• Chi Siamo
  • News
  • Assistenza
    • Richiedi Demo
    • ITA

    Norme sulla privacy relative alle APP Zucchetti

    ai sensi dell’art. 13 Regolamento Europeo per la protezione dei dati personali 2016/679 (GDPR)

     

    La presente Informativa Privacy è resa solo ed esclusivamente per l’applicazione WellbyAPP, anche nelle versioni personalizzate e non anche per eventuali siti web attraverso i quali ad esempio l’Utente dovesse accedere a / o utilizzare l’applicazione.

     

    Titolare del Trattamento 

    Titolare del trattamento dei dati personali, ai sensi dell’art. 4 punto 7) del GDPR è Zucchetti Hospitality S.r.l con sede legale in Lodi, Via Solferino, n. 1, 26900 – e-mail ufficio.privacy@zucchetti.it

     

    Responsabile della protezione dei dati

    Il responsabile per la protezione dei dati è il dott. Mario Brocca a cui potrà rivolgersi scrivendo una email a dpo@zucchetti.it.

     

    Sviluppatore

    Lo Sviluppatore dell’applicazione è Zucchetti Hospitality srl, con sede legale in Lodi, Via Solferino n. 1, 26900 - ufficio.privacy@zucchetti.it

     

    Dati personali raccolti

    I servizi forniti dalla App, nonché le caratteristiche e le funzioni della stessa, richiedono la registrazione degli utenti con i seguenti dati:

    Nome

    Cognome

    Prefisso internazionale

    Nr. Cellulare

    Username (email)

    Password

    Segnaliamo tuttavia che, i sistemi informatici e le procedure software preposte al funzionamento della App (come ad esempio Apple Store, Google Play o App Gallery), acquisiscono nel corso del loro normale esercizio, alcuni dati comunque riferibili all’Utente la cui trasmissione è implicita nell'uso dei protocolli di comunicazione internet, degli smartphone e dei dispositivi utilizzati. In questa categoria di dati rientrano, a titolo esemplificativo ma non esaustivo, la posizione geografica, l’identità del telefono, i contatti dell’Utente, e-mail. L’Utente potrà consultare le informazioni sulla Privacy disponibili sui seguenti siti:

     

     

    L’app WellbyAPP e le versioni personalizzate raccolgono i seguenti dati:

    • dati della geolocalizzazione:
    • fotocamera
    • Contatti e telefono
    • Microfono
    • User name, password e url
    • dati personali: nome, cognome, username, password criptata, e-mail, numero di cellulare, prefisso internazionale, telefono, ragione sociale codice fiscale, partita iva, indirizzo, data di nascita, sesso, immagine del profilo, lingua, sessione, informazioni del device (device, deviceid, osname, osversion).

     

    Natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale rifiuto

    Il conferimento dei dati è facoltativo ma sono necessari per l’erogazione del servizio. Il rifiuto al conferimento non consente l’erogazione del servizio e l’utilizzo dell’app.

     

    Modalità del trattamento

    I trattamenti avvengono in formato elettronico e durante l’utilizzo dell’app i dati personali sono reindirizzati attraverso connessioni sicure al prodotto gestionale installato dal centro che detiene la titolarità dei dati dei clienti ed utenti della app. I dati sopra riportati non sono mai salvati in via definitiva né sulla app né sul dispositivo. L’utente può cancellare il profilo creato in ogni momento utilizzando le funzioni presenti nell’app.

     

    Procedure sicure di trattamento dei dati utente personali e sensibili

    Lo sviluppatore ha sviluppato e implementato procedure sicure di trattamento dei dati costituite da misure di sicurezza a livello tecnico organizzativo, sia a livello di servizi di assistenza.

    In particolare, le misure di sicurezza configurabili a livello applicativo sono:

     

    • Gestione delle credenziali di accesso:
      • User name: l’accesso all’App avviene previa connessione della app al centro che ha il gestionale, in qualità di titolare del trattamento dei dati degli utenti, siano essi clienti o collaboratori. Nel sistema c’è una credenziale amministrativa che viene consegnata al titolare e da questo utilizzabile sono in circostanze eccezionali. Il Titolare deve predisporre una procedura organizzativa affinché tale utenza sia assegnata ad un unico incaricato e sia gestita in conformità alle buone regole di gestione
    • Funzioni dello smartphone utilizzabili dall’app:
      • la fotocamera: l’utente può connettersi al centro mediante l’inquadratura di un qrcode. L’inquadratura con la fotocamera compila in automatico URL e Codice Ambiente per accedere all’APP; l’utente per loggarsi deve scrivere le credenziali di e-mail e password.
    • Minimizzazione:
      • Profili di autorizzazione: il Titolare può configurare l’accesso ai dati personali trattati nel sistema gestionale riguardo l’utente in maniera differente dall’insieme dei dati trattati dalla app e modificabili all’utente stesso
    • Identificazione di chi ha trattato i dati:
      • Strumenti di log: alcuni log sono attivati di default in fase di installazione e configurazione. Altri, possono essere attivati dal Titolare tramite richiesta in Help Desk. Per alcuni log è possibile prevedere una cancellazione da parte del Titolare che in tal caso deve inoltrare specifica richiesta all’Help Desk.
    • Tecniche di crittografia:
      • Crittografia delle password: le password operatore vengono criptate utilizzando l’algoritmo Md5 e viene memorizzato un loro hash nel db, mentre quelle dell’utente web come indicato sotto vengono criptate tramite classe Microsoft Rijndael per la memorizzazione nel db
      • Crittografia della base dati: al momento non è implementata una criptazione a livello gestionale della base dati
      • Crittografia file DMS: i documenti vengono memorizzati nel db o su cartella di installazione del cliente su configurazione opzionale. La criptazione può avvenire, su configurazione opzionale del cliente, tramite classe Microsoft Rijndael.
    • Privacy by default:
      • Attivazione profilo utente: gli utenti di WellBy APP sono attivati secondo una logica di non assegnare alcun profilo autorizzativo sui dati trattati. Il titola potrà scegliere una profilazione di aree funzionali della app ma che sarà uguale per ogni utente della APP.

     

    Per quanto riguarda le procedure di assistenza, la sicurezza del trattamento è garantita per ogni modalità di erogazione prevista con le seguenti modalità:

     

    ASSISTENZA ON SITE

    Gli addetti Zucchetti accedono presso la struttura del Titolare per fare formazione od effettuare attività tecnica di manutenzione.

    In questo caso gli addetti Zucchetti Hospitality lavorano come se facessero parte della struttura del Titolare ed adottano tutte le procedure di sicurezze implementate dallo stesso. I Titolari potranno generare utenze individuali per l’accesso ai loro sistemi, oppure potranno far accedere in affiancamento per formare il loro personale.

    Qualora durante l’attività di assistenza l’addetto Zucchetti Hospitality abbia la necessità di prelevare archivi o db di cui necessita per risolvere le problematiche evidenziate è necessario che informi il Titolari e registri tale attività sulla Nota di intervento:

    Al termine dell’attività presso gli uffici Zucchetti Hospitality sarà informato il Titolare sulla soluzione adottata e sulla successiva cancellazione dell’archivio.

    Qualora vi fosse la necessità di conservare gli archivi per il tempo necessario al collaudo della soluzione adottata, dovrà essere informato il Titolare sul tempo massimo di conservazione di tali archivi.

     

    ASSISTENZA TELEFONICA

    Non presenta problemi da un punto di vista di trattamento di dati personali. Non sono trasmessi dati o archivi e la comunicazione rimane verbale.

     

    ASSISTENZA TRAMITE EMAIL/TICKETS WEB

    Nell’assistenza tramite email i tecnici Zucchetti v inseriranno sempre nel testo del messaggio il disclaimer per rendere edotto il Titolare dell’informativa sintetica e dei recapiti a cui potrà rivolgersi per esercitare i suoi diritti o i diritti dei suoi interessati.

    L’addetto Zucchetti non è autorizzato a farsi mandare le credenziali di accesso del Titolare via email né tantomeno potrà salvarle sullo strumento di ticketing.

    Qualora un Titolare invii le credenziali di accesso al suo ambiente senza richiesta del tecnico Zucchetti è necessario che lo stesso risponda che non è autorizzato ad accedere ai sistemi con credenziali di altri utenti in quanto questa modalità viola il GDPR. Quindi il tecnico Zucchetti dovrà richiedere credenziali individuali oppure collegamento tramite LogMeIN.

    I tecnici Zucchetti firmeranno ogni email con nome e cognome e l’informazione sarà salvata nel ticketing.

     

    ASSISTENZA ATTRAVERSO LA RICEZIONE DI DATA BASE DEI CLIENTI

    Qualora per risolvere il problema segnalato dal Titolare fosse necessario farsi mandare la base dati o altri files o query contenenti dati personali è necessario comunicare al Titolare o l’area ftp su cui dovrà caricare i file oppure per i Titolari con l’ambiente installato sul ns. data center, richiedere l’autorizzazione per far effettuare la copia ai nostri sistemisti.

     

    Strumenti di teleassistenza

    L’area dedicata sarà impostata affinché il Titolare veda solo l’upload. Il download sarà visualizzato solo dal gruppo di assistenza a cui la richiesta di assistenza è stata effettuata.

    Tre giorni dopo la data di pubblicazione una routine cancellerà i file caricati in area ftp.

    Scaricamento archivi tramite wetransfer o link di collegamento su ambienti del Titolare:

    In questo caso la gestione è in carico al Titolare che fornirà le credenziali per accedere all’ambiente dove risiedono gli archivi.

    L’assistenza dovrà scaricarli in dischi di rete non soggetti a backup e cancellarli al termine dell’attività come nelle altre ipotesi.

    Autorizzazione di backup da parte dei nostri sistemisti

    L’archivio ricevuto viene scaricato su una directory del gruppo di assistenza non soggetta a backup.

    L’assistenza di primo livello trasmette il db all’assistenza di 2 livello. L’assistenza di 2 livello procederà alle analisi di cui il problema necessita e poi cancellerà gli archivi ricevuti.

    In ogni caso l’assistenza che ha in carico il problema, sia essa di primo o secondo livello, al termine dell’attività, cancellerà gli archivi ricevuti.

    L’assistenza che ha in carico la gestione, terminata l’attività dovrà cancellare gli archivi ricevuti dal disco condiviso e da eventuali supporti di memorizzazione locali.

    Qualora vi fosse la necessità di mantenere gli archivi sarà mandata una e-mail o comunicazione verbale al Titolare che ne darà l’autorizzazione.

    Gli archivi dei Titolari non potranno mai essere trasmessi a gruppi di lavoro differenti rispetto a quelli finalizzati alla risoluzione del problema segnalato dal Titolare.

    L’unica possibilità che i tecnici hanno per conservare gli archivi senza la previa autorizzazione del Titolare è l’anonimizzazione degli stessi.

    Ogni utente ha inoltre, in alternativa, a disposizione un’area che può utilizzare anche tale strumento per la condivisione dei documenti e file in genere coi clienti.

    L’azienda al fine di tutelare la privacy del dipendente non entrerà nel merito dell’area individuale, pertanto una volta che il cliente ha scaricato i files, l’operatore avrà anche la responsabilità della relativa cancellazione.

     

    ASSISTENZA ATTRAVERSO LA NECESSITÀ DI AVERE IL BACKUP DEI CLIENTI DI UN SERVIZIO DATA CENTER

    Qualora i dati personali del Titolare siano su sistema Zucchetti/Data center, in nessun caso l’assistenza di 1 livello potrà richiedere il backup ai sistemisti di Data center se non previa autorizzazione del Titolare stesso.

    I sistemisti non potranno estrarre nessun backup dei Titolari per esigenze e finalità differenti rispetto al fornire assistenza agli stessi; ad esempio, non potranno essere effettuati backup indirizzati alla produzione per l’esecuzione di test.

     

    ASSISTENZA ATTRAVERSO COLLEGAMENTO DA REMOTO LogMe IN

    Questa modalità di collegamento sugli strumenti dei Titolari garantisce la privacy in quanto:

    • Il collegamento è sempre richiesto dal Titolare
    • Le credenziali di accesso sono sempre individuali
    • Il Titolare fa accedere i tecnici Zucchetti ad un ambiente con profilo di autorizzazione da lui scelto per far eseguire le attività di assistenza
    • Il Titolare può disconnettere il tecnico quando desidera

     

    Attraverso LogMeIN è possibile far accedere anche l’assistenza di 2 livello alla stessa sessione aperta. In questo caso il Titolare ne ha l’evidenza perché fornita dallo strumento e quindi accetta implicitamente tale modalità

    È essenziale utilizzare il LogMeIN Zucchetti in quanto licenziato e personalizzato con tutta la documentazione che deve essere prodotta dalla legge sul trattamento dei dati personali.

    Solo in casi eccezionali e dopo attenta valutazione del responsabile e dell’ufficio privacy è possibile utilizzare altri strumenti di connessione che si comportano in modo uguale.

     

    ASSISTENZA ATTRAVERSO COLLEGAMENTO DA REMOTO SU IP PUBBLICI OPPURE TRAMITE VPN

    Qualora l’attività di assistenza debba essere svolta su sistemi cloud su IP pubblici oppure tramite VPN o accessi privati è necessario che gli addetti Zucchetti entrino nei sistemi dei Titolari:

    • Previa autorizzazione del cliente
    • Previa ricezione delle credenziali individuali e le stesse siano state attivate per il tempo necessario all’esecuzione delle attività richieste al termine dell’attività siano disattivate le credenziali da parte del Titolare

     

    Regole che riguardano gli ambienti dei Titolari, in qualsiasi forma di delivery (Saas/Paas/On Premise) riferite a:

    • creazione utenze per consulenti applicativi;
    • creazione utenze per personale di assistenza.

     

    Consulenti applicativi

    Per effettuare tutte le attività di start up sull’ambiente del Titolare è necessario che venga appositamente creata un’utenza all’interno del sistema come di seguito indicato:

    • ZU_+ prime 3 lettere del cognome + prime 3 lettere del nome
    • nella descrizione (nome completo) apporre: Utente Zucchetti

    In questo modo il Cliente potrà riconoscere la provenienza dell’utenza stessa.

    Es: per il soggetto Rossi Mario dovrà essere creata l’utenza: ZU_ROSMAR

     

    Per la creazione dovrà essere coinvolto il Titolare, il quale dovrà essere guidato all’accesso e alla creazione dell’utenza precisando e condividendo con lui, i diritti che verranno assegnati a quest’ultima.

     

    Personale di Help Desk

    La creazione dell’utenza deve essere richiesta solo al Titolare che, attraverso l’amministratore di applicazione, potrà creare il nuovo utente.

     

    Non deve mai essere utilizzato l’utente amministratore da parte degli operatori di assistenza.

    Anche in questo caso, per la creazione delle utenze, valgono le regole di creazione esplicitate per i consulenti applicativi.

     

    Le utenze dovranno essere generate con la codifica: ZU_prime tre cognome_prime tre nome.

    Nella descrizione dovrà essere inserito Zucchetti Utente.

     

    Categorie di destinatari a cui i dati potrebbero essere comunicati

    I dati personali raccolti non verranno comunicati a terzi.

     

    Periodo di conservazione dei dati personali

    I dati relativi alla gestione amministrativa e giuridica del rapporto contrattuale saranno conservati per 10 anni dalla cessazione del rapporto contrattuale.

    Il Titolare ha la possibilità, attraverso le funzioni applicative di lanciare cancellazioni massive dei dati personali salvati nel db oppure di impostare la scadenza di visualizzazione di documenti nel dms e poi l’ads potrà accedere e cancellare tutti i dati di un determinato periodo.

    I dati gestiti dal software sono gestiti dal cliente ed in carico totale al cliente.

    A seguito di attività di assistenza, controllo problemi di procedure o richieste di modifica, qualora si necessiti la gestione del database del cliente, questo sarà conservato allo scopo proposto per massimo 60 giorni.

     

    Finalità del trattamento cui sono destinati i dati personali

    L’app viene utilizzata per consultare i propri documenti personali, leggere comunicazioni, ricevere notifiche, eseguire l’accesso sul tornello, consultare i corsi a prenotazione, prenotare attività messe a disposizione, acquistare servizi e prodotti messi a disposizione, consultare le prenotazioni effettuate e gli acquisti, eseguire disdette di prenotazioni, caricare documenti, pagare rate o scadenze, rinnovare abbonamenti.

    Il download dell’app è volontario ed in ogni momento l’utente può disinstallarla o modificare i permessi e le autorizzazioni affinché non siano più registrati dati personali.

     

    Ambito di conoscenza dei Suoi dati

    I dati trattati dell’app sono trasmessi al prodotto. Il fornitore del servizio non è autorizzato a visualizzare i dati personali registrati, bensì solo ad eseguire attività di manutenzione applicativa e sistemistica sul servizio offerto. Qualora vi sia la necessità di accedere ai dati personali il fornitore richiederà preventivamente l’autorizzazione al cliente/Titolare del trattamento che la dovrà informare prontamente della necessità e sulle misure di sicurezza adottate a tutela dei suoi dati.

     

    Ambito territoriale del trattamento

    I dati forniti saranno trattati in Italia

     

    Diritti degli interessati

    Potrà esercitare i Suoi diritti inviando una e-mail a ufficio.privacy@zucchetti.it, in particolare potrà richiedere l’accesso ai dati personali che la riguardano, la rettifica o la cancellazione o potrà richiedere la limitazione al trattamento e potrà opporsi al trattamento. Inoltre, avrà il diritto alla portabilità dei dati e qualora volesse proporre reclamo potrà presentarlo anche all’autorità Garante per la protezione dei dati personali