Lei sta prendendo visione della presente informativa sul trattamento dei dati personali («Privacy Policy»), in quanto sta visitando un sito internet («Sito») di titolarità di una delle società del Gruppo Novartis (di seguito, «Società»).
La presente Privacy Policy stabilisce le modalità attraverso le quali la Società tratta le informazioni che riguardano Lei e le altre persone fisiche che visitano il Sito («Interessati»): tali informazioni costituiscono «Dati Personali», la cui tutela e riservatezza rappresentano per il Gruppo Novartis un fatto di fondamentale rilevanza.
Novartis Farma S.p.A., con sede in Viale Luigi Sturzo, 43 - 20154 Milano (MI), ai sensi della vigente normativa sulla protezione dei dati personali (la «Normativa Privacy»), avrà la responsabilità giuridica per il trattamento dei Dati Personali e, in particolare, rivestirà la qualità di titolare del trattamento («Titolare»), in quanto stabilirà le finalità e i mezzi con cui vengono trattati i Dati Personali processati durante la navigazione sul Sito.
Ai fini della presente informativa, la Normativa Privacy è costituita dalle seguenti fonti: il Regolamento (UE) n. 679/2016, Regolamento generale sulla protezione dei dati personali (“GDPR”) e il D.lgs. n. 196/2003, Codice in materia di protezione dei dati personali (“Codice Privacy”) e successive modifiche e integrazioni.
La invitiamo a leggere attentamente questa Privacy Policy, che stabilisce su quali basi giuridiche, per quali finalità e con quali mezzi sono trattati i Dati Personali e illustra quali sono i Suoi diritti di Interessato, nonché i doveri e gli obblighi del Titolare del trattamento.
NAVIGANDO SU QUESTO SITO, LEI ESPRIME CONSENSO ALLA RACCOLTA E ALL’UTILIZZO DEI SUOI DATI PERSONALI SECONDO LE CONDIZIONI STABILITE NELLA PRESENTE PRIVACY POLICY.
In ogni caso, i Suoi Dati Personali saranno sempre trattati secondo la Privacy Policy in vigore al tempo della raccolta dei Dati stessi.
Se desidera ricevere ulteriori informazioni in merito al trattamento specifico dei suoi Dati Personali relativi a questo progetto, può contattare il Titolare all’indirizzo email dpo.italy@novartis.com.
Il termine «Dati Personali» indica tutte quelle informazioni che consentono di identificare direttamente o indirettamente una persona fisica e, in particolare, il visitatore del Sito. Formeranno oggetto di trattamento informazioni personali generali: nome e cognome, data di nascita, email, indirizzo di residenza e/o numero di telefono.
Queste informazioni saranno rese accessibili alla Società da lei direttamente (ad esempio, compilando un web form o interagendo all’interno del sito web) oppure ottenute da fonti attendibili disponibili pubblicamente.
La Società tratterà i Dati Personali solo in presenza una valida base giuridica, operando nel rispetto della Normativa Privacy – e, comunque, nell’osservanza di ogni altra normativa, di fonte legislativa e regolamentare, nazionale e internazionale, applicabile alla tutela e alla protezione dei dati personali.
In ogni caso, la Società garantisce il rispetto dei più rigorosi standard di sicurezza dei Dati Personali che siano eventualmente comunicati dall’Interessato.
La Società non tratterà i Suoi Dati Personali se non in quanto e nella misura in cui la Normativa Privacy lo consenta e, comunque, in relazione alle specifiche finalità espressamente stabilite dal Titolare e in virtù delle condizioni di seguito elencate (c.d. basi giuridiche del trattamento):
il trattamento è fondato sul suo previo consenso;
il trattamento è necessario per l’adempimento degli obblighi derivanti alla Società dalla legge o da fonti regolamentari nazionali, del diritto dell’Unione europea o del diritto internazionale;
il trattamento è necessario per perseguire un legittimo interesse della Società, senza comunque ledere in alcuna misura i Suoi interessi, i Suoi diritti o la Sue libertà fondamentali.
Qualora il trattamento dei Suoi Dati Personali avvenisse in virtù della presente base giuridica, la Società opererà e manterrà un bilanciamento fra il proprio legittimo interesse e le Sue esigenze di riservatezza. Di seguito, esempi di trattamento fondato sul “legittimo interesse”:
consentire alla Società di beneficiare di taluni servizi (ad esempio, per il trattamento dei dati, la Società potrebbe decidere di utilizzare piattaforme digitali messe a disposizione da fornitori esterni);
fornire informazioni, nei limiti consentiti dalla legge e dalla regolamentazione del settore farmaceutico, circa prodotti e servizi della Società;
prevenire, nei casi consentiti dall’ordinamento giuridico, sia frodi o altri reati, sia usi non consentiti o non appropriati di prodotti o di servizi in qualsiasi modo riconducibili alla Società;
cedere a soggetti terzi, in tutto o in parte, beni aziendali (“assets”) oppure aziende o rami d’azienda della Società ovvero consentire, viceversa, alla Società di acquisire da soggetti terzi assets o complessi aziendali;
perseguire e conseguire gli obiettivi di responsabilità sociale d’impresa, con eventuale reportistica negli appositi documenti informativi previsti dall’ordinamento giuridico.
La Società tratterà solo i suoi Dati Personali necessari per le seguenti e specifiche finalità:
comunicare con Lei per dar seguito a qualsiasi suo quesito o qualunque sua richiesta;
raccogliere informazioni su eventuali eventi avversi/scenari speciali riguardanti prodotti della Società da lei utilizzati;
fornirle informazioni adeguate e aggiornate in merito all’attività, ai prodotti e ai servizi della Società, nei limiti consentiti dalla legge e dalla regolamentazione del settore farmaceutico;
fornirle ulteriori informazioni o mettere a disposizione dei servizi che risultino di suo evidente interesse;
archiviare e tenere traccia delle avvenute sessioni di navigazione al fine di migliorare i contenuti del Sito e per redigere statistiche aggregate circa l’utilizzo del Sito (vedi la Cookie Policy);
per ulteriori e specifiche finalità a proposito delle quali il visitatore viene puntualmente informato al momento dell’eventuale richiesta di Dati Personali;
per qualsiasi altra finalità imposta per legge e dalle autorità.
Si specifica che il Gruppo Novartis non ammette la pratica dello «spamming», ossia dell’invio ripetuto di un gran numero di messaggi email non richiesti a soggetti con i quali il mittente non ha avuto precedenti contatti oppure che hanno manifestato il desiderio di non ricevere questo genere comunicazioni.
La Società dichiara e garantisce che non farà in alcun modo un uso strumentale, né commerciale dei Suoi Dati Personali.
I Dati Personali, inoltre, non formeranno oggetto di trasferimento o di condivisione con terze parti, se non con altre società del Gruppo Novartis – nel pieno rispetto delle relative Binding Corporate Rules – e con le categorie di soggetti di seguito elencate, sempre e solo per le finalità sopra elencate (le “Terze Parti”):
il personale dipendente della Società, le cui mansioni prevedono lo svolgimento delle attività di trattamento previste sopra. Per completezza d’informazione, l’espressione “personale dipendente della Società” ricomprende anche i dipendenti di altre società del Gruppo Novartis;
persone fisiche ed enti, anche privi di personalità giuridica, che cedono beni e/o prestano servizi alla Società (i “Fornitori”);
in particolare, i Fornitori di soluzioni di information tecnology e di servizi di cloud storage and repository, i costitutori dei database messi a disposizione della Società a titolo di licenza;
ogni altra terza parte legittimamente cessionaria, in tutto o in parte, di diritti e/o di obbligazioni della Società;
i consulenti e i professionisti, esterni alla Società, nonché le associazioni professionali e le società tra professionisti dei cui servizi la Società si avvale, anche per operazioni sugli asset della Società e per le c.d. operazioni societarie straordinarie;
i partner commerciali della Società, che concorrono con la Società nel fornire informazioni, nei limiti consentiti dalla legge e dalla regolamentazione del settore farmaceutico, circa prodotti e servizi della Società stessa.
Le Terze Parti sopra richiamate sono comunque obbligate, in virtù di specifico contratto, a garantire un livello di protezione e di confidenzialità dei Dati Personali tale da rispettare ogni obbligo normativo in materia di trattamento e di sicurezza delle informazioni, inclusi gli obblighi e i doveri derivanti dalla Normativa Privacy.
I Dati Personali potranno essere, altresì, trasferiti o messi a disposizione delle competenti autorità amministrative e di organi giursdizionali, nazionali e/o sovranazionali, laddove ciò sia imposto dall’ordinamento giuridico o in virtù di apposito provvedimento amministrativo o giurisdizionale.
I Dati Personali potrebbero, inoltre, essere trattati, resi accessibili o archiviati in un Paese diverso da quello in cui la Società ha la propria sede legale e le proprie sedi amministrative e che potrebbe non offrire lo stesso livello di protezione dei Dati Personali.
Qualora i Dati Personali fossero trasferiti a società terze con sede in Paesi stranieri, la Società si accerterà che essi siano tutelati (i) applicando il livello di protezione richiesto dalla Normativa Privacy italiana, (ii) assicurando che il trattamento sia conforme alle policies e agli standard vigenti all’interno del Gruppo Novartis e (iii) trasferendo i suoi dati personali solo sulla base di clausole contrattuali standard approvate dalla Commissione europea.
Informazioni aggiuntive in merito ai trasferimenti internazionali di dati personali potranno essere richieste esercitando i diritti indicati nella seguente sezione dedicata, con la possibilità di ottenere una copia delle idonee misure di tutela effettivamente adottate.
Per il trasferimento transfrontaliero di Dati Personali all’interno di società appartenenti al Gruppo Novartis, si informa che quest’ultimo ha adottato le Binding Corporate Rules, vale a dire un sistema di principi, norme e strumenti, fondato sul diritto dell’Unione europea e teso a assicurare un effettivo livello di protezione dei dati personali nelle ipotesi di un loro trasferimento al di fuori dello Spazio economico europeo (SEE) e dalla Svizzera.
Sono state predisposte adeguate misure tecniche e organizzative conformi al GDPR e ad ogni altra normativa applicabile per assicurare un livello adeguato di protezione e di riservatezza dei Dati Personali.
Queste misure tengono conto dei seguenti elementi:
tecnologie d’avanguardia disponibili;
costi della relativa implementazione;
natura dei dati personali trattati; e
rischio insito nel trattamento.
Tali misure sono state adottate per tutelare i Dati Personali contro distruzione, alterazioni, perdite accidentali, accessi non autorizzati o, comunque, contro ogni altra forma di illegittimo trattamento degli stessi.
Inoltre, nella gestione dei suoi Dati Personali, La Società adempierà i seguenti obblighi:
raccolta e trattamento solo dei Dati Personali adeguati, pertinenti e non eccessivi, secondo quanto necessario per conseguire le finalità suindicate;
garanzia di mantenere aggiornati e corretti i suoi Dati Personali. Per quest’ultimo motivo, potrà accadere che la società Le richieda conferma dei Dati Personali oggetto di attuale trattamento. In ogni caso, la Società la invita a comunicare ogni aggiornamento dei Dati Personali stessi, in caso di modifiche sopravvenute, in modo da poter assicurare una costante esattezza delle informazioni disponibili e operazioni di trattamento sempre adeguate;
nessuna categoria particolare di suoi Dati Personali (c.d. «dati sensibili»: per esempio, informazioni sullo stato di salute) sarà trattata e/o comunicata a soggetti terzi, interni o esterni al Gruppo Novartis, se non in presenza di un preventivo ed esplicito consenso scritto, che comunque, dovrà essere prestato alla Società in modo specifico e puntuale. Anche in questo caso, il trattamento avverrà per le finalità su richiamate;
l’accesso ai dati personali sarà consentito ai soli dipendenti appositamente “Incaricati” e autorizzati, che hanno un’effettiva necessità di utilizzare tali Dati e che sono stati istruiti per effettuarne il trattamento in maniera idonea, nel rispetto dei principi di sicurezza e confidenzialità e secondo obblighi di segretezza e riservatezza professionale. Eventuali violazioni della normativa sulla tutela e sul trattamento dei dati personali da parte di dipendenti della Società saranno valutate, internamente, anche sul piano disciplinare. Il rispetto, da parte del personale, dei codici di condotta rilevanti e delle altre procedure aziendali forma oggetto di controllo e di verifiche periodiche.
I suoi Dati Personali saranno conservati per il tempo strettamente necessario al perseguimento delle finalità per i quali sono stati sono stati raccolti o, qualora ciò sia necessario, per il tempo richiesto dalle vigenti normative di legge e regolamentari.
Salvo che sia diversamente prescritto da queste ultime normative, il periodo di conservazione sarà di 24 mesi dopo l'ultimo utilizzo o l’ultimo accesso al Sito. Decorso questo periodo, i Suoi Dati Personali saranno rimossi dai sistemi di trattamento della Società.
Lei potrà esercitare i diritti riconosciuti agli Interessati dagli artt. 15 e ss del GDPR:
il diritto di accedere ai propri Dati Personali, oggetto di trattamento da parte della Società (articolo 15 GDPR); qualora l’Interessato ritenga che le informazioni siano errate, obsolete o incomplete, potrà esercitare il diritto di ottenerne la rettifica, l’integrazione e l’aggiornamento senza giustificato ritardo (articolo 16 GDPR);
il diritto di richiedere e ottenere la cancellazione dei propri Dati Personali (“diritto all’oblio”) o la limitazione degli stessi a particolari categorie di trattamento (articoli 17 e 18 GDPR);/li>
il diritto di revocare il suo consenso in qualsiasi momento, senza che ciò pregiudichi la piena validità giuridica dei trattamenti eseguiti prima della revoca e, comunque, il diritto di opporsi, in tutto o in parte, al trattamento dei Dati Personali (articolo 21 GDPR);
il diritto di opporsi all’inoltro di comunicazioni di marketing;
il diritto di richiedere la portabilità dei Dati Personali (articolo 20 GDPR), vale a dire il diritto a che i propri Dati Personali comunicati alla Società siano restituiti all’Interessato o trasmessi ad altro soggetto di propria scelta, senza impedimento da parte della Società stessa, in un formato strutturato, di uso comune e leggibile da un pc o da altro dispositivo elettronico; e
il diritto di presentare un reclamo formale all’Autorità Garante per la Protezione dei Dati Personali.
In caso di dubbi riguardo ai propri diritti oppure in caso di volontà di esercitarli, Lei potrà inviare prima di tutto un’email a dpo.italy@novartis.com. Qualora Lei non fosse comunque soddisfatto del modo in cui la Società tratta i suoi Dati Personali, potrà inviare una richiesta specifica al Responsabile della Protezione dei Dati all’indirizzo email global.privacy_office@novartis.com, che curerà tale richiesta senza indugio.
In alcune circostanze, per poter fornirle le informazioni da Lei richieste, la Società potrà chiederle l’invio di una scansione della Sua carta d’identità a fini di identificazione, fermo restando che tali dati saranno utilizzati solo ed esclusivamente per verificare la Sua identità e che la scansione del documento non sarà conservata affatto dopo aver ultimato la predetta verifica. All’atto dell’invio di tale scansione, occorre che Lei si accerti di occultare la sua immagine e il numero di identificazione presenti sulla scansione.
In aggiunta alle informazioni personali generali (nome e cognome, data di nascita, email, indirizzo di residenza e/o numero di telefono), la Società potrebbe raccogliere e trattare varie tipologie di dati personali standard tecnici e di dati di navigazione relativi alla sua persona durante l’uso da parte sua del Sito, necessari per garantire l’idoneo funzionamento dello stesso, ivi compresi:
informazioni riguardanti il suo browser e il suo dispositivo (ad esempio, il dominio del provider di servizi Internet, il tipo e la versione di browser, il sistema operativo e la piattaforma, la risoluzione dello schermo, il produttore del dispositivo e il modello);
dati statistici relativi al Suo uso del Sito (ad esempio, informazioni riguardanti le pagine visitate, informazioni ricercate, tempo trascorso sul Sito web);
dati di utilizzo (ossia data e orario di accesso al Sito web, file scaricati);
ubicazione del Suo dispositivo quando utilizza il Sito (a meno che Lei non abbia disabilitato questa funzione modificando le impostazioni del suo dispositivo); e
più in generale, qualsiasi informazione che Lei ci fornisca quando utilizza il Sito o l’App.
Non saranno raccolti, utilizzati o divulgati intenzionalmente i dati personali di un minore di età inferiore a 14 anni, senza aver ottenuto il previo consenso di un genitore o di un rappresentante legale.
In aggiunta alle finalità già indicate sopra, il trattamento dei dati tecnici e di navigazione avverrà anche per le seguenti finalità:
gestire le richieste degli utenti (ad esempio, la registrazione, la gestione dell’account, la risposta alle domande e la fornitura di assistenza tecnica);
gestire e migliorare il Sito (ad esempio, diagnosticare i problemi del server, ottimizzare il traffico, integrare e ottimizzare le pagine web ove opportuno);
misurare l’uso del Sito (ad esempio, redigendo statistiche sul traffico, raccogliendo informazioni relative al comportamento degli utenti e alle pagine che visitano);
migliorare e personalizzare la Sua esperienza e concepire contenuti su misura per Lei (ad esempio, memorizzando le sue selezioni e preferenze, utilizzando cookies);
inviare servizi e contenuti personalizzati a seconda dell’ubicazione;
migliorare la qualità dei prodotti e servizi e ampliare le attività commerciali, nei limiti consentiti dalla legge e dalla regolamentazione del settore farmaceutico;
monitorare e prevenire le frodi, le violazioni e altri potenziali usi scorretti del Sito e/o dell’App;
rispondere a richieste ufficiali avanzate da autorità pubbliche o giudiziarie dotate delle necessarie competenze;
gestire le risorse IT, ivi compresa la gestione dell’infrastruttura e la continuità aziendale;
archiviare e tenere traccia delle registrazioni; e
per qualsiasi altra finalità imposta per legge e dalle pubbliche autorità.
Eventuali modifiche o integrazioni future alla presente Privacy Policy circa il trattamento dei suoi Dati Personali Le saranno comunicate mediante specifica notifica, inviata utilizzando i soliti canali di comunicazione (ad esempio, via email) oppure attraverso il Sito stesso (a mezzo banner, pop-up o altri sistemi di notifica).
La presente Privacy Policy si applica soltanto ai Siti internet del Gruppo Novartis in Italia, con l’esclusione di siti internet di terze parti.
La Società si riserva di fornire collegamenti (link) ad altri siti che ritenga possano essere di interesse per i visitatori del proprio Sito. In questo caso, per quanto vi sia l’intenzione costante di assicurare che tali siti rispettino i più elevati standard di qualità, la Società non può prestare garanzie circa gli standard di ogni sito internet per il quale fornisce un collegamento, né essere considerata responsabile per i contenuti di siti diversi da quelli del Gruppo Novartis.