INFORMATIVA PRIVACY UTENTI PER L’APP FEBOS X EX ART. 13 GDPR
Normativa di riferimento
– Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (di seguito “Regolamento” o “GDPR”);
– Decreto Legislativo 30 giugno 2003, n. 196 (“Codice in materia di protezione dei dati personali”), come modificato dal Decreto Legislativo 10 agosto 2018, n. 101.
EMMETI S.p.A. Unipersonale con sede in Fontanafredda (PN), via Brigata Osoppo, 166 - 33074, P. IVA 04988370963, in qualità di Titolare del trattamento, informa gli utenti dell’applicazione mobile FEBOS X (di seguito l’“App”) che i dati personali saranno trattati nel rispetto della normativa vigente in materia di protezione dei dati personali.
La presente informativa è rivolta agli utenti dell’App (di seguito gli “Interessati”), ossia alle persone fisiche che utilizzano l’App e ai cui dati personali il trattamento si riferisce.
1) Titolare del trattamento e soggetti autorizzati
I dati personali sono trattati dal Titolare del trattamento e da personale espressamente autorizzato, che opera sulla base di istruzioni specifiche e nel rispetto degli obblighi di riservatezza.
I dati possono essere comunicati a soggetti terzi che forniscono servizi funzionali all’erogazione dell’App e alla gestione degli impianti, quali:
• personale incaricato dell’assistenza tecnica e del post-vendita, per garantire il corretto funzionamento degli impianti;
• installatori e centri di assistenza autorizzati, limitatamente agli impianti da essi installati e nei limiti delle funzionalità previste;
• fornitori di servizi IT, cloud e infrastrutturali, nominati Responsabili del trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679.
Tali soggetti trattano i dati esclusivamente per conto del Titolare e nel rispetto di adeguate misure di sicurezza.
2) Tipologie di dati personali trattati
Attraverso l’App possono essere trattate le seguenti categorie di dati personali:
a) Dati identificativi e di contatto:
• nome e cognome
• indirizzo e-mail
b) Dati di account e autenticazione:
• Informazioni sulla registrazione dell’utente
• impostazioni del profilo
• credenziali di autenticazione
• password è trattata in forma crittografata e non è mai memorizzata in chiaro
c) Dati tecnici e di utilizzo dell’App:
• informazioni relative al dispositivo mobile (modello, OS, IP, identificativi tecnici)
• dati di accesso e log dell’App
• informazioni trasmesse dai dispositivi connessi (bridge, moduli Wi‑Fi, ecc.)
• dati di diagnostica e log di funzionamento
• eventuali dati necessari per configurazione e integrità del servizio
d) Dati relativi all’impianto:
• temperatura interna e parametri ambientali rilevati
• impostazioni dell’impianto (es. modalità, orari, set‑point)
• stato e prestazioni della pompa di calore
• cronologia delle regolazioni (se prevista)
• lo storico dei dati dell’impianto può essere conservato dal Titolare in forma anonimizzata per finalità di analisi tecnica e miglioramento del servizio
e) Dati relativi alla posizione (solo se l’utente abilita la funzione)
• posizione dello smartphone, utilizzata esclusivamente per impostare la posizione dell’impianto e abilitare la visualizzazione del meteo
• il trattamento avviene solo previo consenso dell’utente, che può essere revocato in qualsiasi momento
f) Dati relativi alle richieste di assistenza:
• contenuto delle richieste
• eventuali allegati
• metadati (data/ora della richiesta)
• informazioni tecniche sul dispositivo associato alla richiesta.
Tali dati assumono natura di dati personali in quanto associati a un account utente identificabile.
3) Finalità del trattamento e base giuridica
L’App consente l’abbinamento del proprio impianto tramite la scansione del QR code generato dal sistema cloud, necessario per visualizzare e gestire i dati del dispositivo. Il trattamento dei dati personali è effettuato esclusivamente per le seguenti finalità:
1. Registrazione e gestione dell’account utente
• Creazione dell’account, autenticazione e gestione del profilo utente.
• Base giuridica: art. 6(1)(b) GDPR – esecuzione del contratto.
2. Funzionamento dell’App e dei servizi connessi
• visualizzazione e gestione delle impostazioni dell’impianto
• monitoraggio dei parametri ambientali
• consultazione dei dati di funzionamento
• invio di notifiche tecniche di servizio
• Base giuridica: art. 6(1)(b) GDPR – esecuzione del contratto.
3. Assistenza tecnica e gestione delle richieste di supporto
• Trattamento dei dati forniti tramite le richieste di assistenza e diagnosi tecnica.
• Base giuridica: art. 6(1)(b) GDPR – esecuzione del contratto.
4. Sicurezza dei sistemi e prevenzione abusi
• raccolta di log tecnici, analisi anomalie, accessi sospetti
• Base giuridica: art. 6(1)(f) GDPR – legittimo interesse.
5. Geolocalizzazione (solo se attivata dall’utente)
• Utilizzo della posizione dello smartphone esclusivamente per attivare la funzionalità meteo e impostare la posizione dell’impianto.
• Base giuridica: art. 6(1)(a) GDPR – consenso.
6. Analisi tecnica anonima dello storico dei dati
• Il Titolare può trattare lo storico dei dati dell’impianto in forma anonimizzata per finalità di analisi tecnica, miglioramento dei prodotti e sviluppo del servizio.
• Base giuridica: art. 6(1)(f) GDPR – legittimo interesse.
7. Adempimento di obblighi di legge
• Adempimento di obblighi normativi e riscontro a richieste delle autorità competenti.
• Base giuridica: art. 6(1)(c) GDPR.
4) Natura del conferimento dati
Il conferimento dei dati identificativi e tecnici richiesti dall’App è necessario per consentire la creazione dell’account e l’erogazione dei relativi servizi. In assenza di tali dati, non sarà possibile completare la registrazione né utilizzare le funzionalità offerte dall’App.
Il conferimento dei dati di geolocalizzazione è invece facoltativo. L’eventuale mancato rilascio non pregiudica la possibilità di utilizzare l’App nelle sue funzionalità principali, salvo quelle specificamente basate sulla posizione dell’utente.
5) Modalità di trattamento, sicurezza e tempi di conservazione
Il trattamento dei dati personali avviene mediante strumenti elettronici e informatici, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione e sicurezza previsti dal GDPR.
I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono raccolti e, in particolare:
• i dati relativi all’account sono conservati per tutta la durata di vigenza dello stesso; a seguito della sua cancellazione, i dati sono conservati per un periodo massimo di 12 mesi, decorso il quale saranno definitivamente cancellati o anonimizzati, salvo eventuali obblighi di legge;
• i dati tecnici e di utilizzo, inclusi log e dati di diagnostica, sono conservati per un periodo massimo di 24 mesi, salvo diversi termini previsti da obblighi normativi;
• i dati di geolocalizzazione sono trattati e conservati per il tempo strettamente necessario al conseguimento delle finalità per le quali sono raccolti e, in ogni caso, sono eliminati entro un termine massimo di due settimane, anche qualora l’account risulti attivo.
6) Comunicazione dei dati personali
I dati personali possono essere comunicati esclusivamente a soggetti terzi nei limiti delle rispettive competenze e per le sole finalità indicate nella presente informativa. In particolare, i dati possono essere comunicati a:
• personale incaricato dell’assistenza tecnica e del post-vendita, per garantire il corretto funzionamento degli impianti e dei servizi connessi all’App;
• fornitori di servizi IT e cloud che supportano lo sviluppo, la gestione e la manutenzione dell’infrastruttura tecnologica, nominati Responsabili del trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679;
• installatori e centri di assistenza autorizzati, limitatamente agli impianti da essi installati e nei limiti delle funzionalità tecniche previste;
• soggetti terzi che forniscono servizi di manutenzione, sicurezza informatica o assistenza tecnica, anch’essi nominati Responsabili del trattamento;
• autorità pubbliche o soggetti cui la comunicazione sia obbligatoria per legge o per ordine dell’autorità.
I dati personali non sono comunicati a terzi per finalità commerciali o di marketing.
7) Trasferimenti extra UE
L’utilizzo dell’infrastruttura cloud Microsoft Azure, gestita da fornitore con sede negli Stati Uniti, può comportare un trasferimento di dati personali verso Paesi terzi al di fuori dell’Unione europea.
In tali casi, il trasferimento avviene nel rispetto degli artt. 44-49 GDPR. Il Titolare adotta le Clausole Contrattuali Standard (Standard Contractual Clauses - SCC) approvate dalla Commissione europea e, ove necessario, misure tecniche e organizzative supplementari idonee a garantire un livello di protezione dei dati personali sostanzialmente equivalente a quello applicabile nell’Unione europea.
8) Diritti dell’interessato
L’Interessato può esercitare in qualsiasi momento i diritti riconosciuti dagli artt. 15-22 del Regolamento (UE) 2016/679 (GDPR), tra cui:
• ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano e accedere ai medesimi;
• richiedere la rettifica dei dati inesatti o l’aggiornamento dei dati incompleti;
• richiedere la cancellazione dei dati personali nei casi previsti dalla normativa vigente;
• ottenere la limitazione del trattamento nei casi previsti dall’art. 18 del GDPR;
• ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali forniti e, ove tecnicamente fattibile, trasmetterli a un altro titolare del trattamento (diritto alla portabilità);
• opporsi, in tutto o in parte, al trattamento dei dati personali nei casi previsti dall’art. 21 del GDPR.
• L’utente può richiedere la copia completa dei dati relativi al proprio impianto, che sarà fornita via e-mail in formato strutturato.
Le richieste relative all’esercizio dei diritti possono essere presentate in qualsiasi momento inviando una comunicazione al seguente indirizzo e-mail: [email protected].
L’Interessato ha inoltre il diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali, con sede in Piazza Venezia n. 11 – 00187 Roma, anche mediante comunicazione all’indirizzo di posta elettronica certificata [email protected].