Privacy Policy
1. Premessa e ambito di applicazione
Il Comune di Scandicci svolge, nell'esercizio delle proprie funzioni istituzionali, una pluralità di trattamenti di dati personali profondamente eterogenei tra loro per finalità, base giuridica, categorie di dati e soggetti destinatari: dalla tenuta dei registri anagrafici alla gestione dei tributi, dai servizi sociali alla polizia locale, dalla gestione del personale alle segnalazioni di whistleblowing. Per questa ragione la presente informativa non ha la pretesa di descrivere in modo esaustivo ciascuno di tali trattamenti; operazione che, tentata in un unico documento, produrrebbe formule generiche incapaci di soddisfare realmente il livello di specificità richiesto dagli artt. 13 e 14 del GDPR per ogni singolo trattamento.
Questa pagina ha, invece, la funzione di informativa generale: definisce i principi, i soggetti responsabili e le garanzie comuni a tutti i trattamenti effettuati dal Comune, e rinvia, per ogni servizio o procedimento specifico, alle informative di settore elencate alla sezione 12, che sono la sede propria in cui trovare finalità, base giuridica e tempi di conservazione puntuali per quel singolo trattamento.
La presente informativa si applica inoltre, in via generale, ai dati di navigazione raccolti attraverso il sito istituzionale e ai dati forniti volontariamente dall'utente tramite moduli di contatto non collegati a un procedimento amministrativo specifico.
2. Il Titolare del Trattamento
Il Comune di Scandicci è il "titolare del trattamento": è l'ente responsabile dei tuoi dati personali quando usi i servizi comunali, anche attraverso questo sito.
Puoi contattarci così:
Comune di Scandicci
Piazzale della Resistenza, 1 – 50018 Scandicci (FI)
PEC: comune.scandicci@postacert.toscana.it
Telefono: 055055
Il Titolare esercita le proprie funzioni attraverso la Sindaca pro tempore, quale rappresentante legale dell'Ente, e attraverso i Dirigenti/Responsabili di Settore, quali Responsabili interni del trattamento per gli ambiti di rispettiva competenza (v. sezione 6)
3. Il Responsabile della Protezione dei Dati (RPD/DPO)
La legge prevede che il Comune si avvalga di un Responsabile della Protezione dei Dati (in inglese Data Protection Officer, sigla DPO): una figura indipendente che vigila sul rispetto delle regole sulla privacy e a cui puoi rivolgerti per qualsiasi domanda sui tuoi dati.
Ai sensi dell'art. 37 del GDPR e dell'art. 2-sexiesdecies del D.Lgs. n. 196/2003, il Comune di Scandicci ha designato quale Responsabile della Protezione dei Dati personali (RPD/DPO) Etruria PA S.p.A, con sede in Empoli (FI), Via R. Reali 20-22, nella persona dell'Avv. Francesco Barchielli, referente persona fisica incaricato dell'esecuzione materiale delle funzioni di RPD ai sensi dell'art. 37, par. 6, del GDPR.
La designazione è stata disposta con Atto del Sindaco n. 9 del 1° luglio 2026, a seguito dell'affidamento diretto disposto con Determinazione dirigenziale n. 744 del 30 giugno 2026, per il periodo dal 1° luglio 2026 al 30 giugno 2029, con opzione di rinnovo per ulteriori 36 mesi.
| PEC dedicata | francesco.barchielli@firenze.pecavvocati.it |
| E-mail dedicata | f.barchielli@studiobarchielli.it |
| Telefono/Cellulare | 0552381961 / 3393400116 |
4. Finalità e basi giuridiche
4.1. Dati di navigazione
I sistemi informatici del Comune acquisiscono, nel corso del loro normale funzionamento, alcuni dati la cui trasmissione è implicita nell'uso dei protocolli di comunicazione internet (indirizzi IP, tipo di browser, sistema operativo, orario della richiesta). Tali dati sono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso del sito e di verificarne il corretto funzionamento, e potrebbero essere utilizzati per l'accertamento di responsabilità in caso di ipotesi di reati informatici a danno del sito. Base giuridica: art. 6, par. 1, lett. e), GDPR, in relazione agli artt. 3, 7, 8 e 12 del D.Lgs. 7 marzo 2005, n. 82 (Codice dell'Amministrazione Digitale).
4.2 Dati forniti tramite moduli, istanze e servizi online
I dati conferiti attraverso moduli di contatto, istanze telematiche o servizi online sono trattati per la finalità specifica del procedimento o del servizio cui il modulo si riferisce, secondo quanto indicato nell'informativa di settore corrispondente (v. sezione 12). Base giuridica: art. 6, par. 1, lett. c) o e), GDPR — rispettivamente esecuzione di un obbligo di legge o esecuzione di un compito di interesse pubblico — secondo la disciplina di settore richiamata nella singola informativa; per le categorie particolari di dati ex art. 9 GDPR, ove trattate, trova applicazione l'art. 9, par. 2, lett. g), in combinato disposto con l'art. 2-sexies del D.Lgs. n. 196/2003.
4.3 Pubblicazioni in Amministrazione Trasparente
I dati pubblicati nella sezione "Amministrazione Trasparente" del sito (ivi inclusi, a titolo esemplificativo, dati relativi a incarichi, compensi, contratti, atti di gara) sono trattati in adempimento di un obbligo di legge, ai sensi del D.Lgs. 14 marzo 2013, n. 33 e delle delibere ANAC in materia, e non in base al consenso dell'interessato: di conseguenza, il diritto di opposizione di cui all'art. 21 GDPR non può essere esercitato per impedire la pubblicazione ove questa sia imposta dalla legge, fermi restando i diritti di rettifica in caso di dati inesatti.
4.4. Comunicazioni, avvisi ed eventuali newsletter
Ove il Comune offra servizi di comunicazione proattiva su base facoltativa (ad es. avvisi di scadenza, newsletter), tali comunicazioni sono attivate solo su scelta esplicita dell'interessato (opt-in) e possono essere in qualsiasi momento disattivate (opt-out), senza che ciò pregiudichi l'accesso agli altri servizi. Base giuridica: art. 6, par. 1, lett. a), GDPR (consenso) — unico caso, tra quelli qui descritti, in cui trova applicazione il diritto alla portabilità dei dati di cui all'art. 20 GDPR (v. sezione 10).
5. Categorie di dati trattati
Dati identificativi e di contatto (nome, cognome, codice fiscale, indirizzo, recapiti), acquisiti tramite SPID/CIE, moduli o istanze;
Dati relativi a procedimenti amministrativi specifici (tributari, edilizi, sociali, anagrafici), secondo quanto dettagliato nelle informative di settore;
Dati di navigazione, di natura tecnica, come descritti alla sezione 4.1;
Categorie particolari di dati (art. 9 GDPR) e dati relativi a condanne penali o reati (art. 10 GDPR), unicamente ove strettamente necessari per specifici procedimenti (ad es. servizi sociali, whistleblowing) e sempre secondo quanto indicato nella relativa informativa di settore.
6. Sistemi della responsabilità. Organigramma Privacy
All'interno del Comune, i tuoi dati sono trattati solo da personale autorizzato, formato per svolgere quel compito specifico e tenuto al rispetto della riservatezza. Quando ci avvaliamo di fornitori esterni per gestire alcuni servizi (ad esempio la manutenzione dei sistemi informatici), questi soggetti trattano i dati solo in base alle nostre istruzioni e in forza di un contratto che li vincola al rispetto delle stesse regole di protezione dei dati che seguiamo noi.
In coerenza con il principio di responsabilizzazione (accountability) di cui all'art. 5, par. 2, GDPR, il Comune ha strutturato un sistema di responsabilità a più livelli, così articolato:
| Ruolo | Soggetto | Funzione |
| Titolare del Trattamento | Comune di Scandicci | Decisioni sulle finalità e sui mezzi del trattamento; responsabilità complessiva ai sensi dell'art. 24 GDPR |
| Responsabile della Protezione dei Dati (RPD/DPO) | Etruria PA SpA — Avv. Francesco Barchielli | Consulenza, sorveglianza sull'osservanza del GDPR, punto di contatto con il Garante, ai sensi degli artt. 38-39 GDPR |
| Responsabili interni del trattamento | Dirigenti/Responsabili di Settore | Attuazione delle misure di protezione dei dati nei trattamenti di competenza della propria struttura |
| Referenti privacy di ufficio | Figure designate all'interno di ciascun ufficio/servizio | Raccordo operativo tra il personale e il Responsabile interno di Settore |
| Autorizzati al trattamento | Dipendenti e collaboratori individuati con apposita designazione | Trattano i dati esclusivamente sulla base di istruzioni impartite dal Titolare |
| Responsabili esterni del trattamento | Fornitori di servizi, società di consulenza, gestori di piattaforme (v. sezione 7) | Trattano dati per conto del Titolare in base a contratto o atto giuridico ex art. 28 GDPR |
7. Destinatari e Responsabili esterni del trattamento
I dati personali sono trattati da personale autorizzato e vincolato ad obblighi di riservatezza. I dati possono inoltre essere comunicati, nei limiti strettamente necessari alle rispettive finalità, a soggetti terzi designati Responsabili del trattamento ex art. 28 GDPR, quali, a titolo esemplificativo:
fornitori di servizi informatici (gestione del sito, hosting, software gestionali, posta elettronica);
società di consulenza incaricate di specifici adempimenti;
il Responsabile della Protezione dei Dati, per le attività di supporto alla Privacy Governance dell'Ente previste dal Capitolato d'oneri relativo al servizio di RPD/DPO.
I dati possono altresì essere comunicati ad altre pubbliche amministrazioni quando ciò sia previsto da una norma di legge o di regolamento, o sia comunque necessario per lo svolgimento delle funzioni istituzionali dell'Ente. I dati personali non sono in alcun caso oggetto di diffusione, salvo quando quest'ultima sia specificamente prevista dalla legge (ad es. obblighi di pubblicazione ai sensi del D.Lgs. n. 33/2013).
8. Trasferimento dei Dati verso paesi extra-UE o organizzazioni internazionali
Il trattamento dei dati avviene, di norma, all'interno dell'Unione Europea. Qualora l'esecuzione di specifici servizi digitali o l'utilizzo di infrastrutture IT in cloud comportino il trasferimento di dati verso fornitori situati in Paesi extra-UE, il Comune adotta le tutele contrattuali e informatiche necessarie conformemente agli artt. 44-49 del GDPR. Maggiori informazioni sulle garanzie adottate per i singoli servizi possono essere richieste direttamente al Responsabile della Protezione dei Dati (DPO) dell'Ente.
9. Periodo di conservazione
I dati personali sono conservati per il tempo stabilito dalla legge per ciascun procedimento o, in assenza di un termine specifico, secondo i criteri fissati dal piano di conservazione e dal massimario di selezione e scarto adottato dall'Ente in conformità con la normativa in materia di archivi delle pubbliche amministrazioni e con le indicazioni della Soprintendenza archivistica competente. I termini puntuali di conservazione applicabili a ciascun trattamento sono indicati, ove determinabili, nella relativa informativa di settore.
10. I tuoi diritti sui dati personali
In qualsiasi momento puoi esercitare i seguenti diritti sui tuoi dati personali.
Accesso (art. 15 GDPR) Puoi chiedere se trattiamo dati che ti riguardano, quali sono, e ottenerne una copia.
Rettifica (art. 16 GDPR) Puoi chiedere la correzione di un dato sbagliato o incompleto.
Cancellazione (art. 17 GDPR). Puoi chiedere che i tuoi dati vengano cancellati. Attenzione però: se il trattamento è imposto dalla legge (es. come per i registri anagrafici o i tributi) non possiamo cancellarli finché la legge lo richiede. Possiamo comunque sempre correggerli, se sono inesatti.
Limitazione (art. 18 GDPR). Puoi chiedere che l'uso dei tuoi dati venga temporaneamente sospeso, ad esempio mentre verifichiamo un'informazione che hai contestato.
Opposizione (art. 21 GDPR). Puoi opporti al trattamento per motivi legati alla tua situazione particolare. Questo diritto non si applica, però, quando il trattamento è un obbligo di legge (come ad esempio le pubblicazioni in Amministrazione Trasparente) perché in quel caso non è una nostra scelta discrezionale, ma una regola che dobbiamo rispettare comunque.
Portabilità (art. 20 GDPR). Puoi chiedere di ricevere i tuoi dati in un formato trasferibile altrove, ma solo se il trattamento si basa su un tuo consenso esplicito o su un contratto, e avviene con strumenti automatizzati (ad esempio, se ti sei iscritto a una comunicazione facoltativa). Non si applica alla maggior parte dei trattamenti del Comune, che si basano invece sulla legge.
Per esercitare i tuoi diritti scrivi al Comune di Scandicci o al Responsabile della Protezione dei Dati (trovi i contatti sopra), spiegando cosa desideri. Per tutelarti, potremmo chiederti un documento d'identità, per essere sicuri che sia davvero tu a fare la richiesta.
Ti risponderemo tempestivamente e, in ogni caso, entro i termini previsti dalla normativa vigente. Qualora la tua richiesta dovesse risultare particolarmente complessa o numerosa, i tempi di risposta potrebbero estendersi: in questo caso sarà nostra cura informarti tempestivamente sui motivi del ritardo.
11. Diritto di Reclamo
Fermo restando ogni altro rimedio amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento dei propri dati personali avvenga in violazione del Regolamento ha diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it), ai sensi dell'art. 77 GDPR, o di adire l'autorità giudiziaria ai sensi dell'art. 79 GDPR.
12. Informative di settore
Per ogni servizio o procedimento specifico, l'informativa completa, con finalità, base giuridica, categorie di dati e tempi di conservazione puntuali, è pubblicata nella pagina del relativo servizio. Di seguito l'indice per area di competenza:
13. Modifiche all'informativa
Il Titolare del Trattamento si riserva il diritto di apportare modifiche, integrazioni o aggiornamenti alla presente Informativa sulla Privacy in qualsiasi momento, in particolare al fine di adeguarla all'evoluzione normativa (nazionale ed europea), a provvedimenti delle Autorità di controllo o a variazioni delle modalità tecniche e organizzative del trattamento dei dati. Tali modifiche saranno rese note agli utenti mediante pubblicazione tempestiva e adeguata nella presente pagina del sito istituzionale. Si invita pertanto l'utente a consultare periodicamente questa pagina per verificare la versione più aggiornata dell'informativa."
