Condizioni di vendita
Per fare un acquisto
Verificare SEMPRE le condizioni di vendita, di trattamento dei dati personali e le modalità di consegna del prodotto, nonché i contatti cui rivolgersi per ogni necessità.
Registrazione
La registrazione del cliente non è obbligatoria ed è possibile acquistare anche come cliente ospite. Il cliente dovrà inserire negli appositi spazi indicati tutti quei dati necessari all’acquisto, nonché ad una corretta evasione dell’ordine. Se si volesse procedere con la registrazione basterà entrare nella pagina registrazione e inserire la propria e-mail e una password, riceverete una e-mail di conferma dell’avvenuta registrazione.
Contratto d’acquisto
Il contratto è composto da quattro parti:
– la prima è definita modulo d’ordine, e prende tipicamente la forma di un questionario con una serie di campi da compilare e tasti di accettazione e adesione alle norme del contratto. Con l’invio del modulo d’ordine le condizioni di vendita si intenderanno pienamente conosciute e accettate dal cliente;
– la seconda è costituita dalla lettera di conferma e di accettazione dell’ordine, che il venditore è tenuto ad inviare una volta che ha ricevuto il modulo d’ordine;
– la terza è costituita dal pagamento da parte del cliente secondo le modalità previste dal presente contratto;
– la quarta ed ultima parte è data dalla consegna del plico contenente il/i prodotto/i richiesto/i dal cliente.
Si fa presente che in caso di pagamento in contrassegno la terza e la quarta parte coincidono.
Il contratto ha effetto solo nel momento in cui il cliente riceve l’accettazione dell’ordine da parte della Fondazione Centro Studi sull’Arte Licia e Carlo Ludovico Ragghianti – ETS, di cui viene data conferma tramite e-mail, e si intende concluso nel momento in cui il cliente effettua il pagamento e riceve il prodotto.
L’accettazione rappresenta l’unica garanzia in possesso del cliente dell’avvenuta transazione ed è indispensabile perché il contratto abbia validità giuridica.
Condizioni di Vendita
Il cliente acquista da:
FONDAZIONE CENTRO STUDI SULL’ARTE LICIA E CARLO LUDOVICO RAGGHIANTI – ETS
P.I. 01931580466 C.F. 92004840465
Reg. CCIAA Lucca: REA nº 182825 del 20/01/2004
Reg.Imprese:nr. 1917/00 del 30/01/2004
Via San Micheletto, 3 – 55100 LUCCA (I)
tel. 0583 467205 – fax 0583 490325
acquisti@fondazioneragghianti.it
più appresso semplicemente Fondazione Ragghianti
Ogni acquisto sul sito è regolato dalle seguenti condizioni generali di contratto.
La Fondazione Ragghianti si riserva il diritto di variare le seguenti condizioni.
Le eventuali nuove regole saranno efficaci dal momento in cui saranno pubblicate in questo sito.
Il cliente è invitato quindi a leggere con attenzione queste informazioni ogni volta che acquista qualcosa nel negozio.
Prezzi e costo totale della fornitura
I prezzi riportati sul sito si riferiscono al solo costo dei prodotti e si intendono iva inclusa, assolta dall’editore. Le spese di spedizione sono a carico della Fondazione Ragghianti. Nulla è dovuto al cliente né per le spese di spedizione né per eventuali spese di contrassegno. La Fondazione Ragghianti invia sempre al cliente la fattura accompagnatoria con il dettaglio dell’ordine.
Accettazione degli ordini
La Fondazione Ragghianti accetta solo i moduli d’ordine provenienti dall’Italia e per prodotti destinati all’Italia.
La distribuzione dei nostri libri all’estero è curata da Libro Co. Italia S.r.l. Via Etruria, 2/4/6 – 50026 San Casciano Val di Pesa (FI) tel. +39 055 822.94.14/+39 055 822.84.61 Fax +39 055 829.46.03/+39 055 822.84.62 P.I. e C.F. 00527630479.
La Fondazione Ragghianti accetta i moduli d’ordine provenienti sia da persone fisiche che da persone giuridiche. Sono esclusi i soggetti, quali librerie, rivenditori, grossisti ecc. che intendano rivendere a terzi i prodotti della Fondazione Ragghianti. Le librerie, i rivenditori o grossisti ecc. sono tenuti a contattare direttamente la Fondazione Ragghianti (tel. 0583 467205, sig.ra Laura Bernardi, e-mail laura.bernardi@fondazioneragghianti.it ) oppure Libro Co.Italia S.r.l. all’indirizzo di cui sopra.
Per poter emettere la relativa fattura verrà richiesto alle persone giuridiche di compilare, oltre al campo relativo al codice fiscale, il campo della Ragione Sociale, quello relativo alla partita iva e quello del codice univoco o pec, posta elettronica certificata (per l’invio della fattura elettronica tramite S.D.I.). Nel caso in cui il cliente, pur avendo compilato il campo della Ragione Sociale ometta di compilare il campo della partita iva, la fattura verrà emessa alla persona fisica relativa al codice fiscale inserito come campo obbligatorio. Gli ordini ricevuti saranno vincolanti per la Fondazione Ragghianti dal momento in cui il cliente riceverà da parte nostra conferma via e-mail che l’intero processo d’ordine è stato completato regolarmente, il pagamento è stato autorizzato e i prodotti sono disponibili. Sarà cura del cliente stampare la e-mail e conservarla. Se il cliente non riceverà la e-mail di conferma, dovrà contattare la Fondazione Ragghianti all’indirizzo di posta elettronica: acquisti@fondazioneragghianti.it.
Nessuna delle informazioni contenute nel negozio può essere considerata come proposta al pubblico, ma deve essere considerata come invito ad offrire.
Modalità di cancellazione dell’ordine.
Entro 8 ore dall’invio del modulo d’ordine (che è più propriamente, a norma di legge, una proposta d’ordine), il cliente può cancellare la richiesta effettuata, tramite una e-mail da inviare a acquisti@fondazioneragghianti.it che contenga i seguenti dati:
1) numero d’ordine;
2) richiesta di annullamento dell’ordine stesso.
La suddetta e-mail dovrà essere inviata dallo stesso indirizzo di posta elettronica che ha emesso la proposta d’ordine, ovvero quello dell’utente.
Condizioni di pagamento
Il cliente sceglie tra le condizioni di pagamento disponibili nel negozio del sito, quindi non sono consentiti metodi di pagamento diversi da quelli sotto riportati.
Le modalità di pagamento sono:
– Paypal
– bonifico bancario intestato a Fondazione Centro Studi sull’Arte Licia e Carlo Ludovico Ragghianti ETS – Via San Micheletto, 3 – 55100 LUCCA su Banco Popolare – Cassa di Risparmio di Lucca, Pisa, Livorno – sede di Lucca – IBAN IT94O0503413701000000158973.
– in contrassegno, da pagare direttamente al ricevimento del pacco. Si precisa che, in caso di pagamento in contrassegno, la spedizione avverrà esclusivamente a mezzo corriere.
La transazione tramite carta di credito o Paypal avverrà sul circuito sicuro di Paypal. Paypal è una società del gruppo eBay leader nei pagamenti online. I numeri delle carte di credito del cliente non saranno memorizzate da Fondazione Ragghianti che non è pertanto responsabile dell’eventuale uso fraudolento ed illecito di carte di credito che possa essere fatto da parte di terzi all’atto del pagamento dei prodotti acquistati.
In caso di pagamento tramite bonifico bancario, il cliente, dopo aver ricevuto da Fondazione Ragghianti l’e-mail di conferma dell’ordine, per poter accelerare i tempi di consegna del prodotto, potrà inviare la distinta di pagamento tramite fax al numero 0583 490325, oppure per e.mail all’indirizzo acquisti@fondazioneragghianti.it.
Modalità e termini di consegna
La consegna del prodotto rappresenta la fase di chiusura della transazione. La consegna dei volumi avverrà con piego di libri raccomandato oppure con corriere GLS. In caso di scelta di pagamento in contrassegno la spedizione verrà effettuata esclusivamente a mezzo corriere GLS.
Il piego di libri potrà essere tracciato sul sito di poste italiane https://www.poste.it al servizio “cerca spedizioni” digitando il codice invio opportunamente comunicato al cliente tramite e.mail insieme alla data di spedizione. La spedizione potrà essere tracciata anche chiamando il numero verde di poste italiane 803160.
Il pacco con corriere potrà essere tracciato sul sito https://www.gls-italy.com al servizio “ricerca spedizioni” che si trova sulla home page digitando il codice invio opportunamente comunicato al cliente tramite e.mail insieme alla data di spedizione. La spedizione potrà essere tracciata anche chiamando il numero di GLS 02 98035556.
Il prodotto è consegnato entro i 30 giorni successivi dal momento in cui il cliente ha ricevuto la conferma d’ordine. Nel caso in cui ci sia inadempienza da parte del venditore, dovuta ad indisponibilità anche temporanea del bene richiesto, il cliente ha diritto al rimborso di quanto eventualmente pagato entro 30 giorni.
Impedimenti alla spedizione e alla consegna
La Fondazione Ragghianti non potrà essere ritenuta responsabile per danni derivanti da eventuale ritardo occorso durante il transito.
Nel caso in cui la consegna materiale del prodotto si renda impossibile per cause imputabili al cliente (ad es. in caso di indirizzo errato o inesistente), la Fondazione Ragghianti si riterrà libera di non dar corso alla fornitura, provvedendo altresì a riaccreditare al cliente il prezzo del prodotto.
Disponibilità
La Fondazione Ragghianti si impegna a tenere regolarmente aggiornate le informazioni inerenti la disponibilità dei prodotti in vendita, riservandosi la facoltà di variarle in ogni momento e senza preavviso. Nel caso in cui un prodotto ordinato non fosse disponibile, o fosse erroneamente indicato come tale, sarà inviata al cliente un’apposita comunicazione tramite posta elettronica.
Diritto di recesso
Ai sensi del Decreto Legislativo del 6/09/2005 n. 206 e del Decreto Legislativo del 21 febbraio 2014 n. 21, il cliente ha diritto di recedere dal contratto senza penalità e senza dare alcuna spiegazione, entro quattordici giorni lavorativi dal giorno in cui riceve il prodotto ordinato. Il diritto di recesso non si applica alle persone giuridiche.
Il recesso dovrà essere richiesto dal cliente tramite l’invio di lettera raccomandata con avviso di ricevimento o tramite pec, posta elettronica certificata, all’indirizzo fondazioneragghianti@pcert.postecert.it. La comunicazione potrà essere inviata entro lo stesso termine, anche mediante telegramma, telex, posta elettronica o fax, a condizione che venga confermata mediante lettera raccomandata con avviso di ricevimento o tramite pec, posta elettronica certificata, all’indirizzo fondazioneragghianti@pcert.postecert.it entro le quarantotto ore successive.
Entro lo stesso termine di quattordici giorni lavorativi il cliente è tenuto a rispedire i prodotti integri e nella loro confezione originaria, con la relativa fattura accompagnatoria. La spedizione al mittente dei prodotti è a carico del cliente sotto la propria responsabilità. Entro quattordici giorni lavorativi dalla data di recesso e comunque non prima dell’avvenuto ricevimento dei prodotti, la Fondazione Ragghianti provvederà a rimborsare a mezzo bonifico bancario le somme versate, comprese le spese della prima spedizione. A tal scopo il cliente dovrà comunicare le coordinate bancarie per l’erogazione.
Garanzie
La Fondazione Ragghianti non presta alcuna garanzia e non assume altre responsabilità ed obbligazioni se non quelle espressamente previste nel presente contratto.
La Fondazione Ragghianti garantisce sempre che i prodotti sono conformi alle indicazioni contenute nella scheda. Nel caso in cui il cliente dovesse riscontrare un difetto nei prodotti, deve provvedere a farne denuncia al più presto, e comunque entro due mesi dal riscontro del difetto, mediante l’invio di lettera raccomandata con avviso di ricevimento o mediante, pec, posta elettronica certificata, all’indirizzo fondazioneragghianti@pcert.postecert.it. La garanzia ha validità di due anni dalla data di consegna del prodotto.
Legge applicabile
Tutti i contratti conclusi con il negozio si intendono perfezionati in Italia e sono sottoposti alla legge Italiana. Per i clienti che siano persone giuridiche in caso di controversia è competente il foro di Lucca.
Trattamento dei dati personali
In virtù di quanto disposto dal Regolamento Unione Europea 2016/679, si rinvia all’informativa Privacy Policy che il cliente troverà nella sezione “carrello” del sito della Fondazione Ragghianti. Si precisa che il conferimento dei dati è obbligatorio.
Privacy Policy
Il Titolare del trattamento dei dati
A seguito della consultazione di questo sito possono essere trattati dati relativi a persone identificate o identificabili.
Il Titolare del loro trattamento è la Fondazione che ha sede in Lucca (Toscana – Italia), Via San Micheletto n. 3 CAP 55100
Luogo di trattamento dei dati
I trattamenti connessi ai servizi web di questo sito sono effettuati presso la predetta sede della Fondazione e sono curati esclusivamente da personale incaricato del trattamento, oppure da eventuali incaricati di occasionali operazioni di manutenzione.
Nessun dato derivante dal servizio web viene comunicato o diffuso.
I dati personali forniti dagli utenti che inoltrano richieste di fornitura di servizi o di prodotti sono utilizzati al solo fine di fornire il servizio o la prestazione richiesta e sono comunicati a Terzi nel solo caso in cui ciò sia a tal fine necessario (servizio di spedizione, ecc.).
Specifiche finalità relative ai singoli trattamenti sono individuate in maniera dettagliata nell’offerta di eventuali diversi servizi o prodotti forniti dalla Fondazione. In corrispondenza delle singole offerte, infatti, l’utente troverà specifiche informative sul trattamento dei dati personali ai sensi dell’art. 13 del citato D.Lgs. 196/2003. Tali informative sono comunque ispirate ai principi contenuti nella Privacy Policy della Fondazione.
Tipologia di dati trattati
Dati di navigazione
I sistemi informatici e le procedure software preposte al funzionamento di questo sito web acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet.
Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti.
In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente.
Questi dati sono utilizzati al solo fine di ricavare informazioni statistiche anonime sull’uso del sito e per controllarne il corretto funzionamento e sono cancellati immediatamente dopo l’elaborazione. I dati potrebbero essere utilizzati per l’accertamento di responsabilità in caso di ipotetici reati informatici ai danni del sito: salva questa eventualità, allo stato i dati sui contatti web non persistono per più di …….. (sette)……. giorni.
Dati forniti volontariamente dall’utente
L’invio facoltativo, esplicito e volontario di posta elettronica agli indirizzi indicati su questo sito comporta la successiva acquisizione dell’indirizzo del mittente, necessario per rispondere alle richieste, nonché degli eventuali altri dati personali inseriti nella missiva.
Specifiche informative di sintesi verranno progressivamente riportate o visualizzate nelle pagine del sito predisposte per particolari servizi a richiesta.
La Fondazione invita i propri utenti a non inviare, nelle loro richieste di servizi e di prodotti o nei loro quesiti, nominativi od altri dati personali di Terzi che non siano strettamente necessari; più opportuno appare, invece, l’uso di nomi di fantasia.
Cookies
Per cookie si intende un elemento testuale che viene inserito nel disco fisso di un computer solo in seguito ad autorizzazione. Se si acconsente, il testo viene scaricato in un file di piccole dimensioni.
Il cookies hanno la funzione di snellire l’analisi del traffico su web o di segnalare quando un sito specifico viene visitato; consentono inoltre alle applicazioni web di inviare informazioni a singoli utenti.
Nessun dato personale degli utenti viene in proposito acquisito dal sito.
Non viene fatto uso di cookies per la trasmissione di informazioni di carattere personale, né vengono utilizzati i c.d. cookies persistenti di alcun tipo, ovvero sistemi per il tracciamento degli utenti.
L’uso di c.d. cookies di sessione (che non vengono memorizzati in modo persistente sul computer dell’utente e svaniscono con la chiusura del browser) è strettamente limitato alla trasmissione di identificativi di sessione (costituiti da numeri casuali generati dal server) necessari per consentire l’esplorazione sicura ed efficiente del sito.
I c.d. cookies di sessione utilizzati in questo sito evitano il ricorso ad altre tecniche informatiche potenzialmente pregiudizievoli per la riservatezza della navigazione degli utenti e non consentono l’acquisizione di dati personali identificativi dell’utente.
Facoltatività del conferimento dei dati
A parte quanto specificato per i dati di navigazione, l’utente è libero di fornire i dati personali richiesti per la fornitura del servizio o del prodotto, ovvero quelli indicati eventualmente in occasione di contatti con la Fondazione (solleciti, comunicazioni di vario genere, ecc.)
Il loro mancato conferimento può comportare l’impossibilità di ottenere quanto richiesto.
Per completezza si ricorda che in alcuni casi (non oggetto dell’ordinaria gestione di questo sito) l’Autorità può richiedere notizie e informazioni ai sensi dell’art 157 D.Lgs. 196/2003, ai fini del controllo sul trattamento dei dati personali. In questi casi la risposta è obbligatoria a pena di sanzione amministrativa.
Modalità del trattamento dei dati
I dati personali sono trattati con strumenti automatizzati per il tempo strettamente necessario a conseguire gli scopi per cui sono stati raccolti.
Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.
Diritti degli interessati
I soggetti cui si riferiscono i dati personali hanno il diritto in qualunque momento di ottenere la conferma dell’esistenza o meno dei medesimi dati e di conoscerne il contenuto e l’origine, verificarne l’esattezza o chiederne l’integrazione o l’aggiornamento, oppure la rettificazione (art. 7 D.Lgs. 196/2003).
Ai sensi del medesimo articolo, hanno il diritto di chiedere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, nonché di opporsi in ogni caso, per motivi legittimi, al loro trattamento.
Le richieste relative all’art. 7 D.Lgs. 196/2003 vanno rivolte alla Fondazione.
P3P
La presente informativa è consultabile in forma automatica dai più recenti browser che implementano lostandardP3P (“Platform for Privacy Preferences Project”) proposto dal World Wide Web Consortium(www.w3c.org).
Ogni sforzo verrà fatto per rendere il più possibile interoperabili le funzionalità di questo sito con i meccanismi di controllo automatico della privacy disponibili in alcuni prodotti utilizzati dagli utenti.
Considerando che lo stato di perfezionamento dei meccanismi automatici di controllo non li rende attualmente esenti da errori e disfunzioni, si precisa che il presente documento, pubblicato all’indirizzohttp://www.fondazioneragghianti.it, costituisce la “Privacy Policy” di questo sito che sarà soggetta ad aggiornamenti (restano le varie versioni consultabili al medesimo indirizzo).
Note :
- le informazioni tecniche devono essere validate dal personale con specifiche competenze in materia
- le espressioni sottolineate devono contenere un link
CE – GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI – Raccomandazione relativa ai requisiti minimi per la raccolta di dati on-line nell’Unione Europea adottata il 17 maggio 2001
IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI
istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995 1 ,
visti gli articoli 29 e 30, paragrafo 1, lettera a), e paragrafo 3 di detta direttiva,
visto il regolamento interno, in particolare gli articoli 12 e 14,
ha adottato la presente raccomandazione:
I. Introduzione
1. Nel documento di lavoro intitolato “Tutela della vita privata su Internet — Un approccio integrato dell’EU alla protezione dei dati on-line”, del 21 novembre 2000 2, il Gruppo di lavoro ha evidenziato come sia importante garantire la messa in atto di strumenti adeguati per assicurare che l’utente Internet riceva tutte le informazioni necessarie affinché possa riporre la propria fiducia, con cognizione di causa, sui siti visitati e, se necessario, esercitare determinate scelte conformemente ai propri diritti come previsto dalla normativa europea.
Tale fattore risulta particolarmente importante in considerazione del fatto che l’uso di Internet moltiplica le possibilità di raccolta di dati personali e, conseguentemente, i pericoli per i diritti fondamentali e le libertà degli individui, soprattutto per quel che riguarda la loro vita privata. Nel suo Parere n. 4/2000 del 16 maggio 2000 sul livello di tutela dei dati offerto dai principi dell’”approdo sicuro” (Safe Harbor), il Gruppo di lavoro ha invitato la Commissione a valutare con urgenza l’opportunità di creare un marchio di qualità per i siti Internet, che si basi su criteri comuni che potrebbero essere stabiliti a livello comunitario.
Questa raccomandazione fa seguito ai due documenti sopracitati. Essa intende contribuire all’effettiva ed omogenea applicazione delle disposizioni nazionali adottate in conformità alle direttive 3 sulla tutela dei dati personali fornendo indicazioni concrete sull’attuazione delle norme contenute in tali direttive relativamente alle pratiche più comuni esercitate attraverso Internet. Tali pratiche si verificano soprattutto al momento del “contatto iniziale” tra l’utente Internet ed un sito Web sia nel caso di esclusiva ricerca di informazioni, sia nel caso di esecuzione di operazioni commerciali su base graduale.
Le indicazioni fornite di seguito riguardano in particolar modo la raccolta di dati personali su Internet e si prefiggono di identificare le misure che dovranno essere attuate nei confronti delle persone interessate per garantire la lealtà e la liceità di tali pratiche (applicazione degli articoli 6, 7, 10 e 11 della direttiva 95/46/CE). Tali indicazioni focalizzano in particolare sul come, quando e quali informazioni occorre fornire all’utente individuale, con l’aggiunta di dettagli pratici relativi a diritti ed obblighi risultanti da dette direttive.
Il principale obiettivo di questa raccomandazione consiste dunque nel fornire un concreto valore aggiunto all’attuazione dei principi generali della direttiva. Il Gruppo di lavoro considera la presente raccomandazione come la prima iniziativa per la presentazione a livello europeo dell’insieme “minimo” di obblighi ai quali i responsabili del trattamento (le persone fisiche o giuridiche responsabili del trattamento dati nell’ambito di un sito Web)4 che si occupano di siti Internet in cui vengono richieste informazioni particolareggiate o la specificazione del campo d’azione 5 possano facilmente conformarsi. Certamente questa raccomandazione non esonera i responsabili del trattamento dall’obbligo attualmente vigente di verificare la conformità di tali trattamenti all’intera serie di requisiti e condizioni precisati nel diritto nazionale applicabile per renderlo legittimo, verifica senza la quale tale trattamento non risulta idoneo.
Tale raccomandazione si applica nel caso in cui il responsabile del trattamento abbia sede in uno degli Stati membri dell’Unione europea. In questa circostanza sarà applicato il diritto nazionale dello Stato membro in oggetto al trattamento dei dati personali che avvenga nel contesto delle attività di tale stabilimento. Tale raccomandazione si applica altresì quando il responsabile del trattamento non ha sede nel territorio della Comunità ma ricorre, ai fini del trattamento di dati personali, a strumenti automatizzati o non automatizzati situati nel territorio di uno degli Stati membri dell’UE. Tale trattamento è contemplato dalla legislazione nazionale dello Stato membro in cui si trovano i supporti tecnici o le risorse 6 .
2. La raccomandazione, per poter conseguire tale obiettivo, è rivolta particolarmente:
– ai responsabili del trattamento che raccolgono dati on-line, dotandoli di una guida pratica che elenchi l’insieme minimo delle misure concrete da attuare;
– ai singoli utenti Internet affinché siano informati a riguardo e affinché possano esercitare i propri diritti;
– alle istituzioni desiderose di assegnare un’etichetta certificante la conformità delle procedure di trattamento impiegate alle direttive europee sulla protezione dei dati, dotandole di criteri di riferimento per l’assegnazione di tale etichetta riguardo alle informazioni da apporre e alla raccolta di dati personali. È ovvio che, al momento dell’assegnazione dell’etichetta, occorrerà tener conto di separati criteri concernenti altri obblighi e diritti oltre ai suddetti criteri di riferimento. Il Gruppo di lavoro pubblicherà successivamente un esauriente documento relativo a detta problematica;
– alle autorità europee responsabili della protezione dei dati per poterle dotare di un quadro di riferimento comune per il loro compito di verifica della conformità alle disposizioni nazionali adottate dagli Stati membri, conformemente alle direttive sopracitate;
3. Il Gruppo di lavoro è inoltre del parere che tale raccomandazione dovrebbe servire da riferimento per la definizione dei criteri per software e hardware preposti alla raccolta e al trattamento di dati personali su Internet.
II. Raccomandazioni sulle informazioni da fornire in caso di raccolta di dati nel territorio degli Stati membri dell’Unione europea.
2.1. Informazioni da fornire alla persona interessata e tempi da rispettare.
4. Qualsiasi raccolta di dati personali individuali ottenuta attraverso un sito Web richiede l’anticipata fornitura di determinate informazioni. In termini di contenuto la conformità a tale obbligo rende necessario:
5. menzionare l’identità, l’indirizzo fisico e quello elettronico del responsabile del trattamento e, ove possibile, quello dell’eventuale rappresentante in forza all’articolo 4.2 della direttiva;
6. menzionare chiaramente la/le finalità del trattamento con il quale il responsabile raccoglie dati attraverso un sito Web. Ad esempio, nel caso in cui tali dati vengano raccolti per stipulare un contratto (abbonamento ad Internet, ordine di prodotti, ecc.) ed anche per la commercializzazione diretta, occorre che il responsabile specifichi chiaramente le due finalità in questione;
7. menzionare chiaramente il carattere obbligatorio o facoltativo delle informazioni richieste. Le informazioni obbligatorie sono quelle indispensabili all’espletamento del servizio richiesto. Ad esempio, è possibile evidenziare il carattere obbligatorio o facoltativo apponendo un asterisco all’informazione di carattere obbligatorio oppure, in alternativa, è possibile scrivere “facoltativo” accanto all’informazione non obbligatoria. Il fatto che la persona interessata non fornisca informazioni facoltative non deve tornarle a svantaggio in nessun modo;
8. menzionare l’esistenza di diritti, e delle condizioni per il loro esercizio, in base ai quali l’interessato possa esprimere il proprio consenso o, eventualmente, opporsi al trattamento di dati personali 7 . È necessario parimenti fornire indicazioni sulle modalità di accesso, di rettifica o di cancellazione di tali dati o informazioni, sia riguardo la persona o il servizio al quale occorre rivolgersi per l’esercizio di tali diritti, che relativamente alla possibilità di esercitarli on-line e all’indirizzo fisico del responsabile;
9. elencare i destinatari o le categorie di destinatari delle informazioni raccolte. Al momento della raccolta di dati i siti Internet dovrebbero specificare se i dati raccolti saranno comunicati o resi disponibili a terzi — tra cui, in particolare, partner commerciali, imprese figlie, ecc. — e le relative motivazioni (con finalità diverse dalla fornitura del servizio richiesto e per la commercializzazione diretta 8 ).
In questi casi è fondamentale che gli utenti Internet dispongano di un’effettiva possibilità di opporsi on-line a detta comunicazione cliccando su di una casella di spunta ed esprimendo così il proprio favore alla comunicazione dei dati con finalità diverse dalla fornitura del servizio richiesto. Dal momento che il diritto di opporsi può essere esercitato in qualunque momento, occorre menzionare anche nelle informazioni fornite alla persona interessata la possibilità di esercitare tale diritto on-line. Il Gruppo di lavoro, consapevole degli svantaggi recati dal sovraccarico di informazioni negli schermi, è del parere che, se non appaiono nomi di destinatari, il responsabile del trattamento si impegna a non comunicare le informazioni raccolte a terzi i cui nomi ed indirizzi non siano stati forniti (a meno che la loro identità sia ovvia), garantisce che la comunicazione dei dati sia necessaria all’espletamento del servizio richiesto dall’utente Internet e che tale comunicazione sia effettuata esclusivamente con quella finalità.
10. Nel caso in cui sia previsto che il responsabile del trattamento trasmetta i dati a paesi esterni all’Unione europea, specificare se tali paesi garantiscono una protezione adeguata degli individui riguardo al trattamento dei loro dati personali, in forza dell’articolo 25 della direttiva 95/46/CE. In questo caso è necessario fornire informazioni specifiche a proposito dell’identità e dell’indirizzo dei destinatari (indirizzo fisico e/o elettronico)9;
11. fornire nome ed indirizzo (indirizzo fisico e/o elettronico) del servizio o della persona incaricata di rispondere ad eventuali quesiti riguardanti la protezione di dati personali;
12. menzionare chiaramente l’esistenza di procedure di raccolta automatica di dati prima di utilizzare simili metodi per detta raccolta 10.
Nel caso di un ricorso a tali procedure è necessario che la persona interessata riceva le informazioni contenute in questo documento. Detta persona dovrà inoltre essere informata circa il nome del dominio dal quale il server del sito trasmette le procedure di raccolta automatica, le finalità di dette procedure, il loro periodo di validità, l’eventualità in cui l’accettazione di tali procedure sia necessaria per visitare il sito e le possibili conseguenze di una loro disattivazione. Se vi sono altri responsabili del trattamento coinvolti nella raccolta dei dati personali occorre che la persona interessata riceva tutte le informazioni riguardanti l’identità del responsabile e le finalità del trattamento relativamente a ciascun responsabile di detto trattamento.
È necessario comunicare la possibilità di opporsi alla raccolta prima di ricorrere a qualsiasi procedura automatica che provochi la connessione di un utente PC ad un altro sito Web. Es. allo scopo di evitare che un secondo sito possa raccogliere dati ad insaputa di in utente Internet nel caso in cui questo venga automaticamente connesso da un sito Web ad un altro per visualizzare pubblicità sotto forma di banner.
Ad esempio, se un cookie viene collocato dal server del responsabile del trattamento è necessario comunicare detta informazione prima che venga spedito all’hard disk dell’utente Internet, in aggiunta alle informazioni fornite grazie alla tecnologia esistente che si limita a specificare il nome del sito di trasmissione ed il periodo di validità di detto cookie 11 .
13. Indicare le misure di sicurezza a garanzia dell’autenticità del sito, del grado di completezza e riservatezza delle informazioni trasmesse nella detta rete in applicazione della legislazione nazionale applicabile.12
14. Fornire le informazioni in tutte le lingue usate nel sito Web e, specialmente, in quei passaggi ove avviene la raccolta dei dati personali.
15. Che i responsabili del trattamento verifichino la coerenza delle informazioni contenute nei vari documenti destinati al sito (le sezioni “dati personali e protezione della vita privata”, i moduli elettronici, testi relativi alle condizioni generali di vendita e ad altre comunicazioni commerciali).
2.2. Modalità di presentazione delle informazioni
16. Il Gruppo di lavoro ritiene che le seguenti informazioni debbano apparire direttamente sullo schermo prima che avvenga la raccolta, così da assicurare un giusto trattamento dei dati.
Dette informazioni riguardano:
– l’identità del responsabile del trattamento;
– la/le finalità;
– la natura obbligatoria o facoltativa delle informazioni richieste;
– i destinatari o le categorie di destinatari dei dati raccolti;
– l’esistenza del diritto di accesso e di rettifica;
– l’esistenza del diritto di opporsi a qualsiasi comunicazione dei dati a terzi con finalità diverse dalla fornitura del servizio richiesto e le modalità per esercitare tale diritto (ad esempio fornendo la possibilità di cliccare su una casella di spunta)
– le informazioni da fornire in caso di utilizzo di procedure di raccolta automatica;
– il livello di sicurezza nel corso di tutte le fasi del trattamento compresa la trasmissione, ad esempio sulle reti.
In tali situazioni le informazioni devono essere fornite interattivamente e devono apparire sullo schermo. Così, nel caso di metodi automatici di raccolta dati, dette informazioni possono essere fornite, se necessarie, tramite la tecnica delle finestre pop-up.
A proposito del livello di sicurezza nel corso della trasmissione dei dati dall’apparecchiatura occorre visualizzare un’intestazione del tipo “Stai accedendo ad una connessione protetta” oppure le procedure di informazione automatica presenti nei browser, come la comparsa di icone specifiche sotto forma di chiave o di lucchetto.
17. Il Gruppo di lavoro ritiene inoltre che sia necessario poter accedere ad informazioni esaustive riguardo alla politica di tutela della sfera privata (comprese le modalità per l’esercizio del diritto d’accesso) direttamente dalla pagina d’entrata del sito e ovunque vengano raccolti dati personali on-line. Il titolo dell’intestazione su cui cliccare deve essere sufficientemente messo in risalto, chiaro e preciso in modo da consentire all’utente Internet di crearsi un’idea chiara del contenuto al quale sta per accedere. Ad esempio, l’intestazione potrebbe asserire “Stiamo raccogliendo e trattando dati personali che La riguardano. Per ulteriori informazioni clicchi qui” oppure “Dati personali o tutela della sfera privata”. Il contenuto delle informazioni alle quali l’utente Internet è indirizzato deve altresì essere sufficientemente preciso.
III. Raccomandazioni per il perfezionamento degli altri diritti e doveri
Il Gruppo di lavoro desidera inoltre attirare l’attenzione dei destinatari della presente Raccomandazione su altri diritti dell’individuo ed obblighi dei responsabili del trattamento basati su direttive di particolare attinenza nell’ambito della raccolta di dati personali su siti Web. Il Gruppo di lavoro ritiene che le raccomandazioni seguenti, così come le indicazioni sulle informazioni, abbiano un’utilità pratica immediata sia per i responsabili del trattamento che per gli utenti Internet.
18. Raccogliere esclusivamente i dati necessari per il conseguimento dello scopo prefisso;
19. garantire che i dati siano trattati esclusivamente nelle suddette legittime modalità, conformemente ad uno dei criteri elencati nell’articolo 7 della direttiva 95/46/CE;
20. garantire l’effettivo esercizio del diritto di accesso e di rettifica; l’esercizio di tali diritti dovrebbe essere possibile sia all’indirizzo fisico del responsabile del trattamento che on-line. È necessario predisporre particolari misure di sicurezza affinché esclusivamente la persona interessata abbia accesso on-line alle informazioni che la riguardano;
21. conformarsi al principio della “finalità” o “scopo” in base al quale occorre far uso di dati personali solo se necessario e per finalità determinate. In altri termini, in assenza di un motivo legittimo, non è possibile fare uso di dati personali ed è necessario mantenere l’anonimato degli individui (articolo 6, paragrafo 1, punto b) della direttiva 95/46/CE). Detto principio è altresì denominato “principio di minimizzazione”.
22. Fornire ed incoraggiare la consultazione in modalità anonima di siti commerciali, nello stesso ambito descritto nel punto 21, senza richieste di identificazione degli utenti per cognome, nome, indirizzo di posta elettronica o altri dati identificativi.
Qualora sia necessario un collegamento ad una persona senza completa identificazione della stessa è bene suggerire ed accogliere l’uso di pseudonimi di qualsivoglia natura.
Ove non sussistano necessità di identificazione legale occorre incoraggiare ed accogliere l’uso di pseudonimi, anche nel caso di determinate operazioni. Un esempio è dato dall’uso di certificati pseudonimi per le firme elettroniche (cfr. articolo 8 della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche).
23. Stabilire un periodo di conservazione per i dati raccolti. È possibile conservare detti dati esclusivamente per il tempo necessario allo scopo del trattamento indicato e perseguito (articolo 6 della direttiva 95/46/CE e articolo 6 della direttiva 97/66/CE).
24. Adottare gli accorgimenti necessari per garantire la sicurezza dei dati nel corso del loro trattamento e della loro trasmissione (ad esempio limitare e determinare il numero delle persone che hanno accesso ai dati, far uso di trasmissioni cifrate, ecc.; articolo 17 della direttiva 95/46/CE).
25. Se è coinvolto un responsabile per l’elaborazione, ad esempio per ospitare un sito Web, stipulare un contratto che gli imponga di attuare appropriate misure di sicurezza in conformità anche della normativa dello Stato membro in cui si trova il responsabile per l’elaborazione, nonché effettuare il trattamento dei dati personali attenendosi esclusivamente alle indicazioni del responsabile di detto trattamento.
26. A seconda dei casi e in forza della legge nazionale, procedere alla notificazione dell’autorità di controllo (se il responsabile dell’elaborazione del sito si trova nell’Unione europea o se lo stesso dispone di un rappresentante nell’Unione europea). Il numero di registrazione di detta notifica può essere indicato all’interno del sito, in modo vantaggioso, al di sotto dell’intestazione destinata alla protezione dei dati.
27. Se vengono trasferite informazioni ad un paese terzo in cui non è garantito un adeguato livello di protezione è necessario assicurare che il trasferimento dei dati avvenga esclusivamente se lo stesso è in linea con le deroghe all’articolo 26 della direttiva 95/46/CE. In questi casi occorre informare le persone delle adeguate garanzie fornite affinché il trasferimento risulti lecito.
IV. Raccolta di indirizzi per la commercializzazione diretta tramite posta elettronica e per la spedizione di newsletter
28. Per ciò che concerne la commercializzazione diretta per posta elettronica:
– il Gruppo di lavoro ripropone il proprio parere secondo il quale gli indirizzi di posta elettronica reperiti nelle aree pubbliche di Internet all’insaputa delle persone interessate, ad esempio nei gruppi di discussione, non sono stati raccolti lecitamente. Tali indirizzi non possono perciò essere utilizzati con finalità diverse da quelle per le quali sono stati originariamente resi pubblici; in particolar modo non possono essere utilizzati per la commercializzazione diretta 13
– fare uso di indirizzi di posta elettronica per la commercializzazione diretta a condizione che questi siano stati raccolti lealmente e legalmente. Affinché la raccolta sia leale e legale è necessario che le persone interessate siano state informate della possibilità dell’uso di tali dati per la commercializzazione diretta e che dette persone abbiano potuto acconsentire a tale uso direttamente al momento della raccolta (cliccando su una casella di spunta)14 . L’invio di posta elettronica a scopo promozionale deve altresì prevedere la possibilità di esercitare il recesso on-line dall’elenco di indirizzi impiegato 15 .
29. Per ciò che concerne la spedizione di newsletter:
– Procurarsi il previo consenso delle persone interessate e garantire la possibilità di un loro recesso da tali spedizioni in qualsiasi momento; occorrerà pertanto informare dette persone riguardo a questa possibilità ogniqualvolta viene spedita una newsletter.
Il gruppo di lavoro invita il Consiglio d’Europa, la Commissione europea, il Parlamento europeo e gli Stati membri a tener conto della presente raccomandazione.
Il gruppo si riserva la facoltà di formulare ulteriori osservazioni.
Fatto a Bruxelles, 21 maggio 2001
Per il gruppo
Il Presidente
Stefano RODOTÀ
NOTE
1 Gazzetta ufficiale L 281 del 23/11/1995, pag. 31, disponibile su:
http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm
2 WP 37 (5063/00): documento di lavoro – Tutela della vita privata su Internet — Un approccio integrato dell’EU alla protezione dei dati on-line. Adottato il 21 novembre 2000. Disponibile su:
http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/wp37en.htm
3 Direttiva 95/46/CE del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e direttiva 97/66/CE del 15 dicembre 1997 sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni. Disponibili su:
http://europa.eu.int/comm/inernal_market/en/media/dataprot/law.htm
4 A titolo di riferimento, l’articolo 2 della direttiva 95/46/CE definisce il responsabile del trattamento come “la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da disposizioni legislative o regolamentari nazionali o comunitarie, il responsabile del trattamento o i criteri specifici per la sua designazione possono essere fissati dal diritto nazionale o comunitario”
5 Le raccomandazioni concrete della presente raccomandazione costituiscono i requisiti minimi nel senso che non sono le uniche. In futuro tali raccomandazioni dovrebbero essere integrate da altre relative al trattamento di dati personali ancor più sensibili, come il trattamento riguardante siti sanitari e siti rivolti a bambini o i servizi offerti dai portali. In quanto ad altre specifiche modalità di trattamento, come la divulgazione di dati personali in un sito o la conservazione dei dati sul traffico da parte dei fornitori di servizi Internet e dei fornitori di contenuti e servizi Internet, si rimanda alle raccomandazioni del Gruppo di lavoro contenute nel documento citato nella nota n. 1 e alle altre posizioni del caso assunte dal Gruppo di lavoro, come il WP 25 (5085/99): Raccomandazione 3/99 relativa alla conservazione dei dati sulle comunicazioni da parte dei fornitori di servizi Internet a fini giudiziari. Approvata il 7 settembre 1999. WP 18 (5005/99): Raccomandazione 2/99 relativa al rispetto della vita privata nel contesto dell’intercettazione delle telecomunicazioni. Approvata il 3 maggio 1999. WP 17 (5093/98): Raccomandazione 1/99 sul trattamento invisibile ed automatico dei dati personali su Internet effettuato da software ed hardware. Approvata il 23 febbraio 1999. Tutto disponibile su: cfr. nota n. 1.
6 Cfr. articolo 4, paragrafo 1, punti a) e c) della direttiva 95/46/CE. È necessario mantenere nettamente distinto tale aspetto dalla questione del trasferimento legale di dati personali dall’UE ad un paese terzo. Tale problematica è trattata dagli articoli 25 e 26 della direttiva 95/46/CE e dalle connesse decisioni della Commissione europea relative all’adeguatezza della tutela nei paesi terzi. Ad esempio, se un sito Web americano fa uso di strumenti situati all’interno dell’UE per la raccolta ed il trattamento di dati personali sarà applicata alle operazioni di raccolta e di trattamento la legislazione dello stato europeo in questione, a prescindere dall’adeguatezza del livello di protezione fornito da tale compagnia e conformemente alla decisione della Commissione europea relativa all’approdo sicuro. Tale problematica relativa all’adesione o meno dello Stato destinatario di dati all’approdo sicuro sarà pertinente esclusivamente in merito alla liceità delle successive cessioni di dati personali dalla compagnia con sede all’interno dell’UE a quell’altra.
7 Il trattamento a finalità specifiche è consentito solo se motivato da una delle considerazioni elencate nell’articolo 7 della direttiva 95/46/CE (tra l’altro nei casi in cui la persona interessata abbia fornito esplicitamente il proprio consenso, in cui il trattamento risulti indispensabile per l’esecuzione del contratto con la persona interessata, in cui il trattamento risulti indispensabile per adempiere ad un obbligo legale del responsabile del trattamento e in cui tale trattamento risulti indispensabile per il perseguimento dell’interesse legittimo del responsabile oppure di quello di terzi che hanno fatto uso di tali dati, a meno che l’interesse della persona in oggetto non risulti prevalente).
Il diritto ad opporsi (cfr. articolo 14) è fissato dagli Stati membri in almeno due situazioni di cui all’articolo 7, inclusa l’ultima menzionata sopracitata. L’individuo ha il diritto, salvo disposizione contraria prevista dalla normativa nazionale, di opporsi in qualsiasi momento per motivi preminenti e legittimi, derivanti dalla sua situazione particolare, al trattamento di dati che lo riguardano. Il diritto di opporsi su richiesta e gratuitamente sussiste in ogni caso quando il trattamento in oggetto è finalizzato alla commercializzazione diretta. La persona interessata può inoltre opporsi gratuitamente (una volta informata ed a partire dalla prima comunicazione) alla comunicazione di dati personali a terzi o al loro utilizzo per conto di terzi per la commercializzazione diretta.
8 La comunicazione a terzi è consentita solo nel caso in cui la finalità prevista non sia incompatibile con quella per la quale i dati sono stati raccolti e se motivata da una delle considerazioni elencate nell’articolo 7, condizioni che rendono legittimo il trattamento.
9 Informazioni riguardo l’adeguatezza delle decisioni sono disponibili sul sito Web della Commissione al seguente indirizzo: http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm
10 Il trattamento “invisibile” ed automatico dei dati personali è soggetto alle medesime modalità, condizioni e garanzie delle altre tipologie di trattamento di dati personali. Cfr. Raccomandazione 1/99 del Gruppo di lavoro sul trattamento invisibile ed automatico dei dati personali su Internet effettuato da software e hardware (23 febbraio 1999), disponibile sul sito Web citato nella nota n. 1
11 Se il cookie è collocato da un’organizzazione attraverso il proprio sito Web e soltanto questa è in grado di accedere al contenuto di detto cookie non occorre fornire informazioni aggiuntive riguardo l’organizzazione responsabile del collocamento del cookie, purché l’organizzazione che ospita tale sito Web sia già stata adeguatamente identificata.
12 Cfr. le norme specifiche dell’articolo 17, paragrafi 1 e 3 secondo trattino della direttiva 95/46/CE.
13 Cfr. WP 28 (5007/00): “Parere 1/2000 su alcuni aspetti del commercio elettronico relativi alla protezione dei dati personali”, approvato il 3.2.2000, WP 29 (5009/00): “Parere 2/2000 concernente la revisione generale del quadro giuridico delle telecomunicazioni”, approvato il 3.2.2000, e, specialmente, riguardo l’applicazione degli articoli 6 e 7 della direttiva 95/46/CE, WP 36 (5042/00): “Parere 7/2000 sulla proposta della Commissione europea di direttiva del Parlamento europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche del 12 luglio 2000 (COM(2000)385)”, approvato il 2.11.2000 e WP 37 (5063/00): “Documento di lavoro: Tutela della vita privata su Internet, un approccio integrato dell’UE alla protezione dei dati on-line”, approvato il 21.11.2000.
14 All’interno dell’Unione europea cinque Stati membri (Germania, Austria, Italia, Finlandia e Danimarca) hanno adottato misure intese a vietare le comunicazioni commerciali non sollecitate. In altri Stati membri esiste un sistema di possibilità di recesso oppure permane una situazione poco chiara. È bene notare che la proposta di direttiva della Commissione relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (COM(2000) 385) del 12 luglio 2000 è in favore di una soluzione armonizzata basata sulla possibilità di adesione; tale approccio è stato unanimemente sostenuto dal Gruppo di lavoro nel Parere 7/2000 (WP 36 sopracitato). Si veda inoltre lo studio di S. Gauthronet e di E. Drouard (ARETE) per la Commissione, “Messaggi pubblicitari indesiderati e protezione dei dati personali”, gennaio 2001,
http://europa.eu.int/comm/internal_market/en/media/dataprot/studies/spamsumit.pdf
15 La direttiva sul commercio elettronico stabilisce ulteriori requisiti relativi alle comunicazioni commerciali non sollecitate in quei casi in cui è consentita la possibilità di recesso conformemente alla direttiva 97/66/EC.