Informativa sulla privacy
Con la presente dichiarazione sulla protezione dei dati informiamo sul trattamento dei dati personali in relazione alle nostre attività e operazioni, incluso il nostro sito web con nome di dominio
Per singole o ulteriori attività e operazioni possiamo pubblicare ulteriori dichiarazioni sulla protezione dei dati o altre informazioni in materia di protezione dei dati.
Siamo soggetti al diritto svizzero nonché, eventualmente, al diritto estero applicabile, in particolare al diritto dell’Unione Europea (UE) con il Regolamento generale sulla protezione dei dati (RGPD).
La Commissione Europea ha riconosciuto con Decisione del 26 luglio 2000 che il diritto svizzero sulla protezione dei dati garantisce un livello adeguato di tutela dei dati. Con il Rapporto del 15 gennaio 2024 la Commissione Europea ha confermato tale decisione di adeguatezza.
1. Indirizzi di contatto
Ai sensi della normativa sulla protezione dei dati il titolare del trattamento è:
Graubünden Ferien
Alexanderstrasse 24
7001 Chur
Svizzera
In singoli casi terzi possono essere responsabili del trattamento dei dati personali o esistere una responsabilità congiunta con terzi. Su richiesta forniamo alle persone interessate informazioni sulle relative responsabilità.
1.1 Responsabile della protezione dei dati o consulente
Disponiamo dei seguenti responsabili o consulenti per la protezione dei dati, punto di contatto per le persone interessate e le autorità in caso di richieste in materia di protezione dei dati:
Manuela Ruinatscha
Graubünden Ferien
Alexanderstrasse 24
7001 Chur
Svizzera
manuela.ruinatscha@graubuenden.ch
1.2 Rappresentante per la protezione dei dati nello Spazio Economico Europeo (SEE)
Abbiamo designato il seguente rappresentante ai sensi dell’Art. 27 RGPD:
VGS Datenschutzpartner GmbH
Am Kaiserkai 69
20457 Hamburg
Germania
Il rappresentante per la protezione dei dati serve come punto di contatto “aggiuntivo” per le persone interessate e le autorità nell’Unione Europea (UE) e nel restante SEE.
2. Definizioni e basi giuridiche
2.1 Definizioni
Persona interessata: persona fisica alla quale si riferiscono i dati personali trattati.
Dati personali: qualunque informazione relativa a una persona fisica identificata o identificabile.
Dati personali sensibili: dati relativi a convinzioni sindacali, politiche, religiose o filosofiche, dati sulla salute, vita sessuale o orientamento sessuale, dati sull’appartenenza etnica o razziale, dati genetici, dati biometrici che identificano in modo univoco una persona, dati relativi a sanzioni penali o amministrative e dati su misure di assistenza sociale.
Trattamento: qualsiasi operazione o complesso di operazioni sui dati personali, indipendentemente dagli strumenti e dalle procedure impiegate (es. raccolta, registrazione, organizzazione, conservazione, adattamento, recupero, consultazione, diffusione, cancellazione, distruzione, ecc.).
Spazio Economico Europeo (SEE): Stati membri dell’Unione Europea (UE) nonché Principato del Liechtenstein, Islanda e Norvegia.
2.2 Basi giuridiche
Trattiamo i dati personali in conformità al diritto svizzero, in particolare al Legge federale sulla protezione dei dati (LPD) e all’Ordinanza sulla protezione dei dati (OPD).
Qualora e nella misura in cui sia applicabile il Regolamento generale sulla protezione dei dati (RGPD), trattiamo i dati personali in base ad almeno una delle seguenti basi giuridiche:
- Art. 6(1)(b) RGPD: esecuzione di un contratto o misure precontrattuali.
- Art. 6(1)(f) RGPD: perseguimento di legittimi interessi, purché non prevalgano i diritti e le libertà fondamentali della persona interessata.
- Art. 6(1)(c) RGPD: adempimento di un obbligo legale.
- Art. 6(1)(e) RGPD: svolgimento di un compito di interesse pubblico.
- Art. 6(1)(a) RGPD: consenso della persona interessata.
- Art. 6(1)(d) RGPD: protezione di interessi vitali della persona interessata o di un’altra persona fisica.
- Art. 9(2) ff. RGPD: trattamento di categorie particolari di dati personali, in particolare con il consenso esplicito.
Il RGPD definisce il trattamento dei dati personali come “processing of personal data” e il trattamento dei dati sensibili come “processing of special categories of personal data” (Art. 9 RGPD).
3. Tipologia, portata e finalità del trattamento dei dati personali
Trattiamo i dati personali strettamente necessari per svolgere in modo duraturo, rispettoso delle persone, sicuro e affidabile le nostre attività e operazioni. Tali dati possono includere dati di navigazione e dispositivo, contenuti, comunicazioni, metadati, dati di utilizzo, dati anagrafici e di contatto, dati di localizzazione, transazionali, contrattuali, di pagamento e, se del caso, dati sensibili.
Possiamo inoltre trattare dati personali ricevuti da terzi, ottenuti da fonti pubbliche o raccolti nell’ambito delle nostre operazioni, purché il trattamento sia lecito.
Il trattamento può avvenire anche con il consenso della persona interessata, ma in molti casi è possibile trattare i dati senza consenso (ad es. per obblighi legali o interessi legittimi). Possiamo comunque chiedere il consenso anche quando non obbligatorio.
Conserviamo i dati personali per il tempo necessario alle finalità per cui sono stati raccolti e li anonimizz iamo o cancelliamo in base ai termini di conservazione e prescrizione previsti dalla legge.
4. Automazione e intelligenza artificiale (IA)
Possiamo trattare i dati personali in modo automatizzato o utilizzare l’intelligenza artificiale per il loro trattamento.
Possiamo ricorrere al profiling per valutare automaticamente determinati aspetti personali delle persone interessate, ad esempio per analisi o previsioni di interessi, abitudini o preferenze.
Informiamo, qualora vi siano decisioni basate unicamente su trattamenti automatizzati con effetti giuridici o rilevanti per la persona interessata (decisioni automatizzate individuali).
5. Comunicazione a terzi dei dati personali
Possiamo comunicare i dati personali a terzi, farli trattare da terzi o trattarli congiuntamente con terzi. Tali terzi possono essere fornitori di servizi specializzati.
Tra questi possono rientrare banche e istituti finanziari, autorità, istituti di formazione e ricerca, consulenti e avvocati, associazioni di categoria, fornitori IT, partner cooperativi, agenzie di informazioni commerciali, servizi logistici, agenzie di marketing, media, organizzazioni e federazioni, enti sociali, operatori di telecomunicazioni, assicurazioni e fornitori di servizi di pagamento.
6. Comunicazione
Trattiamo i dati personali per poter comunicare con persone, autorità, organizzazioni e aziende. Ciò include i dati forniti dalle persone interessate in fase di contatto (es. posta cartacea o e-mail), che possiamo archiviare in rubriche o strumenti analoghi.
I terzi che ci forniscono dati su altre persone devono garantire autonomamente la protezione di tali dati, in particolare la correttezza e la liceità della trasmissione.
Utilizziamo servizi selezionati di fornitori qualificati per facilitare e migliorare la comunicazione; tali servizi possono gestire i dati anche oltre la comunicazione diretta.
In particolare utilizziamo:
- Salesforce: Customer-Relationship-Management (CRM); fornitori: Salesforce.com Inc. (USA) / Salesforce.com Germany GmbH (Germania); informazioni sulla privacy: “Datenschutz”, Datenschutzerklärung.
7. Candidature
Trattiamo i dati personali dei candidati nella misura necessaria per valutare l’idoneità a un rapporto di lavoro o per l’esecuzione del contratto di lavoro successivo. I dati richiesti emergono dalle informazioni richieste (es. annunci di lavoro). Possiamo pubblicare annunci con terzi qualificati (media elettronici o cartacei, portali di lavoro).
Trattiamo inoltre i dati forniti volontariamente dai candidati (es. lettere di presentazione, curriculum, profili online).
Qualora applicabile il RGPD, trattiamo i dati personali dei candidati in base ad Art. 9(2)(b) RGPD.
8. Sicurezza dei dati
Adottiamo misure tecniche e organizzative adeguate al rischio per garantire la confidenzialità, disponibilità, integrità e tracciabilità dei dati personali, senza poter garantire sicurezza assoluta.
L’accesso al nostro sito web e alla nostra presenza digitale avviene tramite crittografia di trasporto (SSL/TLS, HTTPS). La maggior parte dei browser segnala siti non criptati.
La comunicazione digitale è soggetta a sorveglianza di massa da parte di autorità di sicurezza in Svizzera, Europa, Stati Uniti e altri paesi. Non possiamo influire sul trattamento dei dati da parte di servizi segreti, polizia o autorità di sicurezza né escludere un controllo mirato di persone interessate.
9. Dati personali all’estero
Generalmente trattiamo i dati in Svizzera e nel SEE. Possiamo tuttavia esportare o trasmettere i dati in altri Stati per il loro trattamento.
Possiamo esportare i dati in tutti gli Stati del mondo e altrove nell’universo, purché il livello di protezione sia adeguato secondo il decreto del Consiglio federale svizzero e, se applicabile il RGPD, secondo le decisioni di adeguatezza della Commissione Europea.
In Stati senza adeguato livello di protezione possiamo comunque trasferire i dati se esistono garanzie idonee (clausole contrattuali standard o altre misure). In casi eccezionali possiamo trasferire dati senza tali garanzie se sussistono condizioni particolari (es. consenso esplicito o necessità contrattuale). Su richiesta forniamo informazioni sulle garanzie o ne mettiamo a disposizione copia.
10. Diritti delle persone interessate
10.1 Diritti in materia di protezione dei dati
Le persone interessate godono di tutti i diritti previsti dalla normativa applicabile, in particolare:
- Accesso: diritto di sapere se trattiamo dati personali e quale tipologia di dati; informazioni necessarie per far valere i diritti (finalità, durata, comunicazioni, trasferimenti esteri, origine dei dati).
- Rettifica e limitazione: diritto di correggere dati inesatti, completare dati incompleti e limitare il trattamento.
- Punto di vista personale e revisione umana: in caso di decisioni basate unicamente su trattamenti automatizzati con effetti giuridici o significativamente impattanti, diritto di presentare il proprio punto di vista e ottenere revisione umana.
- Cancellazione e opposizione: diritto di cancellare i dati (“diritto all’oblio”) e di opporsi al trattamento futuro.
- Portabilità: diritto di ottenere i dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico e di trasmetterli a un altro titolare.
Possiamo differire, limitare o rifiutare l’esercizio dei diritti nei limiti consentiti dalla legge (es. segreto professionale, interessi prevalenti, obblighi di conservazione).
Possiamo prevedere, in casi eccezionali, costi per l’esercizio dei diritti e informeremo preventivamente.
Dobbiamo identificare adeguatamente la persona interessata che esercita i diritti; la collaborazione è obbligatoria.
10.2 Via giudiziaria
Le persone interessate hanno diritto di far valere i propri diritti in sede giudiziaria o di presentare reclamo a un’autorità di vigilanza.
L’autorità di vigilanza in Svizzera per responsabili privati e autorità federali è il Servizio del Commissario federale per la protezione dei dati e la trasparenza (PFPDT).
Le autorità di vigilanza europee sono organizzate come membri del Comitato europeo per la protezione dei dati (EDPB). In alcuni Stati del SEE le autorità di vigilanza hanno struttura federale, ad es. in Germania.
11. Utilizzo del sito web
11.1 Cookie
Possiamo utilizzare cookie propri (first-party) e di terzi (third-party). I dati memorizzati nel browser non sono limitati ai tradizionali cookie in formato testo.
I cookie possono essere “session cookie” (temporanei, cancellati alla chiusura del browser) o “permanenti” (con durata prefissata). Consentono di riconoscere il browser e misurare la diffusione del sito; possono servirsi anche per marketing online.
È possibile disattivare, limitare o cancellare i cookie nelle impostazioni del browser, anche automaticamente. Senza cookie il sito potrebbe non funzionare pienamente. Chiediamo, quando richiesto dalla legge, il consenso esplicito all’uso dei cookie.
Per cookie di misurazione o pubblicità è spesso disponibile un “opt-out” tramite AdChoices (Canada), Network Advertising Initiative, YourAdChoices (Digital Advertising Alliance) o Your Online Choices (EDAA).
11.2 Registrazione dei log
Possiamo registrare per ogni accesso al sito web e alla presenza digitale almeno: data e ora con fuso orario, indirizzo IP, codice di stato HTTP, sistema operativo e versione, browser e versione, pagina richiesta e dati trasmessi, referrer.
Questi dati, che possono includere dati personali, sono registrati in file di log per garantire la disponibilità e la sicurezza del sito, anche tramite terzi.
11.3 Web beacon
Podiamo inserire web beacon o pixel di tracciamento (anche di terzi) nel sito. Si tratta di piccole immagini invisibili o script JavaScript che raccolgono le stesse informazioni dei log.
12. Notifiche e comunicazioni
12.1 Misurazione di performance e diffusione
Notifiche e comunicazioni possono contenere link o pixel che registrano l’apertura e i click; questi dati servono a misurare la diffusione e ottimizzare l’invio in modo efficace e rispettoso.
12.2 Consenso e opposizione
Salvo obblighi legali, è necessario il consenso per l’uso di e-mail e contatti. Possiamo usare il “double opt-in” e registrare IP e timestamp come prova.
Si può revocare il consenso e opporsi in qualsiasi momento, inclusa la misurazione statistica, salvo notifiche obbligatorie per le nostre attività.
12.3 Fornitori di notifiche e comunicazioni
Invio di notifiche e comunicazioni tramite fornitori specializzati.
13. Social media
Siamo presenti sui social media e altre piattaforme online per comunicare e informare sulle nostre attività. In tal contesto i dati possono essere trattati fuori da Svizzera e SEE.
Si applicano i termini e le politiche privacy dei singoli operatori, che descrivono i diritti diretti delle persone interessate.
Per la presenza su Facebook e le pagine Insights siamo, se applicabile il RGPD, responsabili congiunti con Meta Platforms Ireland Limited (Irlanda), parte di Meta (USA). Insights forniscono statistiche sull’interazione dei visitatori.
Ulteriori dettagli sul trattamento dei dati da Facebook si trovano nella privacy policy di Facebook. Abbiamo sottoscritto l’“Controller Addendum” per garantire i diritti delle persone interessate. Dettagli specifici per le Insights: “Informazioni sulle pagine Insights” e “Informazioni sui dati Insights”.
14. Servizi di terzi
Utilizziamo servizi di terzi per integrare funzionalità e contenuti nel sito; tali servizi possono temporaneamente registrare gli indirizzi IP degli utenti.
Per scopi di sicurezza, statistica o tecnico-organizzativi, terzi possono trattare dati aggregati, anonimizzati o pseudonimizzati.
In particolare utilizziamo:
- Servizi Google: fornitori Google LLC (USA) e Google Ireland Limited (Irlanda); informazioni privacy: “Principi di protezione e sicurezza dei dati”, “Come Google utilizza i dati personali”, Privacy Policy, “Google e conformità alle leggi sulla privacy”, “Guida alla privacy nei prodotti Google”, “Uso dei dati da siti e app partner”, “Cookie e tecnologie simili di Google”, “Gestione della pubblicità personalizzata”.
- Servizi Microsoft: fornitori Microsoft Ireland Operations Limited (Irlanda) per UE/SEE/Svizzera/Regno Unito e Microsoft Corporation (USA) per il resto del mondo; informazioni privacy: “Privacy Microsoft”, “Privacy & sicurezza”, Privacy Statement, “Impostazioni privacy”.
14.1 Infrastruttura digitale
Utilizziamo servizi di terzi per l’infrastruttura digitale (hosting, storage).
In particolare:
- Microsoft Azure: infrastruttura e storage; informazioni privacy: “Privacy in Azure”.
14.2 Automazione e integrazione di app e servizi
Utilizziamo piattaforme no-code per integrare e automatizzare processi tra app e servizi di terzi.
In particolare:
- Microsoft Power Automate e Microsoft Power Platform: informazioni privacy: “Conformità e privacy dei dati”, “Archiviazione dati e governance”, “Sicurezza”.
- Zapier: automazione e integrazione; informazioni privacy: Privacy Policy, “Data Privacy at Zapier”, FAQ Privacy & Security, “Security and Compliance”.
14.3 Pianificazione appuntamenti
Utilizziamo servizi online per fissare appuntamenti (es. meeting). Si applicano anche le condizioni e le privacy policy dei servizi utilizzati.
In particolare:
- Doodle: pianificazione online; informazioni privacy: Privacy Policy, General Terms of Data Processing.
- Microsoft Bookings: pianificazione appuntamenti; informazioni privacy: FAQ Microsoft Bookings.
14.4 Collaborazione online
Utilizziamo servizi di terzi per la collaborazione online; si applicano le loro condizioni e privacy policy.
In particolare:
- Asana: piattaforma di collaborazione; informazioni privacy: Trust at Asana, Privacy Statement, Bug Bounty.
- Microsoft Teams: collaborazione con audio/video; informazioni privacy: Security & Compliance in Microsoft Teams.
- Miro: lavagna digitale; informazioni privacy: Privacy Policy, Miro Trust Center.
14.5 Funzionalità e contenuti social media
Utilizziamo plugin e servizi di terzi per incorporare contenuti social e consentire la condivisione.
In particolare:
- Instagram Platform: incorporamento di contenuti Instagram; fornitori Meta Ireland e altre entità Meta; informazioni privacy: Privacy Instagram, Privacy Facebook.
14.6 Mappe
Utilizziamo servizi di terzi per incorporare mappe.
In particolare:
- map.geo.admin.ch: servizio cartografico; fornito da Ufficio federale di topografia (swisstopo); informazioni privacy: Privacy, Fondamenti giuridici.
- OpenStreetMap (OSM): servizio cartografico; OpenStreetMap Foundation; informazioni privacy: Privacy Policy.
14.7 Contenuti digitali
Utilizziamo servizi di terzi per incorporare contenuti digitali (immagini, video, audio, podcast).
In particolare:
- YouTube: piattaforma video; informazioni privacy: Centro Privacy YouTube, “I miei dati su YouTube”.
14.8 Pubblicità
Possiamo mostrare pubblicità mirata su piattaforme di terzi (social, motori di ricerca) per raggiungere persone interessate (remarketing e targeting), trasmettendo eventualmente dati personali a fornitori di pubblicità. Monitoriamo il successo delle campagne (conversion tracking).
Terzi su cui facciamo pubblicità e a cui siete connessi possono associare la visita del nostro sito al vostro profilo.
In particolare:
- Google Ads: pubblicità su motori di ricerca; informazioni privacy: Privacy Ads, Gestione annunci.
- Meta Ads: pubblicità su Facebook e Instagram; informazioni privacy: Meta-Pixel, Custom Audiences, Lookalike Audiences, Privacy Policy, Preferenze annunci.
- TikTok Ads: pubblicità social; informazioni privacy: TikTok-Pixel, Privacy Policy, Privacy minorenni, Privacy partner, Cookie Policy.
15. Estensioni per il sito web
Utilizziamo estensioni per aggiungere funzionalità; possiamo avvalerci di terzi o di nostra infrastruttura.
16. Misurazione di performance e diffusione
Puntiamo a misurare il successo e la diffusione delle nostre attività; possiamo testare varianti del sito (“A/B test”) per migliorare contenuti e funzionalità.
Per la misurazione raccogliamo generalmente gli indirizzi IP (pseudonimizzati), con eventuale uso di cookie e creazione di profili utente pseudonimizzati, senza identificare singoli utenti. Terzi possono associare i dati al proprio servizio se siete connessi.
In particolare:
- fusedeck: misurazione; informazioni privacy: Privacy & Opt-out, Privacy Fusedeck, Privacy Statement.
- Google Marketing Platform: misurazione (Google Analytics); informazioni privacy: tracciamento cross-device, IP pseudonimizzati, Privacy Analytics, Component aggiuntivo disattivazione.
- Google Tag Manager: gestione tag; informazioni privacy: Privacy Tag Manager.
17. Note finali sulla dichiarazione sulla protezione dei dati
Abbiamo redatto questa dichiarazione con il generatore di dichiarazioni sulla protezione dei dati di Datenschutzpartner .
Possiamo aggiornare in qualsiasi momento questa dichiarazione. Comunicheremo gli aggiornamenti in modo adeguato, in particolare pubblicando la versione aggiornata sul nostro sito.