Privacy Policy — World Blood Donor Day 2021

Informazioni per la privacy

Ai sensi del REG. UE 2016/679 e Codice Privacy, come novellato dal D. Lgs. 101/2018
(Condizioni Generali di Utilizzo e Consultazione Sito)

L’Istituto Superiore di Sanità (di seguito ISS), con sede legale in Viale Regina Elena n. 299 – 00161 Roma, C.F. 80211730587 - Partita I.V.A. 03657731000, in qualità di Titolare del trattamento,

Informa

ai sensi degli artt. 13 e 14 Regolamento UE 2016/679 (in seguito “GDPR”) e del Codice Privacy, come novellato dal D. Lgs. 101/2018, che il trattamento dei dati personali degli utenti che consultano il sito www.iss.it avverrà con le modalità e per le finalità sotto descritte.
Le informazioni privacy sono rese solo per il sito www.iss.it e non anche per altri siti web eventualmente consultati dall'utente tramite link.
A seguito della consultazione di questo sito possono essere trattati dati relativi a persone identificate o identificabili.
Le seguenti informazioni privacy tengono conto delle disposizioni del legislatore interno – D.lgs. 196/2003 (Codice Privacy), come novellato dal D. Lgs. 101/2018 – e delle direttive Europee di cui al Reg. UE 2016/679 (GDPR); nonché della Raccomandazione n. 2/2001 che le Autorità europee per la protezione dei dati personali hanno adottato il 17 maggio 2001 per individuare alcuni requisiti minimi per la raccolta di dati personali on-line e dei provvedimenti del Garante Privacy italiano.
Lo scopo del presente documento privacy è di fornire la massima trasparenza relativamente alle informazioni che il sito raccoglie e sulle modalità di utilizzo delle medesime.

1. Oggetto del Trattamento

A seguito della consultazione di questo sito possono essere trattati dati relativi a persone identificate o identificabili.
I dati personali sono trattati in occasione della consultazione del sito www.iss.it da parte dell’utente.

2. Finalità del trattamento

Il trattamento dei dati personali di coloro che consulteranno il sito sopra indicato avverrà per finalità differenti a seconda delle categorie di dati trattati.

Il trattamento dei “dati di navigazione” è svolto, in modo automatizzato, al fine di ricavare informazioni e statistiche anonime sull'uso del sito e per controllarne il corretto funzionamento e vengono archiviati nel database dell’Istituto Superiore di Sanità. I dati potrebbero essere utilizzati per l'accertamento di responsabilità in caso di ipotetici reati informatici ai danni del sito: salva questa eventualità, allo stato i dati sui contatti web saranno cancellati dal sistema dopo 24 mesi o a seguito di richiesta diretta da parte dell’interessato.

Per quanto attiene a specifiche attività di trattamento dei dati personali, raccolti tramite il sito web, si rimanda alle informazioni privacy di dettaglio rinvenibili sempre sul sito www.iss.it.

3. Base giuridica del trattamento

La base giuridica per il trattamento dei dati di navigazione risiede nell’interesse legittimo del Titolare del Trattamento ad un’efficiente e sicura navigazione sul sito internet, anche di natura interattiva, in base a quanto sancito dall’art. 6, par. 1, lett. f).
Inoltre, per i dati forniti volontariamente dall’utente la base giuridica è rinvenibile nel consenso espresso dall’interessato ex art. 6, par. 1, lett. a) ed art. 9, par. 2, lett. a) GDPR. Con l’uso o la consultazione del presente sito i visitatori e gli utenti approvano esplicitamente le informazioni privacy e acconsentono al trattamento dei loro dati personali in relazione alle modalità e alle finalità sopra descritte, compreso l’eventuale comunicazione a terzi se necessaria per l’erogazione di un servizio.
Il conferimento dei dati e quindi il consenso alla raccolta e al trattamento sono facoltativi, l’Utente può negare il consenso e può revocare in qualsiasi momento un consenso già fornito. Tuttavia, negare il consenso potrebbe comportare l’impossibilità di erogazione dei servizi richiesti o per i quali si vuole fare richiesta sul sito web.

4. Categorie di dati trattati

Dati di navigazione

I sistemi informatici e le procedure software preposte al funzionamento di questo sito web acquisiscono, nel corso del loro normale esercizio, alcuni dati personali e non, la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet (log files).
Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti.
In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l'orario della richiesta, pagine visualizzate, tempo medio trascorso sul sito, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all'ambiente informatico dell'utente.
Ulteriori dati personali trattati tramite il sito web saranno oggetto di descrizione all’interno di specifiche informazioni privacy rinvenibili nell’apposita sezione del sito dove avviene la raccolta.

5. Conferimento dei dati

A parte quanto specificato per i dati di navigazione, l'utente è libero di fornire al Titolare del trattamento i dati personali riportati nei moduli di richiesta.
Ciò nonostante, il loro mancato conferimento potrebbe comportare l'impossibilità di ottenere la prestazione o il servizio che si vuole richiedere.
Per completezza va ricordato che in alcuni casi (non oggetto dell'ordinaria gestione di questo sito) l'Autorità può richiedere notizie e informazioni in materia di protezione dei dati personali, ai fini del controllo sul trattamento dei dati personali. In questi casi la risposta è obbligatoria a pena di sanzione amministrativa.

6. Luoghi e Modalità del Trattamento

I trattamenti connessi ai servizi web di questo sito hanno luogo presso la predetta sede dell’Istituto Superiore di Sanità e sono curati solo da personale tecnico preposto al trattamento.
Il trattamento dei dati personali raccolti a vario titolo è comunque realizzato secondo le indicazioni dell’art. 4, par. 1, n. 2 GDPR: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati.
I dati personali sono trattati con strumenti automatizzati per il tempo strettamente necessario a conseguire gli scopi per cui sono stati raccolti e vengono cancellati dal sistema dopo 24 mesi o a seguito di richiesta diretta da parte dell’interessato.
Il presente sito tratta i dati degli utenti in maniera lecita e corretta. Specifiche misure di sicurezza tecniche e organizzative sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati (data breach).

7. Accesso ai dati personali

Per le finalità sopra descritte, i dati personali potranno essere accessibili:

ai collaboratori del Titolare nella loro qualità di persone autorizzate al trattamento e/o amministratori di sistema;
alle società terze che svolgono attività in outsourcing per conto del Titolare nella loro qualità di Responsabili del trattamento ex art. 28 GDPR.

8. Trasferimento dei dati personali

Le attività di trattamento dei dati personali sono svolte e gestite prevalentemente in house; ciò nonostante, il Titolare del trattamento si riserva la possibilità di comunicare i dati verso terzi operatori e/o fornitori ai fini del perseguimento delle finalità di cui sopra.
L’eventuale trasferimento dei dati personali a un Paese terzo o ad un’Organizzazione internazionale avverrà, anche alla luce della Sentenza Schrems della CGUE, alla sola condizione che abbiano ottenuto accertamento positivo degli standard di tutela tramite decisione di adeguatezza da parte della Commissione Europea ex art. 45 GDPR o, in alternativa, siano riconosciute garanzie adeguate ex art. 46 GDPR.
Nel caso in cui la comunicazione e/o il trasferimento dei dati personali sia previsto verso un Paese terzo non ritenuto adeguato dalla Commissione o che non presenti garanzie adeguate, è necessaria un’ulteriore appendice informativa contenente tutti i requisiti di legge che consentano deroghe specifiche ex art. 49 GDPR. In mancanza di detta informativa e del successivo ed esplicito consenso dell’interessato non sarà disposta alcuna comunicazione e/o trasferimento.

9. Diritti dell’interessato

Il proprietario dei dati personali, nella sua qualità di interessato, dispone dei diritti di cui all’art. 15 GDPR e ss., più precisamente diritto di accesso, diritto di rettifica, diritto alla cancellazione, diritto di limitazione di trattamento, diritto alla portabilità dei dati, diritto di opposizione, nonché il diritto di proporre reclamo all’Autorità Garante (art. 77 GDPR e 141 Codice Privacy, così come novellato dal D. Lgs. 101/2018).

10. Modalità di esercizio dei diritti

Il soggetto interessato potrà in qualsiasi momento esercitare i diritti inviando una raccomandata a.r. rivolta all’Istituto Superiore di Sanità, viale Regina Elena n. 299 – 00161 Roma, C.F. 80211730587 - Partita I.V.A. 03657731000, oppure una e-mail all’indirizzo: .

Dati di contatto

Titolare del trattamento – Istituto Superiore di Sanità, in persona del Presidente, Prof. Silvio Brusaferro, raggiungibile all’indirizzo: ;
Data Protection Officer – Scudo Privacy S.r.l., nella persona del Dott. Carlo Villanacci, raggiungibile all’indirizzo: .

Information on the privacy policy

Pursuant to Regulation (EU) 2016/679 and the Italian Privacy Code, as amended by Legislative Decree 101/2018 (General Conditions for Using and Consulting Sites),

The Istituto Superiore di Sanità (Italian National Institute of Health, hereinafter ‘ISS’), with registered office on Viale Regina Elena No. 299 – 00161 Roma, Tax Code: 80211730587 – VAT Registration Number: 03657731000, in the capacity of Data Controller,

Informs

that, pursuant to Articles 13 and 14 of Regulation (EU) 2016/679 ‘General Data Protection Regulation’ (hereinafter GDPR) and to the Italian Privacy Code, as amended by Legislative Decree 101/2018, the personal data of users accessing the www.iss.it Website will be processed as described below. The information on the privacy policy is provided exclusively for the www.iss.it Website and does not apply to any other websites possibly accessed by users through the links provided therein. Following the users’ consultation of this website, the data relative to identified or identifiable persons could possibly be processed. The information on the privacy policy outlined below takes into consideration the provisions laid down by national legislators – in Legislative Decree No. 196/2003 (Privacy Code), as amended by Legislative Decree No. 101/2018 – and in the EU provisions contained in Regulation (EU) 2016/679 (GDPR), in the Recommendation No. 2/2001 adopted by the European Data Protection Authorities on 17 May 2001 on the minimum requirements for collecting personal data online, and in the provisions set forth by the Italian Data Protection Authority. The purpose of this informative document on the privacy policy is to assure utmost transparency on the information collected by the Website and how it is used.

1. The Data Subject

Following the user’s consultation of this website, the data relative to identified or identifiable persons could possibly be processed.
The personal data of users are processed when they access the www.iss.it Website.

2. Purpose of processing

The personal data of those who consult the aforesaid website will be processed for different purposes, depending on the category of data concerned.

Web browsing data are processed automatically for the purpose of collecting anonymous statistical data on the use of the Website and of controlling the correct functioning thereof. The data is stored in the database of the ISS. The data can be used to ascertain criminal liability in case of eventual cybercrimes committed against the Website; except for this possibility, the data relative to the contacts on the Website will be deleted by the system 24 months their entry or following a specific request by the data subject.

In relation to the specific processing activities of the personal data collected via the Website, reference should be made to the detailed information available thereon on the www.iss.it Website.

3. Legal basis for data processing

The legal basis for processing web browsing data lies in the legitimate interest of the Data Controller in delivering an efficient and safe browsing experience, also interactive, on the Internet site, in compliance with the provisions made in Art. 6, Para. 1, letter f) of the GDPR. For the data voluntarily provided by the user, the legal basis lies in the consent given by the data subject in accordance with Art. 6, Para. 1, letter a) and Art. 9, Para. 2, letter a) of the GDPR. The use or consultation of this Website implies that visitors or users hereof explicitly approve the information on the privacy policy and give their consent to the processing of their personal data in the ways and for the purposes described above, including their possible communication to third parties, if necessary for delivering a service.

The users’ provision of data and consent to their processing is optional and therefore users can deny their consent and revoke the consent given at any subsequent point in time. However, denying one’s consent could entail the impossibility of providing the services requested or wishing to request from this Website.

4. Categories of data processed

Web browsing data

During their routine operation, the computer systems and software procedures used in the functioning of this Website acquire personal and other type of data, the transmission of which is implicit in the use of Internet log files. These comprise information that is not collected with a view to associating it with identified data subjects but that, for its very nature, by being processed in association with data maintained by third parties, could make it possible to identify the users. This category of data includes the IP addresses or computer domain names of the users who access the Site, the URI (Uniform Resource Identifier) addresses of the resource, the time of the request, the method used to submit the request to the server, the size of the file obtained in reply, the number code indicating the state of progress in dispatching the reply from the server (successfully done, error, etc.) in addition to other parameters relative to the user’s operating system and computing environment. Other categories of personal data processed by the Website shall be described as part of the specific information on the privacy policies found in the Website’s dedicated section that collects the data.

5. Provision of data

Apart from the specifications made on web browsing data, users are free to provide the Data Controller with the personal data reported on application forms. Not providing the data could entail the impossibility of delivering the services requested or wishing to request from this Website. For further information, it should be recalled that in some cases (not normally dealt with on this Website), the Supervisory Authority can ask for news and information on personal data protection with a view to controlling the personal data processing procedures. In these cases, it is mandatory to reply, on penalty of receiving an administrative sanction.

6. Data processing places and methods

The data processing connected to the Web services provided on this Website takes place at the registered office of the Istituto Superiore di Sanità and are exclusively handled by data processing personnel. The processing of personal data collected for a variety of reasons is nonetheless performed according to the provisions of Art. 4, Para. 1, No. 2 of the GDPR: collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction. Personal data are processed through automated systems for the time that is strictly necessary to meet the purpose for which they were collected and they are erased from the system 24 months later or following a direct request by the data subject. This Website processes data in a lawful and correct way. Specific technical security and organizational measures are applied in order to avoid the loss, or unlawful or incorrect use of data and data breaches.

7. Access to personal data

For the above-listed purposes, personal data shall be made accessible to:

The Data Controller personnel authorised to process the data and/or to system administrators;
Third companies outsourced by the Data Controller, acting as the Data Protection Officer in compliance with Art. 28 of the GDPR.

8. The transfer of personal data

Personal data processing is an activity prevalently performed and managed in-house; nonetheless, the Data Controller reserves the right to communicate the data to third-party operators and/or providers with a view to fulfilling the above-listed purposes. Also in the light of the judgment of the EUCJ on the Schrems case, the possible transfer of personal data to a Third Country or to an International Organization shall take place exclusively on condition that the European Commission has decided that the third country in question ensures an adequate level of protection as laid down in Article 45, or alternatively, that the Data Controller recognizes the existence of appropriate safeguards according to Art. 46 of the GDPR.

In case the communication and/or transfer of personal data is to be made to a Third Country not deemed to be adequate by the European Commission or that does not present appropriate safeguards, a further information notice shall be provided containing all the legal requirements allowing for the specific derogations considered under Art. 49 of the GDPR. Failure to provide said information and the data subject’s subsequent explicit consent thereto shall prevent any such communication and/or data transfer from taking place.

9. Rights of the Data Subject

Pursuant to Art. 15 and following articles of the GDPR, data subjects (the natural persons to whom the personal data refer) can exercise their rights and, in particular, the right to access their personal data, request to rectify, restrict the scope of processing, the right to data portability, the right to object and the right to lodge a complaint with the Supervisory Authority (Art. 77 of the GDPR and Art. 141 of the Privacy Code, as amended by Legislative Decree No. 101/2018).

10. Procedures for the exercise of the rights of the data subject

The Data Subject shall be entitled to exercise his/her rights at any point in time by sending a registered letter with advice of receipt to: Istituto Superiore di Sanità, viale Regina Elena No. 299 – 00161 Roma, Tax Code: 80211730587 – VAT Registration Number: 03657731000, or an e-mail to: .

Contact information

Data Controller: Istituto Superiore di Sanità, represented by the President, Prof. Silvio Brusaferro; Email:;
Data Protection Officer – Scudo Privacy S.r.l. – represented by Mr Carlo Villanacci; Email: .