Informativa trattamento dati del sito web istituzionale, dei servizi digitali e dell’area personale del cittadino

In particolare, l’informativa si riferisce a tutte le applicazioni rese disponibili attraverso i seguenti domini:

• sito web istituzionale: www.comune.villedifiemme.tn.it
• area personale: www.servizi.comune.villedifiemme.tn.it 

Le presenti informazioni non riguardano altri siti, pagine o servizi online raggiungibili tramite link ipertestuali eventualmente pubblicati all’interno del sito istituzionale e riferiti a risorse esterne ai domini sopra indicati.

L'informativa è resa ai sensi dell'art. 13 del Regolamento UE n. 2016/679 e del D.lgs. n.196/2003.

1. Titolare del trattamento dei dati

Il titolare del trattamento dei dati personali è il Comune di Ville di Fiemme con sede a Ville di Fiemme (TN) in Piazza Alcide De Gasperi n°1.

2. Responsabile della protezione dei dati

Responsabile della protezione dei dati è il Consorzio dei Comuni Trentini con sede a Trento in via Torre Verde, 23 (e-mail servizioRPD@comunitrentini.it, sito web www.comunitrentini.it).

3. Contatti per richieste di modifica o rimozione dati

Le richieste per la cancellazione o la modifica dei dati personali, di cui agli artt. 15 e seguenti del Regolamento UE 2016/679 e all'art. 7 del Codice comma 1 e comma 2, devono essere presentate al Comune di Ville di Fiemme scrivendo alla seguente e-mail: info@comune.villedifiemme.tn.it ; tali richieste verranno trattate attraverso le modalità di seguito descritte.

4. Luogo del trattamento dei dati

I trattamenti connessi ai servizi web sopra citati hanno luogo presso la predetta sede dell'Ente e sono curati solo da personale tecnico incaricato del trattamento, oppure da eventuali incaricati di occasionali operazioni di manutenzione. Nessun dato derivante dal servizio web viene comunicato o diffuso, salvo nei casi espressamente previsti dalla legge. I dati personali forniti dagli utenti sono utilizzati al solo fine di eseguire il servizio o la prestazione richiesta ed espressa nelle finalità del trattamento e sono comunicati a terzi nel solo caso in cui ciò sia a tal fine necessario.

5. Natura delle applicazioni

La piattaforma OpenCity è costituita da due software denominati rispettivamente “OpenCity Italia - Sito web - versione 3” e “OpenCity Italia - Area personale e servizi digitali - versione 2”. Il primo permette ad un Ente di pubblicare un sito web sul dominio principale dall’Ente; il secondo permette a un Ente di mettere a disposizione degli utenti un’area personale utente e uno o più servizi pubblici digitali che a seconda dei casi permettono all’utente di ottenere di accedere ai suddetti servizi per ottenere un beneficio, esercitare un diritto, assolvere a un obbligo verso l’Ente. OpenCity Italia viene fornita come servizio applicazione SaaS qualificata AgID/ACN e fornita al Comune attraverso il servizio Comunweb da parte del Consorzio dei Comuni Trentini.

Il sistema informatico Opencity Italia, nel corso del suo normale esercizio, acquisisce alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet. In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer e dei terminali utilizzati dagli utenti, gli indirizzi in notazione URI/URL (Uniform Resource Identifier/Locator) delle risorse richieste, l'orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all'ambiente informatico dell'utente. Tali dati, necessari per la fruizione dei servizi web, vengono anche trattati allo scopo di ottenere informazioni sul corretto uso e sulla corretta erogazione dei servizi offerti.

6. Funzionamento di “OpenCity Italia - sito web” e trattamento dei dati  personali

6.1 Modalità di fruizione dei contenuti pubblicati sul sito

L’utente che si collega all’indirizzo web dove l’Ente ha pubblicato la piattaforma trova a disposizione i contenuti pubblicati dall’Ente sul web. I contenuti sono organizzati in tipologie (es. notizie, documenti, eventi) e ciascuna dispone di specifiche caratteristiche. I singoli contenuti sono classificati attraverso categorie e altre modalità di classificazione e possono essere in relazione tra loro attraverso link ipertestuali che consentono all’utente di passare da un contenuto all’altro. La navigazione tra i contenuti è governata da un sistema di navigazione primario (menù del sito) che a sua volta può prevedere voci di secondo livello (“albero dei contenuti”). L’utente può accedere ai contenuti anche utilizzando funzioni di ricerca tra i contenuti. 

I contenuti pubblicati sul sito sono accessibili anche da software (es. motori di ricerca) che possono utilizzare (es. indicizzare) i contenuti presenti sul sito. 

6.2 Trattamento dei dati personali

Se nei contenuti ad accesso pubblico vi sono dati personali l’Ente deve garantire ed è responsabile che gli stessi siano pubblicati in conformità alla normativa in materia di trattamento dei dati personali, con particolare riferimento al rispetto dei principi generali, quali quello di minimizzazione.

Attraverso la piattaforma, l’Ente ha la facoltà di pubblicare, modificare, cancellare i contenuti ad accesso pubblico. L’Ente, in fase di pubblicazione, decide la licenza di pubblicazione del contenuto (privilegiando quelle aperte, come previsto dalle linee guida di design della pubblica amministrazione).

La responsabilità delle modalità di fruizione dei contenuti fa capo agli utenti stessi e deve avvenire nel rispetto della licenza di pubblicazione dei contenuti definita dall’Ente nonché, se del caso, in ossequio alla normativa in materia di riuso dei dati.

6.3 Richieste di cancellazione o rettifica di dati personali

Gli utenti possono inviare all’Ente richieste motivate di cancellazione o rettifica di eventuali dati personali pubblicati sul sito web, rivolgendosi esclusivamente ai contatti riportati nella sezione “Contatti per richieste di modifica o rimozione dati” della presente informativa. In questo caso, dopo aver verificato il sussistere dei motivi di riconoscimento dei diritti dell’interessato, l’Ente provvede alla cancellazione o rettifica attraverso le funzionalità di modifica/cancellazione dei contenuti previste dalla piattaforma. L’intervento può riguardare la modifica di un contenuto esistente o la cancellazione del contenuto di una pagina web. In caso di rimozione di una pagina web del sito, l’indirizzo web corrispondente restituirà l’informazione che il contenuto è stato rimosso e inviterà l’utente a visitare la home page del sito.

6.4 De-indicizzazione

La pubblicazione di un contenuto sul sito web comporta la possibilità che altri siti web e applicazioni, compresi i motori di ricerca, possano indicizzare o copiare il contenuto e a loro volta renderlo disponibile sul web.

Qualsiasi eventuale richiesta di rimozione o de-indicizzazione di questi contenuti deve essere formulata dall’utente finale direttamente all’Ente responsabile del sito web in cui questi contenuti sono pubblicati, rivolgendosi esclusivamente ai contatti riportati nella sezione “Contatti per richieste di modifica o rimozione dati” della presente informativa. 

7. Funzionamento di “OpenCity Italia - area personale e servizi digitali” e modalità di trattamento dei dati personali

7.1 Identificazione dell’utente

L’accesso all’area personale e ai servizi digitali è sottoposto a un processo di identificazione e autenticazione dell’utente. L’identificazione/autenticazione può avvenire attraverso l’utilizzo di strumenti di gestione dell’identità digitale quali SpID (Sistema Pubblico Identità Digitale) e CIE (carta d’identità elettronica). In questo caso l’utente autorizza a trasmettere al sistema i dati indicati nella tabella 1. In alcuni casi, su richiesta dell’Ente, l’invio di una istanza da parte dell’utente (servizio digitale) può avvenire senza l’utilizzo di un sistema pubblico di identificazione. In questi casi l’istanza  è corredata da un set di dati personali inseriti dall’utente stesso (Tabella 1).

Tabella 1  - Qualificazione dell’utente 

7.2 Modalità di utilizzo dei servizi digitali

La piattaforma consente all’Ente di mettere a disposizione degli utenti uno o più servizi digitali, definiti come un insieme di procedure on line attraverso cui un utente interagisce con l’Ente per accedere ad un servizio ottenere un beneficio, esercitare un diritto, assolvere a un obbligo verso l’Ente. L’accesso ai servizi on line avviene attraverso link presenti nella sezione pubblica del sito. Il funzionamento generale di un servizio digitale presente sulla piattaforma può essere descritto come segue.
Nella prima fase l’utente individua sulla piattaforma il servizio cui vuole accedere. Individuato e scelto lo stesso, l’utente prende visione dell’informativa privacy e avvia il processo di creazione di una richiesta, denominata pratica: inserisce le informazioni necessarie alla fruizione del servizio (quali requisiti di accesso, preferenze del servizio e altre informazioni), visualizza il riepilogo delle informazioni inserite e procede all’invio. A seguito dell’invio l’Ente riceve la pratica, la istruisce, ne definisce l’esito e lo comunica all’utente, anche, se del caso, con  allegazione del relativo provvedimento. In alcuni casi il servizio può  prevedere una seconda fase in cui l’utente è chiamato a effettuare un pagamento o a inserire ulteriori dati a completamento della richiesta inviata nella prima fase. L’esecuzione di un servizio comporta il trattamento di diverse tipologie di dati personali, diversi a seconda del servizio. A titolo di esempio: dati anagrafici del richiedente del servizio, dati anagrafici del beneficiario del servizio, dati anagrafici relativi al nucleo familiare del beneficiario, dati relativi al veicolo/i del beneficiario, dati relativi all’immobile/i del beneficiario.

Messaggi del servizio

Successivamente all’invio della pratica l’utente può ricevere - attraverso la piattaforma -  messaggi dall’Ente relativi al servizio e a sua volta - dove previsto - inviarne. In alcuni casi il servizio può essere configurato dall’Ente per prevedere la trasmissione di messaggi anche attraverso il sistema IO (l’app dei servizi pubblici) gestita da PagoPA SPA (Vedi l’informativa privacy dell’app IO). L’Ente, in quanto titolare del trattamento, è tenuto a indicare nella informativa/e privacy i trattamenti effettuati attraverso le piattaforme alle quali i dati vengono trasmessi.

Pagamenti del servizio digitale

In alcuni casi il servizio digitale può essere configurato dall’Ente per prevedere il pagamento da parte dell’utente - attraverso il sistema PagoPA e i servizi dei partner tecnologici PagoPA scelti dall’Ente - di imposte o costi del servizio. In questo caso la piattaforma trasferisce a PagoPA SPA e ai suoi partner tecnologici le informazioni necessarie a determinare l’avviso di pagamento (Fig.1), a consentire il pagamento stesso e a inviare la ricevuta dell’avvenuto pagamento. L’informativa privacy relativa al servizio check out PagoPA è disponibile a questo indirizzo. Inoltre l’ente - in quanto titolare del trattamento - è tenuto a dare visibilità nella/e propria/e informativa privacy dei trattamenti in essere da parte dei partner tecnologici che erogano i servizi di pagamento attraverso l’integrazione con PagoPA.

Trasmissione dati personali ai sistemi dell’Ente

I dati personali raccolti dall’Ente in toto o in parte possono essere trasferiti attraverso procedure automatiche ai sistemi di protocollazione e conservazione sostitutiva dell’Ente (cd. “protocollo”) oppure ad altri software deputati alla gestione di servizi digitali al fine di essere utilizzati quali dati necessari per fornire gli stessi ed assolvere agli obblighi derivanti dai procedimenti amministrativi. 

7.3 Modalità di utilizzo dell’area personale utente

L’area personale utente è l’ambiente - ad accesso riservato - dove vengono conservati i dati personali dell’utente, dove l’utente può visualizzare l’insieme di tutte le pratiche relative ai servizi e relativi dati, le informazioni relative a pagamenti fatti o da effettuare e dove l’utente può visualizzare:  l’insieme dei documenti privati condivisi tra l’Ente e l’utente; l’insieme dei messaggi privati scambiati tra l’Ente e l’utente.

L’accesso all’area personale prevede che l’utente confermi - al primo accesso - la presa visione dell’informativa privacy relativa all’area personale. 

La sezione profilo

L’area personale mette a disposizione una sezione profilo dove l’utente può visualizzare l’insieme di dati personali trattati dalla piattaforma per garantire l’accesso e il funzionamento della piattaforma stessa.

Attraverso l’area personale l’utente può inoltre visualizzare l’insieme dei dati personali trattati dalla piattaforma con la finalità di evitare l’inserimento da parte dell’utente di dati già in possesso dall’amministrazione in ossequio al principio once only.

I dati personali sono acquisiti dall’Ente in occasione dell’invio da parte dell’utente di una o più istanze o dichiarazioni (pratiche) accedendo ai servizi digitali erogati attraverso la piattaforma o altre piattaforme. Essi vengono messi a disposizione dell’utente quando accede ad altri servizi digitali dell’Ente - interni ed esterni alla piattaforma - evitando quindi che l’utente debba nuovamente inserirli.

L’acquisizione dei dati personali fruibili anche per altri servizi digitali avviene di default. 

L’utilizzo dei dati personali dell’utente per altri servizi digitali cui lo stesso accede avviene nel rispetto dei principi di minimizzazione e proporzionalità del trattamento e in attuazione del principio once only.

L’utente ne è informato in modo specifico e puntuale nell’informativa privacy. 

Tabella 2 - Esempi di Dati personali trattati per l’accesso dell’utente e il funzionamento dell’area personale

La sezione pratiche

La sezione pratiche permette all’utente di visionare tutte le pratiche create (compresi moduli di raccolta dati, messaggi, documenti e pagamenti) ovvero l’insieme dei dati trattati dall’Ente per ciascuno dei servizi resi all’utente attraverso la piattaforma o altre piattaforme.

La sezione messaggi

La sezione messaggi consente al cittadino di visualizzare l’insieme dei messaggi ricevuti dall’Ente o inviati dal cittadino all’Ente. I messaggi contengono testo, link ipertestuali, documenti allegati e possono riportare indicazioni relative a scadenze.

La sezione documenti

La sezione documenti mette a disposizione documenti privati del cittadino caricati sulla piattaforma dal cittadino e dall’Ente.

La sezione pagamenti

La sezione pagamenti mette a disposizione documenti di pagamento (avvisi di pagamento), i link necessari per effettuare pagamenti verso la pubblica amministrazione (ad intermediari PagoPA, alle cui privacy policy si rimanda per consultare le informazioni relative ai trattamenti di dati personali) e le ricevute dell’avvenuto pagamento.

7.4 Altre informazioni sul trattamento dei dati personali

Per realizzare le finalità previste dall’Ente, la piattaforma  acquisisce dati personali degli utenti attraverso le seguenti modalità:

• inserimento di dati da parte dell’utente attraverso interfacce utente; 
• inserimento di dati utente attraverso sistemi terzi come il sistema di autenticazione SpID (e/o CIE) effettuato su richiesta dell’utente;
• inserimento di dati da parte dell’Ente attraverso interfacce utente o interfacce applicative (software dell’Ente) che consentono il dialogo con altri sistemi esterni alla piattaforma tra cui banche dati di interesse nazionale cui l’Ente abbia accesso nel rispetto ed in conformità alla normativa in materia di trattamento dei dati personali.

7.5 Base giuridica e finalità del trattamento

La base giuridica del trattamento si rinviene nel combinato disposto dell’art. 6 par. 1 lett. e) e dell’art. 9 del Regolamento europeo 679/2016, degli artt. 2-ter e 2-sexies del D.Lgs. 196/2003 e del D.Lgs. 82/2005 ed in particolare dell’art. 64-bis.

I dati personali presenti nella piattaforma sono trattati nell’ambito delle finalità previste dall’Ente per l’area personale e per ciascuno dei servizi digitali, in ossequio al principio once only.

Il principio once only prevede che l’Ente non richieda all’utente dati personali che lo stesso abbia già a disposizione. Quando possibile, la piattaforma presenta quindi all’utente attraverso l’area personale i suoi dati personali già disponibili evitando di richiedere una nuova compilazione. 
La piattaforma non permette di gestire servizi digitali che abbiano come base giuridica del trattamento la richiesta del consenso.

7.6 Durata del trattamento

La piattaforma mette in atto procedure di trattamento dei dati personali limitate alla durata del periodo di conservazione deciso dall’Ente per i servizi digitali erogati dalla piattaforma, in coerenza con quanto previsto dal relativo procedimento amministrativo, con gli obblighi ed i principi a cui l’Ente deve attenersi (es. principio once only) e con la natura del servizio previsto dall’area personale (che consente al cittadino di visionare le pratiche inviate e le risposte ottenute dall’Ente, nel tempo).

7.7 Richieste di rettifica o di cancellazione di dati personali

Eventuali richieste di rettifica o cancellazione di dati personali inviate all’Ente, titolare del trattamento, dai soggetti interessati devono essere inoltrate ai contatti riportati nella sezione “Contatti per richieste di modifica o rimozione dati” della presente informativa, comprensive della motivazione della richiesta.

Se le richieste sono accolte, il titolare effettua tempestivamente la rettifica/cancellazione (o trasformazione in forma anonima)  dei dati personali, comunque non oltre 10 giorni dalla richiesta inoltrata dal DPO dell’Ente. La rimozione/cancellazione (o trasformazione in forma anonima) dei dati potrà avere effetto sulla corretta esecuzione delle funzionalità e dei servizi disponibili sulla piattaforma.

8. Registro dei trattamenti

Il Titolare del trattamento predispone e mantiene aggiornato il proprio Registro dei trattamenti con riferimento ai servizi digitali. Il Responsabile del trattamento predispone e mantiene aggiornato il registro dei trattamenti svolti per conto degli Enti titolari del trattamento che utilizzano le piattaforme software oggetto della presente informativa. L’estrazione del registro sarà a disposizione a richiesta dell’Ente relativamente ai servizi che lo stesso ha affidato al Responsabile del trattamento.

Il contenuto del registro è disciplinato dall’art. 30 del Regolamento UE 2016/679. 

9. Valutazione d’impatto privacy

Il Titolare con il supporto e l’ausilio del Responsabile del trattamento, effettua una valutazione d’impatto privacy per i trattamenti relativi ai servizi digitali.

Tale valutazione è aggiornata e adeguata periodicamente ed è a disposizione degli utenti.  

10. Soggetti del trattamento

Il Titolare del trattamento è l’Ente che mette a disposizione degli utenti i servizi digitali e la necessaria piattaforma.

Il Responsabile del trattamento, nominato dal Titolare ai sensi dell’art. 28 del Regolamento europeo 679/2016, tratta i dati personali necessari per i servizi e i compiti affidati per conto dello stesso e attua le adeguate misure di sicurezza relative alla piattaforma.

Gli utenti sono gli interessati al trattamento.

11. Cookie e altri strumenti di tracciamento 

Per il suo funzionamento, la piattaforma utilizza cookie e altri strumenti di tracciamento. I cookie sono piccoli file di testo che i siti web visitati inviano al device dell'utente, dove vengono memorizzati per raccogliere informazioni attraverso il browser, per essere poi ritrasmessi agli stessi siti nelle visite successive.
L’utente può sempre manifestare la propria opzione in merito all’uso dei cookie attraverso le impostazioni del browser che sta utilizzando. 

11.1 Cookie tecnici e cookie terze parti

Il funzionamento di base della piattaforma prevede l’esclusivo impiego di cookie tecnici essenziali per il corretto funzionamento della piattaforma stessa. I cookie tecnici utilizzati dalla piattaforma sono riportati nelle tabelle 3 e 4.  

Tabella 3 - Cookie tecnici sito web OpenCity Italia

Tabella 4 - Cookie tecnici area personale e servizi OpenCity Italia

L’attivazione di alcune funzionalità aggiuntive da parte dell’Ente può prevedere l’utilizzo di cookie terze parti o di altri strumenti di tracciamento. In particolare, la piattaforma consente all’Ente di installare funzionalità di web analytics attraverso la piattaforma AgId Web Analytics Italia allo scopo di analizzare il traffico sul sito e ottemperare alle disposizioni della normativa in materia di accessibilità, che prevede la pubblicazione nella sezione Amministrazioni trasparente, di informazioni relative alle statistiche di accesso dei siti web delle Pubbliche Amministrazioni.

11.2 Cookie banner e preferenze

Nei casi in cui siano presenti cookie per i quali è previsto il consenso esplicito da parte dell’utente, la piattaforma permette all’Ente di attivare il cookie banner attraverso cui l’utente può o meno esprimere il consenso. Nel caso in cui il consenso venga negato, l’utente non potrà disporre della funzionalità basate sui cookie di terze parti per cui viene richiesto il consenso. Il consenso può essere chiesto nuovamente all’utente nel caso in cui siano trascorsi almeno 6 mesi dall’ultima espressione di volontà dell’interessato o nel caso in cui siano variate le condizioni per cui viene richiesto il consenso (es. variazione dell’elenco dei cookie). Il consenso precedente espresso dall’interessato viene memorizzato all’interno della piattaforma in modo da poter dimostrare in qualsiasi momento la conformità della stessa. Nelle situazioni in cui è previsto il consenso esplicito (attraverso il cookie banner di cui sopra) l’utente può gestire le proprie preferenze accedendo in qualsiasi momento al link “Personalizza cookie” nel footer della pagina web.

11.3 Cookie e informativa privacy

L’utente ha a disposizione le informazioni relative ai cookie all’interno della informativa privacy pubblicata dall’Ente, all’interno della quale saranno disponibili le informazioni di dettaglio dei singoli cookie e altri strumenti di tracciamento. La piattaforma mette a disposizione una sezione dedicata alla privacy accessibile attraverso il footer del sito. 

12. Infrastruttura e sicurezza

OpenCity Italia è messa a disposizione dell’Ente attraverso una infrastruttura di tipo cloud SaaS. E’ basata su un servizio cloud AWS qualificato ACN. Le modalità di utilizzo della infrastruttura AWS, la gestione degli applicativi OpenCity Italia e le misure di sicurezza adottate sono documentate nelle policy di sicurezza di OpenCity Italia  (che sono nella disponibilità dell’Ente).