I dati personali non saranno in alcun caso venduti o ceduti a terzi per utilizzi propri di questi ultimi. Tuttavia, per erogare i nostri servizi e organizzare l’evento, alcuni soggetti terzi potrebbero avere accesso ai dati o riceverli in comunicazione, in qualità di Responsabili del trattamento (quando agiscono per nostro conto) oppure – in casi particolari – come Contitolari o Titolari autonomi (quando determinano autonomamente finalità e mezzi del trattamento, ad es. altre organizzazioni partner). Di seguito elenchiamo le principali categorie di destinatari:

-Fornitori di servizi IT e hosting: società che ci forniscono servizi tecnologici per il sito web e la gestione dei dati (ad es. servizio di hosting del sito web, servizio di cloud storage, servizi di manutenzione software). Queste entità possono avere accesso ai dati memorizzati sui nostri server per finalità di assistenza tecnica e sono vincolate da accordi di riservatezza e conformità al GDPR.

-Piattaforme terze per l’organizzazione eventi: come anticipato, per la gestione delle registrazioni e dei biglietti utilizziamo piattaforme esterne (es. Eventbrite o simili). Tali piattaforme raccolgono i dati necessari all’acquisto del biglietto e li mettono a disposizione dell’organizzatore dell’evento (noi) per le finalità descritte. La piattaforma esterna agirà tipicamente come Responsabile esterno del trattamento per conto nostro, limitatamente alla gestione tecnica della vendita biglietti. Consigliamo comunque di consultare anche la privacy policy del fornitore di ticketing quando fornisci i tuoi dati su quella piattaforma, poiché potrebbe trattare alcuni dati ulteriormente in qualità di Titolare autonomo (ad esempio per fini statistici sulla propria attività). Lo stesso vale se dovessimo utilizzare altre piattaforme di vendita o prenotazione: ti informeremo adeguatamente e ti inviteremo a prendere visione delle rispettive informative privacy.

-Servizi di pagamento: se i biglietti o le donazioni vengono gestiti tramite servizi di pagamento terzi (es. PayPal, circuiti di carte di credito, provider bancari), i tuoi dati potrebbero essere comunicati a tali enti finanziari limitatamente alle operazioni di pagamento e verifica antifrode. Queste terze parti operano come titolari autonomi (fornendoti la loro informativa privacy al momento del pagamento) oppure come responsabili se agiscono su nostre istruzioni. In ogni caso, trasmettiamo solo i dati necessari a completare la transazione.

-Provider per invio newsletter ed email: per le comunicazioni via email potremmo avvalerci di fornitori specializzati (ad es. servizi tipo MailChimp, SendinBlue o analoghi). Questi provider trattano le liste di indirizzi e i contenuti delle newsletter esclusivamente per nostro conto e su nostre istruzioni, al fine di gestire tecnicamente l’invio multiplo di email. Sono nominati Responsabili del trattamento e non utilizzano i dati degli iscritti per proprie finalità.

-Piattaforme per moduli e raccolta dati: è possibile che alcuni form (ad es. modulo volontari) siano implementati tramite servizi terzi (ad esempio Google Forms, JotForm o piattaforme di recruiting volontari). In tal caso, i dati da te inseriti transitano e sono conservati temporaneamente su server di questi fornitori, che agiscono come Responsabili per nostro conto. Provvederemo a trasferire tali dati nei nostri sistemi appena possibile e a cancellarli dalla piattaforma esterna, se applicabile. Anche per questi servizi, ti invitiamo a consultare le rispettive privacy policy, se disponibile, per maggior trasparenza.

-Partner, sponsor e co-organizzatori: nell’ambito di TEDxCassino potrebbero esserci partner o enti sponsor che co-organizzano l’evento o supportano specifiche iniziative (es. università, associazioni, enti locali). Di regola, i dati personali raccolti tramite il nostro sito non vengono comunicati agli sponsor o partner senza il tuo esplicito consenso. Qualora in casi particolari intendessimo condividere nominativi o recapiti (ad esempio per opportunità offerte dagli sponsor ai partecipanti), ciò ti verrà comunicato e ti sarà richiesto consenso specifico. In assenza di tale consenso, i partner riceveranno soltanto informazioni aggregate (es. numero di partecipanti, statistiche anonime). Per quanto riguarda eventuali soggetti co-organizzatori (es. se TEDxCassino è realizzato in collaborazione con un’associazione locale), questi potrebbero agire come Contitolari del trattamento per i dati connessi all’evento; in tal caso verranno indicati con i relativi riferimenti in un’informativa congiunta.

-Consulenti e professionisti: potremmo condividere alcuni dati con consulenti esterni (es. commercialista, consulente legale) per finalità amministrative, contabili o legali. Ad esempio, i dati di fatturazione potrebbero essere comunicati al nostro commercialista
per la tenuta della contabilità. Tali soggetti sono tenuti al segreto professionale e, se trattano dati su nostra richiesta, vengono nominati Responsabili del trattamento.

-Autorità ed enti pubblici: su richiesta legale valida, o per obbligo di legge, potremmo dover comunicare dati personali ad autorità governative, giudiziarie o di polizia. Ad esempio, in caso di controlli di sicurezza all’evento potremmo dover fornire liste partecipanti alle Forze dell’Ordine, oppure trasmettere dati al Garante Privacy a seguito di un tuo reclamo. Ogni comunicazione di questo tipo avverrà solo nei limiti di quanto richiesto dalla normativa applicabile. L’elenco completo e aggiornato dei soggetti terzi a cui possiamo comunicare i dati può essere richiesto in qualsiasi momento al Titolare (vedi sezione Contatti). Tutti i terzi destinatari sono vincolati al rispetto delle normative privacy vigenti e, ove agiscano come nostri Responsabili, abbiamo formalizzato con loro appositi contratti ai sensi dell’art. 28 GDPR per garantire un adeguato livello di protezione dei dati. Trasferimento di dati verso Paesi extra-UE. Alcuni dei terzi elencati (es. fornitori di servizi cloud, mailing, o piattaforme come Eventbrite, Google, MailChimp) hanno sede o comunque
trattano dati al di fuori dello Spazio Economico Europeo, in particolare negli Stati Uniti. Quando si verifica un trasferimento di dati personali verso paesi terzi (cioè fuori dall’UE/SEE) adottiamo tutte le garanzie appropriate previste dal GDPR per proteggere i tuoi dati. In particolare, il trasferimento avviene solo:

-Verso paesi che godono di una decisione di adeguatezza della Commissione Europea, che garantisce un livello di protezione dei dati equivalente a quello europeo;

-Verso entità che abbiano sottoscritto con noi Clausole Contrattuali Standard (Standard Contractual Clauses – SCC) approvate dalla Commissione Europea, impegnandosi a rispettare standard di sicurezza e protezione conformi al GDPR;

-Verso organizzazioni che abbiano adottato altri strumenti di trasferimento ammessi dal Capo V del GDPR (es: certificazioni internazionali come il EU-U.S. Data Privacy Framework se e quando applicabile). Ad esempio, Eventbrite Inc. (USA) è certificata secondo il Data Privacy Framework USA-UE, e in aggiunta ha sottoscritto SCC nel suo Data Processing Addendum; Google si basa su
SCC per i prodotti come Analytics; MailChimp (The Rocket Science Group LLC, USA) adotta SCC per il trasferimento dei dati degli iscritti alle newsletter, ecc. In ogni caso, vigiliamo affinché ogni trasferimento rispetti i requisiti degli artt. 44-49 GDPR. Se nonostante le garanzie adottate venisse richiesto ai fornitori esteri di divulgare dati personali alle autorità locali (ad es. per esigenze di sicurezza nazionale), ci assicureremo che tale richiesta avvenga nei limiti della legge applicabile e, se possibile, informeremo gli interessati.
Puoi richiedere maggiori informazioni sulle specifiche misure di sicurezza per i trasferimenti extra-UE (ad esempio copia delle SCC sottoscritte) contattandoci agli indirizzi indicati.