Privacy Polo Bibliotecario Regione Lazio

La Biblioteca Istituzionale della Città metropolitana di Roma, oltre alla privacy policy della Città metropolitana di Roma, disponibile al seguente link,  ha recepito le direttive del Polo Bibliotecario della Regione Lazio, di cui fa parte, in materia di tutela della privacy e trattamento dati.

Polo regionale SBN Lazio (SBN-RL1)
INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI DEGLI UTENTI IN REGIME DI CONTITOLARITÀ, AI SENSI DEL REGOLAMENTO (UE) 2016/679 (di seguito “GDPR”), ARTT. 13-14 E 26

1) Informazioni generali
La Regione Lazio e le Biblioteche/Enti aderenti al Polo bibliotecario regionale del Lazio (SBN-RL1) cooperano al fine di promuovere e sviluppare il servizio pubblico di lettura offerto sul territorio e, in
particolare, i servizi di consultazione e prestito di materiale documentale offerti agli utenti.
Con riferimento ai dati personali degli utenti presenti negli archivi condivisi del Polo regionale SBN RL-1 (da qui in poi “Polo RL1”) e trattati dagli operatori delle Biblioteche/Enti aderenti e da personale debitamente autorizzato della Regione Lazio, le Biblioteche/Enti aderenti al Polo e la Regione sono “contitolari” del trattamento.

L’elenco delle Biblioteche/Enti aderenti al Polo è disponibile al link del sito web del Polo:
https://opac.regione.lazio.it/SebinaOpac/.do

Per la presente Biblioteca/Ente si forniscono i seguenti dati di contatto:
- Contitolare del trattamento: …(descrizione e contatti);
- Responsabile del trattamento (ove sussistente): …(descrizione e contatti);
- Responsabile della protezione dei dati personali-DPO (ove sussistente): …(descrizione e contatti);

2) Oggetto, finalità e base giuridica del trattamento
Confluiscono nell’anagrafe condivisa del Polo RL1 e sono oggetto di trattamento in contitolarità i dati personali comuni, identificativi e di contatto, necessari per la registrazione (iscrizione) dell’utente (nome e cognome, data e luogo di nascita, codice fiscale, sesso, nazionalità, estremi del documento
di identità, indirizzo di residenza, telefono e-mail di contatto da utilizzare per comunicazioni relative
ai servizi richiesti, categoria professionale di appartenenza).
Confluiscono inoltre nell’anagrafe condivisa degli utenti del Polo RL1 i dati relativi ai prestiti di materiale documentale richiesti dall’utente registrato, i quali sono consultabili esclusivamente dalle
biblioteche in cui l’utente è iscritto o associato (l’associazione dell’utente presso una biblioteca aderente al Polo RL1, diversa da quella di iscrizione, avviene su richiesta dell’utente stesso oppure
quando l’utente, già iscritto in altra biblioteca aderente al Polo RL1, richiede la fruizione di servizi di
prestito documentale presso una biblioteca del Polo RL1 diversa da quella di iscrizione).
Il conferimento dei suddetti dati personali è necessario per la registrazione dell’utente e l’erogazione
dei servizi offerti dalla presente biblioteca/ente e dalle altre biblioteche aderenti al Polo RL1, in particolare quelli di prenotazione, prestito e document delivery, salvo i servizi di libera fruizione.
Tali dati saranno accessibili e trattati in regime di contitolarità tra Regione Lazio, la presente Biblioteca/Ente e tutte le Biblioteche/Enti inserite/i nel Polo, per le seguenti finalità condivise, poste
alla base della costituzione stessa del Polo RL1:
- sviluppo, sostegno, integrazione e interconnessione delle biblioteche presenti sul territorio regionale e del relativo servizio di lettura offerto al pubblico (inclusi i servizi di consultazione, prenotazione, prestito, anche interbibliotecario e intersistemico, e document delivery);
- salvaguardia e diffusione dei patrimoni documentali detenuti, anche mediante la circolazione dei materiali e l’adeguamento di tutte le biblioteche aderenti, sia pubbliche che private, agli standard definiti per la catalogazione e la fornitura dei servizi;
- sviluppo della cooperazione per la formazione e l’incremento del catalogo collettivo e della rete del S.B.N.;
- implementazione di nuovi modelli di fruizione del patrimonio documentario mediante strumenti digitali e telematici;
- creazione di legami stabili di tipo collaborativo, anche mediante piattaforme e archivi digitali condivisi, tra i soggetti coinvolti nell’erogazione del servizio pubblico di lettura;
- realizzazione di analisi e valutazioni inerenti alla funzionalità e alle necessità del S.B.N.;
- realizzazione di analisi statistiche anche finalizzate alla raccolta e trasmissione all’ISTAT ai fini del rispetto delle disposizioni vigenti in materia di sistema statistico nazionale ai sensi dell’art. 7 del D.Lgs. n. 322/1989, del Programma statistico nazionale e dei relativi aggiornamenti annuali adottati con D.P.R.

Basi giuridiche del trattamento, ai sensi dell’art. 6 del GDPR, sono:
- l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui i Titolari sono investiti in relazione alla erogazione del servizio pubblico di lettura e alla conservazione, fruizione e valorizzazione del patrimonio culturale di cui dispongono (art. 6, comma 1 lett. e) del GDPR - D.Lgs. 42/2004, L.R. 24/2019, D.G.R. 224/2017);
- l'esecuzione di un contratto di cui l'interessato è parte o l'esecuzione di misure precontrattuali adottate su richiesta dello stesso (art. 6, comma 1 lett. b) del GDPR), avente ad oggetto, per gli utenti, la prenotazione e il prestito (locale, interbibliotecario e intersistemico) di materiale documentale e gli altri servizi offerti dalle biblioteche del Polo;
- gli obblighi di legge cui è soggetto il Titolare Regione Lazio, ai sensi degli artt. 51, 64 e 64bis
del CAD (Decreto Legislativo 7 marzo 2005, n. 82), in relazione ai dati forniti dall’utente ai fini dell’autenticazione tramite identità digitale al sito web del Polo, o all’applicazione“Bibliolazio” descritta al successivo paragrafo 3 (art. 6, comma 1 lett. c) del GDPR);
- gli obblighi di legge cui sono soggetti i Titolari, derivanti dall’art. 7 del d.lgs. n. 322/1989 in relazione alle rilevazioni ISTAT riguardanti le biblioteche che offrono servizi al pubblico (art.6, comma 1 lett. c) del GDPR).

Ai fini della costituzione e definizione del rapporto di contitolarità tra le Regione e Biblioteche/Enti
aderenti al Polo, per il trattamento dei dati personali acquisiti, gestiti e trattati per le finalità sopraindicate ed inerenti all’erogazione ottimale, tramite la piattaforma del Polo Regionale Lazio
SBN RL1, dei servizi bibliotecari afferenti il servizio pubblico di lettura, la presente Biblioteca/Ente
ha sottoscritto specifico accordo di contitolarità ai sensi dell’art. 26 del GDPR, contenente la definizione dei rispettivi ruoli e dei rapporti dei contitolari con gli interessati e per la disciplina delle
rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal GDPR. Il contenuto
essenziale dell’accordo è messo a disposizione di ogni interessato dalla presente Biblioteca/Ente
presso la propria sede.

Il trattamento dei dati è effettuato dalla presente Biblioteca/Ente, dalla Regione, dalle altre Biblioteche/Enti aderenti al Polo, nonché dai terzi eventualmente individuati come Responsabili del
trattamento da ciascuno dei predetti contitolari, anche con sistemi informatici, per il tramite di
personale appositamente autorizzato.
I trattamenti effettuabili dai soggetti autorizzati o dai responsabili del trattamento sono individuati
nell’atto di designazione, con le relative istruzioni.
I dati ospitati nella piattaforma di servizi del Polo -RL1 saranno trattati dalla Regione Lazio anche in
relazione alle necessarie attività di conservazione, backup e ripristino.

3) Modalità di registrazione dell’utente e durata del trattamento.
Per la fruizione dei servizi offerti agli utenti dalle biblioteche/enti aderenti al Polo RL1 è necessaria
una registrazione presso l’indirizzo del sito web del Polo, mediante SPID (o TS-CNS, CIE), oppure
direttamente mediante accesso fisico presso una qualsiasi delle biblioteche/enti del Polo RL1. Al momento della registrazione viene generata, nell’archivio condiviso dell’anagrafica utenti della
piattaforma del Polo RL1, una scheda (account) contenente i dati personali comuni forniti dall’utente
ai fini della registrazione.
La medesima registrazione è necessaria anche per la fruizione dei servizi, diversi da quelli ad accesso
libero, resi disponibili da remoto tramite il sito web del Polo o tramite l’applicazione per dispositivi
mobili “Bibliolazio” (applicazione per dispositivi mobili che consente agli utenti delle biblioteche del
Polo la fruizione dei servizi disponibili sul sito web del Polo, come le ricerche e prenotazioni di
materiale documentale presente nelle citate biblioteche e la visualizzazione dei dati relativi ai servizi
di prestito di materiale documentale in corso di fruizione).
I servizi non disponibili da remoto (es. prestito) sono resi fruibili agli utenti, sempre previa registrazione dell’account come indicato in precedenza, esclusivamente mediante accesso fisico
presso una delle biblioteche/enti aderenti al Polo.
La piattaforma del Polo RL1 conserverà i dati personali degli utenti, presenti nell’anagrafica utenti
dell’archivio condiviso, fino a quando l’utente è attivo in una qualunque biblioteca/ente del Polo RL1
e per i successivi 12 mesi dalla inattività. A tale fine si precisa che l’inattività ed i 12 mesi decorrono
dall’ultimo servizio di prestito di materiale documentale fruito dall’utente e regolarmente concluso,
oppure, se successivo, dall’ultimo accesso autenticato eseguito al sito web del Polo o tramite
l’applicazione Bibliolazio.
I dati acquisiti tramite i log generati dall’utilizzo di SPID (o TS-CNS, CIE) per l’accesso autenticato
al sito web del Polo o l’applicazione Bibliolazio vengono conservati per 24 mesi.

Nell’anagrafica utenti della piattaforma del Polo RL1 sono registrati anche i dati inerenti i prestiti di
materiale documentale effettuati dall’utente registrato, i quali vengono conservati e resi accessibili alle
sole biblioteche di iscrizione o associazione dell’utente per il periodo del prestito. Decorsi 90 (novanta) giorni dalla data di registrazione della restituzione del materiale preso in prestito si provvederà alle seguenti operazioni:

1) i dati relativi alla durata del prestito e al materiale preso in prestito verranno anonimizzati e conservati in forma anonimizzata per finalità esclusivamente statistiche;

2) i dati relativi alla data di conclusione del prestito (cioè di restituzione del materiale preso in prestito) verranno conservati nella piattaforma, in formato non accessibile agli operatori e all’utente, per la sola decorrenza del termine del periodo di inattività in precedenza indicato. Le suddette operazioni non saranno invece effettuate qualora l’ulteriore conservazione dei dati integrali relativi al prestito sia necessaria per l’avvio di azioni contro l’utente, da parte della biblioteca che ha erogato il prestito, per responsabilità connesse al prestito stesso, nel qual caso la conservazione di tali dati si prorogherà fino alla conclusione di tali azioni.
Decorso il periodo di inattività di 12 mesi sopraindicato si provvede alla completa cancellazione di
tutti i dati relativi all’utente (compresi quelli residui, sopraindicati, relativi ai prestiti fruiti dall’utente), o alla anonimizzazione di quelli la cui conservazione in forma anonima è necessaria ai 
fini statistici.

4) Comunicazioni dei Dati a terzi e ulteriori trattamenti
Non è prevista la pubblicazione o diffusione dei dati forniti.
Non è prevista neppure la comunicazione di tali dati a soggetti terzi, diversi dai contitolari e dai responsabili del trattamento, salvo ciò sia necessario in applicazione di specifiche disposizioni
normative.
Non è previsto il trasferimento dei Dati in paesi extra UE. Nel caso di utilizzo di sistemi cloud saranno
scelti sistemi che rispettano il Capo V del GDPR sul trasferimento dati al di fuori della Comunità
Europea.

5) Diritti dell’interessato
Al soggetto interessato (persona fisica cui si riferiscono i dati personali) se non ricorrono le limitazioni
previste dalla legge (si veda art.2-undecies D.lgs. 196/2003 “Limitazioni ai diritti dell'interessato”),
competono i diritti di cui agli articoli da 15 a 22 e all’art. 77 del GDPR, alle condizioni e con le
limitazioni ivi previste, ovvero:
- il diritto dell’interessato di ottenere la conferma che sia o meno in corso un trattamento di dati
personali che lo riguardano e in tal caso, ottenere l'accesso ai dati personali e alle informazioni
di cui all’art. 15 GDPR;
- il diritto di ottenere, senza ingiustificato ritardo, l’aggiornamento e la rettifica dei dati inesatti
ovvero quando vi ha interesse, l’integrazione dei dati incompleti (art.16 GDPR);
- il diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati personali che lo riguardano, secondo quanto previsto dall’art.17 GDPR;
- il diritto di ottenere la limitazione del trattamento quando ricorre una delle ipotesi di cui all’art. 18 GDPR;
- il diritto alla portabilità dei dati, ovvero al diritto di ricevere i dati personali che lo riguardano in un formato strutturato, di uso comune e leggibile per trasmetterli ad altro Titolare o – se tecnicamente fattibile – di ottenere la trasmissione diretta da parte del Titolare ad altro Titolare dei dati, alle condizioni e secondo le previsioni di cui all'art. 20 GDPR;
- il diritto ad opporsi al trattamento dei dati che lo riguardano sempre che ricorrano i presupposti di cui all'art. 21 GDPR;
- il diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali ai sensi dell’art. 77 GDPR;
Nei casi di cui sopra, ove necessario, ai sensi dell’art. 19 del GDPR, il Titolare porterà a conoscenza i soggetti ai quali i dati personali forniti sono stati comunicati, dell’eventuale esercizio dei diritti di cui sopra, ad eccezione di specifici casi (es. quando tale adempimento si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato).

6) Modalità di esercizio dei diritti
L’esercizio dei diritti menzionati potrà avere luogo, sulla base di quanto previsto dall’art. 12 del GDPR, presentandosi direttamente presso la sede della presente biblioteca oppure rivolgendo la relativa richiesta ai punti di contatto del “Contitolare del trattamento” indicati nel paragrafo 1 della presente informativa.
L’interessato potrà esercitare i diritti di cui sopra anche presentandosi direttamente presso una delle
altre biblioteche iscritte al Polo o rivolgendo la relativa richiesta ai punti di contatto dalle medesime
indicati nelle proprie informative reperibili presso le rispettive sedi o nei loro siti web istituzionali o
sul sito web del Polo.

A tal fine è possibile utilizzare lo specifico modello disponibile sul sito dell’Autorità garante per la protezione dei dati personali (https://www.garanteprivacy.it/) nella sezione “diritti” e seguendo il
percorso > “come agire per tutelare i tuoi dati personali” > “modulo”.
Qualora un interessato ritenga che nel trattamento dei suoi dati si sia verificata una violazione di quanto previsto dal Regolamento (UE) 2016/679, Lei ha il diritto di proporre reclamo al Garante per
la protezione dei dati personali (con sede in Roma, Piazza Venezia, 11 – 00187), come previsto dall’art. 77 del citato Regolamento, seguendo le procedure e le indicazioni pubblicate sul sito ufficiale
dell’Autorità: www.garanteprivacy.it.

7) Aggiornamento dell’informativa
La presente informativa può essere soggetta ad aggiornamenti. Deve ritenersi valida l’ultima informativa pubblicata dalla presente Biblioteca/Ente presso i propri locali ed il proprio sito web