1. TITOLARE del TRATTAMENTO

Il titolare del trattamento è la Fondazione Cassa di Risparmio della Provincia di Macerata (in seguito, la Fondazione), i cui dati di contatto sono:

2. RESPONSABILE PROTEZIONE DATI (c.d. DPO o RPD)

Il Titolare, per garantire il corretto svolgimento del trattamento in oggetto, ha nominato un Responsabile protezione dati, che è contattabile presso il seguente indirizzo e-mail: dpo@fondazionemacerata.it.

3. CATEGORIE DI DATI PERSONALI TRATTATI, OGGETTO e FINALITÀ del TRATTAMENTO

La Fondazione ha attivato un sistema di videosorveglianza, sia all’interno che in adiacenza di Palazzo Ricci, al fine di consentire il controllo degli accessi e degli ambienti interni.
Il sistema di videosorveglianza svolge riprese in modo sistematico, automatico, generalizzato – 24 ore su 24, 7 giorni su 7, 365 giorni all’anno – e, pertanto, riprende e registra le immagini della persona (interessato) che accede alle aree videosorvegliate.
In caso di accesso a Palazzo Ricci, mediante il sistema di videosorveglianza vengono trattati dati personali degli interessati, corrispondenti alle immagini in tempo reale e alle relative registrazioni. Pertanto, l’accesso alle zone videosorvegliate comporta la raccolta, la registrazione, la conservazione e la cancellazione delle immagini degli interessati.
Il Titolare non effettua trattamenti ulteriori o secondari, aggregazioni di dati, profilazione, e in generale nessun trattamento che non sia strettamente inerente e connesso alle seguenti finalità:
→Tutela dell’incolumità fisica di visitatori, dipendenti e terzi (manutentori, installatori, addetti alla vigilanza, in particolare) presenti nella struttura;
→Tutela, salvaguardia, conservazione, valorizzazione del patrimonio artistico, storico e architettonico e protezione delle opere d’arte site in Palazzo Ricci;
→Tutela del patrimonio, anche diverso dal patrimonio artistico e culturale, di Palazzo Ricci.

4. BASI GIURIDICHE DEL TRATTAMENTO

I dati personali sono trattati sulla base di:
→legittimo interesse del Titolare del trattamento alla tutela del patrimonio artistico, storico e immobiliare proprio e/o gestito per conto di terzi (art. 6, par. 1, lett. f, GDPR);
→esecuzione di un compito di interesse pubblico da parte del Titolare (art. 6, par. 1, lett. e, GDPR), in riferimento alle esigenze di tutela, conservazione e valorizzazione del patrimonio artistico e culturale in conformità alle norme vigenti in materia di tutela e conservazione dei beni culturali (artt. 6, 114, 121, d.lgs. 42/2004 e s.m.i.) e alle finalità specifiche cui è rivolta l’attività della Fondazione (art. 1, c. 1, lett. c-bis, n. 4, “Arte, attività e beni culturali”, e art. 2, c. 2, d.lgs. 153/1999; art. 3, c. 2, St. Fondazione del 31.5.2022), sia sotto il profilo della sicurezza e della protezione da eventuali furti o altri atti illeciti, sia sotto il profilo della conservazione e della protezione da eventuali atti vandalici e/o da altri eventi dannosi (ad es. incendi o allagamenti);
→adempimento di un obbligo legale gravante sul Titolare (art. 6, par. 1, lett. c, GDPR), in caso di richiesta vincolante di comunicazione dei dati da parte di forze dell’ordine o autorità giudiziaria e/o del dovere del Titolare di denunciare fatti illeciti.

5. MODALITÀ di TRATTAMENTO e PERIODO di CONSERVAZIONE dei DATI

I dati acquisiti sono trattati tramite strumenti manuali, informatici e digitali, seguendo modalità strettamente correlate alle finalità indicate nella presente informativa.
I sistemi impiegati per la raccolta e la visualizzazione delle immagini rispettano i requisiti di sicurezza previsti dal GDPR, dalle linee guida EDPB 3/2019 e dal Provvedimento del Garante sulla videosorveglianza dell’8 aprile 2010.
Le immagini registrate sono protette da accessi non autorizzati e possono essere visionate esclusivamente dai soggetti autorizzati.
In particolare, il Titolare ha provveduto ad effettuare una valutazione di impatto per la protezione dei dati personali del Trattamento e, sulla base del conseguente piano di azione volto a mitigare i rischi per gli interessati, ha provveduto a:
→rinnovare e integrare gli accordi di nomina dei responsabili e sub-responsabili del trattamento, di cui mantiene un elenco aggiornato;
→rinnovare e integrare l’elenco del personale interno autorizzato a svolgere il trattamento e a fornire al medesimo apposita formazione e istruzioni specifiche e dettagliate;
→adottare e prevedere l’adozione continua di modalità aggiornate, anche di carattere tecnologico, di protezione dal rischio di violazioni dei dati personali e più in generale dal cd. “rischio cyber”;
→nominare un apposito Responsabile della protezione dei dati personali per verificare l’adeguatezza, la correttezza, l’esigenza di adozione o di aggiornamento delle proprie politiche e attività inerenti trattamenti di dati personali;
→dotarsi di consulenti in grado di fornire le competenze necessarie a promuovere e attuare le politiche della Fondazione in materia di protezione dei dati personali, di sicurezza cibernetica e di data governance, a supporto e in collaborazione con la Fondazione e il suo DPO.
In tale contesto, i dati sono conservati per il tempo strettamente necessario al raggiungimento delle finalità del trattamento e, comunque, per un periodo non superiore a 7 giorni dal momento della loro raccolta, decorsi i quali sono cancellati automaticamente.

6. SOGGETTI ESTERNI ABILITATI al TRATTAMENTO dei DATI

Il trattamento viene effettuato con l’ausilio di soggetti esterni a tal fine autorizzati.
Tali soggetti, incaricati per lo svolgimento di attività di manutenzione dell’impianto con specifico atto contrattuale e/o incaricati per lo svolgimento di attività di vigilanza e/o incaricati della gestione degli accessi all’immobile, ricoprono la qualifica di Responsabili del Trattamento ai sensi dell’art. 28 del GDPR ed operano secondo gli obblighi e le istruzioni fornite dal Titolare.

7. COMUNICAZIONE e DIFFUSIONE dei DATI

Il Titolare comunica i dati personali, senza bisogno del Suo consenso, alle autorità di vigilanza, all’autorità giudiziaria, alle forze di polizia e agli altri soggetti pubblici quando ciò sia espressamente richiesto da queste Autorità e/o sia necessario per tutelare persone e beni, in relazione e nei limiti delle finalità sopraindicate.

8. I DIRITTI dell’INTERESSATO

In relazione ai dati oggetto del trattamento di cui alla presente informativa, l’interessato ha diritto:
→all’accesso ai dati che lo riguardano (nelle forme e nei modi individuati nelle linee guida EDPB 3/2019);
→alla loro cancellazione (nelle forme e nei modi individuati nelle linee guida EDPB 3/2019);
→alla rettifica e integrazione dei dati inesatti o incompleti;
→alla limitazione del trattamento nei casi previsti dall’art. 18, GDPR;
→all’opposizione al trattamento nelle ipotesi di legittimo interesse del Titolare (nelle forme e nei modi individuati nelle linee guida EDPB 3/2019);
→nel caso in cui il trattamento sia basato sul consenso o sul contratto (elementi che non ricorrono nel trattamento in oggetto) e sia effettuato con strumenti automatizzati, di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i Suoi Dati, nonché, se tecnicamente fattibile, di trasmetterli ad altro titolare senza impedimenti (cd. diritto alla portabilità, art. 20, GDPR)
→nei casi previsti dall’art. 22, GDPR, di non essere sottoposto a una decisione basata unicamente su di un trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo sulla persona dell’interessato.
I diritti possono essere esercitati dall’interessato mediante comunicazione scritta, anche in formato elettronico, rivolta alla Fondazione presso il punto di contatto (e-mail, raccomandata, PEC) di cui la punto 1 ovvero rivolgendosi al DPO, presso l’indirizzo e-mail di cui al punto 2.
L’interessato, qualora ritenga violati i suoi diritti, ha diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali, Piazza Venezia n. 11, 00187 Roma, tel. 06696771, e-mail garante@gpdp.it, pec protocollo@pec.gpdp.it e di ricorrere alle autorità giurisdizionali competenti.

9. LOCALIZZAZIONE DEI DATI PERSONALI. TRASFERIMENTO IN PAESI NON APPARTENENTI ALL’UNIONE EUROPEA

I dati personali sono conservati e trattati all’interno dell’Unione Europea.
I dati personali non sono trasferiti in paesi extra-europei.

10. INFORMATIVA IN FORMA SEMPLIFICATA

Le zone videosorvegliate sono segnalate con appositi avvisi, contenuti in cartelli di dimensioni ridotte (normalmente 25×35 cm) chiaramente visibili in ogni condizione di illuminazione ambientale, ove sono anche richiamati, in forma essenziale e sintetica, in particolare:
→il trattamento di videosorveglianza, con modalità grafiche e testuali;
→il titolare del trattamento, i suoi contatti, i contatti del DPO;
→informazioni sul trattamento;
→le finalità perseguite e il termine massimo di conservazione;
→i diritti dell’interessato;
→il riferimento alla presente informativa estesa per il tramite di un Qrcode e del rinvio al sito istituzionale https://palazzoricci.it/informativa-estesa-videosorveglianza-palazzo-ricci/.
Tali cartelli sono collocati prima del raggio di azione delle telecamere, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti (allegato A).
Il metodo di collocazione rispetta le indicazioni delle Linee guida EDPB 3/2019 secondo le quali “le informazioni dovrebbero essere posizionate in modo da permettere all’interessato di riconoscere facilmente le circostanze della sorveglianza, prima di entrare nella zona sorvegliata (approssimativamente all’altezza degli occhi)”.

11. MODIFICHE ALL’INFORMATIVA

Il Titolare può modificare o integrare questa informativa in qualsiasi momento, aggiornando anche l’identificativo della versione e la data di aggiornamento. Le modifiche sono pubblicate nel seguente link https://palazzoricci.it/informativa-estesa-videosorveglianza-palazzo-ricci/ e sono accessibilI per il tramite del Qrcode inserito nella informativa in forma semplificata.

ALLEGATO A – INFORMATIVA IN FORMA SEMPLIFICATA

IL TITOLARE DEL TRATTAMENTO