Informativa Privacy Trattamenti OpenSymbol – Versione Estesa

Gentile interessato, le condividiamo la presente informativa, resa ai sensi dell’articolo 13 del “Regolamento Europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al Trattamento dei Dati Personali, nonché alla libera circolazione di tali dati” (di seguito “GDPR”).

1. Definizioni

Con il termine “dato personale” si intende qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, con riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

Con il termine “interessato” si intende la persona fisica a cui si riferiscono i dati personali.

2. Responsabilità

Rispetto i trattamenti definiti all’interno della presente informativa, OpenSymbol srl, Via Vecchia Ferriera, 5 – 36100 Vicenza (VI) – P.I./C.F. 03184500241 – REA 305343, è Titolare autonoma e/o Contitolare del Trattamento insieme alle seguenti altre società di Impresoft Group di cui OpenSymbol fa parte, le quali trattano, a seconda delle specifiche finalità perseguite e indicate nella presente informativa i dati personali degli interessati autonomamente o congiuntamente ai sensi del GDPR:

  • Formula Impresoft S.p.A., sede legale e amministrativa Via Bisceglie 76, Milano, CF. e P.I. 05488960013, in persona del legale rappresentante Giuseppe Rossano Ziveri; indirizzo email: gdpr@formulaimpresoft.com
  • Qualitas Informatica S.p.A., sede legale Via Marco Dalla Vecchia, 12, Santorso (VI), CF. e P.I. 01833260241, in persona del legale rappresentante Sergio Gasparin; Indirizzo email: ufficiomarketing@qualitas.it 
  • 4ward S.r.l., sede legale in Via del Vigneto 33, Bolzano, CF. e P. I. 03408060964, in persona del legale rappresentante Christian Carlo Alberto Parmigiani; indirizzo email: dpo@4ward.it  
  • NextTech S.r.l., sede legale Piazza San Nicolò,15 30034 Mira (VE) CF. e P.I. 05488960013, in persona del legale rappresentante Mauro Dal Corso; indirizzo email: info@nexttech.it 
  • NextCRM S.r.l., con sede legale in Via Rossini, 6, Vicenza (VI), CF e P.I. 04119450247, in persona del legale rappresentante Luigi Mattiazzi; indirizzo email: direzione@pec.nextcrm.it 

Le predette società agiscono in qualità di autonomi Titolari del trattamento dei dati per le finalità di cui al paragrafo 4. Le stesse inoltre possono agire in qualità di Contitolari relativamente al trattamento dei dati per le finalità commerciale in senso lato e di marketing come specificato al successivo paragrafo 5, avendo determinato congiuntamente le finalità, modalità e i mezzi del trattamento attraverso la conclusione di uno specifico accordo ai sensi dell’art. 26 del GDPR.

Qualsiasi richiesta riguardante la presente Privacy Policy, la protezione dei dati personali e la sicurezza delle informazioni può essere inoltrata al DPO di OpenSymbol Srl, contattabile all’indirizzo email dpo@opensymbol.it, all’indirizzo email privacy@opensymbol.it oppure alla casella di posta elettronica di Impresoft Group privacy@impresoftgroup.com.

3. Fonti dei Dati Personali

I dati personali trattati dalle predette Titolari sono raccolti direttamente dal/dai sito/i internet delle singole Società Titolari o dal sito del Gruppo, dai servizi web in essi contenuti (c.d. digital touch points), ovvero in occasione di eventi organizzati dalle Titolari anche presso terzi come, ad esempio, partner commerciali,  ed eventualmente arricchiti con informazioni reperibili tramite specifici servizi, Banche dati di Società Private (LinkedIn, Creditsafe, ecc…) o pubblicamente tramite consultazione di Pubblici Registri, C.C.I.A.A. 

Nell’ipotesi in cui le Titolari acquisiscano dati da società esterne a fini di informazioni commerciali, ricerche di mercato, offerte dirette di prodotti e servizi, sarà fornita un’informativa all’atto della registrazione dei dati o, comunque, non oltre la prima eventuale comunicazione.

4. Finalità, Basi giuridiche, Tempi di conservazione

OpenSymbol e le altre società di Impresoft Group utilizzano i dati che raccolgono dagli interessati per le seguenti finalità nel ruolo di Titolari autonomi o Contitolari a seconda della specifica situazione:

Commerciali

  • Rispondere alle richieste di tipo commerciale pervenute a una o più società del gruppo.

    Ai sensi dell’Articolo 6 paragrafo 1 lettera b) e f) del GDPR i trattamenti aventi finalità commerciali si basano sulla necessità di eseguire un contratto di cui l’interessato è parte, sull’esecuzione di misure precontrattuali adottate su richiesta dello stesso o perseguire il legittimo interesse da parte di OpenSymbol e/o le altre società di Impresoft Group ai sensi del considerando 47 del GDPR e secondo logica di relazione commerciale pertinente e appropriata tra OpenSymbol e/o le altre società di Impresoft Group e l’interessato.

Marketing

  • Promozione e la vendita di prodotti e servizi analoghi a quelli già acquistati dall’interessato (c.d. soft spam), attraverso comunicazioni commerciali anche di specifico interesse dell’interessato.

    Il conferimento dei dati non è obbligatorio ed il loro trattamento non richiede il consenso per sussistenza di legittimo interesse dei Titolari ai sensi dell’art. 6 par. 1 lett. f) GDPR ad effettuare attività di marketing verso propri clienti.

  • Invio di materiale promozionale (invio di newsletter, promozione di workshop, webinar, eventi, promozione di prodotti e servizi) e comunicazioni commerciali a distanza automatizzate (come email, sms, instant messaging) e tradizionali (come chiamate tramite operatore);

    I trattamenti facenti parte della finalità di marketing, ai sensi dell’Articolo 6 paragrafo 1 lettera a),  si basano sul consenso esplicito da parte dell’interessato.

Legislative/Giudiziali

  • Adempimento degli obblighi di legge, da regolamenti, dalla normativa comunitaria, da disposizioni impartite da autorità a ciò legittimate dalla legge o da organi di vigilanza e controllo o se necessario per accertare, esercitare o difendere i propri diritti in sede giudiziaria.

    Il conferimento dei dati personali è obbligatorio e il relativo trattamento non richiede il consenso e si basa sull’Articolo 6 paragrafo 1 lettera c).

Statistiche

  • Rilevazione di qualità volte a migliorare l’attività e i propri servizi (ad es. rilevazione del grado di soddisfazione della clientela sulla qualità dei servizi resi e sull’attività svolta dalla Società, l’elaborazione di studi e di ricerche di mercato) anche attraverso tecniche di comunicazioni a distanza automatizzate (come email, sms, instant messaging) e tradizionali (come chiamate tramite operatore).
    Il conferimento dei dati personali non è obbligatorio ed il loro trattamento non richiede il consenso per sussistenza di legittimo interesse delle Titolari ai sensi dell’art. 6 par. 1 lett. f) GDPR.

I Dati personali verranno conservati per un arco di tempo non superiore al conseguimento delle finalità sottese al trattamento, nei limiti prescritti dalla Normativa Vigente, nel rispetto del principio di minimizzazione ex art. 5.1.c) GDPR, ammettendo una conservazione ulteriore per adempiere ad obblighi di legge, per consentire la difesa in giudizio delle Contitolari del trattamento e l’esercizio dei loro diritti. Rispetto i dati personali trattati da OpenSymbol, almeno ogni 4 anni è inviata a tutti gli interessati un’email con l’informativa privacy aggiornata e le modalità attraverso cui gli interessati possono far valere i loro diritti.

Una volta venuta meno la necessità e/o obbligo di elaborare i dati personali dell’interessato, OpenSymbol provvederà ad eliminarli o a renderli anonimi o, se ciò non fosse possibile (ad esempio, poiché i dati personali sono stati archiviati negli archivi di backup), a conservarli in modo sicuro, anonimizzandoli ed escludendoli da qualsiasi ulteriore trattamento fino alla loro cancellazione.

5. Trattamenti svolti in regime di Contitolarità

Le Contitolari, come identificati all’interno del paragrafo 1 della presente informativa, hanno stipulato un Accordo di Contitolarità a norma dell’articolo 26 del Regolamento.

Le Titolari del trattamento, mediante il suddetto accordo, intendono trattare congiuntamente i dati raccolti nell’esercizio delle loro attività per le finalità commerciale di gestione della propria clientela e di marketing. Nello specifico, tali attività hanno ad oggetto:

  • invio di materiale promozionale (invio di newsletter, promozione di workshop, webinar, eventi, promozione di prodotti e servizi) e comunicazioni commerciali a distanza automatizzate (come email, sms, instant messaging) e tradizionali (come chiamate tramite operatore);
  • rilevazione di qualità anche attraverso tecniche di comunicazioni a distanza automatizzate (come email, sms, instant messaging) e tradizionali (come chiamate tramite operatore).

Il conferimento dei dati per la finalità di marketing è facoltativo ed il relativo trattamento è sottoposto al presupposto legittimante del consenso. Il mancato consenso al trattamento non consentirà l’attività di promozione indicata, ma non pregiudicherà in alcun modo l’interessato.

Per le predette finalità commerciale e di marketing, le Contitolari hanno altresì determinato congiuntamente nell’ambito dello specifico accordo le modalità di trattamento e hanno definito, in modo chiaro e trasparente, le procedure per fornire all’interessato un tempestivo riscontro qualora desiderasse esercitare i suoi diritti, riportate di seguito all’art. 9 della presente informativa, così come previsti dagli articoli 15, 16, 17, 18 e 21 del Regolamento nonché nei casi di portabilità dei dati personali previsti dall’articolo 20 del Regolamento.

6. Categorie di dati personali

Ai sensi dell’Articolo 5, paragrafo 1, lettera c), OpenSymbol e le altre società di Impresoft Group conservano solo dati personali adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); pertanto viene richiesto agli interessati di non condividere dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Se l’interessato volutamente dovesse comunicare ad OpenSymbol o alle altre società di Impresoft Group dati di questo tipo, i dipendenti o i collaboratori di OpenSymbol e delle altre società di Impresoft Group, i quali hanno ricevuto sessioni di formazione privacy specifica, tratteranno tali dati secondo principi di massima cura e riservatezza. Nel dettaglio, per perseguire le finalità di trattamento evidenziate al paragrafo 2 della presente informativa, le categorie di dati personali trattate da OpenSymbol e le altre società facenti parte del Gruppo sono: 

  • Dati anagrafici;
  • Dati di contatto;
  • Dati aziendali.

7. Dati di Minori

Ai sensi dell’Articolo 8, paragrafo 1 del GDPR il trattamento di dati personali del minore è lecito ove il minore abbia almeno 14 anni. Ove il minore abbia un’età inferiore, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

8. Trattamenti

Le attività di trattamento comprendono la raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modifica, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, cancellazione, distruzione. A questi si aggiunge il trattamento di profilazione effettuato attraverso l’interessato ma con focus l’azienda che esso rappresenta in qualità di dipendente o collaboratore.

9. Destinatari

Le Titolari potranno comunicare i dati personali degli interessati a soggetti terzi, in adempimento di obblighi legali.

Previo specifico consenso, le Titolari potranno comunicare i dati personali a società terze (non facenti parte del Gruppo) che li tratteranno in qualità di autonomi titolari del trattamento, a fini di informazione commerciale, indagini statistiche, ricerche di mercato, offerte dirette di loro prodotti e servizi.

Le Titolari potranno comunicare i dati personali dell’interessato a soggetti terzi che opereranno in qualità di Titolari autonomi o saranno designati Responsabili del trattamento e sono essenzialmente ricompresi nelle seguenti categorie:

  • soggetti che svolgono servizi bancari, ivi compresi i soggetti che intervengono nella gestione di sistemi di pagamento;
  • persone, società, associazioni o studi professionali che prestino servizi o attività di assistenza e consulenza ai titolari, con particolare ma non esclusivo riferimento alle questioni in materia contabile, amministrativa, legale, tributaria e finanziaria, commerciale;
  • partner commerciali, di marketing, legali, fornitori di servizi tecnici e/o di piattaforme software, amministratori di sistema, hosting provider, società informatiche, agenzie di comunicazione; 
  • soggetti che svolgono adempimenti di controllo, revisione e certificazione delle attività poste in essere dalle società del Gruppo anche nell’interesse della clientela.

I dati dell’interessato non verranno comunicati, divulgati né tantomeno venduti a terzi od utilizzati per scopi diversi da quelli sopra indicati, se non previa comunicazione e consenso espresso dell’interessato, ove necessario.

È possibile richiedere la lista aggiornata dei soggetti interessati all’indirizzo email privacy@opensymbol.it o privacy@impresoftgroup.com

I soggetti designati Responsabili del Trattamento da parte di OpenSymbol che potrebbero avere accesso, elaborare, archiviare, trasmettere e in generale effettuare trattamenti sui dati personali sono valutati anche sull’aspetto della sicurezza delle informazioni (normative ISO 27001, ISO 27017 e ISO 27018) e protezione dei dati personali.

10. Localizzazione dei Trattamenti

Nel caso in cui OpenSymbol o le Contitolari avessero necessità (permanentemente o temporaneamente) di trasferire i Dati Personali verso Paesi Terzi extra UE per le finalità indicate ai precedenti punti, potrà avvenire, nel rispetto delle modalità consentite dalla legge vigente e in particolare in base alle disposizioni del GDPR di cui: i) all’art. 44 – Principio generale per il trasferimento; ii) all’art. 45 – Trasferimento sulla base di una decisione di adeguatezza; iii) all’art. 46 – Trasferimento soggetto a garanzie adeguate; iv) all’art.49 – Deroghe in specifiche situazioni. 

I dati pertanto potranno essere trasferiti: 

  • verso Paesi Terzi extra UE o organizzazioni internazionali, se la Commissione Europea ha ritenuto che detti Paesi o organizzazioni garantiscano un livello di protezione adeguato (art. 45 del GDPR);
  • verso Paesi Terzi extra UE o organizzazioni internazionali che abbiano fornito garanzie adeguate (ad esempio l’adozione di Clausole Standard approvate dalla Commissione Europea) a condizione che l’interessato disponga di diritti azionabili e mezzi di ricorso effettivi – (art. 46 del GDPR);
  • verso Paesi Terzi extra UE o organizzazioni internazionali, sulla base di norme vincolanti d’impresa (Binding Corporate Rules –BCR) per società facenti parti dello stesso gruppo imprenditoriale (art. 47 del GDPR);
  • verso Paesi Terzi o organizzazioni internazionali, sulla base della deroga prevista al ricorrere delle condizione di cui all’art. 49 e in particolare di quelle di cui al comma 1, lettera: b) esecuzione di un contratto; c) conclusione o esecuzione di un contratto tra il Titolare e altra persona fisica o giuridica nell’interesse dell’interessato.

Tutti i trattamenti descritti nella presente informativa ed effettuati da OpenSymbol avvengono all’interno dell’UE a meno di:

  • Zendesk Inc. – Servizio di Ticketing – USA;
  • SureSwift Capital (Docparser/Mailparser) – Servizio di Email Parsing –  USA – solo per i clienti che hanno sottoscritto il servizio “Mailparser” per l’estrazione di informazioni da email;
  • Zapier, Inc. – Servizio di App Integration –  USA – solo per i clienti che hanno sottoscritto il servizio “Zapier” per l’App Integration.

Per tutti i sub-responsabili sopra elencati è stata effettuata specifica attività di Data Protection Impact Analysis (DPIA) e sono stati sottoscritti da OpenSymbol accordi di nomina comprendenti clausole contrattuali standard.

11. Modalità di Trattamento

OpenSymbol e le altre società del Gruppo mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se opportuno, una o più delle seguenti misure:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • la verifica periodica dell’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Tutto il personale e i collaboratori di OpenSymbol e delle altre società del Gruppo che accedono ai dati personali specificati all’interno della presente informativa hanno ricevuto specifiche autorizzazioni e istruzioni dalle Titolari/Contitolari. 

In OpenSymbol è attivo inoltre un Sistema di Gestione per la Qualità e la Sicurezza delle Informazioni (SGQSI) definito secondo regole e criteri previsti dalle “best practice” e dagli standard internazionali di riferimento in conformità alle indicazioni delle norme internazionali:

  • ISO 9001 – “Quality Management System”;
  • ISO 27001 – “Information Security Management System”;
  • ISO 27017 – “Information technology — Security techniques — Code of practice for information security controls based on ISO 27002 for cloud services”.
  • ISO 27018 – “Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors”.

OpenSymbol ha al suo interno personale qualificato Lead Auditor AICQ SICEV ISO 27001 ed è certificata ISO 9001, ISO 27001, ISO 27017 e ISO 27018 dopo valutazione di conformità da parte di CSQA, un ente di controllo di terza parte indipendente accreditato da Accredia, l’ente unico nazionale di accreditamento designato dal Governo italiano. I certificati emessi da CSQA sono riconosciuti a livello internazionale. Maggiori informazioni sono disponibili alla pagina raggiungibile al link.

12. Diritti dell’Interessato

In base agli artt. 15-22 GDPR agli interessati sono riconosciuti specifici diritti. In particolare, l’interessato può ottenere dalle Titolari: l’accesso, la rettifica, la cancellazione, la limitazione del trattamento, la revoca del consenso nonché la portabilità dei dati che lo riguardano. L’interessato ha inoltre diritto di opposizione al trattamento per motivi legittimi e/o per finalità commerciali. 

Le Titolari si impegnano a rispondere il prima possibile all’interessato dopo averne verificato l’identità. 

Nel caso in cui venga esercitato il diritto di opposizione, ciascuna Titolare e/o le società Contitolari si riservano la possibilità di non dare seguito all’istanza, e quindi di proseguire il trattamento, nel caso in cui sussistano motivi legittimi obbligatori per procedere al trattamento che prevalgono sugli interessi, diritti e libertà dell’interessato.

I diritti di cui sopra potranno essere esercitati sia verso le singole Titolari che congiuntamente verso le Contitolari inviando una comunicazione scritta ai seguenti indirizzi di posta elettronica:

            Si informa l’interessato che, ai sensi dell’art.12 del GDPR, se le richieste dell’interessato risultino essere manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, le Titolari del trattamento potranno: a) addebitare un contributo spese ragionevole, tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o le comunicazioni o intraprendere l’azione richiesta oppure b) rifiutare di soddisfare la richiesta.

            L’interessato ha inoltre diritto a proporre reclamo innanzi all’Autorità Garante per la Protezione dei Dati Personali. In Italia è operativo il Garante per la Protezione dei Dati Personali.