Trattamento: trattamento degli indirizzi di posta elettronica dei firmatari raccolti attraverso il sistema centrale di raccolta elettronica della Commissione.

Titolare del trattamento: contitolarità tra la Commissione europea (titolare operativo del trattamento, SG.DSG1.A.1 "Priorità strategiche e programma di lavoro"), da un lato, e il rappresentante del gruppo di organizzatori dell'iniziativa o, eventualmente, l'entità giuridica da esso creata, dall'altro.

Numero di registro:  DPR-EC-03486 [1]

 

1. Introduzione

L'iniziativa dei cittadini europei (di seguito "ICE") è uno strumento di democrazia partecipativa che consente ai cittadini di proporre modifiche giuridiche concrete in qualsiasi settore in cui la Commissione europea (di seguito "la Commissione") ha il potere di proporre atti legislativi. Il quadro giuridico applicabile a questo strumento è indicato nel regolamento (UE) 2019/788 del Parlamento europeo e del Consiglio, del 17 aprile 2019, riguardante l'iniziativa dei cittadini europei (di seguito anche "regolamento ICE").

Per poter presentare un'iniziativa dei cittadini europei valida alla Commissione, il gruppo di organizzatori deve raccogliere almeno 1 milione di dichiarazioni di sostegno da parte dei cittadini dell'UE, con soglie specifiche da raggiungere in almeno 7 paesi. I firmatari di un'iniziativa dei cittadini europei possono scegliere di fornire il loro indirizzo e-mail per ricevere dalla Commissione e dal gruppo di organizzatori informazioni sull'andamento dell'iniziativa sostenuta.

La presente informativa sulla privacy riguarda il trattamento degli indirizzi di posta elettronica forniti in tale contesto attraverso il sistema centrale di raccolta elettronica istituito e gestito dalla Commissione.

Il trattamento degli indirizzi di posta elettronica è effettuato in regime di contitolarità dalla Commissione, da un lato, e dal rappresentante del gruppo di organizzatori dell'iniziativa in questione o eventualmente dall'entità giuridica da esso creata (di seguito anche "gli organizzatori dell'iniziativa"), dall'altra. Le responsabilità e gli obblighi rispettivi della Commissione e degli organizzatori sono definiti in modo trasparente in un accordo di contitolarità i cui elementi essenziali sono pubblicamente disponibili al seguente indirizzo:

https://europa.eu/citizens-initiative_it/how-it-works/data-protection_it

La Commissione s'impegna a proteggere i dati personali e a rispettare la privacy di ciascuno. La Commissione raccoglie dati personali e li sottopone a ulteriore trattamento conformemente al regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati. Analogamente, gli organizzatori di un'iniziativa e le autorità competenti degli Stati membri sono soggetti alle norme in materia di trattamento dei dati personali di cui al regolamento generale sulla protezione dei dati.

Scopo di questa informativa è spiegare i motivi per cui vengono trattati i suoi dati personali, il modo in cui sono raccolti, gestiti, protetti tutti i dati personali forniti, quale uso è fatto delle informazioni ricavate e quali sono i suoi diritti al riguardo. Più avanti troverà i recapiti dei titolari del trattamento, cui potrà rivolgersi per esercitare i suoi diritti, dei responsabili della protezione dei dati e del Garante europeo della protezione dei dati.

 

2. Perché e come vengono trattati i dati personali

L'obiettivo generale del trattamento dei dati di cui alla presente informativa sulla privacy è dare attuazione al regolamento (UE) 2019/788 riguardante l'iniziativa dei cittadini europei, consentendo così ai cittadini dell'UE di esercitare il diritto sancito dall'articolo 11, paragrafo 4, del trattato sull'Unione europea di rivolgersi direttamente alla Commissione invitandola a presentare una proposta di atto giuridico dell'Unione ai fini dell'applicazione dei trattati.

In questo contesto il suo indirizzo e-mail viene raccolto per consentire alla Commissione e agli organizzatori dell'iniziativa di informarla sull'andamento della stessa previo il suo esplicito consenso ("opt-in").

Inoltre, i dati possono essere trattati nel contesto di operazioni di supporto, come la gestione delle richieste degli interessati, i controlli della qualità tecnica a campione, le operazioni necessarie per la manutenzione del sistema informatico e le operazioni stabilite dalla normativa.

I dati personali trattati possono essere riutilizzati a fini procedurali dinanzi agli organi giurisdizionali dell'UE, agli organi giurisdizionali nazionali, al Mediatore europeo o alla Corte dei conti europea.

I dati personali non saranno utilizzati per un processo decisionale automatizzato, compresa la profilazione.

 

3. Quali sono le basi giuridiche che disciplinano il trattamento dei dati personali

Il trattamento rientra tra le finalità esplicitamente previste dal regolamento ICE (articolo 18, paragrafo 2)). Tuttavia, poiché per sostenere un'iniziativa non è necessario fornire l'indirizzo di posta elettronica, il trattamento si basa sul consenso distinto ed esplicito dei firmatari ai sensi dell'articolo 5, paragrafo 1, lettera d), del regolamento (UE) 2018/1725 (e dell'articolo 6, paragrafo 1, lettera a), del regolamento generale sulla protezione dei dati).

Gli indirizzi e-mail non sono considerati dati sensibili, il cui trattamento è in linea di principio vietato dall'articolo 10, paragrafo 1, del regolamento (UE) 2018/1725 (e dall'articolo 9, paragrafo 1, del regolamento generale sulla protezione dei dati). Tuttavia, l'interconnessione tra i dati forniti e l'iniziativa sostenuta può rivelare informazioni sulla salute, le convinzioni politiche, filosofiche o religiose, l'appartenenza politica, il sesso o l'orientamento sessuale, l'origine razziale o etnica, o persino l'appartenenza sindacale, a seconda dell'oggetto di ciascuna iniziativa. Di conseguenza, la sensibilità dei dati può essere correlata alla sensibilità del tema dell'iniziativa in questione.

Ai sensi dell'articolo 10, paragrafo 2, lettera a), del regolamento (UE) 2018/1725 (e all'articolo 9, paragrafo 2, lettera a), del regolamento generale sulla protezione dei dati), anche se i dati possono rientrare in una categoria speciale, il loro trattamento è consentito per il seguente motivo: "l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche (...)".

 

4. Quali sono i dati personali raccolti e sottoposti a ulteriore trattamento

Raccogliamo il suo indirizzo di posta elettronica per informarla sull'andamento dell'iniziativa in questione, previo il suo esplicito consenso.

Inoltre, per consentire un trattamento efficiente dei suddetti dati, raccogliamo alcuni (meta)dati relativi alla trasmissione/presentazione elettronica dell'indirizzo e-mail, in particolare la lingua usata dal browser, l'indirizzo IP, l'ora dell'inserimento elettronico e l'identificatore univoco generato automaticamente per ogni dichiarazione di sostegno.

 

5. Per quanto tempo sono conservati i dati personali

Il periodo standard di conservazione è di 12 mesi dalla fine del periodo di raccolta o dalla presentazione dell'iniziativa alla Commissione.

Il periodo standard di conservazione può essere esteso se la Commissione stabilisce, mediante una comunicazione, le azioni che intende adottare in relazione all'iniziativa in questione ai sensi dell'articolo 15, paragrafo 2, del regolamento ICE. In tal caso i dati vengono distrutti entro tre anni dalla pubblicazione di detta comunicazione.

Ciò lascia impregiudicato il suo diritto di annullare in qualsiasi momento l'abbonamento alla newsletter, con conseguente cancellazione del suo indirizzo e-mail a tempo debito.

Per annullare l'abbonamento occorre inviare un'e-mail all'indirizzo: SG-ECI-mailing@ec.europa.eu

 

6. In che modo vengono protetti e salvaguardati i dati personali

Tutti i dati personali vengono conservati in formato elettronico sui server della Commissione. Tutti i trattamenti sono effettuati ai sensi della decisione (UE, Euratom) 2017/46 della Commissione, del 10 gennaio 2017, sulla sicurezza dei sistemi di comunicazione e informazione della Commissione europea.

Per proteggere i dati personali, la Commissione ha adottato una serie di misure tecniche e organizzative. Tra le misure tecniche figurano interventi mirati alla sicurezza online e a contrastare il rischio di perdita o modifica dei dati o di accesso non autorizzato, tenendo conto dei rischi che presentano il trattamento e la natura dei dati trattati. Le misure organizzative includono il fatto di limitare l'accesso ai dati personali esclusivamente alle persone autorizzate con legittima necessità di sapere ai fini del trattamento specifico.

 

7. Chi ha accesso ai dati personali e a chi sono divulgati

Ai dati conservati nel sistema centrale di raccolta elettronica ha accesso esclusivamente il personale della Commissione autorizzato in base al principio della "necessità di sapere". Tale personale è tenuto a rispettare le norme di legge e altri eventuali accordi in materia di riservatezza.

Gli organizzatori di un'iniziativa possono utilizzare gli indirizzi e-mail per inviare ai firmatari messaggi attraverso un'apposita funzionalità del sistema centrale di raccolta elettronica, senza però avere accesso ai dati personali.

 

8. Quali sono i diritti dell'interessato e come può esercitarli

Può revocare il consenso al trattamento del suo indirizzo di posta elettronica in qualsiasi momento tramite notifica ai contitolari del trattamento. La revoca del consenso non pregiudicherà la liceità del trattamento effettuato prima della revoca.

Inoltre, i suoi diritti di "interessato" sono specificati al capo III (articoli da 14 a 25) del regolamento (UE) 2018/1725 (e capo III del regolamento generale sulla protezione dei dati) e comprendono in particolare il diritto di accedere ai dati personali e di rettificarli in caso siano inesatti o incompleti. In alcuni casi, ha il diritto di chiedere la cancellazione dei dati personali, limitarne il trattamento e opporsi ad esso, oltre ad avere diritto alla portabilità dei dati.

Per l'esercizio dei suoi diritti può rivolgersi ai contitolari del trattamento, oppure (specie in caso di conflitto) al responsabile della protezione dei dati. Se necessario, può rivolgersi anche al Garante europeo della protezione dei dati. I loro recapiti figurano al punto 9.

Se desidera esercitare i suoi diritti in relazione a uno o più trattamenti specifici, la preghiamo di darne descrizione (numero di riferimento del registro, come specificato al punto 10) nella richiesta.

Le richieste di accesso ai dati personali sono evase entro un mese dalla ricezione della richiesta. Eventuali altre richieste di cui agli articoli da 18 a 25 del regolamento (UE) 2018/1725 (e al capo III del regolamento generale sulla protezione dei dati) saranno esaminate entro 15 giorni lavorativi. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste.

 

9. Contatti

-      I titolari del trattamento

Se desidera esercitare i suoi diritti a norma del regolamento (UE) 2018/1725 e del regolamento generale sulla protezione dei dati, oppure se ha osservazioni, domande o questioni che la preoccupano, o se desidera proporre reclamo in merito alla raccolta e all'uso dei suoi dati personali, può contattare i titolari del trattamento.

Ø  Per quanto riguarda la Commissione, utilizzare il seguente recapito del titolare operativo del trattamento:

Commissione europea

Segretariato generale

Direzione A "Strategia, legiferare meglio e governo societario"

Unità A.1 "Priorità strategiche e programma di lavoro"

B - 1049 Bruxelles

Tel. +32 2 29 92165

E-mail: SG-ECI-mailing@ec.europa.eu

Ø  I recapiti del rappresentante del gruppo di organizzatori, o eventualmente dell'entità giuridica da esso creata, figurano nel registro online delle iniziative, nonché nel sistema centrale di raccolta elettronica, sulle pagine web dedicate alle singole iniziative.  Vedere:  https://europa.eu/citizens-initiative/home_it.

 

-      I responsabili della protezione dei dati 

Ø  Il responsabile della protezione dei dati della Commissione

Per le questioni riguardanti il trattamento dei dati personali può contattare il responsabile della protezione dei dati: DATA-PROTECTION-OFFICER@ec.europa.eu.

Ø  Il responsabile della protezione dei dati del gruppo di organizzatori (se designato)

Qualora il gruppo di organizzatori abbia designato un responsabile della protezione dei dati, i relativi recapiti figurano nel registro online delle iniziative, nonché nel sistema centrale di raccolta elettronica, sulle pagine web dedicate alle singole iniziative.  Vedere:  https://europa.eu/citizens-initiative/home_it.

 

-      Le autorità preposte alla protezione dei dati

Ø  Il Garante europeo della protezione dei dati

Ha il diritto di proporre reclamo al Garante europeo della protezione dei dati (edps@edps.europa.eu) se ritiene che siano stati violati i diritti di cui gode a norma del regolamento (UE) 2018/1725, a seguito di trattamento dei suoi dati personali a cura del titolare del trattamento.

Ø  Le autorità nazionali preposte alla protezione dei dati

Se ritiene che i suoi dati siano trattati in modo illecito, ha inoltre il diritto di presentare un reclamo all'autorità nazionale preposta alla protezione dei dati, in particolare dello Stato membro in cui ha la residenza abituale, in cui ha sede il suo luogo di lavoro o in cui ha avuto luogo la presunta violazione. I recapiti delle autorità nazionali preposte alla protezione dei dati possono essere consultati all'indirizzo: https://europa.eu/citizens-initiative/how-it-works/data-protection_it.

 

10. Dove ottenere ulteriori informazioni

Il responsabile della protezione dei dati della Commissione pubblica il registro di tutti i trattamenti di dati personali effettuati dalla Commissione che sono stati documentati e gli sono stati notificati. Il registro è accessibile al seguente link: https://ec.europa.eu/info/about-european-commission/service-standards-and-principles/transparency/data-processing-register_it.

Questo specifico trattamento è stato inserito nel registro pubblico del responsabile della protezione dei dati con il seguente numero di registro:  DPR-EC-03486.


[1] Numero di registro non ancora pubblicato