La tutela della vostra Privacy è uno dei nostri principali obiettivi.

 

I servizi offerti dai fornitori di soluzioni di cloud computing sono molto diversificati, in costante e significativo aumento e spaziano da sistemi elaborativi virtuali, che sostituiscono o si affiancano ai tradizionali elaboratori ubicati nei locali propri dell’organizzazione, a servizi di supporto allo sviluppo e per l’hosting evoluto delle applicazioni, sino a soluzioni software rese disponibili in modalità web che sono sostitutive delle tradizionali applicazioni installate sui computer di utenti, imprese e di amministrazioni.

I dati trasferiti e archiviati per mezzo di questi servizi web presso il service provider possono essere trattati dagli utenti in remoto attraverso la rete Internet spesso senza la necessità di installare specifici programmi sui propri sistemi e senza l’esigenza di dover effettuare gli aggiornamenti software e tutte le altre attività correlate alla manutenzione e alla gestione delle infrastrutture informatiche.
Sul mercato, a seconda delle esigenze dell’utente, sono disponibili varie soluzioni di cloud computing erogate secondo modalità che ricadono in linea di massima in tre categorie, dette “modelli di servizio”. Comunemente tali modelli di servizio sono riferiti sia a soluzioni di private cloud che di public cloud, ma vengono qui illustrati in un’ottica maggiormente aderente a quest’ultima tipologia di servizi, che prevede l’utilizzo condiviso da parte di utenti, imprese e soggetti pubblici dei sistemi di provider di servizi terzi. 
Nel caso di servizi IaaS (Cloud Infrastructure as a Service - infrastruttura cloud resa disponibile come servizio), il fornitore noleggia un’infrastruttura tecnologica, cioè server virtuali remoti che l'utente finale può utilizzare con tecniche e modalità che ne rendono semplice, efficace e produttiva la sostituzione 10 Cloud computing: indicazioni per l’uso consapevole dei servizi o l'affiancamento ai sistemi già presenti nei locali dell'azienda. Tali fornitori sono in genere operatori di mercato specializzati che realmente dispongono di un'infrastruttura fisica, complessa e spesso distribuita in aree geografiche diverse.
Negli SaaS (Cloud Software as a Service - software erogato come servizio della cloud ), il fornitore eroga via web una serie di servizi applicativi ponendoli a disposizione degli utenti finali. Tali servizi sono spesso offerti in sostituzione delle tradizionali applicazioni installate localmente dall'utente sui propri sistemi, che è quindi spinto ad “esternalizzare” i suoi dati affidandoli al fornitore. Si pensi, ad esempio, ad applicazioni tipiche per l’ufficio erogate in modalità web quali fogli di calcolo, elaborazione dei testi, applicazioni per il protocollo informatico, la rubrica dei contatti e i calendari condivisi, ma anche alle moderne offerte di posta elettronica cloud.
Infine, nei PaaS (Cloud platform as a service - piattaforme software fornite via web come servizio), il fornitore offre soluzioni per lo sviluppo e l’hosting evoluto di applicazioni. In genere questo tipo di servizi è rivolto a operatori di mercato che li utilizzano per sviluppare e ospitare soluzioni applicative proprie, allo scopo di assolvere a esigenze interne oppure per fornire a loro volta servizi a terzi. Anche nel caso dei PaaS il servizio erogato dal fornitore elimina la necessità per il fruitore di doversi dotare internamente di strumenti hardware o software specifici o aggiuntivi.

L’utilizzo di servizi di cloud computing è un fenomeno in forte ascesa e determina un cambio di mentalità nelle modalità di utilizzo della rete Internet che, da strumento di condivisione documentale, diviene la porta di accesso alle risorse elaborative e di stoccaggio di fornitori di servizi remoti. Tale tipologia di servizi comporta la migrazione di dati dai sistemi locali sotto il diretto controllo dell’utente ai sistemi remoti del fornitore, che assume un ruolo centrale in ordine alla sicurezza dei dati e, quindi, all’adozione delle misure necessarie a garantirla. Tuttavia, è bene evidenziare come l’adozione di servizi esternalizzati non esime le imprese e le amministrazioni pubbliche che se ne avvalgono per la gestione del proprio patrimonio informativo dalle responsabilità che vengono loro attribuite, in particolare, dalla disciplina in materia di protezione dei dati personali.

Nel caso del cloud computing, il trasferimento dei dati dai computer locali, nella fisica disponibilità e nel diretto controllo esercitabile dal titolare, verso sistemi remoti di proprietà di un terzo fornitore del servizio, presenta, accanto a potenziali utilità, anche i seguenti aspetti che necessitano di specifica attenzione:
 

• l’utente, affidando i dati ai sistemi di un fornitore remoto, ne perde il controllo diretto ed esclusivo; la riservatezza e la disponibilità delle informazioni allocate sulla nuvola certamente dipendono anche dai meccanismi di sicurezza adottati dal service provider;

 

• il servizio prescelto potrebbe essere il risultato finale di una catena di trasformazione di servizi acquisiti presso altri service provider, diversi dal fornitore con cui l’utente stipula il contratto di servizio; l’utente a fronte di filiere di responsabilità complesse potrebbe non sempre essere messo in grado di sapere chi, dei vari gestori dei servizi intermedi, può accedere a determinati dati;

 

• il servizio virtuale, in assenza di adeguate garanzie in merito alla qualità della connettività di rete, potrebbe occasionalmente risultare degradato in presenza di elevati picchi di traffico o addirittura indisponibile laddove si verifichino eventi anomali quali, ad esempio, guasti, impedendo l’accessibilità temporanea ai dati in esso conservati;

 

• le cloud sono sistemi e infrastrutture condivise basate sul concetto di risorse noleggiate a un’utenza multipla e mutevole; i fornitori, infatti, custodiscono dati di singoli e di organizzazioni diverse che potrebbero avere interessi ed esigenze differenti o persino obiettivi contrastanti e in concorrenza;

 

• la conservazione dei dati in luoghi geografici differenti ha riflessi immediati sia sulla normativa applicabile in caso di contenzioso tra l’utente e il fornitore, sia in relazione alle disposizioni nazionali che disciplinano il trattamento, l’archiviazione e la sicurezza dei dati;

 

• l’adozione da parte del fornitore del servizio di tecnologie proprie può, in taluni casi, rendere complessa per l’utente la transizione di dati e documenti da un sistema cloud ad un altro o lo scambio di informazioni con soggetti che utilizzino servizi cloud di fornitori differenti, ponendone quindi a rischio la portabilità o l’interoperabilità dei dati. Il fornitore, in base alla tipologia dei servizi offerti, assume la responsabilità di preservare la riservatezza, l'integrità o la disponibilità dei dati; pertanto, l’utente al momento della stipula dei contratti di servizio dovrà tenere in debito conto gli accorgimenti previsti per garantire il corretto trattamento dei dati immessi nella cloud.

La Meridiotecno offre l'utilizzo dei suoi gestionali cloud (GIS One, GPD One, APM One, ecc.) in comodato d'uso, offrendo un servizio di tipo Public Cloud Computing SaaS (Software as a Service).

Tali gestionali software prevedono, per il loro espresso utilizzo,  la registrazione da parte dell'utilizzatore, dei dati personali dei suoi clienti, come l' anagrafica, i servizi acquisiti, i pagamenti, ecc. .

Dunque l'utilizzatore, che può essere un singolo privato, una società o una pubblica amministrazione dovrà garantire che i dati personali dei propri clienti vengano trattati nel rispetto del Regolamento Generale sulla Protezione dei Dati Personali (GDPR) Europeo 2016/679, assicurandosi che gli stessi vengano trattati nel rispetto della privacy e della sicurezza.

Come previsto dal GDPR, l'utilizzatore di tali servizi (il titolare dell'attività che utilizza il SaaS) riveste la figura del Titolare del trattamento dei dati personali (di seguito TTD). All'interno della propria struttura aziendale il Titolare può designare internamente Responsabile del trattamento dei dati (di seguito RTD interno).

L'utilizzatore di servizi Public Cloud Computing SaaS, dovrà seguire una serie di precauzioni durante la scelta del fornitore di tali servizi:
 

• Effettuare una verifica in ordine all’affidabilità del fornitore, tenendo in considerazione le proprie esigenze istituzionali o imprenditoriali, la quantità e la tipologia delle informazioni che intendono allocare nella cloud, i rischi e le misure di sicurezza.

 

• Privilegiare i servizi che favoriscono la portabilità dei dati. E’ consigliabile ricorrere a servizi di cloud computing nelle modalità SaaS, PaaS o IaaS in un'ottica lungimirante, vale a dire privilegiando servizi basati su formati e standard aperti, che facilitino la transizione da un sistema cloud ad un altro, anche se gestiti da fornitori diversi. Ciò al fine di scongiurare il rischio che eventuali modifiche unilaterali dei contratti di servizio da parte di uno qualunque degli operatori che intervengono nella catena di fornitura si traducano in condizioni peggiorative vincolanti o, comunque, per facilitare eventuali successivi passaggi da un fornitore all’altro.

 

• Assicurarsi la disponibilità dei dati in caso di necessità Nell'utilizzo dei servizi di cloud computing, in assenza di stringenti vincoli sulla qualità formalizzati attraverso il contratto con il fornitore, si raccomanda di mantenere una copia di quei dati (anche se non personali) dalla cui perdita o indisponibilità potrebbero conseguire danni economici, per l’immagine o in generale relativi alla missione e alle finalità perseguite dall’utente. Ciò specie quando ci si affidi a servizi gratuiti o a basso costo quali, ad esempio, a servizi di hard-disk remoto, mail, soluzione per la conservazione documentale e così via, che potrebbero non presentare adeguate garanzie di disponibilità e prestazioni tipiche, invece, dei servizi professionali. Certamente, nel caso in cui i dati trattati non siano i propri, come avviene per aziende e pubbliche amministrazioni che raccolgono e detengono informazioni di terzi, l’adozione di servizi che non offrono adeguate garanzie di riservatezza e di continuità operativa può avere rilevanti ripercussioni nel patrimonio informativo dei soggetti cui i dati si riferiscono. In tal senso, il titolare del trattamento dei dati a fronte del contenimento di costi dovrà comunque provvedere al salvataggio (backup) dei dati allocati nella cloud, ad esempio creandone una copia locale (eventualmente sotto forma di archivio compresso), allo scopo Garante per la protezione dei dati personali 15 di gestire gli eventuali rischi insiti nell’acquisizione di servizi che, pur con i vantaggi dell’economicità, potrebbero tuttavia non offrire sufficienti garanzie di affidabilità e di disponibilità

 

• Selezionare i dati da inserire nella cloud. Alcune informazioni che si intende inserire sui sistemi del fornitore di servizio, per loro intrinseca natura, quali ad esempio i dati sanitari, genetici, reddituali, biometrici o quelli coperti da segreto industriale, possono esigere particolari misure di sicurezza. In tali casi, poiché dal relativo inserimento nella cloud consegue comunque una attenuazione, seppur parziale, della capacità di controllo esercitabile dall’utente, ed una esposizione di tali informazioni a rischi non sempre prevedibili di potenziale perdita o di accesso non consentito, l’utente medesimo dovrebbe valutare con responsabile attenzione se ricorrere al servizio di cloud computing oppure mantenere in house il trattamento di tali tipi di dati.

 

• Non perdere di vista i dati E’ sempre opportuno che l'utente valuti accuratamente il tipo di servizio offerto anche verificando se i dati rimarranno nella disponibilità fisica dell'operatore proponente, oppure se questi svolga un ruolo di intermediario, ovvero offra un servizio progettato sulla base delle tecnologie messe a disposizione da un operatore terzo. Si pensi ad esempio a un applicativo in modalità cloud nel quale il fornitore del servizio finale (Software as a Service) offerto all’utente si avvalga di un servizio di stoccaggio dati acquisito da un terzo. In tal caso, saranno i sistemi fisici di quest’ultimo operatore che concretamente ospiteranno i dati immessi nella cloud dall’utente.

 

• Informarsi su dove risiederanno, concretamente, i dati Sapere in quale Stato risiedono fisicamente i server sui quali vengono allocati i dati, è determinate per stabilire la giurisdizione e la legge applicabile nel caso di controversie tra l’utente e il fornitore del servizio. La presenza fisica dei server in uno Stato comporterà per l'autorità giudiziaria nazionale, infatti, la possibilità di dare esecuzione ad ordini di esibizione, di accesso o di sequestro, ove sussistano i presupposti giuridici in base al singolo ordinamento nazionale. Non è, quindi, indifferente per l’utente sapere se i propri dati si trovino in un server in Italia, in Europa o in un imprecisato Paese extraeuropeo. In ogni caso, l’utente, prima di inserire i dati nella nuvola informatica, dovrebbe assicurarsi che il trasferimento tra i diversi paesi in cui risiedono le cloud avvenga nel rispetto delle cautele previste a livello di Unione europea in materia di protezione dei dati personali, che esigono particolari garanzie in ordine all’adeguatezza del livello di tutela previsto dagli ordinamenti nazionali per tale tipo di informazioni.

 

• Verificare le politiche di persistenza dei dati legate alla loro conservazione In fase di acquisizione del servizio cloud è opportuno approfondire le politiche adottate dal fornitore, che si dovrebbero poter evincere dal contratto, relative ai tempi di persistenza dei dati nella nuvola. Da una parte l’utente dovrebbe accertare il termine ultimo, successivo alla scadenza del contratto, oltre il quale il fornitore cancella definitivamente i dati che gli sono stati affidati. Dall’altra, il fornitore dovrà presentare adeguate garanzie, assicurando che i dati non saranno conservati oltre i suddetti termini o comunque al di fuori di quanto esplicitamente stabilito con l’utente stesso. In ogni caso, i dati dovranno essere sempre conservati nel rispetto delle finalità e delle modalità concordate, escludendo duplicazioni e comunicazioni a terzi.

 

• Esigere e adottare opportune cautele per tutelare la confidenzialità dei dati. Nell'ottica di proteggere la confidenzialità dei propri dati, l'utente dovrebbe valutare anche le misure di sicurezza utilizzate dal fornitore per consentire l’allocazione dei dati nella cloud. In generale si raccomanda di privilegiare i fornitori che utilizzano a tal fine tecniche di trasmissione sicure, tramite connessioni cifrate (specie quando i dati trattati sono informazioni personali o comunque dati che devono restare riservati), coadiuvate da meccanismi di identificazione dei soggetti autorizzati all'accesso, la cui complessità sia commisurata alla criticità dei dati stessi. Nella maggior parte dei casi risulta adeguato l'utilizzo di semplici meccanismi di identificazione, basati su username e password, purché le password non siano banali e vengano scelte di lunghezza adeguata. Nell’ipotesi in cui il trattamento riguardi particolari tipologie di dati - quali quelli sanitari, genetici, reddituali e biometrici o, più in generale, dati la cui riservatezza possa considerarsi “critica” - si raccomanda oltre all'utilizzo di protocolli sicuri nella fase di trasmissione, anche la conservazione in forma cifrata sui sistemi del fornitore di servizio.

 

• Formare adeguatamente il personale Il personale preposto al trattamento di dati attraverso i servizi di cloud computing dovrebbe essere sottoposto a specifici interventi formativi, che evidenzino adeguatamente 18 Cloud computing: indicazioni per l’uso consapevole dei servizi le modalità più idonee per l’acquisizione e l’inserimento dei dati nella cloud, la consultazione e in generale l’utilizzo dei nuovi servizi esternalizzati e delle indicazioni sin qui illustrate, allo scopo di mitigare rischi per la protezione dei dati derivanti non solo da eventuali comportamenti sleali o fraudolenti, ma anche causati da errori materiali, leggerezza o negligenza: circostanze queste che potrebbero dare luogo ad accessi illeciti, perdita di dati o, più in generale, trattamenti non consentiti.

La Meridiotecno con sede legale in via Sagarriga Visconti 99, Bari, CAP 70122, in qualità di erogatore del SaaS è il Responsabile esterno (di seguito RTD esterno) del Trattamento dei dati personali registrati attraverso l'utilizzo del suo SaaS e si impegna costantemente per tutelare la privacy on-line dei dati personali conservati presso le proprie infrastrutture informatiche.

Questo documento permetterà al TTD di conoscere la nostra politica sulla privacy per capire come le sue informazioni personali e quelle dei suoi Clienti, vengono gestite quando utilizza i nostri SaaS e per consentire, di far prestare un consenso al trattamento dei suoi dati personali e quello dei suoi Clienti, espresso e consapevole.

Si ricorda che nelle varie sezioni dei SaaS , potrebbero essere pubblicate specifiche informative ai sensi dell'art. 13 del Regolamento EU 2016/679 (di seguito: "Regolamento') per sua necessaria presa visione prima della fornitura dei dati richiesti.

Le informazioni ed i dati forniti dal TTD o altrimenti acquisiti nell'ambito dell'utilizzo dei vari SaaS (come ad esempio: acquisizione della anagrafica, servizi acquistati e pagamenti dei suoi clienti, fornitura di altri servizi accessori) saranno oggetto di trattamento nel rispetto delle disposizioni del Regolamento e degli obblighi di riservatezza che ispirano l'attività di Meridiotecno.

Secondo le norme del Regolamento e del D. Lgs. 196/2003 e successive modifiche (“Codice Privacy”), i trattamenti effettuati da Meridiotecno saranno improntati ai principi di liceità, correttezza, trasparenza, limitazione delle finalità e della conservazione, minimizzazione dei dati, esattezza, integrità e riservatezza.
 

Privacy Policy Meridiotecno

INDICE

1. Titolare del trattamento, Data Protection Officer e rappresentante nel Regno Unito
2. I dati personali oggetto di trattamento
a. Anagrafica cliente
b. Acquisto dei prodotti
c. Accessi alla struttura
3. Dati forniti dal Titolare del trattamento al Gestore del Servizio Cloud
4. Gestione e trattamento dei dati da parte del Gestore
5. Trasferimento dei dati personali
6. Conservazione dei dati
7. Diritti degli interessati
8. Modifiche
 

1. Titolare del trattamento, Data Protection Officer

Il Titolare (di seguito "TTD') del trattamento dei dati dei suoi clienti, raccolti attraverso l'utilizzo del SaaS, è il singolo titolare della attività .
La struttura del titolare dovrà essere dotata di un responsabile interno per la protezione dei dati (RTD interno). Il RTD è a disposizione per qualunque informazione inerente il trattamento dei dati personali eseguito dalla società stessa.
Il Titolare informerà e accoglierà il consenso di ciascun suo singolo Cliente, direttamente o per il tramite di suoi addetti (di seguito "Operatori'), mediante la compilazione di apposito modulo disponibile e scaricabile dal SaaS. 
 

2. I dati personali oggetto del trattamento

Per trattamento di dati personali intendiamo qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
I sistemi informatici e le procedure software preposte al funzionamento del SaaS, acquisiscono nel corso del loro normale esercizio, alcuni dati personali (di seguito solo "Dati Personali') la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet. Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura permettono di identificare gli utenti ai soli fini previsti dal regolamento della struttura stessa (controllo accessi, pagamento abbonamenti, ecc.).
In particolare, i Dati Personali trattati attraverso il SaaS sono i seguenti:
 

a. Anagrafica cliente

In questa categoria di dati rientrano il cognome e nome del Cliente , la sua data di nascita, il luogo di nascita, la sua residenza, il codice fiscale.
 

b. Acquisto dei prodotti

In questa categoria di dati rientrano I prodotti acquistati dal Cliente (abbonamenti, utilizzo del servizio docce e prese, ecc.) e i relativi pagamenti saranno registrati attraverso l'utilizzo del SaaS al fine di gestire correttamente l'utilizzo. 
 

c. Accessi alla struttura

Inoltre saranno registrati e controllati gli accessi degli stessi Clienti alla struttura di proprietà del titolare (piscina, palestra, azienda, ecc.) al fine di gestirne correttamente il servizio reso. Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso del SaaS e per controllarne il corretto funzionamento, per identificare anomalie e/o abusi. I dati potrebbero essere utilizzati per l'accertamento di responsabilità in caso di ipotetici reati informatici ai danni del Servizio cloud.
 

3. Dati trattati dal TTD e dal RTD esterno

Nell'utilizzo delle funzionalità del SaaS (ad esempio la richiesta di assistenza per la risoluzione di problemi inerenti all'utilizzo dello stesso da parte degli Operatori) potrebbe verificarsi un trattamento dei Dati Personali di terzi soggetti comunicati dal TTD o un suo Operatore al RTD esterno.
Rispetto a tali ipotesi, il TTD si pone come autonomo titolare del trattamento, assumendosi tutti gli obblighi e le responsabilità di legge. In tal senso, il TTD conferisce sul punto la più ampia manleva rispetto ad ogni contestazione, pretesa, richiesta di risarcimento del danno da trattamento, etc. che dovesse pervenire a Meridiotecno da terzi soggetti i cui Dati Personali siano stati trattati attraverso il suo utilizzo del SaaS in violazione delle norme sulla tutela dei dati personali applicabili. In ogni caso, qualora il TTD o un suo Operatore fornisca o in altro modo tratti Dati Personali di terzi nell'utilizzo del SaaS, egli garantisce fin da ora - assumendosene ogni connessa responsabilità - che tale particolare ipotesi di trattamento si fonda su un'idonea base giuridica (ad esempio, il consenso dell'interessato) ai sensi dell'art. 6 del Regolamento che legittima il trattamento delle informazioni in questione.
 

4. Gestione e trattamento dei dati da parte del RTD esterno

Per quanto concerne il trattamento di Dati Personali effettuati nell'ambito delle procedure di erogazione, manutenzione e assistenza del SaaS da parte del RTD esterno, si precisa che Meridiotecno porrà in essere solo i trattamenti strettamente necessari per erogare il servizio, salvo ulteriori trattamenti sulla base di una idonea base giuridica ai sensi dell'art. 6 del Regolamento. 
Il conferimento di tali dati è di per sé facoltativo, tuttavia in mancanza di tale conferimento Meridiotecno non potrà gestire ed erogare il servizio richiesto. 

Il trattamento che il RTD esterno intende effettuare, dietro specifico consenso del TTD, ha le seguenti finalità:

a. Consentire l'erogazione, della manutenzione e della assistenza per l'utilizzo del SaaS e la successiva ed autonoma gestione del suo pannello di controllo, inclusa la raccolta, la conservazione e la elaborazione dei dati ai fini dell'instaurazione e della successiva gestione operativa, tecnica ed amministrativa del rapporto connesso all'erogazione dello stesso Servizio cloud e l'effettuazione di comunicazioni relative allo svolgimento del rapporto instaurato;

b. consentire la corretta navigazione e la consultazione del Servizio cloud;

c. rispondere a richieste di assistenza o di informazioni, che la Meridiotecno riceverà via e-mail, telefono o chat attraverso la pagina "Contattaci" del nostro Servizio cloud, o tramite l'apposito form "Segnalazioni privacy" raggiungibile dalla pagina "Contattaci" del SaaS.

La base legale del trattamento di Dati Personali per le finalità di cui alle lettere (a), (b) e (c) che precedono è l'art. 6(1)(b) del Regolamento in quanto i trattamenti sono necessari all'erogazione dei servizi contrattualizzati.
Il conferimento dei Dati Personali per queste finalità è facoltativo ma l'eventuale mancato conferimento comporterebbe l'impossibilità di attivare i Servizi richiesti. 

d. assolvere obblighi di legge, contabili e fiscali: questo trattamento risulta legittimo ai sensi dell'art. 6(1)(c) del Regolamento. Una volta conferiti i Dati Personali, il trattamento può essere invero necessario per adempiere ad obblighi di legge a cui Meridiotecno è soggetta; non è possibile opporsi a questo trattamento, trattandosi di un trattamento derivante da obblighi di legge;

e. per esclusive finalità di sicurezza e prevenzione di condotte fraudolente, sulla base di un legittimo interesse di Meridiotecno a prevenire frodi e truffe poste in essere a suo danno o a danno dei propri clienti, ai sensi dell'art. 6(1)(f) del Regolamento e sulla base sia del Considerando 47 del Regolamento, che prevede espressamente che costituisce ( ... ) legittimo interesse del titolare del trattamento interessato trattare dati personali strettamente necessari a fini di prevenzione delle frodi, nonché sulla base di diversi bilanciamenti di interessi svolti dal titolare da cui non risulta che i trattamenti in questione siano lesivi dei suoi diritti e libertà fondamentali. In particolare, le attività di questo tipo comprendono:

f) un sistema di controllo automatico, posto in essere anche tramite l’utilizzo di cookie e altri strumenti di tracciamento similari (log di utilizzo del SaaS), che comporta il rilevamento e l’analisi di alcuni comportamenti degli operatori del SaaS, associati ai loro indirizzi IP e ad altri dati abbinati alla navigazione. Le conseguenze di tale trattamento sono che qualora un soggetto tenti di porre in essere condotte fraudolente sul SaaS, Meridiotecno si riserva il diritto di escludere tale soggetto dalla promozione oppure di adottare ogni altra opportuna misura a propria tutela;

g) verifiche sull'uso del SaaS: se viene rilevato un incremento eccezionale dell’uso dello spazio disco utilizzato dai dati del Cliente, limitandosi a verifiche esteriori che non hanno impatto sui Dati Personali del cliente né individuano quali contenuti siano stati caricati, tenta di individuare se vi siano usi illeciti del Servizio cloud (o da un punto di vista contrattuale o da un punto di vista normativo), al fine di avvertire il Cliente, tutelare i propri diritti e garantire la sicurezza dei propri sistemi;
 

5. Trasferimento dei dati personali

I Dati Personali potranno essere condivisi, per le finalità di cui alla sezione 4 più sopra, con: 

a. soggetti, enti od autorità a cui sia obbligatorio comunicare i Dati Personali in forza di disposizioni di legge o di ordini delle autorità (ad esempio, nel corso di indagini di natura penale Meridiotecno può ricevere richieste da parte dell'autorità giudiziaria di fornire log di traffico telematico); 

b. persone autorizzate da Meridiotecno al trattamento di Dati Personali necessario a svolgere attività strettamente correlate all'erogazione del Servizio cloud, che si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza, quali i dipendenti di Meridiotecno.
 

6.Conservazione dei dati

I Dati Personali trattati saranno conservati per il tempo strettamente necessario a raggiungere le indicate finalità. Inoltre, trattandosi di trattamenti svolti per la fornitura del SaaS. Meridiotecno tratterà i Dati Personali fino al tempo permesso dalla normativa Italiana a tutela dei propri interessi (Art. 2946 c.c. e ss.), in particolare conserverà i dati necessari a dimostrare di avere correttamente adempiuto ai propri obblighi contrattuali per la durata che la normativa prevede, in generale, per la prescrizione dell’azione per inadempimento contrattuale.

I Dati Personali saranno conservati in server localizzati sul territorio europeo (Register.it) .

Sarà garantita la sicurezza dei Dati Personali mediante:
1. Procedure di autenticazione (login e password) lato client
2. Procedure di autenticazione del database (login e password)
3. Procedure di autenticazione dell'accesso ai server (login e password)
4. Algoritmi di controllo di eventuali tentativi di accesso fraudolento con conseguenti procedure automatiche di bannaggio degli IP remoti
5. Navigazione web mediante protocollo https con certificato SSL riconosciuto dalla Sectigo Intermediate Certificates.
Considerando che i Dati Personali memorizzati non contengono informazioni sensibili, non si ritiene necessario conservarli in modo criptato.

Sarà preservata la conservazione dei Dati Personali da eventuali situazioni di Disaster Recovery, attraverso:
1. Procedure di backup automatico giornaliero su altri server localizzati sul territorio europeo (Acronis Cyber Cloud)
2. Procedure di backup automatico giornaliero del database su altro server localizzato sul territorio europeo (server Meridiotecno)
3. Procedure di backup manuale giornaliero, attuabile al logout del SaaS, mediante l'invio come allegato mail al server della Meridiotecno.

I Server Provider Register.it e Acronis non hanno accesso ai dati memorizzati sui loro server e sono conformi al Regolamento (vedasi https://www.register.it/assistenza/gdpr-protezione-dati/ e https://www.acronis.com/en-us/gdpr/).

I Dati Personali saranno conservati sui server della Meridiotecno fino alla scadenza del contratto di comodato d'uso e saranno automaticamente cancellati dopo l'eventuale successiva richiesta di portabilità e comunque non oltre una settimana dalla scadenza del contratto.
 

7. Diritti degli interessati

Fermi restando gli obblighi o le facoltà di conservazione dei Dati Personali descritti al paragrafo 6, il TTD ha il diritto di chiedere a Meridiotecno, in qualunque momento, l'accesso ai suoi Dati Personali, la rettifica o la cancellazione degli stessi o di opporsi al loro trattamento nei casi previsti dall'art. 20 del Regolamento, ha diritto di richiedere la limitazione del trattamento nei casi previsti dall'art. 18 del Regolamento, nonché di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che la riguardano (portabilità), nei casi previsti dall'art. 20 del Regolamento. 

Le richieste vanno rivolte per iscritto da qui oppure scrivendo a dpo-servizio-cloud@meridiotecno.it. Per esercitare il diritto alla portabilità ed ottenere maggiori informazioni sul suo contenuto, si accede a questo link

Inoltre, in presenza di richieste da parte di soggetti interessati relative alla segnalazione di abusi nell'utilizzo del SaaS o attività di spamming effettuati da un Operatore o TTD, nonché in presenza di qualsiasi ulteriore richiesta di esercizio dei diritti ex art.15 e ss. del Regolamento, Meridiotecno, senza entrare nel merito della richiesta, da un lato informerà tempestivamente il Cliente, e dall'altro fornirà ai soggetti interessati gli estremi del TTD. 

In ogni caso il TTD ha sempre diritto di proporre reclamo all'autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell'art. 77 del Regolamento, qualora ritenga che il trattamento dei suoi dati e quelli dei suoi Clienti sia contrario alla normativa in vigore, o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).

 

8. Modifiche

La presente privacy policy è in vigore dal 19/05/2022. Meridiotecno si riserva di modificarne o semplicemente aggiornarne il contenuto, in parte o completamente, anche a causa di variazioni della normativa applicabile. Qualora le modifiche alla presente policy riguardino cambiamenti sostanziali nei trattamenti oppure possano avere comunque un impatto rilevante sugli interessati, Register avrà cura di notificarle opportunamente agli interessati.