INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI AI SENSI DEGLI ARTT. 13 E 14 REGOLAMENTO (UE) 2016/679 (GDPR)

Lombardini22 S.p.A., in qualità di Titolare del trattamento dei dati personali, riconosce l’importanza del trattamento dei dati personali e invita il partecipante al “Neuroscience Experiment” a leggere con attenzione le informazioni che seguono:

1. TITOLARE DEL TRATTAMENTO DEI DATI PERSONALI

Ai sensi dell’art. 4, punto 7 del GDPR, Titolare del trattamento è colui che “determina le finalità e i mezzi del trattamento di dati personali”. Il Titolare del trattamento è: LOMBARDINI22 S.P.A., con sede in Via Lombardini n. 22, 20143 Milano (MI), P.IVA 05505600964, e-mail info@lombardini22.com, T. +39 0236596200, F. +39 0283201397 (da ora anche solo “Lombardini 22”).

2. RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI

Il Responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese Data Protection Officer – DPO) è una figura prevista dall'art. 37 del GDPR. per assolvere a funzioni di supporto e controllo, consultive, formative e informative a favore del Titolare. Lombardini22 S.P.A. ha conferito l’incarico di DPO a BRIOLA&PARTNERS S.R.L., con sede in Via Podgora n. 11, 20122 Milano (MI), P.IVA 10579350967, con referente individuato nell’AVV. MARIKA FARDO. Il DPO è raggiungibile ai seguenti contatti: e-mail dpo@l22.it, T. +39 0255180585, F. + 39 0255182047.

3. CARATTERISTICHE DEL TRATTAMENTO

Lombardini22 sta progettando, per conto del Salone del Mobile di Milano, una nuova esperienza di fiera, più facile nell’orientamento e nella fruibilità degli spazi. 

Attraverso l’EEG* (elettroencefalografia) Lombardini22 osserverà l’attività elettrica cerebrale e con ECG analizzerà il sistema nervoso autonomo (battito cardiaco) di n. 100 partecipanti all’esperimento per registrare le loro reazioni neurofisiologiche all’esperienza e, attraverso la sottoposizione di test neuroscientifici, ricevere così, in real time informazioni su come lo spazio, il percorso e gli stand incidono sulla visita.  I dati acquisiti mediante EEG, ECG e i test neuroscientifici sono anonimizzati in quanto associati solo ad un numero di sessione attribuito al partecipante e non al nominativo dello stesso.

L’obiettivo dell’esperimento è capire se il nuovo layout espositivo genera esperienze di visita migliori. Sulla base di questi dati aggregati verranno progettate le prossime edizioni del Salone del Mobile.Milano!

Il ciclo di vita del trattamento dei dati è il seguente:

  1. iscrizione dei partecipanti all’evento, mediante link ad area riservata del sito web di Lombardini22, con indicazione di nome, cognome, indirizzo e-mail e posizione aziendale;
  2. i suddetti nominativi, una volta raccolti, verranno associati a “numeri di sessione” (esempio: signor Rossi = numero 1 di 100), senza che venga registrata/conservata la chiave di associazione;
  3. sottoposizione ai partecipanti per loro sottoscrizione della “Déclaration écrite de consentement à participer à l'étude” (“Dichiarazione scritta di consenso alla partecipazione allo studio”) richiesta dal Centro di Ricerca MySpace, Dipartimento di neuroscienza dell’Università di Losanna;
  4. svolgimento, a cura di personale di Lombardini22, dell’esperimento, consistente nella raccolta di dati sanitari (onde celebrali, battito cardiaco) e impressioni sull’esperienza attraverso braccialetto ECG, Caschetto EEG e sottoposizione di test neuroscientifico agli interessati. I dati saranno associati al numero di sessione attribuito a ciascun interessato nella precedente fase;
  5. terminati gli esperimenti, i dati provenienti dai dispositivi utilizzati per l’esperimento, nella versione anonimizzata, e i supporti cartacei (test e dichiarazione di consenso) saranno salvati sul server di Lombardini22;
  6. trasmissione dei dati sanitari (nella versione anonimizzata) e della “Déclaration écrite de consentement à participer à l'étude” (“Dichiarazione scritta di consenso alla partecipazione allo studio”) compilata e sottoscritta da ciascun partecipante, a mezzo di un canale FTP, all’Università di Losanna. I dati potranno pertanto essere scaricati dagli scienziati svizzeri mediante l’utilizzo dell’utenza e della password che Lombardini22 comunicherà loro, ai fini delle analisi dei dati stessi (ovvero comparazione tra le reazioni neurofisiologiche e le impressioni dichiarate all’esperienza);
  7. una volta che l’Università di Losanna avrà acquisito i dati, Lombardini22 chiuderà il canale FTP aperto a tale scopo ed i dati saranno definitivamente rimossi dal server di Lombardini22. I questionari cartacei saranno eliminati in modo sicuro;
  8. ricezione dei risultati delle analisi (vale a dire, dati aggregati anonimi);
  9. pubblicazione dei risultati statistici (dati aggregati anonimi) su siti web, social network, anche in condivisione con Salone di Milano.

4. BASE GIURIDICA DEL TRATTAMENTO

Il trattamento dei dati di cui sopra avverrà unicamente sulla base del consenso espresso dal partecipante all’evento. La mancata espressione del consenso impedisce l’esecuzione dell’esperimento.

5. MODALITÀ DEL TRATTAMENTO

I Dati personali sono trattati secondo i principi di correttezza, lealtà e trasparenza previsti dalla normativa applicabile in materia di protezione dei dati personali e tutelando la riservatezza dell'Interessato tramite misure di sicurezza tecniche e organizzative per garantire un livello di sicurezza adeguato. Il trattamento sarà realizzato per mezzo delle operazioni o complesso di operazioni indicate dall’art. 4, punto 2 del GDPR. 

Di seguito si indicano le caratteristiche dei dispositivi utilizzati:

  • Caschetto EEG : Unicorn Hybrid Black 
    L'Unicorn Brain Interface è un kit di amplificatori di biosegnali di livello consumer. Permette a sviluppatori, artisti e maker di integrare i segnali del corpo umano nei loro progetti, dalla semplice visualizzazione dei segnali alla progettazione e al controllo di dispositivi annessi e all'interazione con installazioni artistiche, giocattoli, programmi per computer o applicazioni e altro ancora. 
    L'Unicorn Brain Interface acquisisce l'EEG da otto elettrodi Unicorn Hybrid EEG. L'interfaccia cerebrale Unicorn è composta da Unicorn Brain Interface Hybrid Black, Unicorn C Size M, elettrodi EEG ibridi Unicorn, cavo di ricarica USB Unicorn e un dongle Bluetooth Unicorn per acquisire i dati su un computer. La Unicorn Suite è l'ambiente software, composto da applicazioni standalone e API per interfacciare l'Unicorn Brain Interface, acquisire ed elaborare i dati ed eseguire paradigmi BCI.
  • Braccialetto ECG : Polar verity Sense 
    Polar Verity Sense è un versatile sensore ottico di frequenza cardiaca di alta qualità che misura la frequenza cardiaca dal braccio o dalla tempia. È possibile registrare gli allenamenti nella memoria interna del sensore e trasferire successivamente i dati sul telefono oppure collegarlo a un dispositivo compatibile e seguire la frequenza cardiaca in tempo reale durante l'allenamento.
    Polar Verity Sense trasferisce i dati tramite Bluetooth e ANT+. È possibile utilizzare il sensore con decine di app leader nel settore del fitness, tra cui l'app Polar Flow, e con dispositivi di allenamento compatibili con Bluetooth e ANT+. È possibile trasmettere la frequenza cardiaca contemporaneamente a due diversi dispositivi Bluetooth riceventi e a tutti i dispositivi ANT+ desiderati.
  • Test Neuroscientifici: STAI (State Trait Anxiety Inventory, BIG 5, Compiti di Memoria) su sopporto cartaceo.

6. VALUTAZIONE DI IMPATTO

Il Titolare conduce una Valutazione di Impatto relativa al trattamento dei dati sanitari acquisiti nella modalità sopra indicata. In caso di accesso indesiderato, gli interessati potrebbero subire un impatto di tipo psicologico per senso di violazione della privacy. Secondo un approccio prudenziale, Lombardini22 ha valutato che esistono studi, seppur in fase sperimentale, secondo cui dal tracciato dell'ECG (elettrocardiogramma) - con i giusti strumenti è possibile ricavare un parametro unico, che quindi può essere impiegato per identificare i singoli individui in maniera sicura ed univoca. Nella prospettiva di un’evoluzione scientifica futura che renda le suddette informazioni tecnicamente “dati biometrici”, l’appropriazione da parte di soggetti non legittimati può prestarsi ad azioni fraudolente e compromettere l’efficacia di sistemi basati sul riconoscimento biometrico mediante ECG. 

Il rischio tuttavia risulta limitato considerando (i) che l’impiego attuale del tracciato ECG per l’identificazione delle persone è oggi minimale e (ii) che i dati sono acquisiti in maniera anonima, dunque non vi è associazione tra il dato sanitario e il nominativo di una persona. Inoltre le misure di sicurezza tecniche e organizzative impiegate ridimensionano fortemente il rischio.

7. CONSERVAZIONE DEI DATI

I dati acquisiti, comunque in versione anonimizzata, mediante braccialetto ECG, Caschetto EEG e sottoposizione di test neuroscientifico sono conversati sino all’avvenuta conferma della corretta ricezione degli stessi da parte dell’Università di Losanna. Successivamente vengono eliminati in modo sicuro.

Lombardini22 non registra, né conserva i dati di associazione tra dati identificativi degli interessati e numeri di sessione. 

Lombardini22 conserva i dati personali di tipo comune (nome e cognome, dati di contatto) dei partecipanti all’esperienza fino alla conclusione dell’evento e sino a 24 mesi successivi per finalità di marketing (es. inviti ad eventi analoghi).

8. COMUNICAZIONE E DIFFUSIONE DEI DATI PERSONALI

I Dati acquisiti mediante braccialetto ECG, Caschetto EEG e sottoposizione di test neuroscientifico, comunque nella versione anonimizzata, sono comunicati all’Università di Losanna ai fini delle analisi sui dati stessi. L’Università di Losanna è nominata Responsabile esterno del trattamento ai sensi dell’art. 28 GDPR. I dati personali non saranno in ogni caso soggetti a diffusione per fini pubblicitari e/o di marketing né saranno venduti, affittati o ceduti a terzi indeterminati.

9. TRASFERIMENTO DEI DATI PERSONALI ALL’ESTERO

I dati (in versione comunque anonimizzata) sono trasferiti in Svizzera. La Commissione europea nel suo Report del 15 gennaio 2024, ha decretato che “il diritto svizzero in materia di protezione dei dati continua a soddisfare gli standard europei”, pertanto i dati personali possono essere trasferiti alla Svizzera senza necessitare di ulteriori garanzie.

10. DIRITTI DELL’INTERESSATO AL TRATTAMENTO

L’Interessato può esercitare i suoi diritti nei confronti del Titolare, utilizzando i seguenti recapiti nella disponibilità del Data Protection Officer: dpo@l22.it, T. +39 0255180585, F. + 39 0255182047. Per garantire il corretto esercizio dei diritti, dovrà rendersi identificabile in maniera inequivocabile. Il Titolare si impegna a fornire riscontro entro 30 giorni e, in caso di impossibilità a rispettare tali tempi, a motivare l’eventuale proroga dei termini previsti. Il riscontro avverrà a titolo gratuito salvo casi di infondatezza (es. non esistono dati che riguardano l’interessato richiedente) o richieste eccessive (es. ripetitive nel tempo) per le quali potrà essere addebitato un contributo spese non superiore ai costi effettivamente sopportati per la ricerca effettuata nel caso specifico. In ogni momento potrà esercitare, ai sensi degli articoli dal 15 al 22 del GDPR, il diritto di:

  1. chiedere la conferma dell’esistenza o meno di propri dati personali;
  2. ottenere le indicazioni circa le finalità del trattamento, le categorie dei dati personali, i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati e, quando possibile, il periodo di conservazione;
  3. ottenere la rettifica e la cancellazione dei dati;
  4. ottenere la limitazione del trattamento;
  5. ottenere la portabilità dei dati, ossia riceverli da un titolare del trattamento, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad un altro titolare del trattamento senza impedimenti;
  6. opporsi al trattamento in qualsiasi momento ed anche nel caso di trattamento per finalità di marketing diretto ai sensi dell’art. 130 Codice della privacy;
  7. opporsi ad un processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione.
  8. chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  9. revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.

L’interessato può altresì proporre reclamo a un’autorità di controllo nel caso in cui ritenga che il trattamento dei dati personali sia effettuato in violazione della normativa sulla protezione dei dati personali.