Informativa Privacy - Stanza del Cittadino
1. Oggetto del trattamento
Il Regolamento dell’Unione europea UE/2016/679 (di seguito il “Regolamento”), in aggiunta al Decreto Legislativo 30 giugno 2003, n. 196, stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. In osservanza del principio di trasparenza previsto dagli articoli 5 e 12 del Regolamento, la Provincia autonoma di Trento (di seguito la “Provincia”) fornisce le informazioni richieste dagli articoli 13 e 14 del medesimo Regolamento (rispettivamente, raccolta dei dati presso l’interessato e presso terzi).
Il presente documento descrive il funzionamento della Stanza del Cittadino della Provincia e i trattamenti di dati personali connessi al suo utilizzo.
La Stanza del Cittadino (di seguito la “Piattaforma”) è la piattaforma online adottata dalla Provincia per offrire ai cittadini un accesso semplificato ai servizi digitali provinciali. Tale Piattaforma, fruibile attraverso smartphone o computer, è finalizzata a migliorare l’interazione tra cittadini e pubblica amministrazione, consentendo l'accesso a una vasta gamma di servizi e permettendo di consultare le pratiche inviate da un’unica area personale.
La fruizione di un servizio digitale comporta il trattamento di dati personali per determinate e specifiche finalità. Tali finalità, unitamente a tutti i dettagli del trattamento, sono riportate nelle informative dedicate a ciascuno specifico servizio. L’utente prende visione di tali informative al momento della fruizione del servizio stesso.
La presente informativa riguarda invece i trattamenti posti in essere dalla Piattaforma trasversalmente a tutti i servizi digitali.
Il Titolare del trattamento dei dati personali è la Provincia, nella persona del legale rappresentante (Presidente della Provincia in carica), con sede in Piazza Dante 15 - 38122 Trento, Italia, contattabile ai recapiti elencati nella pagina dedicata.
I Preposti al trattamento dei dati sono:
- il Dirigente pro tempore dell’Unità di missione strategica digitalizzazione e reti della Provincia, contattabile ai recapiti elencati nella pagina dedicata;
- il Dirigente pro tempore del Servizio ICT e trasformazione digitale della Provincia, in qualità di Responsabile per la Transizione Digitale (RTD), contattabile ai recapiti elencati nella pagina dedicata;
- il Dirigente della Struttura provinciale che istruisce la pratica connessa allo specifico servizio digitale.
I preposti sono anche i soggetti designati per il riscontro all’Interessato in caso di esercizio dei diritti di cui agli articoli 15 e seguenti del Regolamento.
Il Responsabile della protezione dei dati - RPD (anche detto Data protection officer - DPO) è il Dirigente del Servizio elettorale, anticorruzione, controlli e protezione dei dati personali, con ufficio sito in Piazza Dante 15 - 38122 Trento, Italia - telefono 0461.494671, e-mail: idprivacy@provincia.tn.it (indicare nell’oggetto: "Richiesta intervento RPD ex art. 38 Reg. UE").
L’elenco aggiornato dei Responsabili del trattamento, appositamente nominati ai sensi dell'articolo 28 del Regolamento, è consultabile presso gli uffici dell’Unità di missione strategica digitalizzazione e reti, in via Vannetti, 15 - 38122 Trento.
Il trattamento dei dati personali è improntato al rispetto della normativa sulla protezione dei dati personali e, in particolare, ai principi di correttezza, liceità e trasparenza, di limitazione della conservazione, nonché di minimizzazione dei dati in conformità agli articoli 5 e 25 del Regolamento.
2. Funzionamento della piattaforma
2.1 Identificazione dell’utente
L’accesso all’area personale della Piattaforma e ai servizi digitali avviene a seguito di autenticazione dell’utente con identità digitale, ovvero tramite SPID (Sistema Pubblico Identità Digitale), CIE (Carta d’Identità Elettronica), CPS-CNS (Carta Provinciale-Nazionale dei Servizi) o login eIDAS (electronic IDentification, Authentication and trust Services). Al momento dell’autenticazione, l’identity provider selezionato dall’utente trasmette alla Piattaforma i dati seguenti: nome, cognome, codice fiscale, data di nascita, recapito e-mail, codice identificativo dell’identità digitale. La trasmissione dei dati è mediata dalla piattaforma provinciale AAC per l’autenticazione con identità digitale (Gateway di autenticazione provinciale). L’utente autorizza la trasmissione in modo facoltativo, esplicito e volontario.
2.2 Modalità di utilizzo dei servizi digitali
La piattaforma consente alla Provincia di mettere a disposizione degli utenti uno o più servizi digitali, al fine di garantire l’accesso ad un beneficio, l’esercizio di un diritto o l’assolvimento di un obbligo. L’accesso ai servizi digitali avviene attraverso link presenti nella sezione pubblica del sito web.
Il funzionamento generale di un servizio digitale presente sulla Piattaforma può essere descritto come segue.
Dopo aver individuato il servizio cui vuole accedere, l’utente prende visione dell’informativa privacy dedicata e avvia il processo di creazione di una richiesta, denominata pratica. L’utente inserisce le informazioni necessarie alla fruizione del servizio, visualizza un riepilogo finale e procede all’invio. A seguito dell’invio la Provincia riceve la pratica, la istruisce, ne definisce l’esito e lo comunica all’utente. In alcuni casi il servizio può prevedere che l’utente effettui un pagamento o inserisca ulteriori dati a completamento della richiesta inviata.
Successivamente all’invio della pratica l’utente può ricevere - attraverso la piattaforma - messaggi relativi al servizio e a sua volta - se previsto - inviarne. In alcuni casi il servizio può essere configurato per prevedere la trasmissione di messaggi anche al recapito e-mail dell’interessato. Inoltre, il servizio potrebbe prevedere la trasmissione di messaggi anche attraverso il sistema IO, l’app dei servizi pubblici gestita da PagoPA S.p.A. (si veda l’informativa privacy dell’app IO).
Nel caso in cui il servizio digitale preveda il pagamento, da parte dell’utente, di imposte o costi del servizio, questo avviene attraverso il sistema PagoPA. In tal caso la piattaforma trasferisce a PagoPA S.p.A. le informazioni necessarie a determinare l’avviso di pagamento, a consentire il pagamento stesso e a inviare la ricevuta dell’avvenuto pagamento (si veda l’informativa privacy relativa al servizio check out PagoPA). Il trasferimento dei dati è mediato dal portale provinciale dei pagamenti MyPay (si veda l’informativa privacy al link dedicato).
I dati personali contenuti nelle pratiche possono essere trasferiti, attraverso procedure automatiche, al sistema di protocollazione e conservazione documentale PITre in uso alla Provincia, oppure ad altri software provinciali tra cui, a titolo esemplificativo e non esaustivo, il sistema di contabilità. Tali sistemi sono necessari per l’erogazione e la gestione del servizio digitale scelto, o per assolvere agli obblighi derivanti dalla disciplina, di natura generale o settoriale, in materia di procedimento amministrativo .
2.3 Modalità di utilizzo dell’area personale utente
L’area personale utente è l’ambiente, ad accesso riservato, in cui l’utente può visualizzare l’elenco di tutte le pratiche in bozza e inviate, i pagamenti effettuati o da effettuare, l’insieme degli eventuali documenti privati condivisi con la Provincia e dei messaggi privati scambiati.
In quest'area personale, definita anche profilo, l'utente ha la possibilità di consultare l'insieme dei dati personali elaborati dalla piattaforma per assicurarne il funzionamento.
2.4 Cookie e altri strumenti di tracciamento
Per il suo funzionamento, la piattaforma utilizza cookie e altri strumenti di tracciamento. I cookie sono piccoli file di testo che i siti web visitati inviano al dispositivo dell'utente, dove vengono memorizzati per raccogliere informazioni attraverso il browser, per essere poi ritrasmessi agli stessi siti nelle visite successive. Sono utilizzati sia per rendere possibile l’erogazione del servizio, sia per misurare e migliorare la qualità dell’esperienza utente.
Il funzionamento di base della Piattaforma prevede l’esclusivo impiego di cookie tecnici, necessari e indispensabili per mantenere la sessione, per bilanciarne il carico e per garantire la corretta operatività dell’autenticazione con identità digitale.
| Nome Cookie | Durata | Funzione | Tipo Cookie |
| PHPSESSID | Sessione | Cookie tecnico per il funzionamento del sistema di autenticazione con SPID | tecnico |
| _shibsession_.... | Sessione | Cookie tecnico per il funzionamento del sistema di autenticazione con SPID | tecnico |
| _opensaml_req_ss.... | Sessione | Cookie tecnico per il funzionamento del sistema di autenticazione con SPID | tecnico |
| _fa_XXXXXXXX | Sessione | Cookie tecnico usato per la politica di bilanciamento di carico della piattaforma | tecnico |
3. Fonte dei dati personali
I dati:
- sono raccolti presso l’interessato tramite interfaccia utente;
- sono raccolti attraverso i sistemi di autenticazione con identità digitale (SPID, CIE, CPS-CNS);
- sono raccolti presso i soggetti esterni che detengono le banche dati di interesse nazionale (a titolo esemplificativo e non esaustivo: ANPR, INAD, INI-PEC, IPA).
4. Categorie di dati personali
I dati personali trattati per il funzionamento descritto al paragrafo 2 appartengono alle seguenti categorie:
- dati personali diversi da particolari categorie di dati (cosiddetti dati comuni): nome, cognome, codice fiscale, data di nascita, luogo di nascita, sesso, recapito e-mail, codice identificativo dell’identità digitale, ragione o denominazione sociale, sede legale, partita IVA, estremi del documento d’identità, recapito telefonico, domicilio digitale, residenza.
5. Finalità del trattamento
Il principio di minimizzazione prevede che possono essere raccolti e trattati soltanto i dati personali pertinenti e non eccedenti alle specifiche finalità del trattamento. Il principio di limitazione della conservazione consiste nel mantenere i dati in una forma che consente l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità, salvo casi eccezionali.
Anche per tali ragioni, nonché nel rispetto degli articoli 13 e 14 del Regolamento, di seguito si riporta la finalità del trattamento (cioè lo scopo per cui i dati personali sono raccolti e trattati), nonché la relativa base giuridica (ovvero la norma di legge o di regolamento che ne consente il trattamento).
La finalità del trattamento è l’esecuzione di compiti di interesse pubblico di cui è investito il Titolare (articolo 6.1, lettera e, del Regolamento):
- garantire l'interazione con il cittadino tramite le tecnologie dell'informazione e della comunicazione, ai sensi dell'articolo 12 del Decreto Legislativo 7 marzo 2005, n. 82, Codice dell’Amministrazione Digitale;
- garantire l'accesso telematico ai servizi della Pubblica Amministrazione, ai sensi degli articoli 3-bis e 64-bis del Decreto Legislativo 7 marzo 2005, n. 82, Codice dell’Amministrazione Digitale;
- garantire il diritto a servizi pubblici on-line semplici e integrati e consentire l’accesso con identità digitale, come previsto dagli articoli 7 e 64 del Decreto Legislativo 7 marzo 2005, n. 82, Codice dell’Amministrazione Digitale;
- consentire agli utenti la presentazione di domande, dichiarazioni, segnalazioni e comunicazioni, anche tramite moduli e formulari, come previsto dall’articolo 8, comma 2 e dall’articolo 9, comma 2 e comma 3 della Legge Provinciale 30 novembre 1992, n. 23, Legge provinciale sull’attività amministrativa.
Il conferimento dei dati personali è facoltativo; il rifiuto al conferimento dei dati, però, comporterà l’impossibilità di corrispondere alla richiesta di fruizione di servizi pubblici digitali.
5. Modalità di trattamento
Il trattamento sarà effettuato con modalità cartacee e con strumenti automatizzati (informatici/elettronici) con logiche atte a garantire la riservatezza, l’integrità e la disponibilità dei dati stessi.
I dati saranno trattati, esclusivamente per le finalità di cui sopra, dai Preposti individuati al paragrafo 1, nonché da Addetti al trattamento dei dati, debitamente autorizzati ed istruiti.
Sempre per le finalità indicate, i dati possono essere trattati dai soggetti che svolgono attività strumentali per il Titolare in qualità di fornitori di servizi e di assistenza informatica. Tali soggetti, elencati al paragrafo 1 della presente informativa, prestano adeguate garanzie circa la protezione dei dati personali e sono nominati Responsabili del trattamento ai sensi dell’articolo 28 del Regolamento.
6. Processi decisionali automatizzati e profilazione
È esclusa l’esistenza di un processo decisionale automatizzato, compresa la profilazione.
7. Comunicazione e diffusione dei dati (categorie di destinatari)
Fatto salvo quanto di seguito precisato, in termini generali non saranno comunicati e non saranno diffusi i dati personali acquisiti per autenticare l’utente, i dati personali archiviati nell’area personale dell’utente e i dati personali raccolti dal sistema tramite i cookie.
Nel contesto di uno specifico servizio digitale, i dati personali raccolti potrebbero essere comunicati alle seguenti categorie di destinatari:
- amministrazioni titolari di basi di dati di interesse nazionale o altre pubbliche amministrazioni accreditate alla Piattaforma Digitale Nazionale Dati (PDND), per adempiere all’obbligo legale di mettere a disposizione delle pubbliche amministrazioni i dati di cui necessitano per lo svolgimento delle loro funzioni istituzionali, ai sensi degli articoli 50, 50-ter e 60 del Decreto Legislativo 7 marzo 2005, n. 82, “Codice dell’amministrazione digitale”, e per adempiere all’obbligo legale di acquisire d’ufficio le informazioni necessarie a verificare le dichiarazioni sostitutive, ai sensi degli articoli 43 e 59 del Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, “Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa”;
- eventuali altri destinatari indicati nell’informativa dello specifico servizio digitale, per l’adempimento di un obbligo legale o contrattuale indicato nell’informativa stessa.
Nel contesto di uno specifico servizio digitale, i dati personali potrebbero essere diffusi ai sensi e per gli effetti delle norme di volta in volta indicate nell’informativa del servizio stesso, fermo il divieto di diffusione dei dati relativi alla salute, oltre che di quelli genetici e biometrici. Si pensi, ad esempio, agli adempimenti di cui al d.lgs. 33/2013 e alla l.p. 4/2014.
8. Trasferimento extra UE
I dati personali non saranno trasferiti al di fuori dell’Unione europea.
9. Periodo di conservazione dei dati
La Piattaforma mette in atto procedure di trattamento dei dati personali limitate alla durata del periodo di conservazione deciso dalla Provincia per ciascun servizio digitale erogato dalla piattaforma.
Trascorsi i termini di conservazione individuati per ciascun servizio digitale nell’informativa dedicata, i dati saranno cancellati, fatta salva la facoltà del Titolare di conservarli ulteriormente per fini di archiviazione nel pubblico interesse.
10. Diritti dell'interessato
L’interessato potrà esercitare, nei confronti del Titolare ed in ogni momento, i diritti previsti dal Regolamento: chiedere l’accesso ai dati personali e ottenere copia degli stessi (articolo 15); qualora li ritenga inesatti o incompleti, richiederne, rispettivamente, la rettifica o l’integrazione (articolo 16); se ricorrono i presupposti normativi, richiederne la cancellazione (articolo 17) o esercitare il diritto di limitazione (articolo 18), opporsi al trattamento dei dati, compresa l’eventuale profilazione per motivi connessi alla situazione particolare dell’interessato (articolo 21).
Ai sensi dell’articolo 19, nei limiti in cui ciò non si riveli impossibile o implichi uno sforzo sproporzionato, il Titolare comunica a ciascuno degli eventuali destinatari cui sono stati trasmessi i dati personali le rettifiche, o cancellazioni, o limitazioni del trattamento effettuate. Qualora l’interessato lo richieda, il Titolare gli comunicherà tali destinatari.
In ogni momento, inoltre, l’interessato ha diritto, ai sensi dell’articolo 77, di proporre reclamo al Garante per la protezione dei dati personali, con sede in Roma alla piazza Venezia n. 11 (tel. 06/696771, fax 06/696773785, e-mail protocollo@gpdp.it, pec protocollo@pec.gpdp.it).