Oggetto: INFORMATIVA relativa al trattamento dei dati personali relativi alle attività di Marca Treviso e dell’OGD “Città d’Arte e Ville Venete del Territorio Trevigiano” ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (GDPR)

La presente informativa spiega come la Fondazione DMO Marca Treviso, fondazione di partecipazione, raccoglie, utilizza e tutela i dati personali (“Dati Personali”) nello svolgimento delle proprie attività istituzionali e nell’esercizio delle proprie funzioni di Destination Management Organization (“DMO”) riconosciuta dalla Regione Veneto. La Fondazione ha assunto gli scopi e le attività, facendoli propri, dell’Organizzazione di Gestione della Destinazione (“OGD”) “Città d’Arte e Ville Venete del Territorio Trevigiano” costituita ai sensi dell’art 9, secondo comma, della Legge della Regione Veneto n. 11/2013 “Sviluppo e sostenibilità del turismo veneto” per la gestione integrata e la realizzazione unitaria delle funzioni d’informazione, accoglienza turistica, promozione e commercializzazione dell’offerta turistica della destinazione.

Il trattamento dei Dati Personali sarà ispirato a liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei Dati, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione secondo i principi generali definiti dall’art. 5 del GDPR.

1. Titolare del trattamento

La titolare del trattamento è la FONDAZIONE DESTINATION MANAGEMENT ORGANIZATION MARCA TREVISO, in breve FONDAZIONE DMO MARCA TREVISO fondazione di partecipazione, in persona della/del proprio Presidente, legale rappresentante pro tempore, con sede legale in Piazza Borsa n. 4, 31100 Treviso (TV), C.F./P.I. 03182890263, pec marcatreviso@pec.it (di seguito anche solo la “Fondazione” o “Titolare”).

La Fondazione ha provveduto alla nomina di un Responsabile della Protezione dei Dati (DPO) che è raggiungibile all’indirizzo della stessa in Piazza Borsa n. 4, 31100 Treviso (TV) e tramite l’indirizzo e-mail dpo@marcatreviso.it

2. Dati Personali trattati e fonti da cui hanno origine

La Fondazione raccoglie e utilizza comunemente, nell’esercizio delle proprie funzioni statutarie e nel perseguimento della propria funzione di DMO, Dati Personali (a titolo esemplificativo: nome, cognome, ruolo/incarico aziendale, indirizzo, telefono, indirizzo e-mail, codice fiscale, ecc.) riferibili a molteplici tipologie di soggetti.

Di seguito l’elenco delle categorie di soggetti a cui sono riferibili i Dati Personali e la specificazione della loro fonte di provenienza.

• Soggetti privati e pubblici partecipanti alla Fondazione. Queste informazioni sono state acquisite in occasione della procedura di adesione alla Fondazione.
• Rappresentanti e referenti dei soggetti partecipanti alla Fondazione (amministratori, dirigenti, dipendenti, collaboratori ed esponenti politici, soggetti che ricoprono un incarico di rilevanza pubblica, esponenti sindacali e tutti coloro che, in ragione dei propri scopi istituzionali, rappresentano gli interlocutori naturali della Fondazione). Queste informazioni sono state acquisite in occasione della procedura di adesione alla Fondazione, conferite dall’Amministrazione di appartenenza, raccolte da registri ed elenchi pubblici con tali finalità oppure spontaneamente comunicate dall’interessato in occasione dell’adesione alla Fondazione o all’iscrizione e partecipazione a eventi/incontri organizzati e/o partecipati dalla Fondazione o da altri soggetti partecipanti.
• Soggetti o enti non partecipanti alla Fondazione (quali gli uffici IAT, Uffici di informazione e accoglienza turistica), fornitori di servizi e attività in senso lato connessi alle funzioni istituzionali della Fondazione e altri soggetti verso cui la stessa svolge attività in adempimento alla propria funzione statutaria. Tali informazioni sono raccolte dai soggetti partecipanti, da registri ed elenchi pubblici con tale finalità oppure sono conferite spontaneamente (ad esempio: mediante scambio di biglietti da visita, contatto telefonico, contatto tramite i siti web gestiti dalla Fondazione) o in occasione dell’iscrizione e partecipazione a eventi/incontri presso la Fondazione o presso altri soggetti partecipanti alla stessa.
• Utenti della Destinazione. Tali informazioni sono conferite spontaneamente (ad esempio mediante scambio di biglietti da visita, contatto telefonico, contatto tramite i siti web gestiti dalla Fondazione) o in occasione di iscrizione e partecipazione a eventi/incontri presso la Fondazione o presso altri soggetti partecipanti alla stessa.

Nelle situazioni in cui la Fondazione è destinataria di Dati Personali comunicati da soggetti terzi, ivi inclusi i soggetti partecipanti alla stessa, è onere di questi ultimi, fornire agli interessati adeguata informativa ai sensi del GDPR in merito alla trasmissione dei propri dati ad altri destinatari, ivi inclusa la Fondazione, anche nel suo ruolo di DMO.

3. Finalità del trattamento e base giuridica

I Dati Personali sono trattati per le seguenti finalità.

1. Finalità di svolgimento delle proprie attività statutarie e di coordinamento tecnico amministrativo della Fondazione.

Tale finalità comprende

• L’esercizio di ogni attività svolta in adempimento allo scopo statutario della Fondazione nei confronti dei soggetti partecipanti alla stessa e di soggetti terzi.
• L’esercizio delle funzioni della Fondazione, inclusa quella di DMO, quali la gestione delle comunicazioni e dei rapporti con i Comuni e i soggetti partecipanti, la gestione dei fondi, del conto corrente e degli incassi delle quote, della programmazione e rendicontazione economico – finanziaria, la gestione di bandi, l’organizzazione e la verbalizzazione delle riunioni degli organi, la gestione delle ammissioni, delle decadenze e delle esclusioni dei partecipanti.
• La gestione del Destination Management action plan (DMAP) della DMO, della predisposizione della relazione sullo stato di avanzamento del DMAP e della relazione annuale con trasmissione agli altri partecipanti di tali relazioni.
• La comunicazione alla Regione delle informazioni e dei dati necessari ai controlli sull’attività della Fondazione, anche quale DMO.
• L’esercizio delle funzioni di coordinamento dei sistemi di informazione ai turisti e delle attività promozionali dei soggetti partecipanti alla Fondazione e di terzi.
• Le attività informative – divulgative a favore dei soggetti partecipanti e/o di terzi per l’adempimento delle funzioni statutarie.

Le attività di comunicazione istituzionale non sono da considerarsi attività di comunicazione promozionale ma oneri informativi ricompresi nell’ambito del rapporto di partecipazione alla Fondazione anche nelle sue funzioni di DMO.

Il trattamento dei Dati Personali per tale finalità trova la sua base giuridica nell’ art. 6 par. 1 lett. b) del GDPR, ai sensi del quale il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso, nell’art. 6 part. 1 lett. c) ai sensi del quale il trattamento è necessario per adempiere un obbligo legale al quale è soggetta la Titolare del trattamento e in particolare per realizzare le funzioni di cui all’art. 9, secondo comma, della Legge della Regione Veneto n. 11/2013 “Sviluppo e sostenibilità del turismo veneto” e successive disposizioni normative e nell’art. 6 par. 1 lett. f) del GDPR per cui il trattamento è necessario per il perseguimento del legittimo interesse della Titolare del trattamento. Costituisce legittimo interesse della Titolare del trattamento e dei terzi divulgare notizie e informazioni a favore degli altri partecipanti in merito alle attività istituzionali svolte per adempiere a tutte le finalità statutatie.

1. Adempimento di obblighi previsti dalla legge, da regolamenti o da normative UE quali ad esempio obblighi previsti dalla normativa tributaria, fiscale o contabile. Il trattamento dei Dati Personali per tale finalità trova la sua base giuridica nell’ art. 6 par. 1 lett. c) del GDPR, ai sensi del quale il trattamento è necessario per adempiere un obbligo legale al quale è soggetto la Titolare del trattamento.
2. Finalità di difesa in giudizio per consentire la difesa in giudizio di un diritto o interesse della Titolare dinanzi a qualunque autorità o ente competente. Il trattamento dei Dati Personali per tale finalità trova la sua base giuridica nell’art. 6 par. 1 lett. f) del GDPR per cui il trattamento è necessario per il perseguimento del legittimo interesse della Titolare del trattamento. Costituisce legittimo interesse della Titolare del trattamento esperire mezzi di ricorso per garantire il rispetto dei suoi diritti contrattuali ovvero dimostrare di avere adempiuto agli obblighi nascenti dal contratto con l’interessato o imposti alla Titolare del trattamento dalla legge.
3. Destinatari ed eventuali categorie di destinatari dei Dati Personali

Ferme restando le comunicazioni effettuate in esecuzione di obblighi di legge, i Dati Personali potranno essere comunicati, in conformità con la normativa in materia di trattamento dei Dati Personali ai seguenti soggetti.

• Alla Regione Veneto e agli uffici dalla stessa delegati per il controllo e il coordinamento delle attività svolte dalla Fondazione, anche nelle sue funzioni di DMO.
• Ai soggetti che prestano attività funzionali alla gestione e alla realizzazione delle attività statutarie ivi compresi fornitori generali, consulenti, fornitori di elaborazione dei servizi IT o fornitori di pagamenti.
• A personale interno debitamente autorizzato ed istruito sulle politiche di trattamento dei Dati Personali.
• A qualsiasi organo di pubblica sicurezza o di regolamentazione, ente governativo o autorità giudiziaria laddove sia richiesto dalla normativa applicabile.
• A società incaricate dell’invio di comunicazioni informative.
• A tutti quei soggetti pubblici e/o privati, persone fisiche e/o giuridiche, qualora la comunicazione risulti necessaria o funzionale al corretto adempimento degli obblighi contrattuali assunti in relazione alle attività della Fondazione nonché degli obblighi derivanti dalla legge ovvero nel caso di accertamento, esercizio o difesa di un diritto.

5. Trasferimento dei Dati Personali al di fuori dell’Unione Europea

Per determinate attività di trattamento, la Titolare può trasferire i Dati Personali a parti esterne ubicate in paesi che non appartengono all’Unione Europea (UE) o allo Spazio Economico Europeo (EEA) (di seguito, “Paesi Terzi”) in particolare tramite l’utilizzo di Microsoft365 con sede negli Stati Uniti. Anche se tramite l’utilizzo di Microsoft 365 i Dati Personali trattati possono essere conservati su server localizzati all’interno dell’Unione Europea, per esigenze tecniche e di supporto, è possibile che alcuni dati vengano trasferiti o resi accessibili a società del gruppo Microsoft situate in Paesi Terzi, nello specifico negli Stati Uniti. Tali trasferimenti avvengono in conformità agli articoli 44 e seguenti del GDPR, sulla base delle Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea e delle misure supplementari di sicurezza implementate da Microsoft (tra cui cifratura dei dati e controlli di accesso). Tutte le informazioni sono disponibili al seguente link:

https://www.microsoft.com/licensing/docs/view/Professional-Services-Data-Protection-Addendum-DPA?lang=1  La legittimità di ogni trasferimento è effettuata nel rispetto delle garanzie appropriate e opportune ai fini del trasferimento stesso e in particolare nel rispetto del principio generale per il trasferimento di cui all’art. 44 GDPR, dell’esistenza di una decisione di adeguatezza della Commissione Europea ai sensi dell’art. 45 GDPR, di garanzie adeguate ai sensi dell’art. 46 GDPR e in presenza di una delle specifiche situazioni di deroga di cui all’art. 49 GDPR.

L’elenco dei Paesi Terzi contenente altresì le garanzie appropriate adottate dalla Titolare per il trasferimento sarà aggiornato di volta in volta e/o disponibile su richiesta. La preghiamo di contattarci all’indirizzo privacy@marcatreviso.it se desidera chiedere di poter visionare tale elenco e una copia delle specifiche tutele applicate all’esportazione dei Dati.

6. Conseguenze della mancata comunicazione dei Dati Personali

Per il perseguimento delle finalità di cui all’art. 3 lett. a) e b) il conferimento dei Dati Personali è necessario per poter adempiere agli obblighi contrattuali e/o legali connessi all’appartenenza alla Fondazione o ai rapporti di qualsiasi natura, contrattuale o istituzionale, in essere con la stessa. La mancata comunicazione dei Dati Personali comporterà l’impossibilità di svolgere nei confronti dei soggetti interessati le attività proprie statutarie della Fondazione, anche come DMO.

Per la finalità di cui all’art. 3 lett. c) il conferimento dei Dati è facoltativo, non esiste alcun obbligo di legge o contrattuale che imponga all’interessato di fornire i Dati per tale finalità.

7. Periodo di conservazione dei Dati Personali

I Dati Personali sono conservati per il solo periodo necessario alla finalità per cui sono trattati o nei termini previsti da leggi, norme e regolamenti nazionali e comunitari applicabili.

Per il perseguimento delle finalità di cui all’art. 3 lett. a), b) e c) i Dati Personali potranno essere conservati per tutta la durata del rapporto intercorrente con la Fondazione, di natura contrattuale o istituzionale oltre che per i successivi 10 anni al fine di verificare eventuali pendenze o per il rispetto di ogni eventuale obbligo di legge (ad es. con riferimento all’obbligo di conservazione della documentazione contabile e/o in relazione al decorso della prescrizione civilistica per l’esercizio dei propri diritti contrattuali).

8. Diritti sui Dati Personali

Ai sensi dell’art. 15 e ss. del GDPR, l’interessato può esercitare i seguenti diritti: (1) chiedere l’accesso ai propri Dati Personali ai sensi dell’art. 15 del GDPR, (2) ottenere la rettifica e/o integrazione dei Dati ai sensi dell’art. 16 del GDPR, (3) chiedere ed ottenere la cancellazione dei Dati ai sensi e nei limiti dell’art. 17 del GDPR salvo non ricorra una delle eccezioni di cui al comma 3 del medesimo art. 17, (4) chiedere ed ottenere la limitazione del trattamento ai sensi dell’art. 18 del GDPR, (5) ottenere la portabilità dei Dati ai sensi e nei limiti dell’art. 20 del GDPR che consente all’interessato di ricevere i Dati Personali forniti alla Titolare in un formato strutturato, di uso comune e leggibile da dispositivo automatico e – a certe condizioni – trasmetterli a un altro titolare del trattamento senza impedimenti, (6) opporsi, in tutto o in parte, a determinati tipi di trattamento ai sensi dell’art. 21 del GDPR, incluso il trattamento per finalità di marketing e profilazione, (7) revocare il consenso ai sensi dell’art. 7, comma 3 del GDPR senza pregiudicare la liceità del trattamento basata sul consenso conferito prima della revoca, (8) proporre reclamo all’Autorità di controllo (Garante Privacy), (9) ricevere informazioni chiare, trasparenti e facilmente comprensibili sulle modalità di utilizzo dei Dati Personali e l’esercizio dei diritti, motivo per cui la Titolare fornisce le informazioni contenute in questo documento.

L’esercizio dei diritti non è soggetto ad alcun vincolo di forma ed è gratuito. Tutti i diritti potranno essere esercitati trasmettendo apposita istanza alla Titolare al seguente indirizzo e-mail:

privacy@marcatreviso.it.

9. Diritto di opposizione

L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei Dati Personali che lo riguardano effettuati ai sensi dell’art. 6 par. 1 lett. f) GDPR aventi come base giuridica il legittimo interesse della Titolare del trattamento. La Titolare del trattamento si astiene dal trattare ulteriormente i Dati Personali salvo che dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

La richiesta di opposizione va presentata trasmettendo apposita istanza alla Titolare al seguente indirizzo e-mail: privacy@marcatreviso.it

10. Modifiche

La Titolare potrebbe avere la necessità, in considerazione di modifiche normative o di cambiamenti ai propri servizi di aggiornare la presente informativa inserendo la versione modificata della stessa sul Sito. Invitiamo dunque gli Utenti a visionare periodicamente l’apposita sezione del Sito per la verifica e la conoscenza degli aggiornamenti effettuati ferma, laddove necessario, la comunicazione diretta agli Utenti delle modifiche predisposte.