Privacy Policy-Meridiotecno - Ing. Santoro Cosimo
I servizi offerti dai fornitori di soluzioni di cloud computing sono molto diversificati, in costante e significativo aumento e spaziano da sistemi elaborativi virtuali, che sostituiscono o si affiancano ai tradizionali elaboratori ubicati nei locali propri dell’organizzazione, a servizi di supporto allo sviluppo e per l’hosting evoluto delle applicazioni, sino a soluzioni software rese disponibili in modalità web che sono sostitutive delle tradizionali applicazioni installate sui computer di utenti, imprese e di amministrazioni.
I dati trasferiti e archiviati per mezzo di questi servizi web presso il service provider possono essere trattati dagli utenti in remoto attraverso la rete Internet spesso senza la necessità di installare specifici programmi sui propri sistemi e senza l’esigenza di dover effettuare gli aggiornamenti software e tutte le altre attività correlate alla manutenzione e alla gestione delle infrastrutture informatiche.
Sul mercato, a seconda delle esigenze dell’utente, sono disponibili varie soluzioni di cloud computing erogate secondo modalità che ricadono in linea di massima in tre categorie, dette “modelli di servizio”. Comunemente tali modelli di servizio sono riferiti sia a soluzioni di private cloud che di public cloud, ma vengono qui illustrati in un’ottica maggiormente aderente a quest’ultima tipologia di servizi, che prevede l’utilizzo condiviso da parte di utenti, imprese e soggetti pubblici dei sistemi di provider di servizi terzi.
Nel caso di servizi IaaS (Cloud Infrastructure as a Service - infrastruttura cloud resa disponibile come servizio), il fornitore noleggia un’infrastruttura tecnologica, cioè server virtuali remoti che l'utente finale può utilizzare con tecniche e modalità che ne rendono semplice, efficace e produttiva la sostituzione 10 Cloud computing: indicazioni per l’uso consapevole dei servizi o l'affiancamento ai sistemi già presenti nei locali dell'azienda. Tali fornitori sono in genere operatori di mercato specializzati che realmente dispongono di un'infrastruttura fisica, complessa e spesso distribuita in aree geografiche diverse.
Negli SaaS (Cloud Software as a Service - software erogato come servizio della cloud ), il fornitore eroga via web una serie di servizi applicativi ponendoli a disposizione degli utenti finali. Tali servizi sono spesso offerti in sostituzione delle tradizionali applicazioni installate localmente dall'utente sui propri sistemi, che è quindi spinto ad “esternalizzare” i suoi dati affidandoli al fornitore. Si pensi, ad esempio, ad applicazioni tipiche per l’ufficio erogate in modalità web quali fogli di calcolo, elaborazione dei testi, applicazioni per il protocollo informatico, la rubrica dei contatti e i calendari condivisi, ma anche alle moderne offerte di posta elettronica cloud.
Infine, nei PaaS (Cloud platform as a service - piattaforme software fornite via web come servizio), il fornitore offre soluzioni per lo sviluppo e l’hosting evoluto di applicazioni. In genere questo tipo di servizi è rivolto a operatori di mercato che li utilizzano per sviluppare e ospitare soluzioni applicative proprie, allo scopo di assolvere a esigenze interne oppure per fornire a loro volta servizi a terzi. Anche nel caso dei PaaS il servizio erogato dal fornitore elimina la necessità per il fruitore di doversi dotare internamente di strumenti hardware o software specifici o aggiuntivi.
L’utilizzo di servizi di cloud computing è un fenomeno in forte ascesa e determina un cambio di mentalità nelle modalità di utilizzo della rete Internet che, da strumento di condivisione documentale, diviene la porta di accesso alle risorse elaborative e di stoccaggio di fornitori di servizi remoti. Tale tipologia di servizi comporta la migrazione di dati dai sistemi locali sotto il diretto controllo dell’utente ai sistemi remoti del fornitore, che assume un ruolo centrale in ordine alla sicurezza dei dati e, quindi, all’adozione delle misure necessarie a garantirla. Tuttavia, è bene evidenziare come l’adozione di servizi esternalizzati non esime le imprese e le amministrazioni pubbliche che se ne avvalgono per la gestione del proprio patrimonio informativo dalle responsabilità che vengono loro attribuite, in particolare, dalla disciplina in materia di protezione dei dati personali.
Nel caso del cloud computing, il trasferimento dei dati dai computer locali, nella fisica disponibilità e nel diretto controllo esercitabile dal titolare, verso sistemi remoti di proprietà di un terzo fornitore del servizio, presenta, accanto a potenziali utilità, anche i seguenti aspetti che necessitano di specifica attenzione:
La Meridiotecno offre l'utilizzo dei suoi gestionali cloud (GIS One, GPD One, APM One, ecc.) in comodato d'uso, offrendo un servizio di tipo Public Cloud Computing SaaS (Software as a Service).
Tali gestionali software prevedono, per il loro espresso utilizzo, la registrazione da parte dell'utilizzatore, dei dati personali dei suoi clienti, come l' anagrafica, i servizi acquisiti, i pagamenti, ecc. .
Dunque l'utilizzatore, che può essere un singolo privato, una società o una pubblica amministrazione dovrà garantire che i dati personali dei propri clienti vengano trattati nel rispetto del Regolamento Generale sulla Protezione dei Dati Personali (GDPR) Europeo 2016/679, assicurandosi che gli stessi vengano trattati nel rispetto della privacy e della sicurezza.
Come previsto dal GDPR, l'utilizzatore di tali servizi (il titolare dell'attività che utilizza il SaaS) riveste la figura del Titolare del trattamento dei dati personali (di seguito TTD). All'interno della propria struttura aziendale il Titolare può designare internamente Responsabile del trattamento dei dati (di seguito RTD interno).
L'utilizzatore di servizi Public Cloud Computing SaaS, dovrà seguire una serie di precauzioni durante la scelta del fornitore di tali servizi:
La Meridiotecno con sede legale in via Sagarriga Visconti 99, Bari, CAP 70122, in qualità di erogatore del SaaS è il Responsabile esterno (di seguito RTD esterno) del Trattamento dei dati personali registrati attraverso l'utilizzo del suo SaaS e si impegna costantemente per tutelare la privacy on-line dei dati personali conservati presso le proprie infrastrutture informatiche.
Questo documento permetterà al TTD di conoscere la nostra politica sulla privacy per capire come le sue informazioni personali e quelle dei suoi Clienti, vengono gestite quando utilizza i nostri SaaS e per consentire, di far prestare un consenso al trattamento dei suoi dati personali e quello dei suoi Clienti, espresso e consapevole.
Si ricorda che nelle varie sezioni dei SaaS , potrebbero essere pubblicate specifiche informative ai sensi dell'art. 13 del Regolamento EU 2016/679 (di seguito: "Regolamento') per sua necessaria presa visione prima della fornitura dei dati richiesti.
Le informazioni ed i dati forniti dal TTD o altrimenti acquisiti nell'ambito dell'utilizzo dei vari SaaS (come ad esempio: acquisizione della anagrafica, servizi acquistati e pagamenti dei suoi clienti, fornitura di altri servizi accessori) saranno oggetto di trattamento nel rispetto delle disposizioni del Regolamento e degli obblighi di riservatezza che ispirano l'attività di Meridiotecno.
Secondo le norme del Regolamento e del D. Lgs. 196/2003 e successive modifiche (“Codice Privacy”), i trattamenti effettuati da Meridiotecno saranno improntati ai principi di liceità, correttezza, trasparenza, limitazione delle finalità e della conservazione, minimizzazione dei dati, esattezza, integrità e riservatezza.
1. Titolare del trattamento, Data Protection Officer e rappresentante nel Regno Unito
2. I dati personali oggetto di trattamento
a. Anagrafica cliente
b. Acquisto dei prodotti
c. Accessi alla struttura
3. Dati forniti dal Titolare del trattamento al Gestore del Servizio Cloud
4. Gestione e trattamento dei dati da parte del Gestore
5. Trasferimento dei dati personali
6. Conservazione dei dati
7. Diritti degli interessati
8. Modifiche
Il Titolare (di seguito "TTD') del trattamento dei dati dei suoi clienti, raccolti attraverso l'utilizzo del SaaS, è il singolo titolare della attività .
La struttura del titolare dovrà essere dotata di un responsabile interno per la protezione dei dati (RTD interno). Il RTD è a disposizione per qualunque informazione inerente il trattamento dei dati personali eseguito dalla società stessa.
Il Titolare informerà e accoglierà il consenso di ciascun suo singolo Cliente, direttamente o per il tramite di suoi addetti (di seguito "Operatori'), mediante la compilazione di apposito modulo disponibile e scaricabile dal SaaS.
Per trattamento di dati personali intendiamo qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
I sistemi informatici e le procedure software preposte al funzionamento del SaaS, acquisiscono nel corso del loro normale esercizio, alcuni dati personali (di seguito solo "Dati Personali') la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet. Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura permettono di identificare gli utenti ai soli fini previsti dal regolamento della struttura stessa (controllo accessi, pagamento abbonamenti, ecc.).
In particolare, i Dati Personali trattati attraverso il SaaS sono i seguenti:
In questa categoria di dati rientrano il cognome e nome del Cliente , la sua data di nascita, il luogo di nascita, la sua residenza, il codice fiscale.
In questa categoria di dati rientrano I prodotti acquistati dal Cliente (abbonamenti, utilizzo del servizio docce e prese, ecc.) e i relativi pagamenti saranno registrati attraverso l'utilizzo del SaaS al fine di gestire correttamente l'utilizzo.
Inoltre saranno registrati e controllati gli accessi degli stessi Clienti alla struttura di proprietà del titolare (piscina, palestra, azienda, ecc.) al fine di gestirne correttamente il servizio reso. Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso del SaaS e per controllarne il corretto funzionamento, per identificare anomalie e/o abusi. I dati potrebbero essere utilizzati per l'accertamento di responsabilità in caso di ipotetici reati informatici ai danni del Servizio cloud.
Nell'utilizzo delle funzionalità del SaaS (ad esempio la richiesta di assistenza per la risoluzione di problemi inerenti all'utilizzo dello stesso da parte degli Operatori) potrebbe verificarsi un trattamento dei Dati Personali di terzi soggetti comunicati dal TTD o un suo Operatore al RTD esterno.
Rispetto a tali ipotesi, il TTD si pone come autonomo titolare del trattamento, assumendosi tutti gli obblighi e le responsabilità di legge. In tal senso, il TTD conferisce sul punto la più ampia manleva rispetto ad ogni contestazione, pretesa, richiesta di risarcimento del danno da trattamento, etc. che dovesse pervenire a Meridiotecno da terzi soggetti i cui Dati Personali siano stati trattati attraverso il suo utilizzo del SaaS in violazione delle norme sulla tutela dei dati personali applicabili. In ogni caso, qualora il TTD o un suo Operatore fornisca o in altro modo tratti Dati Personali di terzi nell'utilizzo del SaaS, egli garantisce fin da ora - assumendosene ogni connessa responsabilità - che tale particolare ipotesi di trattamento si fonda su un'idonea base giuridica (ad esempio, il consenso dell'interessato) ai sensi dell'art. 6 del Regolamento che legittima il trattamento delle informazioni in questione.
Per quanto concerne il trattamento di Dati Personali effettuati nell'ambito delle procedure di erogazione, manutenzione e assistenza del SaaS da parte del RTD esterno, si precisa che Meridiotecno porrà in essere solo i trattamenti strettamente necessari per erogare il servizio, salvo ulteriori trattamenti sulla base di una idonea base giuridica ai sensi dell'art. 6 del Regolamento.
Il conferimento di tali dati è di per sé facoltativo, tuttavia in mancanza di tale conferimento Meridiotecno non potrà gestire ed erogare il servizio richiesto.
Il trattamento che il RTD esterno intende effettuare, dietro specifico consenso del TTD, ha le seguenti finalità:
a. Consentire l'erogazione, della manutenzione e della assistenza per l'utilizzo del SaaS e la successiva ed autonoma gestione del suo pannello di controllo, inclusa la raccolta, la conservazione e la elaborazione dei dati ai fini dell'instaurazione e della successiva gestione operativa, tecnica ed amministrativa del rapporto connesso all'erogazione dello stesso Servizio cloud e l'effettuazione di comunicazioni relative allo svolgimento del rapporto instaurato;
b. consentire la corretta navigazione e la consultazione del Servizio cloud;
c. rispondere a richieste di assistenza o di informazioni, che la Meridiotecno riceverà via e-mail, telefono o chat attraverso la pagina "Contattaci" del nostro Servizio cloud, o tramite l'apposito form "Segnalazioni privacy" raggiungibile dalla pagina "Contattaci" del SaaS.
La base legale del trattamento di Dati Personali per le finalità di cui alle lettere (a), (b) e (c) che precedono è l'art. 6(1)(b) del Regolamento in quanto i trattamenti sono necessari all'erogazione dei servizi contrattualizzati.
Il conferimento dei Dati Personali per queste finalità è facoltativo ma l'eventuale mancato conferimento comporterebbe l'impossibilità di attivare i Servizi richiesti.
d. assolvere obblighi di legge, contabili e fiscali: questo trattamento risulta legittimo ai sensi dell'art. 6(1)(c) del Regolamento. Una volta conferiti i Dati Personali, il trattamento può essere invero necessario per adempiere ad obblighi di legge a cui Meridiotecno è soggetta; non è possibile opporsi a questo trattamento, trattandosi di un trattamento derivante da obblighi di legge;
e. per esclusive finalità di sicurezza e prevenzione di condotte fraudolente, sulla base di un legittimo interesse di Meridiotecno a prevenire frodi e truffe poste in essere a suo danno o a danno dei propri clienti, ai sensi dell'art. 6(1)(f) del Regolamento e sulla base sia del Considerando 47 del Regolamento, che prevede espressamente che costituisce ( ... ) legittimo interesse del titolare del trattamento interessato trattare dati personali strettamente necessari a fini di prevenzione delle frodi, nonché sulla base di diversi bilanciamenti di interessi svolti dal titolare da cui non risulta che i trattamenti in questione siano lesivi dei suoi diritti e libertà fondamentali. In particolare, le attività di questo tipo comprendono:
f) un sistema di controllo automatico, posto in essere anche tramite l’utilizzo di cookie e altri strumenti di tracciamento similari (log di utilizzo del SaaS), che comporta il rilevamento e l’analisi di alcuni comportamenti degli operatori del SaaS, associati ai loro indirizzi IP e ad altri dati abbinati alla navigazione. Le conseguenze di tale trattamento sono che qualora un soggetto tenti di porre in essere condotte fraudolente sul SaaS, Meridiotecno si riserva il diritto di escludere tale soggetto dalla promozione oppure di adottare ogni altra opportuna misura a propria tutela;
g) verifiche sull'uso del SaaS: se viene rilevato un incremento eccezionale dell’uso dello spazio disco utilizzato dai dati del Cliente, limitandosi a verifiche esteriori che non hanno impatto sui Dati Personali del cliente né individuano quali contenuti siano stati caricati, tenta di individuare se vi siano usi illeciti del Servizio cloud (o da un punto di vista contrattuale o da un punto di vista normativo), al fine di avvertire il Cliente, tutelare i propri diritti e garantire la sicurezza dei propri sistemi;
I Dati Personali potranno essere condivisi, per le finalità di cui alla sezione 4 più sopra, con:
a. soggetti, enti od autorità a cui sia obbligatorio comunicare i Dati Personali in forza di disposizioni di legge o di ordini delle autorità (ad esempio, nel corso di indagini di natura penale Meridiotecno può ricevere richieste da parte dell'autorità giudiziaria di fornire log di traffico telematico);
b. persone autorizzate da Meridiotecno al trattamento di Dati Personali necessario a svolgere attività strettamente correlate all'erogazione del Servizio cloud, che si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza, quali i dipendenti di Meridiotecno.
I Dati Personali trattati saranno conservati per il tempo strettamente necessario a raggiungere le indicate finalità. Inoltre, trattandosi di trattamenti svolti per la fornitura del SaaS. Meridiotecno tratterà i Dati Personali fino al tempo permesso dalla normativa Italiana a tutela dei propri interessi (Art. 2946 c.c. e ss.), in particolare conserverà i dati necessari a dimostrare di avere correttamente adempiuto ai propri obblighi contrattuali per la durata che la normativa prevede, in generale, per la prescrizione dell’azione per inadempimento contrattuale.
I Dati Personali saranno conservati in server localizzati sul territorio europeo (Register.it) .
Sarà garantita la sicurezza dei Dati Personali mediante:
1. Procedure di autenticazione (login e password) lato client
2. Procedure di autenticazione del database (login e password)
3. Procedure di autenticazione dell'accesso ai server (login e password)
4. Algoritmi di controllo di eventuali tentativi di accesso fraudolento con conseguenti procedure automatiche di bannaggio degli IP remoti
5. Navigazione web mediante protocollo https con certificato SSL riconosciuto dalla Sectigo Intermediate Certificates.
Considerando che i Dati Personali memorizzati non contengono informazioni sensibili, non si ritiene necessario conservarli in modo criptato.
Sarà preservata la conservazione dei Dati Personali da eventuali situazioni di Disaster Recovery, attraverso:
1. Procedure di backup automatico giornaliero su altri server localizzati sul territorio europeo (Acronis Cyber Cloud)
2. Procedure di backup automatico giornaliero del database su altro server localizzato sul territorio europeo (server Meridiotecno)
3. Procedure di backup manuale giornaliero, attuabile al logout del SaaS, mediante l'invio come allegato mail al server della Meridiotecno.
I Server Provider Register.it e Acronis non hanno accesso ai dati memorizzati sui loro server e sono conformi al Regolamento (vedasi https://www.register.it/assistenza/gdpr-protezione-dati/ e https://www.acronis.com/en-us/gdpr/).
I Dati Personali saranno conservati sui server della Meridiotecno fino alla scadenza del contratto di comodato d'uso e saranno automaticamente cancellati dopo l'eventuale successiva richiesta di portabilità e comunque non oltre una settimana dalla scadenza del contratto.
Fermi restando gli obblighi o le facoltà di conservazione dei Dati Personali descritti al paragrafo 6, il TTD ha il diritto di chiedere a Meridiotecno, in qualunque momento, l'accesso ai suoi Dati Personali, la rettifica o la cancellazione degli stessi o di opporsi al loro trattamento nei casi previsti dall'art. 20 del Regolamento, ha diritto di richiedere la limitazione del trattamento nei casi previsti dall'art. 18 del Regolamento, nonché di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che la riguardano (portabilità), nei casi previsti dall'art. 20 del Regolamento.
Le richieste vanno rivolte per iscritto da qui oppure scrivendo a dpo-servizio-cloud@meridiotecno.it. Per esercitare il diritto alla portabilità ed ottenere maggiori informazioni sul suo contenuto, si accede a questo link
Inoltre, in presenza di richieste da parte di soggetti interessati relative alla segnalazione di abusi nell'utilizzo del SaaS o attività di spamming effettuati da un Operatore o TTD, nonché in presenza di qualsiasi ulteriore richiesta di esercizio dei diritti ex art.15 e ss. del Regolamento, Meridiotecno, senza entrare nel merito della richiesta, da un lato informerà tempestivamente il Cliente, e dall'altro fornirà ai soggetti interessati gli estremi del TTD.
In ogni caso il TTD ha sempre diritto di proporre reclamo all'autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell'art. 77 del Regolamento, qualora ritenga che il trattamento dei suoi dati e quelli dei suoi Clienti sia contrario alla normativa in vigore, o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).
La presente privacy policy è in vigore dal 19/05/2022. Meridiotecno si riserva di modificarne o semplicemente aggiornarne il contenuto, in parte o completamente, anche a causa di variazioni della normativa applicabile. Qualora le modifiche alla presente policy riguardino cambiamenti sostanziali nei trattamenti oppure possano avere comunque un impatto rilevante sugli interessati, Register avrà cura di notificarle opportunamente agli interessati.