Tab Lab s.r.l., (C.F. e P. IVA 04211330164) con sede legale in Sarnico (BG), Via Dei Mille n. 46/C, la quale è contattabile anche via email all’indirizzo PEC tablab@legalmail.it, in persona del pro tempore, nella sua qualità di Titolare del trattamento dei dati, con il presente atto fornisce le informazioni rilevanti all’Interessato al trattamento dei dati.
Ove non diversamente specificato, i riferimenti normativi ad articoli di legge si riferiscono al REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) e ss.mm.ii; di seguito anche GDPR.
a) Il Titolare del trattamento dei dati personali è Tab Lab s.r.l., (C.F. e P. IVA 04211330164) con sede legale in Sarnico (BG), Via Dei Mille n. 46/C, PEC tablab@legalmail.it, email info@tablab.srl, sito web www.tablab.srl.
b) I dati personali dell’interessato trattati, previo consenso, dal Titolare sono i seguenti:
• dati personali e informazioni che l'interessato fornisce quando utilizza i servizi forniti dal Titolare, durante ad esempio la creazione/modifica del suo account, la creazione o pubblicazione di contenuti, l'invio di messaggi e la comunicazione con altri utenti (nome, cognome e indirizzo email, che vengono pubblicati tramite il nostro sito web o app);
• informazioni sul modo in cui l'utente utilizza i servizi, come ad esempio la tipologia, la frequenza, l'orario e la durata di esecuzione di varie attività;
• informazioni sui dispositivi tramite i quali l'interessato accede ai servizi, come ad esempio l'indirizzo IP, il sistema operativo e il browser utilizzati;
• preferenze, interessi e comportamenti (profilazione) dell'interessato relativi alla ricerca, consultazione e collezione delle varie collane e/o albi di fumetti, sia a fini di statistica sia a fini di profilazione.
I dati che sono un presupposto necessario per permettere al titolare di fornire i servizi richiesti dall’interessato sono contrassegnati da un asterisco oppure in altro modo identificati come obbligatori. In particolare, il conferimento dei dati personali è obbligatorio per la prestazione dei servizi richiesti dall'interessato tramite il sito web o app, inclusa la comunicazione con l'interessato in merito ai servizi ricevuti e la verifica della corrispondenza dell'eventuale account creato con un'identità reale. L’eventuale rifiuto a fornire i dati obbligatori comporta l’impossibilità per il titolare di fornire i servizi all’interessato.
c) I dati personali sono forniti e comunicati nella misura minima indispensabile richiesta, nel rispetto degli eventuali impegni contrattuali previsti dai Termini e Condizioni, al fine di adempiere alle seguenti finalità:
• contatti commerciali e pubblicitari, previo consenso dell’interessato;
• attività di carattere pubblicitario, promozionale e di marketing, incluso l'invio di newsletter e materiale pubblicitario su prodotti e servizi offerti dal titolare (marketing diretto), previo consenso dell’interessato;
• attività di carattere pubblicitario, promozionale e di marketing, incluso l'invio di newsletter e materiale pubblicitario su prodotti e servizi offerti da società partner del titolare o per conto terzi (marketing indiretto) previo consenso dell’interessato;
• cessione dei dati dell'utente a soggetti terzi per attività di carattere pubblicitario, promozionale e di marketing, incluso l'invio di newsletter e materiale pubblicitario, previo consenso dell’interessato;
• profilazione di preferenze, interessi e comportamenti dell'interessato, al fine di fornire allo stesso servizi e pubblicità personalizzati e più adeguati alle sue esigenze, previo consenso dell’interessato;
• fatturazione e adempimenti fiscali connessi;
d) La liceità del trattamento pertanto è basata sia sul consenso manifestato dall'interessato, sia, ai sensi dell'articolo 6, sulle necessità di trattamento per le finalità di legge o contrattuali.
e) L'interessato ha diritto di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento per motivi legittimi.
f) L'interessato ha inoltre il diritto ad ottenere una copia dei dati personali in formato analogico od elettronico che ne consenta la portabilità.
g) L'interessato che abbia prestato il consenso di cui all'articolo 6, paragrafo 1, lettera A, ha diritto a revocare tale consenso in qualsiasi momento. Ciò non pregiudica peraltro la liceità del trattamento basata sul consenso prima della revoca. L’interessato è avvisato che la revoca del consenso potrà impedire, in tutto od in parte, l’esecuzione dei contratti e rapporti.
h) L'interessato ha diritto, in caso di controversia o di difficoltà nei confronti del titolare del trattamento, di rivolgersi al garante italiano per il trattamento dei dati reperibile all’URL http://www.garanteprivacy.it/.
i) Alcuni dei dati che vengono trattati dal titolare del trattamento possono essere stati rilevati o forniti da altre fonti quali, a titolo esemplificativo, social network o altri database di soggetti terzi.
j) Il titolare del trattamento dati conferma all'interessato che non vi è alcuna intenzione di trasferire i dati personali dell'interessato a soggetti terzi al di fuori dell'Unione Europea. Qualora si rendesse necessario trasferire alcuni o tutti i dati personali dell'interessato al di fuori dei confini dell’Unione Europea e/o verso Paesi/soggetti che non abbiano esplicitamente adottato le misure richieste dal GDPR, il titolare del trattamento dati procederà ad ottenere un nuovo ed esplicito consenso a tale fine da parte dell'interessato.
k) Il titolare del trattamento dei dati conferma all'interessato, nei limiti del possibile, che richiederà analogo livello di protezione dei dati qualora debba trasferire i dati personali dell'interessato a soggetti terzi per l'esecuzione di una delle finalità di cui sopra.
a) i dati dell'interessato saranno trattati e conservati per il tempo necessario in relazione alle finalità di cui sopra (in particolare alla fornitura dei servizi offerti all’interessato) e/o fino alla prescrizione o decadenza dei diritti che derivano dal rapporto. In particolare, i dati sono conservati per tutto il periodo durante il quale l’interessato ha un account attivo. Decorsi 12 (dodici) mesi dalla disattivazione dell’account, i dati vengono in ogni caso cancellati. I dati non vengono cancellati immediatamente dopo la disattivazione dell’account da parte dell’interessato per consentire a quest’ultimo un diritto di ripensamento senza perdere i dati memorizzati sull’account.
b) Per quanto riguarda l’invio di newsletter, l’indirizzo email dell’interessato viene cancellato dalla mailing-list solo su espressa richiesta di quest’ultimo. Qualora l’interessato non effettui alcuna richiesta di cancellazione della propria email dalla newsletter, egli continuerà a ricevere le email della newsletter, nonostante abbia cancellato il suo account. In ciascuna email della newsletter che riceverà l’interessato sarà presente un link per la disiscrizione dell’email dell’interessato dalla mailing-list.
c) L'interessato ha diritto di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi oppure la limitazione del trattamento dei dati che lo riguardano o di opporsi al loro trattamento per motivi legittimi.
d) Il titolare del trattamento dei dati conferma che non viene utilizzato un processo decisionale automatizzato basato sulla profilazione o sull'utilizzo dei dati dell'interessato diverso rispetto alla finalità dichiarata
e) I dati dell’interessato potranno essere comunicati e/o condivisi con:
• soggetti che svolgono attività di elaborazione, misurazione e analisi di dati per nostro conto, previo consenso dell’interessato;
• soggetti che svolgono servizi a nostro beneficio o collaborano con noi, come fornitori di servizi tecnici, corrieri postali, hosting provider e società informatiche - nominati, se necessario, responsabili del trattamento - per i compiti di natura tecnica od organizzativa strumentali alla fornitura dei nostri servizi;
• società di elaborazione pagamento online identificata in Braintree, servizio interno della società PayPal (Europe) S.à r.l. et Cie, S.C.A (istituto di credito lussemburghese munito di regolare licenza ai sensi dell'articolo 2 della legge del 5 aprile 1993 sul settore finanziario e successive modifiche, soggetta alla supervisione prudenziale dell'autorità di vigilanza del Lussemburgo, la Commission de Surveillance du Secteur Financier, il cui ufficio registrato ha sede all'indirizzo L-1150 Lussemburgo. Poiché il servizio è limitato alla moneta elettronica e non si configura come servizio di deposito o investimento ai sensi della Legge, i clienti di PayPal non usufruiscono dei modelli di garanzia dei depositi lussemburghesi forniti dall'Association pour la Garantie des Dépôts Luxembourg –AGDL-).
• soggetti coinvolti nella nostra organizzazione per il trattamento dei dati (ad esempio, personale amministrativo, commerciale, marketing, servizio clienti e amministratori di sistema).
• Studi commercialistici, studi legali, studi di consulenza del lavoro, assicurazioni, banche, terzi fornitori, nella stretta misura necessaria all’adempimento di obblighi di legge o di contratto o per la tutela dei diritti propri o di terzi.
f) I dati personali inseriti nella sezione pubblica dell'account dell'interessato e i contenuti pubblicati dall'interessato tramite l'account sono diffusi attraverso la pubblicazione sul sito web https://www.comixtime.it.
g) I dati dell’interessato potranno essere comunicati e/o condivisi nella misura dello stretto indispensabile per finalità di manutenzione tecnica e/o informatica del servizio.
l'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni:
a) le finalità del trattamento;
b) le categorie di dati personali in questione;
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
f) il diritto di proporre reclamo a un’autorità di controllo;
g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili
h) sulla loro origine;
i) l’esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
j) Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate relative al trasferimento.
L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
• i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
• l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
• l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
• i dati personali sono stati trattati illecitamente;
• i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
• i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.
Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
Questo diritto alla cancellazione non è applicabile ai trattamenti effettuati per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, ai sensi dell’art. 17, comma 2, lettera E.
L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
a) l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
d) l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.
Se il trattamento è limitato, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro.
L’interessato che ha ottenuto la limitazione del trattamento è informato dal titolare del trattamento prima che detta limitazione sia revocata.
L’interessato deve sapere che il titolare del trattamento comunicherà a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunicherà all’interessato tali destinatari qualora l’interessato lo richieda.
L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:
a) il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b); e
b) il trattamento sia effettuato con mezzi automatizzati.
Nell’esercitare i propri diritti relativamente alla portabilità dei dati l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile.
L’esercizio del diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento e non deve ledere i diritti e le libertà altrui.
L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.
Qualora l’interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento per tali finalità.
L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona, salve le eccezioni di cui all’art. 22, paragrafo 2.
Il Titolare del trattamento informa l’interessato che i dati sono trattati con modalità sia analogiche (cartacee) che elettroniche.
Le persone incaricate del trattamento hanno ricevuto una specifica formazione ed autorizzazioni specifiche per il trattamento dei dati e sono vincolate ad obblighi di segretezza.
I dati conservati in forma elettronica sono protetti mediante:
a) utilizzo di elaboratori, sistemi operativi e programmi aggiornati;
b) software di protezione;
c) strategie di backup e disaster recovery;
In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.
La società informerà l'interessato via e-mail quando saranno apportate modifiche alla presente Informativa, richiedendo allo stesso di accettare le modifiche per continuare a usare i servizi da noi forniti.
L'uso ininterrotto dei nostri servizi in seguito alla comunicazione delle modifiche apportate alla presente Informativa costituisce accettazione implicita delle modifiche
Tale registro contiene almeno tutte le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.
Ai sensi dell’art. 37 del Reg. UE n. 679/2016 (GDPR), si evidenzia che la Società non è un’autorità pubblica o un organismo pubblico e altresì che non si ritiene ragionevole considerare l’attività della Società come “su larga scala” per le seguenti considerazioni:
• il numero degli interessati coinvolti nel trattamento dei dati è in termini assoluti assai ridotto, rappresentando una percentuale esigua con riferimento alla popolazione dell’area geografica in cui la Società presta principalmente i suoi servizi;
• la quantità dei dati trattati risulta essere nella norma, richiedendo solitamente la Società solo i dati per l’identificazione degli interessati ed i dati trattati sono di tipologia normale, non essendo trattate categorie particolari di dati personali (sono trattati solo: nome, cognome ed indirizzo email);
• il trattamento dura per il tempo necessario a fornire i servizi all’interessato e, in ogni caso, fino a quando l’interessato non revochi il proprio consenso;
• le dimensioni della Società sono estremante ridotte, come anche il suo fatturato, rientrando la stessa a pieno titolo nella categoria di PMI;
Per queste ragioni, non si è ritenuto obbligatorio per la Società la nomina di un responsabile della protezione dei dati ai sensi dell’art. 37, Reg. UE n. 679/2016 (GDPR).