DiscoverEU - informativa sulla protezione dei dati
L'Agenzia esecutiva europea per l'istruzione e la cultura (EACEA) s'impegna a preservare la privacy. Tutti i dati personali sono trattati in conformità del regolamento (UE) 2018/1725 sulla protezione dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione (1) ("regolamento sulla protezione dei dati").
La seguente informativa sulla protezione dei dati delinea le politiche che disciplinano la raccolta, la gestione e l'uso da parte dell'EACEA dei dati personali di coloro che partecipano a DiscoverEU.
1. Chi è responsabile del trattamento dei dati personali (titolare del trattamento)
Il titolare del trattamento è l'Agenzia esecutiva europea per l'istruzione e la cultura, BE-1049 Bruxelles. La persona designata come responsabile del trattamento dei dati è il capo dell'unità A5: Gioventù,
Corpo europeo di solidarietà e Volontari per l'aiuto umanitario.
E-mail: eacea-a5@ec.europa.eu.
In relazione a DiscoverEU, la DG EAC e l'EACEA operano in qualità di contitolari del trattamento poiché trattano congiuntamente i dati personali di coloro che sul Portale europeo per i giovani si candidano a ricevere un pass DiscoverEU.
2. Quali sono i dati personali sottoposti a trattamento
Vengono trattati i seguenti dati personali, che sono tutti obbligatori se non espressamente indicato che sono facoltativi:
• numeri di identificazione personale (numero della carta d'identità o del passaporto o del permesso di soggiorno)
• dati relativi alle caratteristiche fisiche dell'interessato, nonché alla sua immagine o voce o alle sue impronte digitali (foto della carta d'identità o del passaporto o del permesso di soggiorno)
• dati relativi alla sfera privata dell'interessato (cittadinanza, residenza legale, data di nascita, indirizzo di posta elettronica, nome, cognome, sesso (facoltativo), regione di residenza (facoltativo), numero di telefono, occupazione (ad es. studente, lavoratore, ecc.), disabilità o problemi di salute (facoltativo e in caso di richiesta di sostegno speciale), paese che ha rilasciato la carta d'identità/il passaporto/il permesso di soggiorno
• dati relativi a retribuzione, indennità e conti bancari (fonti per finanziare i costi non coperti)
• dati relativi alla famiglia dell'interessato (livello di istruzione dei genitori/tutori legali (facoltativo))
• dati relativi alla carriera dell'interessato (occupazione precedente (ad es. studente, lavoratore),
(precedente) partecipazione a un'organizzazione giovanile (facoltativo)), futura occupazione prevista (ad es. studi, lavoro)
• numeri di telefono e indirizzi (numero di telefono, indirizzo di posta elettronica)
• nomi e indirizzi (compresi gli indirizzi di posta elettronica) (nome, cognome, indirizzo e-mail, carta d'identità/passaporto/permesso di soggiorno, regione di residenza (facoltativo))
• dati relativi alla salute (facoltativi nei casi in cui il partecipante richieda un sostegno specifico per motivi di salute).
3. Perché e come vengono trattati i dati personali
• I dati vengono trattati per organizzare le procedure di selezione e di rilascio dei pass DiscoverEU e i servizi connessi: lancio delle tornate sul Portale europeo per i giovani con l'invito a rispondere a un questionario. A tal fine, i candidati devono indicare alcuni dati personali per consentire ai contitolari del trattamento di valutare se soddisfano le condizioni di ammissibilità. I partecipanti vengono selezionati se soddisfano tali condizioni, se rispondono correttamente alle domande del quiz e se rispondono nel modo più corretto alla domanda di spareggio.
• Una volta selezionati, la ditta appaltatrice accerta l'effettiva ammissibilità dei candidati selezionati verificando la validità dei documenti personali (prova della cittadinanza, prova del soggiorno legale).
• Dopodiché la ditta appaltatrice rilascia ai partecipanti il pass e la relativa tessera di sconto. I partecipanti che utilizzano il pass restano in contatto con la ditta appaltatrice per preparare il viaggio e ottenere assistenza in caso di bisogno.
• I dati vengono inoltre utilizzati per prenotare i biglietti in treno, pullman o aereo dei candidati che hanno ottenuto il pass DiscoverEU.
• L'EACEA può infine trattare i dati personali dei partecipanti a fini di monitoraggio e rendicontazione.
I dati personali dei candidati non selezionati possono essere trasmessi dalla DG EAC (contitolare del trattamento) alla
ditta appaltatrice affinché possano ricevere la tessera di sconto dell'Associazione europea delle carte giovani (EYCA).
4. Chi ha accesso ai dati personali e a chi sono divulgati
L'accesso ai dati personali può essere concesso in base al principio della "necessità di sapere" alle seguenti parti:
• personale autorizzato dell'EACEA (con sede nell'UE)
• personale autorizzato della Commissione europea
• personale autorizzato della ditta appaltatrice e dei suoi subappaltatori (con sede in paesi UE/SEE).
• La ditta appaltatrice gestisce DiscoverEU utilizzando i servizi dei seguenti strumenti di terzi:
o Adobe Campaign & Mandrill (conferma e-mail)
o AWS Cognito & CommerceTools (gestione account e ordini)
o AWS Dynamo DB (pass mobile)
o Chatlayer (chatbot)
o Dune (database)
o Flexmail (sistema e-mail)
o Insided (community)
o Mailchimp & IRIS/Intersystems (prenotazioni)
o MessageBird (sistema SMS)
o Netigate (sondaggio post-viaggio)
o Shufti Pro (verifica ID)
o SQL Datawarehouse (archiviazione e rendicontazione)
o Zendesk (helpdesk).
Per un numero molto limitato di casi (biglietti ferroviari fissi, viaggi straordinari in autobus o in aereo), alcuni dati personali (nome, cognome, data di nascita) vengono trasferiti a un'agenzia di viaggi con sede in Belgio, con la quale la ditta appaltatrice di DiscoverEU ha concluso un accordo sulla protezione dei dati. A seconda dell'itinerario richiesto dal partecipante, l'agenzia può prenotare viaggi presso operatori dei trasporti di paesi dell'UE/SEE o al di fuori dell'UE/SEE che partecipano al programma DiscoverEU (Macedonia del Nord, Serbia, Turchia).
Tali viaggi vengono sempre prenotati su richiesta del partecipante. Il trasferimento di dati personali si basa sull'articolo 50, paragrafo 1, lettera c) (trasferimento necessario per la conclusione o l'esecuzione di un contratto concluso nell'interesse dell'interessato).
In caso di controllo o controversia, l'accesso ai dati personali può essere concesso in base al principio della "necessità di sapere" agli organismi incaricati del monitoraggio o dell'ispezione in applicazione del diritto dell'Unione (ad esempio, servizio di audit interno, Commissione europea, OLAF, organi giurisdizionali dell'UE, ecc.).
5. Per quanto tempo sono conservati i dati personali
I dati personali contenuti nelle candidature a DiscoverEU non selezionate saranno eliminati due anni dopo la presentazione della candidatura, a meno che i candidati interessati non abbiano espresso interesse a rimanere informati sugli altri servizi del Portale europeo per i giovani o a essere coinvolti in tali servizi, nel qual caso i dati saranno conservati per un massimo di 5 anni. Dopo tale data, i loro dati personali saranno resi anonimi e conservati solo a fini statistici.
I dati personali contenuti nelle candidature a DiscoverEU selezionate saranno cancellati 5 anni dopo la data di prenotazione dei viaggi conformemente all'elenco comune di conservazione dei fascicoli, salvo nel caso in cui il candidato interessato abbia manifestato la volontà di non essere selezionato e non abbia beneficiato di finanziamenti dell'UE attraverso l'iniziativa, nel qual caso i dati sono conservati per un massimo di 2 anni.
Tuttavia, le informazioni che identificano gli interessati possono essere conservate per un periodo più lungo a fini storici, statistici o
scientifici, nel rispetto delle opportune garanzie.
6. Quali sono i diritti dell'interessato e come può esercitarli
Ai sensi delle disposizioni del regolamento sulla protezione dei dati, il candidato interessato ha il diritto di:
chiedere l'accesso ai dati personali detenuti dall'EACEA
chiedere, se necessario, una rettifica dei dati personali
chiedere la cancellazione dei dati personali
chiedere di limitare il trattamento dei dati personali
chiedere di ricevere o far trasferire i dati personali a un'altra organizzazione in un formato standard comunemente usato e leggibile da dispositivi automatici (portabilità dei dati).
N.B.: considerata la natura competitiva del processo di selezione, il diritto di rettifica delle informazioni si applica solo ai dati fattuali trattati nell'ambito della procedura in questione. Il diritto di rettificare tali dati può essere esercitato soltanto fino al termine ultimo per la presentazione delle candidature.
Tuttavia, i dati fattuali di identificazione inesatti possono essere rettificati in qualsiasi momento durante e dopo la procedura di selezione.
Poiché il trattamento dei dati personali si basa sull'articolo 5, paragrafo 1, lettera a), del regolamento sulla protezione dei dati, il candidato interessato ha il diritto di opporsi al trattamento dei dati personali per motivi connessi alla sua situazione particolare a norma delle disposizioni dell'articolo 23 del regolamento sulla protezione dei dati.
L'articolo 25 del regolamento (UE) 2018/1725 stabilisce che, in materia di funzionamento delle istituzioni e degli organi dell'UE, questi ultimi possono limitare alcuni diritti delle persone fisiche in circostanze eccezionali e con le garanzie previste da tale regolamento. Tali limitazioni sono previste dalle norme interne adottate dall'EACEA e pubblicate nella Gazzetta ufficiale dell'Unione europea: (https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32021Q0317%2801%29).
Le limitazioni avranno una durata limitata, saranno proporzionate e rispetteranno l'essenza dei diritti di cui sopra. Saranno revocate non appena verranno meno le circostanze che le giustificano. Una volta trascorso questo periodo, l'interessato riceverà un'informativa più specifica sulla protezione dei dati.
Come regola generale, sarà informato dei principali motivi di una limitazione, a meno che tali informazioni non annullino l'effetto della limitazione stessa.
Ha inoltre il diritto di presentare un reclamo al Garante europeo della protezione dei dati in merito alla portata della limitazione.
7. Diritto di ricorso in caso di conflitto su qualsiasi questione relativa ai dati personali
In caso di conflitto su qualsiasi questione relativa alla protezione dei dati personali, è possibile rivolgersi al titolare del trattamento all'indirizzo e alla casella di posta elettronica di cui sopra.
È inoltre possibile contattare il responsabile della protezione dei dati dell'EACEA al seguente indirizzo e-mail: eacea-data protection@ec.europa.eu.
In qualsiasi momento è anche possibile presentare un reclamo al Garante europeo della protezione dei dati: http://www.edps.europa.eu.
8. Quali sono le basi giuridiche che disciplinano il trattamento dei dati personali
Il trattamento è necessario per l'esecuzione di un compito svolto nell'interesse pubblico o nell'esercizio di pubblici poteri di cui sono investiti l'istituzione o l'organo dell'Unione (da stabilire nel diritto dell'Unione):
- decisione di esecuzione (UE) 2021/173 della Commissione che istituisce l'EACEA
- decisione C (2021) 951 della Commissione e i relativi allegati che delegano all'EACEA poteri per la gestione dei programmi nell'ambito del QFP 2021-2027
- regolamento (UE) 2021/817 del Parlamento europeo e del Consiglio, del 20 maggio 2021, che istituisce Erasmus+: il programma dell'Unione per l'istruzione, la formazione, la gioventù e lo sport e che abroga il regolamento (UE) n. 1288/2013 (GU L 189 del 28.5.2021, pag. 1) (Testo rilevante ai fini del SEE).
(1) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (Testo rilevante ai fini del SEE) (GU L 295 del 21.11.2018, pag. 39).