Gentile Cliente,
con la presente Pila S.p.A., nel rispetto delle disposizioni di cui al Regolamento (UE) 2016/679 (in seguito, “GDPR”), intende fornirLe le seguenti informazioni in merito al trattamento di dati personali effettuato nell’ambito dell’acquisto di titoli di trasporto e del conseguente rapporto contrattuale con la Società.
Premessa. Per “biglietteria di stazione” si intende l’insieme dei biglietti di trasporto validi esclusivamente per l’accesso ai comprensori gestiti dalla Società.
Per “biglietteria di stazione con estensione VDA”, si intende l’insieme dei biglietti di trasporto che hanno validità anche negli altri comprensori della Valle d’Aosta, sulle funivie del Monte Bianco e nei comprensori di La Rosière, Alagna ed Alpe di Mera, per un numero limitato e predefinito di giorni. Per “biglietteria regionale”, si intende l’insieme dei biglietti di trasporto che hanno una validità nei comprensori della Valle d’Aosta, sulle funivie del Monte Bianco e nei comprensori di La Rosière, Alagna ed Alpe di Mera. Per “stazione” si intendono i comprensori gestiti dalla scrivente Pila S.p.A.
- Titolare del trattamento. Titolare del trattamento dei dati comunicati per l’acquisto di titoli di trasporto è la Pila S.p.A. con sede in Gressan (AO) Frazione Pila n. 16 in persona del Presidente del Consiglio di Amministrazione e Legale Rappresentante pro tempore.
- Responsabile della Protezione dei Dati (RPD). La Società, in adempimento a quanto previsto dall’art. 37 GDPR 2016/679, ha provveduto a nominare un Responsabile della Protezione dei Dati. I dati di contatto del RPD sono pubblicati sul sito istituzionale dello Skipass Valle d’Aosta skilife.ski/privacy.
- Contitolari del trattamento. In forza di specifico accordo assumono la qualifica di contitolari del trattamento ai sensi dell’art. 26 GDPR 2016/679, con riferimento alla “biglietteria regionale” ed alla “biglietteria di stazione con estensione VDA” le Società Courmayeur Mont Blanc Funivie S.p.A., Cervino S.p.A., Funivie Monte Bianco S.p.A., Funivie Piccolo San Bernardo S.p.A., e Monterosa S.p.A.
- Fonte dei dati personali. I dati possono essere raccolti direttamente presso l’interessato oppure tramite i Contitolari del trattamento ovvero soggetti, persone fisiche o giuridiche, nominate Responsabili esterni del trattamento. La rilevazione dei passaggi ai tornelli viene effettuata in via telematica. Presso le aree gestite dalla Società è attivo un impianto di videosorveglianza: la raccolta delle immagini avviene elettronicamente. In relazione ai relativi trattamenti si rimanda alla specifica informativa pubblicata nella sezione privacy del sito skilife.ski
- Tipologia di dati trattati. Per procedere all’acquisto di titoli di trasporto viene richiesta la comunicazione di dati anagrafici (nome, cognome, data di nascita e codice fiscale) e di dati di contatto (indirizzo di residenza). Soltanto per alcune tipologie è richiesto il rilascio di una fotografia (al solo fine di verificare che l’accesso sia effettuato dall’avente diritto). Possono essere inoltre trattati eventuali dati bancari necessari al completamento del pagamento (numero carta di credito o codice IBAN). Con finalità di marketing, a fronte di specifico consenso, possono essere trattati dati di contatto quali numero di telefono o indirizzo mail. Nell’ambito del sistema di videosorveglianza vengono trattate le immagini degli utenti. La rilevazione dei passaggi ai tornelli comporta il trattamento di dati di localizzazione o sulla posizione avviene mediante lettura degli identificativi di cui alla tecnologia RFID. Al fine di applicare eventuali agevolazioni tariffarie la Società può trattare – previo consenso dell’interessato – dati che l’art. 9 GDPR 2016/679 definisce “particolari” in quanto idonei a rivelare informazioni sullo stato di salute. Il trattamento dei suddetti dati è limitato esclusivamente ad effettuare la valutazione in merito all’applicabilità dell’agevolazione.
- Rilevazione dei passaggi ai tornelli. Al fine di prevenire utilizzi illeciti dei titoli di viaggio e di agevolare l’eventuale ricerca di dispersi la Società ha adottato un sistema di rilevazione dei passaggi ai tornelli basato su tecnologia RFID. L’interazione tra il titolo di trasporto ed il lettore installato sul tornello consente il passaggio al varco “a mani libere”, senza inserimento della tessera, e consente di verificare l’abilitazione all’accesso. Lo strumento non rileva dati antropobiometrici e non memorizza i movimenti dell’utente all’interno delle piste da sci o dei percorsi escursionistici. Nel caso in cui la Società intendesse utilizzare i dati al fine di procedere con la profilazione delle preferenze dei clienti richiederà uno specifico consenso agli interessati.
- Finalità del trattamento e base giuridica che lo legittima. Il trattamento dei Suoi dati è svolto per le seguenti finalità e sulla base delle basi giuridiche indicate in corrispondenza di ciascuna:
Finalità del trattamento
Base giuridica che legittima il trattamento
1
Raccolta richieste di acquisto di titoli di trasporto e successivo rilascio Art. 6 paragrafo I lettera b) GDPR 2016/679: trattamento necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso. 2 Gestione dei pagamenti (con relativo trattamento, nei termini di Legge, dei dati di pagamento incusi gli eventuali estremi identificativi delle carte di credito). Art. 6 paragrafo I lettera b) GDPR 2016/679: trattamento necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso. 3 Adempimento degli obblighi civilistici, fiscali e contabili connessi al rilascio dei titoli di trasporto ed alle prestazione di eventuali operazioni di primo soccorso nei casi in cui sia previsto il pagamento di un corrispettivo Art. 6 paragrafo I lettera c) GDPR 2016/679: trattamento necessario per adempiere un obbligo legale al quale è soggetto il Titolare 4 Erogazione dei servizi di trasporto e garanzia di fruizione degli stessi da parte dell’acquirente Art. 6 paragrafo I lettera b) GDPR 2016/679: trattamento necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso. 5 Tutela del patrimonio aziendale attraverso l’ausilio di sistemi di videosorveglianza Art. 6 paragrafo I lettera f) GDPR 2016/679: trattamento necessario per il perseguimento del legittimo interesse del titolare o di terzi 6 Tutela del patrimonio aziendale attraverso la verifica dell’utilizzo legittimo del titolo di viaggio tramite richiesta applicazione fotografia sul titolo di viaggio Art. 6 paragrafo I lettera f) GDPR 2016/679: trattamento necessario per il perseguimento del legittimo interesse del titolare o di terzi 7 Tutela del patrimonio aziendale attraverso la verifica legittimo utilizzo del titolo di viaggio (richiesta applicazione fotografia sullo stesso) Art. 6 paragrafo I lettera f) GDPR 2016/679: trattamento necessario per il perseguimento del legittimo interesse del titolare o di terzi 8 Tutela del patrimonio aziendale mediante rilevazione dei passaggi ai tornelli Art. 6 paragrafo I lettera f) GDPR 2016/679: trattamento necessario per il perseguimento del legittimo interesse del titolare o di terzi 9 Valutazione in merito all’applicabilità di sconti o agevolazioni tariffarie Art. 9 paragrafo II lettera a) GDPR 2016/679: consenso dell’interessato 10 Attività di marketing e promozione di iniziative commerciali, prodotti e/o servizi Art. 6 paragrafo I lettera a) GDPR 2016/679: consenso dell’interessato 11 Eventuale difesa di un diritto in sede giudiziaria ed ogniqualvolta risulti necessario accertare, esercitare o difendere un diritto del Titolare Art. 6 paragrafo I lettera f) GDPR 2016/679: trattamento necessario per il perseguimento del legittimo interesse del titolare o di terzi 12 Eventuale attività di primo soccorso in caso di infortunio Art. 6 paragrafo I lettera d) ed art. 9 paragrafo II lettera c) GDPR 2016/679: trattamento necessario per la salvaguardia di interessi vitali dell’interessato 13 Elaborazione statistica dei dati al fine di sviluppare e migliorare i servizi offerti Dati anonimizzati - Modalità di trattamento e periodo di conservazione dei dati. Il trattamento dei dati sarà svolto in forma manuale o elettronica su supporti cartacei o digitali nel rispetto di quanto previsto dall’art. 32 del GDPR 2016/679 in materia di misure di sicurezza. I dati raccolti per le finalità di cui ai punti 1,2,4 e 9 vengono conservati per tutta la durata del rapporto contrattuale e, successivamente, per un periodo di 3 anni. Decorso detto termine gli stessi vengono resi anonimi e conservati per finalità statistiche con la sola eccezione di quelli per cui, in adempimento delle finalità di cui al punto 3, è previsto un obbligo di conservazione per finalità fiscali o per adempimento ad obblighi normativi (periodo di conservazione: 10 anni). In tal caso la conservazione è limitata alle sole finalità di cui al punto 3. Le immagini raccolte mediante impianto di videosorveglianza vengono cancellate decorse 72 ore dalla raccolta (salvi i casi di comunicazione all’Autorità giudiziaria), i dati raccolti per finalità di marketing vengono conservati sino a Sua opposizione o revoca del consenso prestato. I dati raccolti per le finalità di cui ai punti 7 ed 8 vengono conservati per 3 anni e successivamente anonimizzati e conservati per sole finalità statistiche. I dati raccolti per le finalità di cui al punto 12 vengono per 10 anni nel caso in cui l’attività preveda un corrispettivo ed il conseguente obbligo di fatturazione; negli altri casi la conservazione è limitata a 3 anni. In tutti i casi in cui sia necessario procedere in via giudiziale per l’accertamento, l’esercizio o la difesa di un diritto del Titolare il periodo di conservazione prosegue sino al completamento dell’iter
- Natura della raccolta. Il conferimento dei dati per l’attivazione e l’esecuzione del rapporto contrattuale ha natura obbligatoria: il rifiuto di fornirli comporterà l’impossibilità di procedere. In relazione alle finalità di promozione e marketing il conferimento è facoltativo: il mancato rilascio di consenso non pregiudica la conclusione del contratto.
- Soggetti autorizzati al trattamento. I dipendenti della Società i quali effettuano attività di trattamento dati sono stati a ciò espressamente autorizzati a norma dell’art. 29 GDPR 2016/679. L’atto di autorizzazione contiene specifiche istruzioni e limitazioni – in base alla mansione svolta – riguardo le modalità con cui effettuare detto trattamento nonché un impegno alla riservatezza riguardo il contenuto degli stessi.
- Responsabili esterni del trattamento. La Società si avvale, nello svolgimento delle proprie attività, del supporto di soggetti esterni, persone fisiche o giuridiche, che sulla base di un contratto o di specifico incarico possono svolgere attività di trattamento di dati personali per conto del Titolare. Questi ultimi sono stati nominati “Responsabili esterni del trattamento” ai sensi dell’Art. 28 GDPR 2016/679 con impegno a rispettare i contenuti del Regolamento stesso. L’elenco dei Responsabili è a disposizione degli interessati previa richiesta scritta.
- Comunicazione dei dati. Per le finalità di cui al punto 7 ovvero in adempimento ad obblighi di Legge o Regolamento, i dati potranno essere comunicati a Organi della Società nonché a Persone giuridiche o Enti Pubblici quali, a titolo esemplificativo: i Contitolari del trattamento di cui al punto 3 (nei limiti previsti dagli accordi sottoscritti con gli stessi); Istituti di credito; Compagnie di Assicurazione; soggetti che effettuano servizio di soccorso su pista (quali, ad esempio, la Croce Rossa, l’USL, ecc.) ai Componenti il Consiglio di Amministrazione, il Collegio Sindacale o l’Organismo di Vigilanza della Società nell’esercizio delle rispettive funzioni, a consulenti legali in ipotesi di contenzioso, all’Autorità giudiziaria a fronte di provvedimento motivato ovvero della necessità di tutela di un diritto del Titolare. Solo previo espresso consenso possono essere comunicati a terzi per finalità di marketing. Gli stessi potranno essere altresì comunicati ai soggetti che svolgono attività di trattamento per conto del Titolare nominati quali responsabili esterni ai sensi dell’art. 28 GDPR 2016/679 ed ai dipendenti autorizzati ai sensi dell’art. 29 GDPR 2016/679. I soggetti appartenenti alle categorie cui i dati possono essere comunicati effettueranno il trattamento, a seconda dei casi, in qualità di Responsabili del trattamento ovvero in qualità di Titolari autonomi.
- Diffusione dei dati. I dati comunicati non sono soggetti a diffusione.
DIRITTI ESERCITABILI DAGLI INTERESSATI
Pila S.p.A garantisce agli interessati l’esercizio del diritto di accesso ai sensi dell’art. 15 GDPR 2016/679 e, ove applicabili, dei diritti di rettifica (art. 16 GDPR 2016/679), cancellazione (art. 17 GDPR 2016/679), limitazione di trattamento (art. 18 GDPR 2016/679), portabilità dei dati (art. 20 GDPR 2016/679), di opposizione al trattamento (art. 21 GDPR 2016/679) e di revoca del consenso. Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, qualora dovesse ritenere che il trattamento dei dati venga effettuato in violazione del GDPR 2016/679 ovvero del D.Lgs. 30 giugno 2006 n. 196 così come modificato dal D.Lgs. 10 agosto 2018 n. 101, ogni interessato ha diritto di proporre reclamo al Garante per la protezione dei dati personali seguendo le procedure e le indicazioni pubblicate sul sito web ufficiale dell’Autorità www.garanteprivacy.it. Le richieste inerenti l’esercizio dei diritti sopra esposti devono essere inviate in forma scritta, a mezzo raccomandata, presso la sede della Società ovvero mediante comunicazione al Responsabile Protezione Dati (all’indirizzo riportato su www.skilife.ski/privacy ). Il termine per le risposte alle istanze relative all’esercizio dei diritti di cui ai punti da I. a IV. è di 30 (trenta) giorni estensibili sino a 3 (tre) mesi in caso di particolare complessità (valutata dal Titolare del trattamento).