Per Ettomio (“Ettomio”) la privacy dei propri clienti è di primaria importanza. La presente Informativa sulla privacy definisce quali dati vengono raccolti e il modo in cui gli stessi vengono utilizzati, divulgati, trasferiti e/o archiviati dall'azienda.
1. Identità di Ettomio
In caso di domande relative alla presente politica di privacy è possibile contattarci utilizzando le informazioni riportate di seguito.
Ettomio Srl Benefit
Via Giusto Bellavitis 10
36100 Vicenzq
Italia
Telefono: + 39 3317616281
Email: info@ettomio.com
Numero di iscrizione nel registro delle imprese VI399822
I nostri clienti possono inviare richieste riguardanti la protezione dei dati personali, la privacy e la sicurezza al CEO di Ettomio, Paola Bernardotto, all’indirizzo info@ettomio.com.
2. Quali dati raccoglie l’azienda?
È possibile visitare il nostro sito in modo anonimo.
Se si sceglie di registrarsi al sito, verranno elaborate quattro categorie di dati per conto del cliente:
“Dati dell’account”
In fase di apertura di un account sul nostro sito, esecuzione di un ordine, iscrizione alla newsletter o completamento di un sondaggio, vengono raccolti i dati di contatto, quali email, indirizzo e nome della persona di contatto, nome dell’azienda, indirizzo, numero di telefono, numero di partita IVA, lingua e valuta preferite, numero di ordine, indirizzo email del destinatario della fattura, e numeri della carta o dati del conto corrente non in chiaro.
“Dati di configurazione”
L’azienda raccoglie i dati inseriti dal cliente sul servizio cloud Ettomio (il “Servizio”) dopo il login, come nome del dominio del o dei siti web dove il cliente desidera implementare il Servizio, oltre alla configurazione del contenuto, dell’aspetto e del comportamento verso i visitatori del sito web (“Utenti finali”)
“Dati dell’utente finale”
I dati generati dagli Utenti finali che navigano sul sito o i siti del cliente utilizzando il Servizio. Quando un Utente finale invia un consenso dal sito del cliente, i seguenti dati verranno automaticamente registrati da Ettomio:
La chiave e lo stato del consenso vengono salvati anche sul browser dell’Utente finale con un cookie di prime parti, denominato “CookieConsent”, così che il sito possa leggere e rispettare automaticamente il consenso dell’Utente finale in occasione delle richieste successive della pagina e delle sessioni future dell’Utente finale per un periodo massimo di 12 mesi. La chiave viene utilizzata come prova di consenso e per verificare che lo stato del consenso salvato nel browser dell’Utente finale sia invariato rispetto al consenso originale inviato a Ettomio.
Se si attiva la funzione del Servizio “Consenso omnicomprensivo” per abilitare il consenso per diversi siti con un unico invio dell’Utente finale, il Servizio salverà anche un altro ID univoco e casuale con il consenso dell’Utente finale. Se tutti i seguenti criteri sono rispettati, la chiave verrà archiviata in forma crittografata in un cookie di terze parti, denominato “CookieConsentBulkTicket” sul browser dell’utente finale:
“Dati generati dal sistema”
Il servizio crea automaticamente e salva metadati basati su altri tipi di dati, tra cui:
È possibile inviare istruzioni a Ettomio tramite la configurazione e/o eseguire le funzioni rilevanti offerte dal Servizio dal sistema di gestione del servizio. Se un’istruzione specifica riguardante i dati personali non può essere impartita tramite il sistema di gestione del servizio, è possibile inviare tali istruzioni all’azienda tramite l’helpdesk dall’indirizzo https://ettomio.com/it/contatti
Il cliente verrà informato da Ettomio in merito a variazioni del Servizio, quali implementazione di funzioni aggiuntive, tramite email, qualora si effettui l’abbonamento alla newsletter di Ettomio dalla pagine delle impostazioni del conto dal sistema di gestione del servizio.
3. A quali fini vengono utilizzati i dati forniti?
Ogni singolo dato raccolto può essere utilizzato per uno o più dei seguenti fini:
3.1.
per personalizzare l'esperienza del cliente (i dati forniti aiutano Ettomio a soddisfare al meglio le esigenze individuali di ogni utente);
3.2.
per consentire all’utente di controllare l’esperienza d’uso degli Utenti finali e per consentire al Servizio di applicare automaticamente il consenso dell’Utente finale ad altri siti del cliente;
3.3.
per migliorare il nostro sito web (Ettomio si impegna costantemente a migliorare le offerte riportate sul nostro sito, in base ai dati e ai commenti che riceviamo dagli utenti);
3.4.
per identificare il cliente come una parte contraente;
3.5.
per abilitare il login sicuro del cliente nel sistema di gestione del servizio su ettomio.com;
3.6.
per stabilire un canale di comunicazione primario con il cliente;
3.7.
per consentire a Ettomio di emettere fatture con IVA valide e di elaborare le transazioni (le informazioni del cliente non saranno vendute, scambiate, trasferite o fornite ad altre aziende per qualunque motivo senza il consenso del cliente, eccezion fatta per la fornitura del servizio richiesto);
3.8.
per consentire la gestione automatizzata degli abbonamenti;
3.9.
per produrre e visualizzare le dichiarazioni relative ai cookie agli Utenti finali, oltre che per salvare e visualizzare il report sulla scansione al cliente;
3.10.
per fornire informazioni aggregate sulle scelte degli Utenti finali in relazione ai tipi di cookie accettati e per generare una rappresentazione grafica nel sistema di gestione del servizio; e/o
3.11.
per inviare email a cadenza periodica (l’indirizzo email fornito per l'elaborazione degli ordini potrà essere utilizzato per inviare informazioni e aggiornamenti correlati allo stesso, oltre che notizie occasionali riguardanti l'azienda (se l’utente presta il consenso), nonché aggiornamenti o informazioni relativamente a prodotti o servizi, ecc.)
Se in un qualsiasi momento il cliente dovesse decidere di non voler più ricevere le suddette email, potrà chiudere il proprio account: basterà cliccare, una volta effettuato il login, su "Cancel my account" o "Chiudi il mio account".
4. Base giuridica
4.1. Regolamento generale sulla protezione dei dati (GDPR) nell’UE
L’elaborazione dei dati del cliente si basa sul consenso fornito o, sul fatto che l’elaborazione è necessaria per l’esecuzione di un contratto in cui il cliente è una parte contraente, o per adottare le misure necessarie prima della stipula del contratto su richiesta del cliente. (cfr. art. 6(1)(a)-(b) del GDPR).
Se l’elaborazione si basa sul consenso dell’utente, lo stesso può revocarlo in qualsiasi momento utilizzando i dati di contatto indicati all’articolo 1.
Per poter procedere alla stipula di un contratto riguardante l’acquisto del Servizio di Ettomio è necessario fornire all’azienda i dati personali richiesti. Qualora non vengano forniti tutti i dati richiesti, non sarà possibile fornire il Servizio.
4.2. Conformità al California Online Privacy Protection Act
Dal momento che Ettomio tiene in seria considerazione la privacy della clientela, abbiamo adottato tutte le misure necessarie al fine di operare in conformità alla normativa sulla protezione dei dati in vigore in California ("California Online Privacy Protection Act"). Pertanto, l'azienda non cederà alcun dato personale a terze parti senza l'espressa autorizzazione del cliente, fatti salvi i casi contemplati dal precedente articolo 7.
Secondo la "Legge sulla protezione della privacy" vigente in California, tutti gli utenti del nostro sito hanno la facoltà di modificare i propri dati in qualsiasi momento, accedendo alla pagina “Profilo" del proprio account.
4.3. Conformità al Children's Online Privacy Protection Act (COPPA)
Ettomio è conforme agli obblighi previsti dal Children's Online Privacy Protection Act (COPPA). Non raccogliamo intenzionalmente i dati personali di bambini di età inferiore a 13 anni. Il nostro sito internet, e i nostri prodotti e servizi sono rivolti a persone di età pari o superiore a 13 anni.
5. In che modo vengono protetti i dati del cliente?
Ettomio implementa le seguenti misure tecniche, fisiche e organizzative per proteggere i dati personali del cliente dalla distruzione accidentale o non autorizzata, dalla perdita o alterazione accidentale, dall’utilizzo, modifica, divulgazione o accesso non autorizzati, e da tutte le altre forme di elaborazioni illegali.
5.1. Disponibilità
Il Servizio utilizza le ampie funzionalità dell’ambiente cloud per garantire un’elevata disponibilità, come piena ridondanza, bilanciamento del carico, capacità scalare automatica, continuo backup di dati e georeplicazione e gestione del traffico per far fronte a “failover” geografici causati da disastri a livello di centro dati. Tutti i meccanismi di “failover” sono totalmente automatizzati.
Nessun dato personale è salvato in modo permanente al di fuori delle piattaforme cloud di Ettomio. La sicurezza fisica è gestita dal subappaltatore di Ettomio (cfr. articolo 7). I datacenter utilizzati sono conformi agli standard del settore, tra cui la norma ISO 27001 per la sicurezza fisica e disponibilità, ad es. utilizzando staff di sicurezza h 24, controllo degli accessi a due fattori utilizzando lettori biometrici e di carte, barriere, recinzioni, telecamere di sicurezze e altre misure.
5.2. Integrità
Per garantire l’integrità, tutti i trasferimenti di dati vengono crittografati seguendo le migliori prassi per la protezione della riservatezza e dell’integrità dei dati. Per esempio, tutti i dati di carta di credito forniti vengono trasmessi tramite la tecnologia SSL (Secure Socket Layer), e poi crittografati sul database del nostro fornitore del gateway di pagamento, accessibile solamente da coloro che sono autorizzati all’accesso di tali sistemi e soggetti ad un vincolo di riservatezza in relazione ai dati succitati.
Per i dati in transito, il Servizio utilizza protocolli di trasporto standard del settore tra i dispositivi e i datacenter Microsoft e all’interno dei datacenter stessi.
5.3. Riservatezza
Tutto il personale è soggetto ad un vincolo di riservatezza e qualunque subappaltatore e subincaricato deve firmare un accordo di riservatezza ove tale vincolo non sia parte integrante del Contratto firmato tra le parti.
L’accesso ai dati personali da personale autorizzato è reso esclusivamente tramite una connessione criptata. Quando viene effettuato l’accesso ad un database, l’indirizzo IP della persona che accede ai dati deve essere preautorizzato per poter ottenere l’accesso.
Qualunque dispositivo utilizzato per accedere ai dati personali è protetto da un servizio di gestione dell’identità e degli accessi. Qualora i dati personali dovessero essere salvati temporaneamente su un dispositivo, lo spazio di archiviazione del dispositivo dovrà utilizzare una crittografia avanzata.
I dispositivi in loco sui quali vengono salvati temporaneamente dati personali sono custoditi in una cassaforte, ad eccezione di quando non vengono usati attivamente o vengono ricollocati sotto una costante supervisione. I dati personali non vengono mai salvati su dispositivi mobili come chiavette USB e DVD.
5.4. Trasparenza
Ettomio terrà sempre informato il cliente di variazioni dei processi di protezione della privacy e della sicurezza dei dati, incluse prassi e politiche. In qualsiasi momento è possibile chiedere informazioni su dove e come vengono salvati, utilizzati e protetti i dati. Ettomio fornirà anche un riepilogo dell’esito di audit indipendenti del Servizio.
5.5. Isolamento
Gli accessi ai dati personali sono normalmente bloccati da una politica di zero privilegi. L’accesso ai dati personali è limitato al personale individualmente autorizzato. Il funzionario responsabile della sicurezza e della privacy di Ettomio emette le autorizzazioni e conserva un registro delle autorizzazioni fornite. Al personale autorizzato viene fornito un accesso minimo basato sulla reale necessità.
5.6. Possibilità di intervenire
Ettomio fornisce agli utenti diritti di accesso, rettifica, cancellazione, blocco e obiezione, per lo più fornendo funzioni integrate per la gestione dei dati nel sistema di gestione del servizio, offrendo l’opzione di inviare istruzioni all’helpdesk di Ettomio e informando e offrendo al cliente la possibilità di opporsi quando Ettomio intende implementare variazioni alle prassi e politiche rilevanti.
La responsabilità generale per la sicurezza dei dati è in carico al responsabile della protezione dei dati di Ettomio, che forma e aggiorna tutto il personale sulle misure di sicurezza dei dati indicate nel manuale di sicurezza di Ettomio e nella presente Informativa sulla privacy.
5.7. Monitoraggio
Ettomio utilizza report di sicurezza per monitorare i pattern di accesso e per identificare proattivamente e mitigare potenziali minacce. Le operazioni amministrative, inclusi gli accessi al sistema, sono documentate per fornire un audit trail nel caso in cui avvengano modifiche non autorizzate o accidentali.
Le prestazioni del sistema e la disponibilità è monitorata da servizi di monitoraggio sia interni che esterni.
5.8. Notifica di violazione dei dati personali
Nel caso in cui i dati del cliente siano compromessi, Ettomio informerà il cliente stesso e le autorità di vigilanza entro 72 ore tramite email con informazioni sull’entità della violazione, i dati interessati, eventuali impatti sul Servizio e il piano d’azione di Ettomio con le misure volte a rendere sicuri i dati, e limitare eventuali effetti avversi sui dati personali.
Per “violazione dei dati personali” si intendono violazioni di sicurezza che portano ad un’accidentale o illegale distruzione, perdita, alterazione, divulgazione non autorizzata, o accesso ai, dati personali trasmessi, archiviati o altrimenti elaborati in relazione alla fornitura del Servizio.
6. Come vengono utilizzati i cookie
Si rimanda all’Informativa sui Cookie di Ettomio accessibile da questo sito per maggiori informazioni sui cookie da noi utilizzati.
7. L'azienda divulga dati a terze parti?
Ettomio non vende, né commercializza o trasferisce in alcun modo dati personali dei propri clienti a terze parti.
Quanto sopra non si applica a soggetti terzi fidati o appaltatori che forniscano assistenza nella gestione del nostro sito e della nostra attività o che assicurino prestazioni di servizi all'utente. Detti soggetti fidati potranno accedere ai dati personali dei clienti ogni qualvolta ciò si renda necessario e saranno contrattualmente obbligati a mantenerli riservati.
Inoltre, l'azienda potrebbe essere costretta a divulgare dei dati allo scopo di operare in conformità alla normativa vigente nello stato di riferimento, per far rispettare i termini relativi all'uso del proprio sito, oppure per tutelare i diritti, le proprietà o la sicurezza dell’azienda o di terzi. Ciononostante, l'azienda potrebbe divulgare a terze parti dati non personali per esigenze di marketing, pubblicità o utilizzi di altro tipo.
7.1. Subappaltatori/terze parti fidati
Ettomio monitorerà il rispetto da parte dei subappaltatori e subincaricati di tali standard e audit al fine di assicurarsi che gli obblighi di protezione dei dati siano rispettati.
Tutte le variazioni auspicate concernenti l’aggiunta o sostituzione di subappaltatori o subincaricati che gestiscono i dati personali verranno annunciati al cliente con un preavviso minimo di almeno 3 mesi. Il cliente conserva la facoltà di opporsi a tali variazioni o di cessare il rapporto contrattuale con Ettomio.
7.2. Divulgazioni previste dalla legge
Ettomio non divulgherà i dati del cliente alle autorità di pubblica sicurezza, ad esclusione dei casi in cui sia stata autorizzata dal cliente o sia obbligata dalla legge. Quando l’autorità effettua una domanda legittima per accedere ai dati dei clienti a Ettomio, l’azienda cercherà di limitare la divulgazione. In particolare, Ettomio rilascerà solo dati specifici, nella misura prevista dalla legge.
Se obbligata a divulgare i dati, Ettomio informerà il cliente e fornirà una copia della richiesta a meno che la legge non lo vieti espressamente.
8. Link a terze parti
Occasionalmente, a sua discrezione, l'azienda potrebbe presentare o offrire sul proprio sito prodotti o servizi di terze parti. Per quanto riguarda la privacy, i siti di detti soggetti adottano politiche diverse e indipendenti dalle nostre. Pertanto, l'azienda declina ogni responsabilità per quanto concerne il contenuto o le attività di detti siti collegati. Ciononostante, l'azienda si impegna a proteggere sempre l'integrità del proprio sito, per questo saremo lieti di ricevere qualsiasi commento relativo ai citati siti.
9. Dove vengono salvati i dati dall’azienda?
Nessun dato salvato sarà soggetto a backup o trasferimento e recupero da parte di Ettomio al di fuori dell’Unione europea.
9.1. Collocazione dei dati personali
Tutti i dati sono salvati in database e repository di file su data center presso il vendor cloud di Ettomio. Tutti i dati vengono replicati automaticamente in tempo reale su database secondari hot failover e repository di file nei data center.
I database sono soggetti a backup continuo per consentire il ripristino in qualsiasi momento con un periodo di mantenimento di 35 giorni. I backup sono archiviati su spazi di archiviazione di dati nello stesso luogo geografico del database.
9.2. Installazione di software sul sistema cloud del cliente
Non è richiesta l’installazione di alcun software per utilizzare il Servizio. Il sistema di gestione del servizio protetto da login è accessibile da un normale browser, che utilizza automaticamente una connessione criptata https per tutte le comunicazioni tra il browser e il server di Ettomio, al fine di proteggere i dati ed evitarne l’intercettazione durante i trasferimenti sulla rete.
10. Assistenza all’accesso, portabilità dei dati, migrazione e trasferimento
È possibile richiedere conferma in qualsiasi momento a Ettomio circa l’elaborazione dei propri dati personali.
In qualsiasi momento è possibile richiedere una copia completa dei dati, che è possibile trasmettere ad un altro responsabile del trattamento dei dati. I dati verranno consegnati entro 10 giorni lavorativi da Ettomio sotto forma di foglio di calcolo Microsoft Excel. Le relazioni logiche tra i diversi set di dati saranno preservate con identificatori univoci. Alla consegna di ciascuna copia dei dati è richiesto il pagamento di 1000 € + tasse applicabili.
11. Richiesta di rettifica, limitazione o cancellazione dei dati personali
11.1. Rettifica
In qualunque momento è possibile ottenere senza indebito ritardo la rettifica di dati personali inaccurati concernenti il cliente (cfr. articolo 5.6).
11.2. Limitazione all’elaborazione dei dati personali
In qualsiasi momento il cliente può richiedere che Ettomio limiti l’elaborazione dei dati personali in una delle seguenti casistiche:
a.
se si contesta l’esattezza dei dati personali, per un periodo di tempo che consenta Ettomio di verificare l’esattezza degli stessi;
b.
se l’elaborazione non è legale e il cliente si oppone all’eliminazione dei dati personali e richiede invece una limitazione al loro uso; o
c.
se Ettomio non necessita più dei dati personali allo scopo dell’elaborazione, ma gli stessi sono richiesti dal cliente per l’instaurazione, esercizio o difesa di richieste legali.
11.3. Cancellazione
Il cliente potrà, senza indebito ritardo, richiedere la cancellazione dei dati personali che lo riguardano, e Ettomio provvederà alla cancellazione dei dati personali, senza indebito ritardo al verificarsi di una di queste condizioni:
a.
se i dati personali non sono più necessari per lo scopo per cui sono stati raccolti o altrimenti elaborati;
b.
se si revoca il consenso sul quale l’elaborazione si basa, e dove non sussista alcun altro obbligo legale per l’elaborazione;
c.
se il cliente si oppone all’elaborazione, nel caso in cui l’elaborazione è legata a finalità di marketing diretto;
d.
se i dati personali sono stati elaborati illegalmente; o
e.
se i dati personali devono essere cancellati in conformità ad un obbligo legale europeo o nazionale.
12. Conservazione dei dati
12.1. Politica sulla conservazione dei dati
Per motivi fiscali, i dati del conto verranno tenuti fino a cinque anni fiscali completi dalla chiusura del Servizio da parte del cliente.
I dati di configurazione e i dati generati dal sistema verranno eliminati immediatamente se il cliente recede dal Servizio.
I dati degli Utenti finali verranno eliminati su base continuativa dopo 12 mesi dalla registrazione e immediatamente se il cliente recede dal Servizio.
12.2. Conservazione dei dati a fini legali
Non è possibile richiedere a Ettomio di modificare qualsiasi periodo di conservazione predefinito, ad eccezione dei casi previsti dall’articolo 11.3 sulla cancellazione, ma è possibile suggerire variazioni conformemente alle leggi e norme specifiche del settore.
12.3. Restituzione dei dati e/o cancellazione
Nessun dato, ad eccezione dei dati del conto, sarà tenuto dopo il termine del rapporto contrattuale. È possibile richiedere una copia dei dati prima del recesso. Il cliente non deve chiudere il conto legato al Servizio finché non è stata consegnata una copia, in quanto, così facendo, Ettomio sarebbe impossibilitata a consegnare una copia dei dati.
13. Responsabilità
Ettomio utilizza un’estensiva gamma di funzioni integrate di registrazione e audit. Ettomio registra anche tutti gli aggiornamenti del sistema, le modifiche delle configurazioni e gli accessi per fornire un audit trail qualora vengano effettuate modifiche non autorizzate o accidentali.
È possibile richiedere un audit per la protezione dei dati eseguito da un soggetto terzo indipendente, accettato anche da Ettomio. Il costo è di 5000 € più tasse applicabili per una richiesta di audit, oltre a 200 € all’ora impiegata da Ettomio in relazione all’audit, oltre ad eventuali altri costi legati all’audit, incluso il costo del revisore.
14. Collaborazione
Ettomio collaborerà con il cliente al fine di assicurare la conformità con le disposizioni applicabili in materia di protezione dei dati personali, ad es. per consentire al cliente di poter esercitare i diritti dei soggetti (diritto di accesso, rettifica, cancellazione, blocco, opposizione), per gestire incidenti, tra cui l’analisi forense in caso di violazioni di sicurezza.
15. Termini di servizio
Invitiamo a consultare la sezione “Termini di servizio” in cui sono riportati informazioni circa l’uso, liberatorie e limitazioni di responsabilità che disciplinano l’utilizzo del nostro sito internet (https://ettomio.it/it/condizioni-di-vendita).
16. Consenso dell’utente
Utilizzando il nostro sito, l’utente dichiara di accettare i termini contenuti nella presente Informativa sulla privacy.
17. Modifiche all’Informativa sulla privacy
Se dovessimo decidere di modificare il contenuto della nostra Informativa sulla privacy, provvederemo ad aggiornare il contenuto della presente pagina e/o la data di modifica del corrispondente documento. L'ultima modifica alla presente Informativa è stata apportata il 18 gennaio 2018.
18. Reclami
In qualsiasi momento il cliente può inoltrare un reclamo presso un’autorità di vigilanza in merito alla raccolta ed elaborazione dei dati personali da parte di Ettomio.
“DISCLAIMER: Questa Informativa sulla privacy non è una traduzione ufficiale ed è fornita solamente a titolo di praticità, e pertanto dovrà essere interpretata facendo riferimento alla versione in lingua inglese, che prevarrà in caso di discrepanza tra la versione inglese e la presente traduzione. Ettomio non si assume alcuna responsabilità per errori, omissioni o ambiguità della traduzione. Qualunque persona o entità che fa affidamento sul contenuto tradotto, lo fa a proprio rischio. In caso di dubbi, fare sempre riferimento alla versione ufficiale in lingua inglese. Nel caso in cui si desideri riportare un errore o inesattezza della traduzione, inviare un’email a info@ettomio.com.”