Informativa sul trattamento dei dati personali ai sensi dell’art.13 RGPD 679/2016
Gentile Signora/Egregio Signore,
ai sensi dell’art. 13 del Regolamento Generale sulla protezione dei dati UE n. 679/2016, recante disposizioni in materia di trattamento dei dati personali (di seguito, RGPD), La informiamo che DEFENX ITALIA S.r.l., in qualità di Titolare del trattamento dei dati da Lei forniti, utilizzerà tali informazioni che La riguardano e, qualificate come “dati personali” dal RGPD. La norma prevede che chiunque effettua trattamenti di dati personali è tenuto ad informare il soggetto interessato in merito a quali dati vengono trattati e in ordine a taluni elementi qualificanti il trattamento, che deve in ogni caso avvenire in maniera lecita, corretta e trasparente, tutelando la Sua riservatezza e garantendo i Suoi diritti.
1. TITOLARE DEL TRATTAMENTO
Il Titolare del trattamento è DEFENX Italia Srl, con sede legale in Via Larga 7, 20122 Milano.
2. RESPONSABILE DELLA PROTEZIONE DEI DATI (RPD/DPO)
Il Responsabile della protezione dei dati è raggiungibile al seguente indirizzo mail: dpogruppo@bv-tech.it
3. FINALITÀ DEL TRATTAMENTO E NATURA DEI DATI
Le informazioni ed i dati personali di seguito indicati saranno trattati per la seguente finalità:
adempiere all’esecuzione del contratto con Lei in essere per la fornitura e la gestione della soluzione “Memopal, e/o dei servizi correlati da Lei richiesti e, precisamente:
Dati necessari:
- indirizzo email dell’utente (necessario per l’individuazione dell’utente, la registrazione ed il login);
- chiave di licenza dell’utente (necessaria per identificare una licenza specifica, per il rinnovo e l’assistenza);
- password di accesso all’Account (necessaria per proteggere da violazioni di accesso)
- nome, modello e tipo di dispositivo dell’utente (necessario per identificare i dispositivi stessi e le funzioni disponibili);
- tipo di sistema operativo installato all’interno del dispositivo di cui al punto 3d) che precede (necessario per identificare le funzioni disponibili);
- indirizzo IP (necessario per proteggere da violazioni di accesso);
- tipo di browser (se utilizzato) (necessario per identificare le funzioni disponibili);
- i Suoi file.Il servizio Cloud archivia in modo automatico i file selezionati dall’utente;
- informazioni amministrative per la gestione contrattuale.
Dati facoltativi:
- informazioni relative alla Sua richiesta, se ci contatta per domande o reclami;
- nome e cognome (utilizzabile per identificare l’utente);
- indirizzo di residenza/domicilio dell’utente (utilizzabile per identificare l’utente).
4. BASE GIURIDICA DEL TRATTAMENTO
I dati personali e le informazioni di cui ai punti 3) dell’informativa, saranno trattati lecitamente perché ricorrono le seguenti condizioni:
- il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso (art. 6, par.1, lett. b RGPD);
- il trattamento è necessario per il perseguimento del legittimo interesse del Titolare del trattamento (art. 6, par. 1, lett., f RGPD),
5. OBBLIGO O FACOLTÀ DI CONFERIRE I DATI E CONSEGUENZE DI UN EVENTUALE RIFIUTO
Il conferimento dei dati necessari è indispensabile per l’instaurazione e la gestione del rapporto contrattuale. La informiamo che, in loro mancanza, sarà impossibile per la nostra Società adempiere agli obblighi di contratto con Lei in essere, pertanto, il loro mancato conferimento comporterà di fatto l’impossibilità di instaurare o proseguire il rapporto contrattuale nei limiti in cui tali dati ci sono necessari per compiere correttamente gli adempimenti legati alla gestione del contratto.
Lei è libero invece di decidere se fornirci o meno i dati “facoltativi”. Il rifiuto di fornirli non comporterà alcuna conseguenza pregiudizievole in ordine al rapporto contrattuale in essere ma implicherà unicamente l’impossibilità di ricevere servizi aggiuntivi.
6. CONSERVAZIONE
I dati personali saranno conservati nel rispetto del principio di limitazione della conservazione previsto dal RGPD e/o per il tempo necessario a perseguire la finalità del servizio e per obblighi di legge e/o di contratto. In particolare:
I dati degli utenti con abbonamento a pagamento (finché l’abbonamento è valido) rimangono all’interno dell’infrastruttura a meno che l’utente non ne chieda l’eliminazione. Allo scadere di un abbonamento a pagamento, oppure in conseguenza dell’esercizio del diritto di recesso, entro 10 (dieci) giorni lavorativi successivi all’acquisto del servizio o alla richiesta di eliminazione dell’account, tutti i dati vengono eliminati.
I dati degli utenti con abbonamento gratuito rimangono all’interno dell’infrastruttura, salvo che l’utente non effettui alcuna operazione per almeno 3 (tre) anni, in questo caso saranno eliminati.
- Recupero dei dati in caso di risoluzione o scadenza del Contratto
L’utente può scaricare i dati archiviati per un periodo di 15 (quindici) giorni a partire dalla data di risoluzione o scadenza del contratto. Nel caso in cui 15 giorni non siano sufficienti, entro tale periodo l’utente dovrà comunicarlo a Defenx per iscritto. In caso di ricevimento di richiesta scritta da parte dell’utente entro 15 (quindici) giorni dalla risoluzione o dalla scadenza del contratto, Defenx potrà provvedere all’invio dei dati su supporto fisico (ad esempio su hard-disk) via posta o corriere, a spese del cliente.
- Rimozione dei dati
In qualsiasi momento l’utente può richiedere la cancellazione dei propri dati dall’archivio tramite comunicazione scritta. Tale richiesta sarà soddisfatta entro 7 (sette) giorni lavorativi. Nel caso in cui l’utente non faccia esplicita richiesta di cancellazione, Defenx potrà conservare i dati dell’utente fino a un massimo di 90 (novanta) giorni dopo la scadenza del contratto, esclusivamente per ragioni di natura tecnica. Ai fini di operazioni commerciali e adempimenti legali, Defenx conserverà le informazioni relative all’account del cliente entro i termini previsti dalla normativa vigente.
7. MISURE DI SICUREZZA
a. Certificato digitale
Ottemperiamo a tutte le misure standard del settore volte ad eliminare i rischi di danni e accesso o uso non autorizzato delle informazioni personali, garantendo di aver attuato politiche tecniche e organizzative adeguate per applicare le misure di sicurezza stabilite dal GDPR. Tutti i dati di sono trasmessi utilizzando il protocollo HTTPS crittografato con standard TLS (Transport Layer Security) al massimo livello di certificazione. Ogni connessione a un server che dispone di un certificato non attendibile viene rifiutata dal client per evitare il MITM (Man-in-the Middle-Attack).
La fase di autenticazione inizia solo dopo aver stabilito una connessione SSL valida, cosicché quando viene proposto al client un certificato falso non viene inviato alcun nome utente o password dal client al server.
b. Autenticazione
Per poter installare la soluzione su un qualsiasi computer è necessario disporre un account utente con i privilegi opportuni. In questo modo nessuno può installare la soluzione su un PC al fine d’impadronirsi dei dati altrui.
c. Crittografia e dati
I dati vengono trasferiti cifrati dal client al server, quindi vengono memorizzati in un File System cifrato e distribuiti in blocchi con la politica RAID-5.
Ispezionando MGFS (Memopal Global File System) è impossibile sapere chi è il proprietario del file sottoposto a backup e il nome del file originale. Se qualcuno dovesse prelevare un’unità di memorizzazione dall’infrastruttura, sarebbe comunque impossibile riuscire ad accedere alle informazioni memorizzate.
La struttura dei dati contiene le associazioni tra i file e il proprietario è anch’essa cifrata. Questi dati non sono accessibili neanche al personale dell’assistenza, neppure nel corso di eventuali interventi di manutenzione.
d. Data Center e Server Farm
Il Data Center e la Server Farm sono in standard TIER IV (massimo livello di certificazione) e certificati secondo lo standard ISO 27001. L’infrastruttura prevede, tra gli altri, la completa fault tolerance, la presenza di due percorsi di distribuzione della potenza elettrica simultaneamente attivi e la possibilità di effettuare interventi di manutenzione a caldo.
Le misure di sicurezza a livello fisico del Data Center includono un sistema di videosorveglianza, sensori perimetrali antintrusione, vetri blindati e un presidio di vigilanza armata presente 7 giorni su 7 in modalità h24. La costruzione è pensata per essere protetta rispetto a eventi disastrosi di natura sismica, energetica e idrologica.
8. MODALITÀ DI TRATTAMENTO – DESTINATARI DEI DATI
Il trattamento dei Suoi dati personali sarà effettuato sia dal personale dell’Azienda, autorizzato al trattamento mediante strumenti elettronici e cartacei, sia da soggetti esterni (collaboratori e fornitori di servizi) chiamati a svolgere specifici incarichi per conto del Titolare del Trattamento, in qualità di Responsabili del trattamento, ai sensi dell’art. 28 RGPD, previa nostra lettera di incarico che imponga loro il dovere di riservatezza e sicurezza del trattamento dei dati personali, e con l’adozione di misure di sicurezza idonee per prevenire la perdita e/o usi illeciti e non corretti dei dati e/o accessi non autorizzati, nel rispetto delle vigenti disposizioni in materia di tutela dei dati personali.
Per brevità, l’elenco dettagliato dei soggetti autorizzati, nonché dei collaboratori e fornitori di servizi di nostra fiducia designati quali Responsabili del trattamento è disponibile presso la sede del Titolare del trattamento ed è a Sua disposizione.
9. TRASFERIMENTO, DIFFUSIONE E COMUNICAZIONE DEI DATI
I dati oggetto di trattamento non verranno trasferiti verso paesi terzi o organizzazioni internazionali, non verranno diffusi, e non saranno comunicati a terzi se non, ove necessario, per obblighi di legge e/o di contratto.
10. DIRITTI DELL’INTERESSATO
Come previsto dal RGPD, relativamente ai Suoi dati Lei ha il diritto di esercitare i diritti previsti dagli artt. 15 e ss. del RGPD, di seguito riportati e precisamente:
- “diritto di accesso” per ottenere la conferma dal Titolare che sia o meno in corso un trattamento di dati personali che La riguardano e in tal caso, ottenere l’accesso ai dati personali e alle seguenti informazioni: a) conoscere le finalità del trattamento; b) le categorie dei dati personali oggetto di trattamento; c) i destinatari o le categorie di destinatari a cui i dati sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati previsto oppure i criteri utilizzati per determinare tale periodo; e) qualora i dati non siano raccolti presso l’interessato, ottenere tutte le informazioni disponibili sulla loro origine;
- “diritto di rettifica” per ottenere la rettifica dei dati che La riguardano;
- “diritto all’oblio” per ottenere la cancellazione dei dati che La riguardano nei casi previsti dalla legge;
- “diritto di limitazione di trattamento” per ottenere le limitazioni del trattamento nei casi previsti dalla legge;
- “diritto alla portabilità dei dati” per ottenere la portabilità dei dati, ossia riceverli da un Titolare del trattamento in un formato strutturato, di uso comune e leggibile da dispositivo automatico e per trasmetterli ad altro titolare del trattamento senza impedimenti nei casi previsti dalla legge;
- “diritto di opposizione” per opporsi al trattamento in qualsiasi momento nei casi previsti dalla legge;
- “diritto di essere messo a conoscenza” dell’esistenza di un processo decisionale automatizzato relativo alle persone fisiche, inclusa la profilazione;
- “diritto di proporre reclamo ad una Autorità di Controllo” ex 77 RGPD (Garante per la Protezione dei Dati Personali).
Si precisa che potrebbero esserci condizioni o limitazioni ai diritti dell’interessato. Non è quindi certo che, ad esempio, si possa esercitare il diritto di portabilità dei dati in tutti i casi, ciò dipende dalle circostanze specifiche dell’attività di elaborazione, oppure, nel caso Lei decida di opporsi al trattamento dei dati, il Titolare del trattamento ha diritto di valutare la Sua istanza, che potrebbe non essere accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui Suoi interessi, diritti e libertà.
11. MODALITÀ DI ESERCIZIO DEI DIRITTI
Senza formalità alcuna l’interessato potrà in qualsiasi momento esercitare i Suoi diritti in modo chiaro ed esplicito inviando:
- una e-mail o contattando il RPD/DPO: dpogruppo@bv-tech.it – 02. 02.85 96 171
- contattando direttamente il Titolare inviando:
– una raccomandata A.R. all’indirizzo Defenx Italia S.r.l. Via Larga 7, Milano 20122
– una e-mail all’indirizzo: info@defenx.com
Milano 28/03/2022 (ultimo aggiornamento)