INFORMATIVA PRIVACY INSTALLATORI PER L’APP SERVICE FEBOS X SERVICE EX ART. 13 GDPR
Normativa di riferimento
– Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (di seguito “Regolamento” o “GDPR”);
– Decreto Legislativo 30 giugno 2003, n. 196 (“Codice in materia di protezione dei dati personali”), come modificato dal Decreto Legislativo 10 agosto 2018, n. 101.
EMMETI S.p.A. Unipersonale con sede in Fontanafredda (PN), via Brigata Osoppo, 166 - 33074, P. IVA 04988370963, in qualità di Titolare del trattamento, informa gli utenti dell’App Service “Febos X Service” (di seguito l’“App”) che i dati personali saranno trattati nel rispetto della normativa vigente in materia di protezione dei dati personali.
La presente informativa è rivolta agli installatori dell’App Service (di seguito gli “Interessati”), ossia alle persone fisiche che utilizzano l’App Service e ai cui dati personali il trattamento si riferisce.
1) Titolare del trattamento e soggetti autorizzati
I dati personali sono trattati dal Titolare del trattamento e da personale espressamente autorizzato, che opera sulla base di istruzioni specifiche e nel rispetto degli obblighi di riservatezza.
I dati possono essere comunicati a soggetti terzi che forniscono servizi funzionali all’erogazione dell’App e alla gestione degli impianti, quali:
• personale incaricato dell’assistenza tecnica, del post?vendita e della gestione degli account Service, appositamente autorizzato e istruito ai sensi dell’art. 29 GDPR;
• fornitore tecnico, nominato Responsabile del trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679.
Tali soggetti trattano i dati esclusivamente per conto del Titolare e nel rispetto di adeguate misure di sicurezza.
2) Tipologie di dati personali trattati
Attraverso l’App possono essere trattate le seguenti categorie di dati personali:
a) Dati identificativi e di contatto:
• nome e cognome
• indirizzo e-mail
b) Dati di account e autenticazione:
• credenziali collegate all’invito Emmeti
• token di accesso e dati di sessione
• ruolo dell’utente (ad es. “SERVICE”)
c) Dati relativi agli impianti:
• L’installatore può vedere solo gli impianti che ha installato, oppure ai quali è associato tramite QR code “service” generato dal cloud
• Per ciascun impianto: stato del sistema, parametri tecnici, dati di funzionamento, informazioni necessarie all’assistenza
d) Dati tecnici e log dell’App
• dati del dispositivo (modello, OS, IP)
• log tecnici
• dati di diagnostica
e) Dati relativi alle richieste di assistenza:
• contenuto delle richieste
• storico delle attività svolte sull’impianto (solo se il cliente contrattualizza servizi aggiuntivi)
Tali dati assumono natura di dati personali in quanto associati a un account utente identificabile.
3) Finalità del trattamento e base giuridica
L’App consente l’abbinamento del proprio impianto tramite la scansione del QR code generato dal sistema cloud, necessario per visualizzare e gestire i dati del dispositivo. Il trattamento dei dati personali è effettuato esclusivamente per le seguenti finalità:
1. Gestione dell’account Service e dell’accesso all’App
• Creazione e attivazione dell’account tramite invito inviato da Emmeti.
• Base giuridica: art. 6(1)(b) GDPR – esecuzione del rapporto contrattuale o precontrattuale.
2. Visualizzazione degli impianti installati
• L’app permette all’installatore di accedere esclusivamente agli impianti collegati al proprio profilo tramite QR code “service”.
• Base giuridica: art. 6(1)(b) GDPR.
3. Assistenza tecnica sull’impianto
• Supporto tecnico limitato agli impianti installati.
• Le modifiche attive sull’impianto sono permesse solo se contrattualizzate dal cliente finale.
• Base giuridica: art. 6(1)(b) GDPR
4. Sicurezza dei sistemi e prevenzione abusi
• raccolta di log tecnici, analisi anomalie, accessi sospetti
• Base giuridica: art. 6(1)(f) GDPR - legittimo interesse.
5. Adempimento di obblighi di legge
• Adempimento di obblighi normativi e riscontro a richieste delle autorità competenti.
• Base giuridica: art. 6(1)(c) GDPR.
6. Natura del conferimento dati
Per utilizzare l’App Service, è necessario fornire i dati richiesti durante la registrazione.
Senza aver ricevuto un invito e le credenziali di accesso, l’installatore non potrà accedere all’App né usufruire delle funzionalità riservate.
4) Modalità di trattamento, sicurezza e tempi di conservazione
I dati personali degli installatori sono trattati mediante strumenti elettronici e informatici, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, integrità e riservatezza previsti dal Regolamento (UE) 2016/679 (GDPR).
Il Titolare adotta adeguate misure tecniche e organizzative per garantire un livello di sicurezza appropriato al rischio, al fine di prevenire accessi non autorizzati, perdita, distruzione o diffusione indebita dei dati.
I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono raccolti, e in particolare:
• i dati relativi all’account installatore sono conservati per tutta la durata dello stesso; a seguito della sua cancellazione, i dati sono conservati per un massimo di 12 mesi, decorso il quale saranno definitivamente cancellati o anonimizzati, salvo eventuali obblighi di legge;
• i dati tecnici e di utilizzo, inclusi log e dati di diagnostica, sono conservati per un periodo massimo di 24 mesi, salvo diversi termini previsti da obblighi normativi;
L’App Service non raccoglie dati di posizione del dispositivo dell’installatore. Eventuali informazioni sulla posizione degli impianti visualizzate nell’App si riferiscono esclusivamente ai dati forniti dai clienti finali tramite l’App Consumer.
5) Destinatari dei dati
I dati personali possono essere comunicati esclusivamente a soggetti terzi nei limiti delle rispettive funzioni e per le finalità connesse alla gestione e al funzionamento dell’App Service. In particolare, i dati possono essere comunicati a:
• personale Emmeti incaricato del supporto tecnico e del servizio post-vendita, per finalità di assistenza e gestione operativa tramite accesso al portale cloud;
• fornitori di servizi IT e cloud che sviluppano e gestiscono l’infrastruttura tecnologica dell’App, nominati Responsabili del trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679;
• soggetti terzi che forniscono servizi di manutenzione, sicurezza informatica o assistenza tecnica, anch’essi nominati Responsabili del trattamento;
• autorità pubbliche o soggetti cui la comunicazione sia obbligatoria per legge o su richiesta dell’autorità competente.
Ciascun installatore può accedere esclusivamente ai dati relativi agli impianti di propria competenza. Non è consentita la visualizzazione o l’accesso ai dati riferiti ad altri installatori.
6) Trasferimenti extra UE
L’utilizzo dei servizi cloud forniti da Microsoft Azure, con data center situati anche al di fuori dell’Unione Europea, può comportare il trasferimento di dati personali verso Paesi terzi.
Tali trasferimenti avvengono nel pieno rispetto delle disposizioni degli articoli 44–49 del Regolamento (UE) 2016/679 (GDPR). In particolare, sono adottate le Clausole Contrattuali Standard (Standard Contractual Clauses – SCC) e, se necessario, ulteriori misure tecniche e organizzative per garantire un livello di protezione dei dati sostanzialmente equivalente a quello previsto nell’UE.
7) Diritti dell’interessato
L’Interessato può esercitare in qualsiasi momento i diritti riconosciuti dagli artt. 15-22 del Regolamento (UE) 2016/679 (GDPR), tra cui:
• ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano e accedere ai medesimi;
• richiedere la rettifica dei dati inesatti o l’aggiornamento dei dati incompleti;
• richiedere la cancellazione dei dati personali nei casi previsti dalla normativa vigente;
• ottenere la limitazione del trattamento nei casi previsti dall’art. 18 del GDPR;
• ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali forniti e, ove tecnicamente fattibile, trasmetterli a un altro titolare del trattamento (diritto alla portabilità);
• opporsi, in tutto o in parte, al trattamento dei dati personali nei casi previsti dall’art. 21 del GDPR.
• L’utente può richiedere la copia completa dei dati relativi al proprio impianto, che sarà fornita via e-mail in formato strutturato.
Le richieste relative all’esercizio dei diritti possono essere presentate in qualsiasi momento inviando una comunicazione al seguente indirizzo e-mail: [email protected].
L’Interessato ha inoltre il diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali, con sede in Piazza Venezia n. 11 – 00187 Roma, anche mediante comunicazione all’indirizzo di posta elettronica certificata [email protected].