Informativa sul trattamento dei dati personali

Premessa

La presente informativa (di seguito, «Informativa») è resa ai sensi dell’articolo 13 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito, «GDPR» o «Regolamento»), e del D.lgs. 30 giugno 2003, n. 196 come modificato dal D.lgs. 10 agosto 2018, n. 101 (di seguito, «Codice Privacy»).

L’Informativa descrive le modalità con cui il Titolare tratta i dati personali degli utenti (di seguito, «Interessati» o «Utenti») che visitano il sito web www.direttivatrasparenza.it (di seguito, il «Sito») e che usufruiscono dei servizi resi disponibili tramite lo stesso. I dati personali oggetto di trattamento sono raccolti direttamente presso l’Interessato al momento della navigazione e/o dell’utilizzo dei servizi del Sito.

L’Informativa è riferita unicamente ai trattamenti effettuati tramite il Sito e non trova applicazione per altri siti, pagine o servizi online eventualmente raggiungibili tramite link ipertestuali in esso contenuti ma riferiti a risorse esterne al dominio del Titolare.

1. Titolare del trattamento

Titolare del trattamento dei dati personali è TechAI Lab Società Benefit S.r.l. (di seguito, «Titolare»), nella persona del legale rappresentante pro tempore.

• Denominazione: TechAI Lab Società Benefit S.r.l.
• Sede legale: Via Giuseppe Piazzi 2-4, Milano
• Codice fiscale e Partita IVA: 13744780969
• Email: privacy@direttivatrasparenza.it
• PEC: techailab@pec.it

Per esercitare i propri diritti o per ogni richiesta relativa al trattamento dei dati personali, l’Interessato può rivolgersi al Titolare utilizzando i recapiti sopra indicati.

2. Responsabile della Protezione dei Dati (DPO/RPD)

Il Titolare, sulla base della valutazione effettuata ai sensi dell’art. 37 del GDPR, non ha proceduto alla nomina di un Responsabile della Protezione dei Dati, non ricorrendo le condizioni di obbligatorietà previste dalla citata disposizione. Ogni richiesta in materia di protezione dei dati personali può essere indirizzata direttamente al Titolare del trattamento, ai recapiti di cui al paragrafo 1.

3. Categorie di dati personali trattati e fonte dei dati

Tutti i dati personali oggetto di trattamento sono raccolti direttamente presso l’Interessato, in occasione della navigazione del Sito ovvero della fruizione dei servizi offerti tramite il medesimo. Il Titolare non raccoglie né tratta dati personali provenienti da fonti terze.

Il Titolare tratta le seguenti categorie di dati personali degli Utenti, in funzione delle interazioni che questi pongono in essere con il Sito:

3.1 Dati di navigazione

I sistemi informatici e le procedure software preposte al funzionamento del Sito acquisiscono, nel corso del loro normale esercizio, taluni dati la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet. Si tratta, in particolare, di: indirizzi IP o nomi a dominio dei dispositivi utilizzati dagli Utenti; indirizzi URI/URL delle risorse richieste; orario della richiesta; metodo utilizzato nel sottoporre la richiesta al server; dimensione del file ottenuto in risposta; codice numerico indicante lo stato della risposta data dal server; altri parametri relativi al sistema operativo e all’ambiente informatico dell’Utente.

Tali dati, necessari per la fruizione dei servizi web, sono altresì trattati al fine di ottenere informazioni statistiche anonime sull’uso del Sito, per controllarne il corretto funzionamento e per garantirne la sicurezza.

3.2 Dati forniti volontariamente dall’Utente

L’invio facoltativo, esplicito e volontario di dati personali da parte dell’Utente tramite i form presenti sul Sito comporta la successiva acquisizione dei dati del mittente, necessari per rispondere alle richieste e/o erogare i servizi richiesti. In particolare, il Titolare tratta i dati forniti tramite:

• form di iscrizione alla newsletter (indirizzo email ed eventuali altri dati facoltativi);
• form di contatto (nome, cognome, indirizzo email, oggetto e contenuto del messaggio);
• form di assessment/questionario (risposte fornite al questionario, indirizzo email ed eventuali ulteriori dati indicati come necessari per l’elaborazione del report);
• form di download di risorse gratuite (indirizzo email ed eventuali ulteriori dati richiesti per l’invio della risorsa).

I campi contrassegnati come obbligatori sono necessari per l’erogazione del servizio richiesto; il loro mancato conferimento comporta l’impossibilità di dar seguito alla richiesta.

3.3 Dati di analisi del comportamento di navigazione

Previo consenso dell’Utente espresso tramite il cookie banner, il Sito raccoglie dati relativi al comportamento di navigazione mediante strumenti di analisi di terze parti, quali Google Analytics e PostHog. Tali dati sono descritti in dettaglio al paragrafo 8 e nella Cookie Policy del Sito.

4. Finalità del trattamento e basi giuridiche

I dati personali degli Utenti sono trattati per le finalità di seguito indicate, sulla base delle corrispondenti basi giuridiche ex art. 6 GDPR. Per ciascuna finalità è altresì specificata la natura obbligatoria o facoltativa del conferimento dei dati e le conseguenze del rifiuto, ai sensi dell’art. 13, par. 2, lett. e) GDPR.

4.1 Consentire la navigazione e il corretto funzionamento del Sito

• Finalità: erogare i contenuti del Sito, garantirne la sicurezza, prevenire attività fraudolente e diagnosticare eventuali malfunzionamenti.
• Base giuridica: legittimo interesse del Titolare ex art. 6, par. 1, lett. f) GDPR, consistente nel garantire il corretto funzionamento e la sicurezza del Sito.
• Natura del conferimento: il trattamento è necessario per consentire la fruizione del Sito e non richiede un conferimento attivo da parte dell’Utente.

4.2 Iscrizione alla newsletter e invio di comunicazioni editoriali

• Finalità: invio, tramite posta elettronica, di comunicazioni aventi ad oggetto aggiornamenti normativi, novità editoriali, approfondimenti, eventi e contenuti informativi relativi alla Direttiva (UE) 2023/970 sulla trasparenza retributiva e ai temi correlati.
• Base giuridica: consenso dell’Interessato ex art. 6, par. 1, lett. a) GDPR e art. 130 del Codice Privacy. Il consenso è liberamente prestato e revocabile in qualsiasi momento secondo le modalità di cui al paragrafo 10.
• Natura del conferimento: facoltativo. Il mancato conferimento comporta esclusivamente l’impossibilità di ricevere la newsletter, senza alcuna conseguenza sulla fruizione degli altri servizi del Sito.

4.3 Gestione delle richieste tramite form di contatto

• Finalità: ricevere, gestire e rispondere alle richieste di informazioni, chiarimenti o contatti inviate dagli Utenti tramite l’apposito form.
• Base giuridica: esecuzione di misure precontrattuali adottate su richiesta dell’Interessato, ovvero esecuzione di un contratto di cui l’Interessato è parte, ex art. 6, par. 1, lett. b) GDPR.
• Natura del conferimento: obbligatorio (per i campi contrassegnati come tali) ai fini della gestione della richiesta. Il mancato conferimento dei dati obbligatori comporta l’impossibilità di dar seguito alla richiesta.

4.4 Erogazione dell’assessment e invio del report

• Finalità: consentire all’Utente di compilare il questionario di assessment, elaborare il relativo report personalizzato e trasmetterlo all’indirizzo email indicato.
• Base giuridica: esecuzione di misure precontrattuali adottate su richiesta dell’Interessato ex art. 6, par. 1, lett. b) GDPR, atteso che il servizio è attivamente richiesto dall’Utente mediante compilazione del questionario e conferimento dell’indirizzo email.
• Natura del conferimento: obbligatorio. Il mancato conferimento dei dati contrassegnati come obbligatori impedisce l’erogazione del servizio richiesto.

4.5 Download di risorse editoriali gratuite (white paper e contenuti)

• Finalità: consentire all’Utente di ricevere, all’indirizzo email indicato, la risorsa editoriale gratuita richiesta.
• Base giuridica: esecuzione di misure precontrattuali adottate su richiesta dell’Interessato ex art. 6, par. 1, lett. b) GDPR.
• Natura del conferimento: obbligatorio ai fini dell’erogazione del servizio richiesto. Il mancato conferimento comporta l’impossibilità di ricevere la risorsa.

4.6 Analisi statistica dell’utilizzo del Sito

• Finalità: analizzare in forma aggregata le modalità di fruizione del Sito, al fine di migliorarne contenuti, funzionalità e prestazioni, mediante strumenti di analisi quali Google Analytics e PostHog.
• Base giuridica: consenso dell’Interessato ex art. 6, par. 1, lett. a) GDPR, in combinato disposto con l’art. 122 del Codice Privacy, prestato tramite il cookie banner. Il consenso è revocabile in qualsiasi momento modificando le preferenze attraverso il pannello di gestione cookie.
• Natura del conferimento: facoltativo. Il mancato consenso non pregiudica la fruizione dei contenuti del Sito.

4.7 Adempimento di obblighi di legge

• Finalità: adempiere a obblighi previsti dalla normativa vigente, da regolamenti, dalla normativa comunitaria, nonché a disposizioni impartite da autorità a ciò legittimate, ivi inclusi gli obblighi di notifica di cui agli artt. 33 e 34 GDPR in caso di violazione dei dati personali.
• Base giuridica: adempimento di un obbligo legale al quale è soggetto il Titolare ex art. 6, par. 1, lett. c) GDPR.
• Natura del conferimento: obbligatorio ex lege quando previsto da specifiche disposizioni normative.

4.8 Difesa in giudizio

• Finalità: accertare, esercitare o difendere un diritto in sede giudiziaria ovvero stragiudiziale.
• Base giuridica: legittimo interesse del Titolare ex art. 6, par. 1, lett. f) GDPR, alla tutela dei propri diritti.

5. Modalità del trattamento

Il trattamento dei dati personali è effettuato mediante strumenti informatici e telematici, con modalità organizzative e logiche strettamente correlate alle finalità indicate. I dati sono trattati da personale autorizzato, istruito e tenuto alla riservatezza, nonché da fornitori esterni designati Responsabili del trattamento ai sensi dell’art. 28 GDPR.

Il Titolare adotta misure tecniche e organizzative adeguate, ai sensi dell’art. 32 GDPR, per garantire un livello di sicurezza commisurato ai rischi identificati, ivi inclusi la protezione da accessi non autorizzati, perdita, distruzione o diffusione illecita dei dati. In caso di violazione dei dati personali («data breach») che presenti un rischio per i diritti e le libertà degli Interessati, il Titolare provvederà agli adempimenti di cui agli artt. 33 e 34 GDPR, notificando la violazione al Garante entro 72 ore e, ove ricorrano i presupposti, comunicandola agli Interessati senza ingiustificato ritardo.

5.1 Assenza di processi decisionali automatizzati

Il Titolare non effettua processi decisionali automatizzati, inclusa la profilazione, ai sensi dell’art. 22 GDPR. Nessuna decisione che produca effetti giuridici o incida in modo analogamente significativo sull’Interessato è assunta sulla base di trattamenti unicamente automatizzati.

6. Destinatari dei dati e Responsabili del trattamento

I dati personali degli Utenti possono essere comunicati, nei limiti strettamente necessari all’esecuzione delle finalità descritte, alle seguenti categorie di destinatari:

6.1 Soggetti autorizzati al trattamento

Personale del Titolare appositamente autorizzato e istruito ai sensi degli artt. 29 GDPR e 2-quaterdecies del Codice Privacy.

6.2 Responsabili esterni del trattamento (art. 28 GDPR)

Fornitori di servizi tecnici e tecnologici designati Responsabili esterni del trattamento, i quali trattano i dati per conto del Titolare sulla base di un accordo conforme all’art. 28 GDPR. I principali Responsabili esterni attualmente designati sono:

6.2.1 Hosting e infrastruttura tecnologica

• Aruba S.p.A. — fornitura di servizi di registrazione del dominio e di hosting (se applicabile);
• Amazon Web Services EMEA SARL (AWS) — fornitura di servizi di cloud computing, hosting e storage.

6.2.2 Strumenti editoriali e di gestione dei contenuti

• Notion Labs, Inc. — gestione documentale e di contenuti editoriali interni.

6.2.3 Strumenti di analisi e misurazione

• Google Ireland Limited — fornitura del servizio Google Analytics;
• PostHog, Inc. — fornitura di servizi di product analytics e analisi comportamentale.

6.3 Titolari autonomi del trattamento

Soggetti terzi che trattano i dati in qualità di autonomi titolari del trattamento, nei casi previsti dalla legge o su richiesta formale, tra cui:

• autorità pubbliche, autorità di controllo e organi giudiziari, nei casi previsti da disposizioni di legge o su richiesta formale;
• consulenti e professionisti (avvocati, commercialisti) incaricati dal Titolare per finalità amministrative, contabili o legali, ciascuno per le finalità di propria competenza.

L’elenco aggiornato e nominativo dei Responsabili del trattamento è disponibile su richiesta dell’Interessato, da inoltrarsi al Titolare utilizzando i recapiti di cui al paragrafo 1. I dati personali non sono oggetto di diffusione e non vengono ceduti a terzi per finalità di marketing autonomo.

7. Trasferimento dei dati al di fuori dello Spazio Economico Europeo

Nell’ambito dei trattamenti sopra descritti, alcuni dati personali possono essere trasferiti in Paesi situati al di fuori dello Spazio Economico Europeo (SEE), in particolare negli Stati Uniti d’America, in relazione all’utilizzo di servizi forniti da soggetti quali Amazon Web Services, Google e PostHog.

Tali trasferimenti avvengono nel rispetto delle condizioni previste dal Capo V del GDPR, mediante l’adozione di una o più delle seguenti garanzie:

• decisione di adeguatezza della Commissione europea ex art. 45 GDPR, con particolare riferimento al Data Privacy Framework UE-USA per i fornitori statunitensi aderenti e certificati;
• clausole contrattuali tipo (Standard Contractual Clauses) adottate dalla Commissione europea ex art. 46, par. 2, lett. c) GDPR;
• misure supplementari tecniche, organizzative e contrattuali, ove ritenute necessarie a seguito della valutazione dell’impatto sul trasferimento (Transfer Impact Assessment).

L’Interessato può richiedere copia delle garanzie adottate per il trasferimento dei propri dati inviando una richiesta al Titolare ai recapiti di cui al paragrafo 1.

8. Cookie e strumenti di tracciamento

Il Sito utilizza cookie e tecnologie analoghe, disciplinati dall’art. 122 del Codice Privacy (che recepisce la Direttiva 2002/58/CE, cosiddetta «Direttiva ePrivacy»), in combinato disposto con il GDPR e con le Linee Guida del Garante per la protezione dei dati personali del 10 giugno 2021 (provv. n. 231/2021).

8.1 Cookie tecnici

I cookie tecnici sono strettamente necessari per consentire la navigazione del Sito e la fruizione dei servizi richiesti dall’Utente, ovvero per effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica. Per tali cookie, ai sensi dell’art. 122, comma 1, del Codice Privacy, non è richiesto il consenso dell’Utente, essendo essi ricompresi in una ipotesi codificata di esenzione dall’obbligo di raccolta del consenso; il Titolare è pertanto tenuto al solo obbligo di fornire specifica informativa.

8.2 Cookie e strumenti analitici (soggetti a consenso)

Il Sito utilizza, previo consenso dell’Utente raccolto tramite cookie banner conforme alle Linee Guida del Garante del 10 giugno 2021, i seguenti strumenti di analisi:

• Google Analytics 4 (fornito da Google Ireland Limited), configurato con anonimizzazione dell’indirizzo IP e disattivazione della condivisione dei dati con Google per finalità proprie, al fine di raccogliere esclusivamente dati statistici aggregati relativi al traffico e all’utilizzo del Sito;
• PostHog (fornito da PostHog, Inc.), utilizzato per finalità di product analytics e analisi del comportamento di navigazione, con raccolta di informazioni relative alle interazioni dell’Utente con le pagine e le funzionalità del Sito.

La base giuridica per l’utilizzo di tali strumenti è il consenso dell’Utente ex art. 6, par. 1, lett. a) GDPR, in combinato disposto con l’art. 122 del Codice Privacy. In conformità all’orientamento del Garante, non è invocabile alcuna base giuridica diversa dal consenso per l’utilizzo di cookie e strumenti di tracciamento non tecnici, ivi incluso il legittimo interesse del Titolare.

Per informazioni dettagliate sui cookie utilizzati, sulle relative finalità, sui soggetti terzi destinatari dei dati e sulle durate di conservazione, nonché per gestire le proprie preferenze, l’Utente può consultare la Cookie Policy del Sito e il pannello di gestione dei cookie accessibile tramite il link dedicato.

Il consenso prestato tramite il cookie banner può essere revocato in qualsiasi momento, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca.

9. Periodo di conservazione dei dati

I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità per le quali sono stati raccolti e trattati, secondo i seguenti criteri:

• Dati di navigazione (log tecnici): conservati per un periodo massimo di 30 giorni, al fine di consentire l’analisi di eventuali malfunzionamenti, l’accertamento di accessi anomali e la sicurezza del Sito. Termini superiori potranno essere applicati esclusivamente in caso di specifiche esigenze di accertamento di reati o di adempimento di richieste dell’autorità giudiziaria;
• Dati forniti tramite form di contatto: conservati per il tempo necessario a gestire la richiesta e, successivamente, per 24 mesi per finalità di archiviazione e per consentire la gestione di eventuali ulteriori comunicazioni correlate;
• Dati raccolti tramite assessment (risposte al questionario e report): conservati per 24 mesi dall’erogazione del servizio, al fine di consentire eventuali ri-invii, assistenza all’Utente o riscontro a contestazioni. Decorso tale termine, i dati sono cancellati o anonimizzati;
• Dati raccolti tramite download di risorse editoriali: conservati per 24 mesi dall’erogazione della risorsa, salvo consenso al trattamento per ulteriori finalità;
• Dati trattati per finalità di newsletter: conservati fino alla revoca del consenso da parte dell’Interessato o all’esercizio del diritto di opposizione. Il Titolare effettua verifiche periodiche di igiene della lista al fine di rimuovere contatti inattivi;
• Dati trattati mediante strumenti analitici (Google Analytics, PostHog): conservati secondo i termini indicati nella Cookie Policy e comunque per un periodo non superiore a 14 mesi;
• Dati trattati per adempimenti fiscali e contabili: conservati per il termine di 10 anni ex art. 2220 c.c. e normativa fiscale vigente;
• Dati trattati per difesa in giudizio: conservati per il tempo necessario a far valere o difendere un diritto in sede giudiziaria, nel rispetto dei termini di prescrizione applicabili.

Al termine dei periodi di conservazione indicati, i dati sono cancellati o resi anonimi in modo irreversibile, salvo che la loro ulteriore conservazione sia richiesta da disposizioni di legge.

10. Diritti dell’Interessato

In relazione al trattamento dei propri dati personali, l’Interessato può esercitare, nei casi e nei limiti previsti dagli artt. 15-22 del GDPR, i seguenti diritti:

• diritto di accesso (art. 15 GDPR): ottenere conferma dell’esistenza di un trattamento di dati personali che lo riguardano e, in tal caso, l’accesso ai dati e alle informazioni di cui all’art. 15;
• diritto di rettifica (art. 16 GDPR): ottenere la rettifica dei dati inesatti o l’integrazione dei dati incompleti;
• diritto alla cancellazione (art. 17 GDPR): ottenere la cancellazione dei dati, nei casi previsti dalla norma;
• diritto di limitazione (art. 18 GDPR): ottenere la limitazione del trattamento nelle ipotesi previste;
• diritto alla portabilità (art. 20 GDPR): ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che lo riguardano, e di trasmetterli ad altro titolare, ove tecnicamente fattibile;
• diritto di opposizione (art. 21 GDPR): opporsi in qualsiasi momento, per motivi connessi alla propria situazione particolare, al trattamento fondato sul legittimo interesse del Titolare, nonché opporsi al trattamento per finalità di marketing diretto;
• diritto di non essere sottoposto a decisioni automatizzate (art. 22 GDPR): non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici o che incida in modo analogamente significativo. Il Titolare non effettua trattamenti di tale natura, come precisato al paragrafo 5.1;
• diritto di revoca del consenso (art. 7, par. 3 GDPR): revocare in qualsiasi momento i consensi prestati, senza che ciò pregiudichi la liceità dei trattamenti effettuati sulla base del consenso prima della revoca.

L’esercizio dei diritti è gratuito e può essere effettuato in qualsiasi momento inviando una richiesta al Titolare ai recapiti indicati al paragrafo 1. Il Titolare fornirà riscontro entro il termine di un mese dalla ricezione della richiesta, prorogabile di ulteriori due mesi in caso di particolare complessità, ai sensi dell’art. 12, par. 3 GDPR.

Per revocare il consenso alla newsletter, l’Interessato può utilizzare il link di disiscrizione presente in ciascuna comunicazione, ovvero inviare una comunicazione ai recapiti del Titolare.

11. Diritto di reclamo all’Autorità di controllo

Qualora ritenga che il trattamento dei propri dati personali avvenga in violazione del GDPR, l’Interessato ha il diritto di proporre reclamo al Garante per la protezione dei dati personali, ai sensi dell’art. 77 GDPR, secondo le modalità indicate sul sito istituzionale www.garanteprivacy.it, ovvero di adire l’autorità giudiziaria competente ai sensi dell’art. 79 GDPR.

Recapiti dell’Autorità Garante:

• Garante per la protezione dei dati personali
• Sede: Piazza Venezia, 11 — 00187 Roma
• Centralino: (+39) 06.696771
• Email: protocollo@gpdp.it
• PEC: protocollo@pec.gpdp.it (indirizzo configurato per ricevere esclusivamente comunicazioni provenienti da posta elettronica certificata)

12. Tutela dei minori

Il Sito è destinato esclusivamente a soggetti maggiorenni. Il Titolare non raccoglie consapevolmente dati personali di soggetti di età inferiore a 18 anni. Qualora il Titolare venisse a conoscenza del trattamento di dati riferibili a un minore, procederà senza indebito ritardo alla cancellazione degli stessi.

L’Utente che ritenga che un minore abbia conferito propri dati personali tramite il Sito è invitato a darne tempestiva comunicazione al Titolare ai recapiti di cui al paragrafo 1.

13. Link a siti di terze parti

Il Sito può contenere link ipertestuali verso siti web di terze parti. Il Titolare non esercita alcun controllo sui contenuti di tali siti e non è responsabile delle politiche di trattamento dei dati personali ivi applicate. L’Utente è invitato a consultare le informative privacy dei siti terzi prima di conferire loro i propri dati personali.

14. Modifiche all’Informativa

Il Titolare si riserva il diritto di modificare o aggiornare la presente Informativa in qualsiasi momento, al fine di adeguarla a eventuali modifiche normative, giurisprudenziali o tecnico-organizzative che dovessero rendersi necessarie. Le modifiche saranno efficaci dalla data di pubblicazione sul Sito.

Si invitano gli Utenti a consultare periodicamente la presente Informativa, la cui ultima versione aggiornata è sempre disponibile sul Sito. La data di ultimo aggiornamento è indicata in calce alla presente Informativa.

Nel caso di modifiche sostanziali che incidano significativamente sui diritti degli Interessati, il Titolare provvederà a darne idonea comunicazione, anche mediante avviso sul Sito.