento de los interesados.
6. Fuente de datos personales
Los datos personales que trata el responsable del tratamiento son recopilados directamente por el propio responsable del tratamiento del Cliente/sujeto de datos en el momento y durante la navegación de este en el Sitio (o utilizando otras aplicaciones sociales o web del responsable del tratamiento), o, también por medio de sus representantes comerciales, con ocasión o después de la firma del Contrato, en la fase de ejecución del mismo, o de fuentes públicas.
Como se ha especificado anteriormente, el responsable del tratamiento, como responsable del tratamiento designado para ello, con el fin de cumplir las obligaciones derivadas del Contrato, puede almacenar y/o tratar datos, en particular de navegación, potencialmente sensibles, genéticos y biométricos o judiciales, de terceros, a los que el Cliente/interesado tiene acceso como responsable del tratamiento, adquiridos, con el consentimiento previo de dichos terceros, en el momento y durante la navegación de los mismos terceros en el Sitio (o utilizando otros aplicaciones sociales o web referibles al titular del tratamiento).
7. Intereses legítimos
Los intereses legítimos del responsable del tratamiento o de terceros pueden constituir una base jurídica válida para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado. En general, tales intereses legítimos pueden existir cuando existe una relación pertinente y adecuada entre el responsable del tratamiento y el interesado, por ejemplo, cuando el interesado es un cliente del responsable del tratamiento. En particular, constituye el interés legítimo del responsable del tratamiento de datos personales del Cliente/interesado: con fines de prevención del fraude, con fines de marketing directo, para garantizar la libre circulación de los mismos datos dentro del grupo empresarial al que pertenecen los datos. al que posiblemente pertenezca el tratamiento del responsable del tratamiento, o relativo al tráfico, con el fin de garantizar la seguridad de la red y de la información, es decir, la capacidad de una red o sistema para resistir imprevistos o actos ilícitos que puedan comprometer la disponibilidad, autenticidad, integridad y confidencialidad de los datos.
8. Circulación de datos personales
(8a) Divulgación de datos personales: categorías de destinatarios
Además de los empleados y colaboradores en diversas capacidades del responsable del tratamiento (que están autorizados por el propio responsable del tratamiento para el tratamiento en virtud de instrucciones operativas escritas adecuadas, a fin de poder garantizar la confidencialidad y seguridad de los datos), algunos las operaciones de procesamiento también pueden ser realizadas por terceros, a quienes el controlador de datos encomienda ciertas actividades, o parte de ellas, funcionales a los fines mencionados en el punto (4a), por lo tanto, tanto en ejecución de obligaciones contractuales como legales, entre las cuales merecen mención, un título aunque, inevitablemente, no exhaustivo: socios comerciales y/o técnicos; empresas que prestan servicios bancarios y financieros; empresas que realizan servicios de archivo de documentos; empresas de cobro de deudas; empresa de auditoría y certificación de estados financieros; empresa calificadora; sujetos que realicen actividades profesionales de asistencia y consultoría a favor del responsable del tratamiento; empresas que realizan actividades de atención al cliente; sociedades de factoraje, sociedades de titulización de créditos o cesionarias de créditos en otras calidades; empresas del Grupo al que posiblemente pertenezca el responsable del tratamiento; entidades que brindan información comercial; empresa de servicios informaticos. Los sujetos pertenecientes a las categorías antes mencionadas procesan los datos personales ellos mismos como controladores de datos independientes, o como procesadores de datos, con referencia a operaciones de procesamiento específicas que caen dentro de los servicios contractuales que los mismos sujetos realizan en favor de/en interés del controlador de datos ; el responsable del tratamiento emite instrucciones operativas escritas adecuadas a los encargados del tratamiento, con especial referencia a la adopción de medidas mínimas de seguridad, para poder garantizar la confidencialidad y seguridad de los datos.
Algunas operaciones de tratamiento pueden ser realizadas por terceros, a los que el responsable del tratamiento encomienda determinadas actividades, o parte de ellas, también funcionalmente a las finalidades a que se refiere el punto (4b), entre las que merecen mención, aunque, inevitablemente, no exhaustivas: socios comerciales y/o técnicos; empresas que brindan institucionalmente servicios de mercadeo; agencias de publicidad; sujetos que prestan asistencia y asesoramiento en relación con concursos y operaciones de premios. Los sujetos pertenecientes a las categorías antes mencionadas procesan datos personales como controladores de datos independientes, o como procesadores de datos, con referencia a operaciones de procesamiento específicas que caen dentro de los servicios contractuales que los mismos sujetos realizan en favor de/en interés del controlador de datos; el responsable del tratamiento emite instrucciones operativas escritas adecuadas a los encargados del tratamiento, con especial referencia a la adopción de medidas mínimas de seguridad, para poder garantizar la confidencialidad y seguridad de los datos.
Previa solicitud por escrito para ser enviada a la sede del responsable del tratamiento, se encuentra disponible la lista, sujeta a actualización periódica, de los encargados del tratamiento con los que el responsable del tratamiento mantiene relaciones.
Los datos personales también podrán ser comunicados, en caso de requerimiento, a las autoridades competentes, en cumplimiento de obligaciones derivadas de disposiciones legales imperativas.
(8b) Transferencia de datos personales a terceros países
Los datos personales del Cliente/interesado también podrán ser transferidos al extranjero, tanto a países de la Unión Europea como a países fuera de la Unión Europea y, en este último caso, ya sea en base a una decisión de adecuación, o dentro del alcance y con las garantías adecuadas previstas por el RGPD (por lo tanto, en particular, en presencia de cláusulas contractuales estándar de protección de datos aprobadas por la Comisión Europea), o, al margen de las hipótesis mencionadas anteriormente, recurriendo a una o varias de las excepciones previstas por el RGPD (en particular, en virtud del consentimiento explícito del Cliente/interesado, o para la ejecución del Contrato celebrado por el Cliente/interesado, o para la ejecución de un contrato estipulado entre el responsable del tratamiento y otra persona física o a favor del Cliente/interesado, en particular para la ejecución de actividades delegadas en él por el responsable del tratamiento para la ejecución del Contrato celebrado con el Cliente/interesado). Para el supuesto de transferencias de datos a países fuera de la Unión Europea, el Cliente/interesado podrá, previa solicitud por escrito dirigida a la sede del responsable del tratamiento, conocer las garantías adecuadas, o las excepciones, que legitiman transfronterizas. Procesando. Se entiende, en caso de transferencia de datos a países fuera de la Unión Europea, que para cada solicitud relativa a los datos, también para el ejercicio de los derechos reconocidos por el RGPD al Cliente/interesado, este siempre puede dirigirse válidamente al titular del tratamiento.
9. Criterios para determinar el plazo de conservación de los datos personales
A los efectos previstos en el punto (4a) anterior, el plazo de conservación de los datos personales facilitados por el Cliente/interesado, y su consiguiente tratamiento potencial, coincide con el plazo de prescripción de los derechos/deberes (legales, fiscales, etc.) ) descendientes del Contrato: básicamente 10 años, por tanto, salvo la ocurrencia de hechos que interrumpan el plazo de prescripción y que efectivamente puedan prolongarlo.
A los efectos previstos en el punto (4b) anterior, el plazo de conservación de los datos facilitados por el Cliente/interesado, y su consiguiente tratamiento potencial, finaliza con la revocación del consentimiento previamente otorgado por el Cliente/interesado o, en su caso, a falta de éste, en todo caso transcurrido un año desde la terminación de cualquier relación entre el responsable del tratamiento y el cliente/interesado.
10. Derechos del Cliente/interesado
El controlador de datos reconoce, y facilita el ejercicio, por parte del Cliente / interesado, de todos los derechos previstos por el RGPD, en particular, el derecho a solicitar el acceso a sus datos personales y extraer una copia (art. 15 RGPD) , la rectificación (art. 16 RGPD) y la cancelación de los mismos (art. 17 RGPD), la limitación del tratamiento que le concierne (art. 18 RGPD), la portabilidad de los datos (art. 20 RGPD, donde los supuestos ) y oponerse al tratamiento que le concierne (artículos 21 y 22 RGPD, para los supuestos allí mencionados y, en particular, al tratamiento con fines de marketing o que se traduzca en una toma de decisiones automatizada, incluida la elaboración de perfiles, que produzca efectos jurídicos que le concierne, cuando se cumplan las condiciones).
El responsable del tratamiento también reconoce al Cliente/interesado, si el tratamiento se basa en el consentimiento, el derecho a revocar dicho consentimiento en cualquier momento, sin perjuicio de la licitud del tratamiento basado en el consentimiento prestado antes de la revocación. Para ello, el Cliente/interesado puede darse de baja en cualquier momento en el Sitio (o en otras aplicaciones sociales o web del responsable del tratamiento) o utilizando el enlace correspondiente que se encuentra al pie de cada comunicación comercial recibida, o contactando con los datos controlador en los datos de contacto enumerados anteriormente.
El controlador de datos también informa al Cliente/interesado del derecho a presentar una queja ante la Autoridad Garante para la Protección de Datos Personales, como autoridad de control que opera en Italia, y a presentar una apelación judicial contra una decisión de la Autoridad Garante, como contra el propio responsable del tratamiento y/o un encargado del tratamiento.
11.Seguridad de los sistemas y datos personales
Teniendo en cuenta el estado de la técnica y los costes de ejecución, así como la naturaleza, el objeto, el contexto y el fin del tratamiento, así como el riesgo, en términos de probabilidad y gravedad, para los derechos y libertades de las personas físicas, la responsable del tratamiento adopte las medidas técnicas y organizativas que considere apropiadas para garantizar un nivel de seguridad adecuado al riesgo, en particular asegurando, de forma permanente, la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de procesamiento (también a través del cifrado de datos personales, cuando sea necesario) y la capacidad de restablecer rápidamente la disponibilidad de los datos en caso de accidente físico o técnico, y mediante la adopción de procedimientos internos destinados a probar, verificar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas empleadas.
Al evaluar el nivel adecuado de seguridad, se tienen en cuenta los riesgos que presenta el procesamiento resultante, en particular, de la destrucción, pérdida, modificación, divulgación no autorizada o acceso accidental o ilegal a datos personales transmitidos, almacenados o procesados de otra manera.
El controlador de datos toma medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales no procese dichos datos a menos que se lo indique el propio controlador de datos.
Dicho esto, el Cliente/interesado reconoce y acepta que ningún sistema de seguridad garantiza, en términos de certeza, una protección absoluta; por tanto, el responsable del tratamiento no se hace responsable de las actuaciones o hechos de terceros que ilícitamente, a pesar de las debidas precauciones tomadas, accedieran a los sistemas sin las debidas autorizaciones.
12.Procesos automatizados de toma de decisiones, incluida la elaboración de perfiles
El controlador de datos puede llevar a cabo un procesamiento automatizado, incluida la elaboración de perfiles, en relación con los fines mencionados en el punto (4b) anterior, para optimizar la navegabilidad del Sitio (o la usabilidad de otras aplicaciones sociales o web del controlador de datos) y para mejorar la experiencia de compra, salvo lo especificado anteriormente en relación con los derechos de oposición y retirada del consentimiento por parte del Cliente/interesado.
Elaboración de perfiles significa cualquier forma de procesamiento automatizado de datos personales destinado a evaluar ciertos aspectos relacionados con una persona física, en particular para analizar o predecir aspectos relacionados, por ejemplo, con las preferencias personales, los intereses o la ubicación de esa persona física, también para crear perfiles. , es decir, grupos homogéneos de sujetos por características, intereses o comportamiento.
El responsable del tratamiento no realiza ningún tratamiento automatizado que produzca efectos jurídicos en el Cliente/interesado o que afecte significativamente a su persona de forma similar, salvo que sea necesario para la celebración o ejecución del Contrato, esté autorizado por la ley o sea en base al consentimiento explícito del Cliente/interesado, reconociendo en todo caso siempre el derecho de éste a obtener la intervención humana, a expresar su opinión y a impugnar la decisión.