Informativa sulla privacy
1. Una panoramica sulla protezione dei dati
1.1 Aspetti generali
Le presenti indicazioni forniscono una panoramica rapida su cosa accade ai Suoi dati personali quando visita il nostro sito web. I dati personali sono tutte le informazioni che possono consentire di identificarLa personalmente.
Chi è responsabile?
Il trattamento dei dati su questo sito web è effettuato dal gestore del sito. I dati di contatto sono riportati più avanti, nella sezione “Titolare del trattamento”.
Come raccogliamo i Suoi dati?
- Direttamente: quando ce li comunica (ad esempio tramite moduli).
- Automaticamente: tramite i nostri sistemi informatici durante la visita al sito (ad esempio dati del browser o indirizzo IP).
Come utilizziamo i Suoi dati
Una parte dei dati viene raccolta per garantire il corretto funzionamento del sito. Altri dati possono essere utilizzati per analizzare in che modo i visitatori utilizzano il nostro sito web.
Quali diritti ha in merito ai Suoi dati?
L’utente ha il diritto di ottenere, in qualsiasi momento e a titolo gratuito, informazioni sui dati salvati, sulla loro origine, sui destinatari e sulla finalità della raccolta. Ha inoltre il diritto alla rettifica, alla cancellazione, alla limitazione del trattamento, all’opposizione, nonché alla portabilità dei dati. È altresì possibile proporre reclamo a un’autorità di controllo competente.
Analisi e strumenti di terzi
Durante la visita al nostro sito web, il comportamento di navigazione può essere analizzato tramite cookie e strumenti di analisi. Tali analisi vengono normalmente eseguite in forma anonima, pertanto non è possibile identificare personalmente un utente. Maggiori dettagli e le possibilità di opposizione sono riportati nelle sezioni seguenti.
2. Informazioni generali e obbligatorie
2.1 Protezione dei dati
La tutela dei Suoi dati personali è per noi molto importante. Trattiamo i Suoi dati in modo riservato e nel rispetto delle disposizioni di legge in materia di protezione dei dati, in particolare del GDPR, nonché della presente informativa sulla privacy.
2.2 Titolare del trattamento
rankingCoach GmbH
c/o Design Offices
Erftstr. 15-17
50672 Colonia – Germania
Telefono: +49 221 828 298 34
E-mail: support@rankingcoach.com
2.3 Finalità e basi giuridiche del trattamento
Trattiamo i dati personali per fornire il nostro sito web, per comunicazioni, per finalità di analisi e per l’adempimento di obblighi contrattuali. Le basi giuridiche del trattamento sono l’art. 6, par. 1, lett. a), b) e f) del GDPR.
2.4 Destinatari e trasferimento dei dati verso Paesi terzi
I dati possono essere trasmessi a fornitori di servizi esterni. L’elenco dei sub-responsabili è disponibile nel nostro registro. I trasferimenti verso Paesi terzi avvengono esclusivamente sulla base di garanzie adeguate (ad es. clausole contrattuali standard dell’UE o EU-US Data Privacy Framework).
2.5 Periodo di conservazione
I dati vengono conservati solo per il tempo necessario a conseguire le finalità per le quali sono stati raccolti o finché sussistono obblighi legali di conservazione.
2.6 I Suoi diritti
Lei ha, in qualsiasi momento, i seguenti diritti in relazione ai Suoi dati personali:
-
Diritto di accesso (art. 15 GDPR) – informazioni sui dati trattati da noi.
-
Diritto di rettifica (art. 16 GDPR) – correzione dei dati inesatti o incompleti.
-
Diritto alla cancellazione (art. 17 GDPR) – nei limiti in cui non sussistano obblighi di conservazione.
-
Diritto alla limitazione del trattamento (art. 18 GDPR).
-
Diritto alla portabilità dei dati (art. 20 GDPR).
-
Diritto di opposizione (art. 21 GDPR), in particolare contro attività di marketing diretto.
-
Diritto di revoca del consenso (art. 7, par. 3 GDPR), con effetti per il futuro.
-
Diritto di reclamo presso l’autorità di controllo competente (art. 77 GDPR).
2.7 Autorità di controllo
Un elenco delle autorità di controllo per la protezione dei dati è disponibile al seguente link:
https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html
2.8 Obbligo di fornire i dati
Il conferimento dei dati personali è facoltativo. Tuttavia, per la conclusione di contratti (ad es. l’elaborazione dei pagamenti) alcune informazioni possono essere necessarie.
2.9 Crittografia e transazioni di pagamento
Tutte le trasmissioni di dati effettuate tramite il nostro sito – comprese le richieste inviate tramite moduli e i dati di pagamento – avvengono esclusivamente in forma crittografata tramite connessioni SSL/TLS. In questo modo, i Suoi dati sono protetti dall’accesso non autorizzato da parte di terzi.
2.10 Opposizione all’invio di e-mail promozionali
Si vieta espressamente l’utilizzo dei dati di contatto pubblicati nell’ambito dell’obbligo di “Impressum” per l’invio di materiale pubblicitario o informativo non espressamente richiesto. I gestori di questo sito si riservano espressamente il diritto di intraprendere azioni legali nel caso di invio non richiesto di informazioni promozionali, ad esempio tramite messaggi spam.
3. Responsabile della protezione dei dati
Responsabile della protezione dei dati previsto dalla legge
Abbiamo nominato per la nostra azienda il seguente Responsabile della protezione dei dati:
Colin Simbach
TÜV Informationstechnik GmbH
Gruppo TÜV NORD
IT Security, Business Security & Privacy
Langemarckstraße 20
45141 Essen – Germania
Telefono: +49 201 8999 461
E-mail: privacyguard@tuvit.de
4. Raccolta dei dati sul nostro sito web
Cookie e gestione del consenso
Il nostro sito utilizza cookie. I cookie sono piccoli file di testo che vengono memorizzati sul Suo dispositivo.
Cookie tecnicamente necessari
Alcuni cookie sono tecnicamente indispensabili per il funzionamento del nostro sito web. Tali cookie non richiedono consenso. La base giuridica è l’art. 25, par. 2 TTDSG, nonché l’art. 6, par. 1, lett. f) GDPR (interesse legittimo alla corretta erogazione dei nostri servizi).
Cookie di analisi e marketing
Tutti gli altri cookie, che non sono tecnicamente necessari (ad es. per analisi, statistiche o marketing), vengono utilizzati solo previo Suo consenso esplicito. La base giuridica è l’art. 25, par. 1 TTDSG, in combinato disposto con l’art. 6, par. 1, lett. a) GDPR. Il consenso può essere revocato in qualsiasi momento tramite le impostazioni presenti nel banner dei cookie.
Strumento di gestione del consenso
Utilizziamo Usercentrics per raccogliere e documentare il Suo consenso all’uso di determinati cookie o tecnologie sul Suo dispositivo. Il fornitore è Usercentrics GmbH, Sendlinger Straße 80331 Monaco, Germania. La base giuridica è l’art. 6, par. 1, lett. c) GDPR (obbligo legale), nonché l’art. 7 GDPR.
File di log del server
Quando visita il nostro sito web, il nostro provider di hosting raccoglie e memorizza automaticamente alcune informazioni nei cosiddetti “file di log del server”, che vengono trasmesse dal Suo browser. Tali informazioni comprendono:
-
Tipo e versione del browser
-
Sistema operativo utilizzato
-
URL di provenienza (referrer)
-
Nome host del dispositivo che accede
-
Data e ora dell’accesso
- Indirizzo IP
Questi dati non vengono combinati con altre fonti di dati. La raccolta serve al monitoraggio tecnico, alla sicurezza e all’ottimizzazione del servizio.
Base giuridica: art. 6, par. 1, lett. f) GDPR (interesse legittimo a garantire il funzionamento sicuro e stabile del sito web).
Modulo di contatto
Quando ci invia una richiesta tramite il nostro modulo di contatto, trattiamo i dati che ci fornisce per rispondere alla Sua richiesta e, se necessario, per eventuali comunicazioni successive. I Suoi dati non saranno trasmessi a terzi senza il Suo esplicito consenso.
Base giuridica: art. 6, par. 1, lett. a) GDPR (consenso).
Può revocare in qualsiasi momento il Suo consenso con effetto per il futuro, inviandoci una semplice comunicazione via e-mail.
Periodo di conservazione: i dati vengono conservati fino alla completa gestione della Sua richiesta o fino alla revoca del consenso, salvo eventuali obblighi legali di conservazione.
Registrazione sul nostro sito web
È possibile registrarsi sul nostro sito per utilizzare funzionalità aggiuntive. I dati raccolti in tale contesto vengono utilizzati esclusivamente per fornire il servizio per il quale è stata effettuata la registrazione.
Le informazioni obbligatorie devono essere fornite integralmente, altrimenti la registrazione non potrà essere completata.
Finalità: gestione degli account utente, notifiche su modifiche ai servizi o aggiornamenti tecnici.
Base giuridica: art. 6, par. 1, lett. a) GDPR (consenso).
Revoca: il consenso può essere revocato in qualsiasi momento con semplice comunicazione via e-mail.
Periodo di conservazione: i dati vengono conservati finché l’account utente rimane attivo. Restano impregiudicati eventuali obblighi di conservazione previsti dalla legge.
Registrazione tramite Facebook Connect
In alternativa, può registrarsi anche tramite Facebook Connect.
Cliccando su “Accedi con Facebook” verrà reindirizzato alla piattaforma di Facebook.
Con il Suo consenso, Facebook ci trasmette determinati dati del Suo profilo, tra cui nome, indirizzo e-mail, immagine del profilo o di copertina, sesso, data di nascita, Paese, lingua e il Suo Facebook ID.
Utilizziamo questi dati esclusivamente per creare e personalizzare il Suo account utente.
Base giuridica: il trattamento avviene sulla base del Suo consenso esplicito ai sensi dell’art. 6, par. 1, lett. a) GDPR.
Ulteriori informazioni sono disponibili nell’Informativa sulla privacy di Facebook e nei Termini di utilizzo di Facebook.
Registrazione tramite Google Connect
In alternativa, può comodamente registrarsi tramite Google Connect.
Cliccando su “Accedi con Google” verrà reindirizzato alla piattaforma di Google.
Con il Suo consenso, Google ci trasmette alcuni dati del Suo profilo, come nome, indirizzo e-mail, immagine del profilo o impostazioni della lingua.
Utilizziamo questi dati esclusivamente per creare e personalizzare il Suo account utente.
Base giuridica: il trattamento si basa sul Suo consenso esplicito ai sensi dell’art. 6, par. 1, lett. a) GDPR.
Ulteriori informazioni sono disponibili nell’Informativa sulla privacy di Google e nei Termini di utilizzo di Google.
Trattamento dei dati relativi a clienti e contratti
Trattiamo dati personali nella misura in cui ciò sia necessario per l’instaurazione, l’esecuzione o la cessazione di un rapporto contrattuale.
Esempi: nome, indirizzo, coordinate bancarie, servizi prenotati, cronologia di utilizzo.
Base giuridica: art. 6, par. 1, lett. b) GDPR (esecuzione di un contratto o misure precontrattuali).
Periodo di conservazione: i dati vengono conservati fino alla cessazione del rapporto contrattuale, nel rispetto degli obblighi di conservazione previsti dalla legge.
Trasmissione dei dati in caso di ordine di contenuti digitali
Per l’esecuzione del contratto può rendersi necessario trasmettere i Suoi dati a terzi, ad esempio a fornitori di servizi di pagamento (banche, Stripe, PayPal, ecc.).
Non avviene alcuna ulteriore comunicazione dei dati, salvo che Lei abbia espresso un consenso esplicito.
Base giuridica: art. 6, par. 1, lett. b) GDPR.
Utilizzo delle Conversioni avanzate di Google Ads
Utilizziamo le Conversioni avanzate di Google Ads per misurare in modo più accurato le prestazioni delle nostre campagne pubblicitarie. Quando compili un modulo sul nostro sito web e fornisci il tuo consenso, alcuni dati personali (come il tuo indirizzo email) possono essere crittografati (hashed) e trasmessi a Google.
Questo consente a Google di attribuire le conversioni tra dispositivi diversi, in modo conforme alla normativa sulla privacy, a un’interazione precedente.
La condivisione di questi dati avviene esclusivamente sulla base del tuo consenso (art. 6(1)(a) GDPR) e solo con fornitori terzi affidabili come Google, al solo scopo di fornire servizi pubblicitari per nostro conto.
5. Utilizzo di subappaltatori e fornitori terzi (sub-responsabili) ai sensi dell’art. 28 GDPR
5.1 Principio generale
Nell’ambito della fornitura dei nostri servizi ci avvaliamo di fornitori esterni accuratamente selezionati (“subappaltatori” o “sub-responsabili”) ai sensi dell’art. 28 GDPR.
Questi soggetti trattano i dati personali esclusivamente per nostro conto e secondo le nostre istruzioni, sulla base di un contratto di nomina a responsabile del trattamento (Data Processing Agreement) ai sensi dell’art. 28, par. 3 GDPR.
5.2 Categorie di sub-responsabili
Ci avvaliamo di subappaltatori nei seguenti ambiti:
-
Hosting e infrastruttura (servizi cloud, database, CDN)
-
Gestione del software di marketing online (SEO, Ads, Listings)
-
Assistenza clienti e comunicazione
-
Fatturazione e gestione dei pagamenti
-
Gestione dei contratti con partner e clienti finali
-
Monitoraggio del sito e miglioramento dei prodotti
-
Misure di cybersicurezza
-
Attività di marketing (incluse testimonianze)
-
Gestione di personale e candidature
-
Invio di newsletter
-
Elaborazione supportata da intelligenza artificiale
-
Comunicazione interna
-
Infrastrutture dati e piattaforme di analisi
5.3 Elenco dei subappaltatori utilizzati
|
Fornitore / Sub-responsabile |
Finalità / Area di utilizzo |
Tipi di dati (elenco completo) |
Paese / Paese terzo / Meccanismo |
Misure tecniche e organizzative (TOM) |
Periodo di cancellazione |
Link privacy |
Categorie |
|
Advantago GmbH & Co. KG |
Gestione della presenza digitale |
Nome dell’azienda, indirizzo aziendale, numeri di telefono, e-mail aziendale, orari di apertura, categorie/settori, loghi/immagini, URL/link profilo, sedi/geodati, se applicabile nome ed e-mail della persona di contatto |
Germania (UE) |
Autenticazione, controllo degli accessi |
Al momento della deregistrazione del cliente |
https://www.advantago.de/datenschutz/ |
Gestione del software di marketing online |
|
Afi Technologies Inc. |
Backup e-mail |
Contenuti e-mail, allegati, oggetti, mittente/destinatario/CC/CCN, ID messaggi, timestamp, intestazioni di routing (incl. possibile IP), cartelle/etichette, metadati |
USA* / SCC |
Crittografia end-to-end, rotazione dei backup |
Backup continuo |
https://afi.ai/privacy |
Assistenza clienti e comunicazione, misure di cybersecurity |
|
Amazon Web Services (AWS) |
Hosting, servizi cloud |
Tutti i dati archiviati o trattati nei sistemi, inclusi: nome, indirizzo, e-mail, numero di telefono, ID utente/cliente, indirizzi IP, dati di login/accesso, log server/applicativi/di utilizzo, dati di localizzazione, immagini/file, dati contrattuali/ordini/fatture, dati di supporto/comunicazione, backup |
USA* / Irlanda / SCC, DPF |
Crittografia, controllo degli accessi, certificati di conformità |
30 giorni dopo la cessazione del contratto |
https://aws.amazon.com/de/privacy/ |
Gestione del software di marketing online, infrastruttura dati e piattaforme di analytics |
|
Anthropic PBC |
IA generativa (Claude) |
Prompt/input (testo), eventuali metadati contestuali (timestamp, ID richiesta), output generati |
USA* / SCC |
Isolamento API, controllo degli accessi |
Nessuna conservazione predefinita |
https://www.anthropic.com/legal/privacy |
Trattamento assistito da IA |
|
Atlassian US, Inc. |
Gestione progetti (Jira, Confluence) |
Nomi, e-mail, ID utente, ruoli/autorizzazioni, titoli/contenuti di progetto, ticket/commenti/allegati, file, timestamp, log attività/accesso, eventuale IP, dati di integrazione/webhook |
USA* / SCC |
Controlli di accesso, crittografia |
Completamento progetto + 90 giorni |
https://www.atlassian.com/legal/privacy-policy |
Assistenza clienti e comunicazione, comunicazione interna |
|
Celonis Inc. (make.com) |
Automazione dei processi |
Payload dei workflow da sistemi connessi (a seconda della fonte): nomi, e-mail, numeri di telefono, indirizzi, ID cliente/ticket/ordine, dati modulo/webhook, timestamp, eventuale IP, metadati |
USA* / SCC |
Restrizione degli accessi, TLS |
Log di automazione 30 giorni |
https://www.make.com/en/privacy-notice |
Assistenza clienti e comunicazione, comunicazione interna, infrastruttura dati |
|
Configo LTD (Provesource) |
Strumento di customer engagement |
Visualizzazioni pagina/evento, ID utente/sessione pseudonimi, cookie / local storage, URL / referrer, eventi di clic/scorrimento, timestamp, eventuale IP troncato, dati dispositivo/browser, stato del consenso |
Israele* / SCC |
Pseudonimizzazione, solo con consenso |
Dopo la fine del progetto |
https://provesrc.com/privacy |
Tracciamento sito web e miglioramento prodotto |
|
Docusign Inc. |
Firme elettroniche |
Nomi, e-mail, dati di firma/sottoscrizione, contenuti dei documenti, audit trail (timestamp, indirizzo IP, eventi), eventuali dati 2FA |
USA* / DPF |
Audit trail, autenticazione |
Alla fine del contratto + periodo legale |
https://www.docusign.com/trust/privacy |
Gestione contratti con partner e clienti |
|
Intralinks, Inc. |
Virtual Data Room / scambio sicuro di documenti |
Documenti/file, contenuti/metadati dei file, dati master utente come nome ed e-mail, autorizzazioni/ruoli, log di accesso/attività, timestamp, eventuale indirizzo IP |
USA* / SCC |
Controllo degli accessi, crittografia, audit log |
Dopo la fine del progetto |
https://www.intralinks.com/privacy-policy |
Scambio sicuro di documenti |
|
Perplexity AI, Inc. |
Piattaforma IA / ricerca IA |
Prompt/input, output generati, metadati contestuali come timestamp, ID richiesta, ID utente/progetto, eventuale indirizzo IP / metadati tecnici |
USA* / SCC |
Controllo degli accessi, crittografia, sicurezza API |
Nessuna conservazione a lungo termine / secondo configurazione del cliente |
https://www.perplexity.ai/hub/legal/privacy-policy |
Piattaforma IA |
|
ElevenLabs Inc. |
IA vocale / sintesi vocale |
Prompt testuali, campioni vocali / caricamenti audio, file audio generati, ID utente/progetto, timestamp, eventuale IP / metadati |
USA* / SCC |
Crittografia, controllo degli accessi |
Eliminazione dopo l’uso |
https://elevenlabs.io/privacy |
Trattamento assistito da IA |
|
Slack Technologies, LLC |
Messaggistica interna / collaborazione |
Nomi, e-mail, ID utente, messaggi, canali, file/allegati, timestamp, log attività/accesso, eventuale indirizzo IP e dati dispositivo/browser |
USA* / SCC |
Controllo degli accessi, crittografia, autorizzazioni workspace |
Secondo le impostazioni di conservazione del workspace |
https://slack.com/trust/privacy/privacy-policy |
Comunicazione interna |
|
FullStory Inc. |
Registrazione sessioni e analisi di utilizzo |
ID sessione, eventi mouse/scorrimento/clic, visualizzazioni pagina, interazioni con moduli (mascherate), dati dispositivo/browser, risoluzione schermo, indirizzo IP troncato, timestamp, referrer / UTM, eventuali errori console |
USA* / SCC |
Anonimizzazione, opt-out |
30 giorni |
https://www.fullstory.com/legal/privacy/ |
Tracciamento sito web e miglioramento prodotto |
|
GoCardless Ltd. |
Addebito diretto SEPA |
Nome, e-mail, IBAN, riferimento mandato, indirizzo, ID cliente/account, date transazione/pagamento, stato, timestamp |
Regno Unito* / SCC |
Controllo degli accessi, gestione dei mandati |
Alla cessazione del mandato |
https://gocardless.com/privacy |
Fatturazione e trattamento pagamenti |
|
Google LLC / Ireland Ltd. |
Analytics, Ads, Maps, Webfonts, YouTube |
Indirizzo IP, cookie / ID client, dati dispositivo/browser, visualizzazioni pagina / eventi, referrer / UTM, dati campagna/conversione, localizzazione (derivata / Maps), visualizzazioni video, richieste font, timestamp, opt-in/opt-out, eventuali e-mail hashate (Audience Match) |
Irlanda / USA* / DPF |
Anonimizzazione IP, strumenti opt-out |
Predefinito: 14 mesi |
https://policies.google.com/privacy |
Tracciamento sito web e miglioramento prodotto, attività marketing, distribuzione newsletter |
|
Hetzner Online GmbH |
Hosting (Germania) |
Tutti i dati archiviati/trattati nei sistemi, inclusi: nome, indirizzo, e-mail, numero di telefono, ID cliente/utente, indirizzo IP, log server / accesso / applicazione, immagini/file, dati contrattuali/ordini/fatture, dati di supporto/comunicazione, backup |
Germania (UE) |
ISO 27001, TLS, restrizioni di accesso |
30 giorni dopo la fine del contratto |
https://www.hetzner.com/de/legal/privacy-policy |
Gestione del software di marketing online |
|
HubSpot Inc. |
CRM e marketing automation |
Nomi, e-mail, numeri di telefono, azienda/posizione, indirizzo (se fornito), dati di interazione (aperture/clic), attività sito web (tracking, se consenso), invii moduli / lead, note, ticket supporto, stato consenso, indirizzo IP, UTM/campagna, timestamp |
USA* / Irlanda / DPF |
Double opt-in, controlli di accesso |
Eliminazione del cliente o 5 anni |
https://legal.hubspot.com/privacy-policy |
Assistenza clienti e comunicazione, attività marketing, distribuzione newsletter |
|
Intercom Inc. |
Comunicazione clienti |
Nomi, e-mail, contenuti chat / messaggi, allegati, visualizzazioni pagina/eventi, indirizzo IP, dati dispositivo/browser, localizzazione derivata, ID utente, tag/segmenti, timestamp |
USA* / Irlanda / DPF |
Pseudonimizzazione, crittografia |
90 giorni dopo la fine della conversazione |
https://www.intercom.com/legal/privacy |
Assistenza clienti e comunicazione |
|
IONOS SE |
Hosting / servizi cloud per modelli IA |
ID cliente/utente, nomi, e-mail, indirizzi, dati dominio e contratto, indirizzi IP, log server/accesso/applicazione, file/contenuti sito web, database, backup, dati di supporto/comunicazione, dati di hosting relativi a modelli IA ove applicabile |
Germania (UE) |
Controllo degli accessi, crittografia, sicurezza data center, logging |
30 giorni dopo la cessazione del contratto |
https://www.ionos.de/terms-gtc/datenschutzerklaerung/ |
Trattamento assistito da IA / infrastruttura tecnica |
|
Meta Platforms (Facebook) |
Plugin social, annunci, pixel |
Indirizzo IP, ID cookie / pixel, dati visualizzazione pagina / evento (PageView, AddToCart, Purchase ecc.), referrer / UTM, dati campagna / conversione, dati dispositivo/browser, eventuali e-mail hashate (custom audience), timestamp |
Irlanda / USA* / DPF |
Strumenti opt-out, pseudonimizzazione |
Fino alla revoca |
https://www.facebook.com/privacy/policy |
Tracciamento sito web e miglioramento prodotto, attività marketing |
|
Notion Labs, Inc. |
Collaborazione interna e wiki |
Nomi, e-mail, ID utente, workspace/team, contenuti pagine/database, commenti, allegati/file, autorizzazioni, log attività/accesso, timestamp, eventuale IP |
USA* / SCC |
Restrizione degli accessi, crittografia, logging |
Dopo l’eliminazione dell’account |
https://www.notion.so/help/privacy-policy |
Comunicazione interna |
|
OpenAI OpCo, LLC |
Piattaforma IA – generazione testo |
Prompt/input (testo), se utilizzati caricamenti file, output / generazioni, metadati tecnici (timestamp, ID richiesta / organizzazione) |
USA* / DPF |
Isolamento API, non conservazione opzionale |
Nessuna conservazione a lungo termine |
https://openai.com/policies/privacy |
Trattamento assistito da IA |
|
PayPal (Europe) S.à.r.l. |
Elaborazione pagamenti |
Nome titolare conto, e-mail, indirizzo fatturazione/consegna, importo / valuta transazione, ID transazione / cliente, stato pagamento, eventuale IBAN/BIC, token carta, dati valutazione rischio, timestamp, eventuale IP / fingerprint dispositivo |
Lussemburgo (UE) |
PCI-DSS, crittografia |
10 anni (legale) |
https://www.paypal.com/de/webapps/mpp/ua/privacy-full |
Fatturazione e trattamento pagamenti |
|
rankingCoach SRL |
Sviluppo software e test |
Codice sorgente / artefatti, dati di test (eventuali dati personali/clienti pseudonimizzati), log / report errori, screenshot, timestamp, ID utente interni |
Romania (UE) |
Diritti di accesso, VPN |
Dopo la fine del progetto |
https://www.rankingcoach.com/de/datenschutz |
Gestione del software di marketing online |
|
Review.io |
Recensioni clienti |
Nome, e-mail, ordine/riferimento (se verificato), testo recensione, valutazione in stelle, immagini, timestamp, eventuale IP, profilo / stato pubblico |
Regno Unito* / Germania (UE) |
Invio volontario, opt-out |
La voce rimane se richiesto |
https://www.reviews.io/front/user-privacy |
Attività marketing |
|
Salesforce (Tableau) |
BI e analisi dati |
Metriche aggregate / derivate, dimensioni (ID cliente/utente, eventualmente nome/e-mail), metriche ricavi / utilizzo, UTM/campagna, timestamp, eventuale localizzazione |
USA* / Germania (UE) |
Restrizione degli accessi, audit |
Dopo la fine della finalità di analisi |
https://www.salesforce.com/company/privacy/ |
Infrastruttura dati e piattaforme di analytics |
|
Satismeter s.r.o. |
Feedback NPS |
E-mail, nome, ID utente/cliente, punteggio NPS, risposte a testo libero, timestamp, eventuali dati dispositivo/browser, eventuale IP |
Repubblica Ceca (UE) |
Trattamento anonimo, conforme al GDPR |
Dopo la fine del sondaggio |
https://www.satismeter.com/privacy-policy/ |
Tracciamento sito web e miglioramento prodotto |
|
Sentry, Inc. |
Monitoraggio errori applicativi e prestazioni |
Dati tecnici di errore e prestazioni, stack trace, messaggi di errore, eventi applicativi, identificativi progetto/organizzazione, timestamp, informazioni browser e dispositivo, sistema operativo, versione applicazione, indirizzo IP (eventualmente troncato o anonimizzato), URL richiesto, intestazioni HTTP selezionate, identificativi sessione |
Stati Uniti* / SCC, DPF |
Crittografia in transito e a riposo, controllo accessi basato sui ruoli, pseudonimizzazione/anonimizzazione configurabile, isolamento a livello progetto, audit log |
Secondo configurazione del cliente (conservazione configurabile) |
https://sentry.io/privacy/ |
Infrastruttura tecnica, monitoraggio applicativo, sicurezza e stabilità prodotto |
|
Sparkpost (Message Systems) |
Mail server / newsletter |
Nome destinatario, e-mail, oggetto, contenuto / template e-mail, stato invio, aperture / clic, indirizzo IP, user agent, timestamp, bounce / segnalazioni spam |
USA* / SCC |
SPF / DKIM, TLS, opt-in |
Fino alla disiscrizione |
https://www.sparkpost.com/policies/privacy/ |
Distribuzione newsletter |
|
Stitch Inc. (Talend) |
ETL / integrazione dati |
A seconda della fonte connessa: nomi, e-mail, indirizzi, ID cliente/utente/contratto/ordine, dati fatturazione/pagamento (tokenizzati), dati utilizzo/log, dati tracking/analytics, timestamp |
USA* / SCC |
Minimizzazione dati, TLS |
Dopo l’eliminazione dell’integrazione |
https://www.talend.com/de/privacy/ |
Infrastruttura dati e piattaforme di analytics |
|
Superbase Software Limited |
Database / piattaforma backend |
Record database, ID utente/cliente, nomi, e-mail, dati autenticazione, dati applicativi, log, metadati, timestamp, eventuale indirizzo IP |
Regno Unito* / SCC |
Controllo accessi, crittografia, autenticazione, logging |
Secondo configurazione del cliente |
https://www.superbase.com/privacy/ |
Database / piattaforma backend |
|
Stripe Payments Europe Ltd. |
Pagamenti con carta di credito |
Nome, e-mail, indirizzo fatturazione, dati carta (token, ultime 4 cifre, scadenza), ID cliente/pagamento/abbonamento, importi/stati transazione, dati valutazione rischio, timestamp, eventuale IP / dispositivo |
Irlanda (UE) / USA* / DPF |
PCI-DSS, tokenizzazione, controllo accessi |
10 anni (legale) |
https://stripe.com/de/privacy |
Fatturazione e trattamento pagamenti |
|
Zapier Inc. |
Integrazione web / automazione |
Payload workflow / webhook (a seconda della fonte): nomi, e-mail, numeri telefono, indirizzi, ID ticket/ordine/cliente, dati modulo/evento, contenuti/allegati (se trasferiti), timestamp, eventuale IP, metadati |
USA* / DPF |
Controllo accessi, firma HMAC |
Automaticamente dopo l’uso |
https://zapier.com/privacy |
Assistenza clienti e comunicazione, comunicazione interna, infrastruttura dati |
|
Zuora Inc. |
Gestione abbonamenti, fatturazione |
Dati master cliente (nome, e-mail, indirizzo), dati contratto/abbonamento, fatture, storico pagamenti, ID cliente/fattura, eventuale token pagamento (tramite PSP), codici fiscali, timestamp |
USA* / SCC |
Controllo accessi, TLS |
Fine abbonamento + 2 anni di archiviazione |
https://www.zuora.com/privacy |
Fatturazione e trattamento pagamenti |
|
Zoom Video Communications Inc. |
Videoconferenza |
Nomi/e-mail partecipanti, ID/inviti riunione, dati audio/video/condivisione schermo (eventuali registrazioni), messaggi chat durante riunione, timestamp, eventuale IP / dati dispositivo / rete |
USA* / DPF |
Password riunioni, controllo moderatore |
30 giorni dopo la riunione |
https://explore.zoom.us/de/privacy/ |
Assistenza clienti e comunicazione, comunicazione interna |
*Data transfers to third countries (USA, UK, Israel) are based on Standard Contractual Clauses (SCCs) and, where applicable, the EU-U.S. Data Privacy Framework.
5.4 Misure tecniche e organizzative (TOM)
Tutti i sub-responsabili da noi incaricati sono contrattualmente obbligati ad adottare misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR.
Tra queste rientrano in particolare:
- Controlli di accesso (badge, autenticazione a due fattori)
- Crittografia dei trasferimenti di dati (TLS)
- Minimizzazione e pseudonimizzazione dei dati
- Ripristinabilità (backup, ridondanza)
- Registrazione e audit delle attività
- Formazione del personale
5.5 Trasferimento dei dati verso Paesi terzi
Alcuni dei nostri fornitori (sub-responsabili) hanno sede al di fuori dell’Unione Europea (UE) o dello Spazio Economico Europeo (SEE), in particolare negli Stati Uniti, in Israele e nel Regno Unito. L’utilizzo di tali servizi può comportare il trasferimento dei dati personali verso tali Paesi terzi.
Occorre considerare che in questi Paesi non sempre è garantito un livello di protezione dei dati paragonabile a quello dell’UE.
Per assicurare un’adeguata tutela, abbiamo stipulato con i fornitori interessati clausole contrattuali standard (SCC) approvate dalla Commissione Europea. Questi accordi vincolano i fornitori a trattare i dati dei nostri utenti conformemente agli standard del GDPR.
Inoltre, adottiamo, ove possibile, misure tecniche e organizzative supplementari (ad es. crittografia, minimizzazione dei dati trasmessi) per proteggere i Suoi dati nel miglior modo possibile.