Privacy APP Entro

Norme sulla privacy relative alle APP Zucchetti Axess

ai sensi dell’art. 13 Regolamento Europeo per la protezione dei dati personali 2016/679 (GDPR)

 

La presente Informativa Privacy è resa solo ed esclusivamente per l’applicazione Entro e Entro2 e non anche per eventuali siti web attraverso i quali ad esempio l’Utente dovesse accedere a / o utilizzare l’applicazione.

 

Titolare del Trattamento 

Titolare del trattamento dei dati personali, ai sensi dell’art. 4 punto 7) del GDPR, è ZucchettiAxess spa con sede legale in Lodi, Via Solferino, n. 1, 26900 – e-mail ufficio.privacy@zucchetti.it

 

Responsabile della protezione dei dati

Il responsabile per la protezione dei dati è il dott. Mario Brocca a cui potrà rivolgersi scrivendo una email a dpo@zucchetti.it.

 

Sviluppatore

Lo Sviluppatore dell’applicazione è ZucchettiAxess Spa, con sede legale in Lodi, Via Solferino n. 1, 26900 – ufficio.privacy@zucchetti.it

 

Dati personali raccolti

I servizi forniti dalla App, nonché le caratteristiche e le funzioni della stessa non richiedono alcuna forma di registrazione degli Utenti. Segnaliamo tuttavia che, i sistemi informatici e le procedure software preposte al funzionamento della App (come ad esempio Apple Store, Google Play o App Gallery), acquisiscono nel corso del loro normale esercizio, alcuni dati comunque riferibili all’Utente la cui trasmissione è implicita nell’uso dei protocolli di comunicazione internet, degli smartphone e dei dispositivi utilizzati. In questa categoria di dati rientrano, a titolo esemplificativo ma non esaustivo, la posizione geografica, l’identità del telefono, i contatti dell’Utente, e-mail, i dati relativi alla carta di credito. L’Utente potrà consultare le informazioni sulla Privacy disponibili sui seguenti siti:

 

• Apple Store – http://www.apple.com/legal/privacy/it/
• Google Play – https://www.google.it/intl/it/policies/privacy/

 

 

Le App Entro e Entro2 raccolgono i seguenti dati:

• Geolocalizzazione*: l’App non utilizza questa funzionalità
• Fotocamera*: l’App non utilizza questa funzionalità
• Accesso ai file contenuti nel device*:l’App non utilizza questa funzionalità

 

***

• Raccoglie e gestisce i seguenti dati personali:

• App Entro senza registrazione al servizio cloud Entry 365

• • Codice univoco che viene generato dall’App Entro all’installazione;

 

• App Entro con registrazione al servizio cloud Entry 365

• • Indirizzo e-mail, nome e cognome
  • Codice univoco generato dal servizio Entry365 ed inviato allo smartphone (l’APP lo memorizza);

 

Natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale rifiuto

Il conferimento dei dati è facoltativo; tuttavia, il conferimento di alcuni dati è necessario per l’erogazione del servizio. In questo caso, l’eventuale rifiuto al conferimento non consente l’erogazione del servizio e l’utilizzo di quella determinata funzionalità dell’App.

 

Modalità del trattamento

I trattamenti avvengono in formato elettronico e durante l’utilizzo dell’app i dati personali sono reindirizzati attraverso connessioni sicure al prodotto software Entry365 se l’APP è utilizzata con registrazione al servizio cloud di Entry365.  Se, invece, l’App è utilizzata non registrandosi al predetto servizio, il codice univoco è trasmesso in BLE ai terminali come se fosse il codice del badge. Nel primo caso, il codice univoco è memorizzato dall’APP ed è disponibile apposito bottone per cancellare i dati memorizzati sullo smartphone dell’utente e sganciarlo dal servizio Entry365.

 

Procedure sicure di trattamento dei dati utente personali e sensibili

Lo sviluppatore ha sviluppato e implementato procedure sicure di trattamento dei dati costituite da misure di sicurezza a livello tecnico organizzativo, sia a livello di servizi di assistenza.

In particolare, le misure di sicurezza configurabili a livello applicativo sono:

L’App Entro beneficia di tutte le misure di sicurezza che l’utente può decidere di attivare direttamente sul suo smartphone, a titolo esemplificativo il riconoscimento facciale, l’impronta digitale, il codice di accesso etc.

 

Con specifico riferimento all’App Entro di seguito le misure di sicurezza:

Il codice univoco (ed eventualmente nome, cognome ed email in caso di registrazione al servizio Entry365) è memorizzato sul dispositivo in formato criptato;

Il codice identificativo viene inviato in Bluetooth (BLE) al terminale di controllo accessi, in formato criptato

 

 

Per quanto riguarda le procedure di assistenza, la sicurezza del trattamento è garantita per ogni modalità di erogazione prevista con le seguenti modalità:

 

MODALITA’ DEL SERVIZIO DI ASSISTENZA

L’assistenza ai prodotti e servizi Zucchetti Axess, in funzione della modalità di erogazione, viene effettuata nei seguenti modi:

• Assistenza On Site
• Assistenza telefonica
• Assistenza tramite email/tickets web
• Assistenza attraverso la ricezione di data base dei clienti
• Assistenza attraverso collegamento da remoto TeamViewer e/o Meeting Webex
• Assistenza attraverso collegamento da remoto tramite vpn
• Conversioni e progetti di start up

Come definito dal contratto, l’assistenza svolta da remoto prevede l’accesso al sistema, che deve sempre essere autorizzato e controllato dal cliente/Titolare del trattamento. Pertanto ogni accesso viene registrato dall’operatore che lo esegue attraverso il salvataggio dello scambio di email.

CONTRAENTI A CUI VIENE FORNITO IL SERVIZIO DI ASSISTENZA

Il servizio di assistenza è erogato verso:

• Clienti diretti Zucchetti Axess
• Clienti Indiretti

 

La gestione dell’assistenza prevede, generalmente:

• per i clienti diretti: telefonata o email al service (backoffice/casella di posta dedicata) che invia una mail all’assistenza. La chiamata viene aperta su Ad Hoc;
• per i clienti indiretti la richiesta viene inviata direttamente dal cliente a una casella di posta dedicata (support@axesstmc.com) e viene utilizzato come strumento di ticket HDA.

L’assistenza viene erogata sia sul software Xatlas, sia sulla parte hardware (firmware) nonché sui sistemi di videosorveglianza (siano essi integrati in Xatlas o meno).

PROCEDURE

ASSISTENZA ON SITE

Gli addetti Zucchetti Axess accedono presso la struttura del cliente per fare formazione od effettuare attività tecnica di manutenzione/assistenza e installazione.

In questo caso lavorano come se facessero parte della struttura del Cliente/Titolare del trattamento ed adottano tutte le procedure che il Cliente richiede di adottare. I clienti/Titolari del trattamento potranno generare utenze individuali per l’accesso ai loro sistemi, oppure potranno far accedere gli incaricati Zucchetti Axess in affiancamento per formare il loro personale.

Qualora durante l’attività di assistenza gli incaricati Zucchetti Axess avessero la necessità di prelevare archivi o db di cui necessitano per risolvere le problematiche evidenziate, è necessario che informino il cliente/Titolare del trattamento e formalizzino anche con il solo invio di una email l’informazione di aver prelevato il DB con l’autorizzazione del Cliente .Al termine dell’attività presso i gli uffici di Zucchetti AX, l’incaricato che ha gestito l’intervento provvede alla cancellazione dei dati; qualora si rendesse necessario conservare i dati per un ulteriore periodo di tempo, dovrà essere inviata al Cliente/Titolare del trattamento, una specifica email con il seguente contenuto minimo:

“Stimatissimo Cliente Le comunico che il problema da Lei segnalato per la soluzione del quale c’è stata la necessità di prelevare i suoi archivi è stato risolto. Le comunico che conserveremo gli archivi dai nostri sistemi informativi per i prossimi X giorni (da definire di volta in volta in base alle necessità). Al termine del periodo convenuto gli archivi saranno eliminati dai sistemi informativi Zucchetti Axess e non più ripristinabili”.

 

ASSISTENZA TELEFONICA

Non presenta problemi da un punto di vista di trattamento di dati personali. Non sono trasmessi dati o archivi e la comunicazione rimane verbale. Generalmente, il primo contatto dopo la richiesta di assistenza da parte del cliente avviene sempre in questa modalità, per definire nel dettaglio la problematica segnalata.

 

ASSISTENZA TRAMITE EMAIL/TICKETS WEB

Nell’assistenza tramite email inserire sempre nel testo del messaggio il disclaimer:

“Il contenuto di questa email e degli eventuali allegati è strettamente confidenziale, non producibile in giudizio e destinato alla/e persona/e a cui è indirizzato. Il contenuto della risposta alla presente email potrebbe essere conosciuto anche da altri collaboratori facenti parte dello stesso Gruppo omogeno dello scrivente o di gruppi omogenei differenti ma speculari alla soluzione del problema da Lei segnalato. Qualora nella risposta al messaggio inserisca allegati contenenti dati personali gli stessi saranno salvati nello strumento di ticketing e/o negli allegati email dallo stesso conservati per 3 anni. Se avete ricevuto per errore questa email, Vi preghiamo di segnalarcelo immediatamente e di cancellarla dal Vostro computer. E’ fatto divieto di copiare e divulgare il contenuto di questa email. Ogni utilizzo abusivo delle informazioni qui contenute da parte di persone terze o comunque non indicate nella presente email, potrà essere perseguito ai sensi di legge. Si informa che per l’esercizio dei diritti previsti dagli artt. 15 e ss. del Regolamento UE 2016/679 (GDPR), è possibile rivolgersi al seguente indirizzo: ufficio.privacy@zucchetti.it”.

 

Gli incaricati Zucchetti Axess non devono mai farsi mandare le credenziali di accesso del Cliente via email (solo quelle utilizzate e in possesso del Cliente stesso, non quelle generate appositamente per i tecnici che devono collegarsi), né tantomeno salvarle sullo strumento di ticketing e/o nelle mail.

 

Qualora un Cliente/partner invii le credenziali di accesso al proprio ambiente senza richiesta da parte degli incaricati Zucchetti Axess è necessario rispondere che non siamo autorizzati ad accedere ai sistemi con credenziali di altri utenti in quanto questa modalità viola il Regolamento UE 2016/679 (GDPR). Quindi gli incaricati Zucchetti AX dovranno richiedere credenziali individuali oppure il collegamento con Teamviewer (o strumento equivalente).

 

Ogni email deve essere firmata con nome e cognome dell’operatore che ha gestito il problema del Cliente e l’informazione dovrà essere salvata nel ticketing e/o nella mail.

Precisazioni:

Il disclaimer può essere inserito anche nei tickets web.

Non devono essere utilizzate email personali, in quanto non controllabili.

 

ASSISTENZA ATTRAVERSO LA RICEZIONE DI DATA BASE DEI CLIENTI

Qualora per risolvere il problema segnalato dal Cliente/Titolare del trattamento fosse necessario farsi trasmettere la base dati o altri files o query contenenti dati personali è necessario comunicare al cliente questa necessità. Se il cliente non è in grado autonomamente di effettuare la copia e richiede agli incaricati Zucchetti Axess di provvedere autonomamente, è necessario ricevere la sua autorizzazione anche al collegamento con VPN (da salvare nello strumento di ticketing e/o nella mail).

 

Per svolgere questa attività è necessario mandare al cliente/Titolare del trattamento una email del seguente tenore:

“Stimatissimo Cliente,

al fine di risolvere il problema da Lei segnalato è necessario effettuare delle verifiche sui Suoi archivi.

Le chiediamo di autorizzarci al collegamento attraverso la VPN per prelevare copia e a trattarli per la risoluzione di quanto segnalato”.

 

Gli archivi saranno conservati per il tempo strettamente necessario alla risoluzione della problematica segnalata e dovranno essere cancellati, da parte degli incaricati Zucchetti Axess, al termine dell’intervento.

I dati devono essere salvati in Directory non soggette a backup”.

 

Qualora vi fosse la necessità di mantenere gli archivi vi è la necessità di mandare una email al cliente, come di seguito:

“Stimatissimo cliente,

avendo risolto i problemi sugli archivi da lei inviatici, Le chiediamo l’autorizzazione alla conservazione dei Suoi archivi presso la nostra infrastruttura per ulteriori _____ giorni. Tale conservazione è finalizzata a verificare eventuali problematiche che Lei ci segnalerà durante l’utilizzo degli archivi ripristinati. Al termine del periodo sopramenzionato provvederemo all’eliminazione definitiva degli archivi. Se dopo tale termine ci sarà la necessità dei suoi archivi provvederemo a richiederglieli.

Le chiediamo una conferma espressa in tal senso rispondendo a questo messaggio. Qualora la Sua risposta fosse negativa provvederemo all’immediata cancellazione dei Suoi archivi”.

 

Gli archivi dei clienti non potranno mai essere trasmessi a gruppi di lavoro differenti rispetto a quelli finalizzati alla risoluzione del problema segnalato dal cliente.

 

L’unica possibilità che abbiamo per conservare gli archivi senza la previa autorizzazione del cliente è l’anonimizzazione degli stessi.

 

ASSISTENZA ATTRAVERSO COLLEGAMENTO DA REMOTO TEAMVIEWER

Questa modalità di collegamento sugli strumenti dei clienti garantisce la privacy in quanto:

• Il collegamento è sempre richiesto dal cliente
• Le credenziali di accesso sono sempre individuali
• Il cliente ci fa accedere ad un ambiente con profilo di autorizzazione da lui scelto per farci eseguire le attività di assistenza
• Il cliente può sconnetterci quando desidera.

 

Attraverso TeamViewer è possibile far accedere anche l’assistenza di 2 livello alla stessa sessione da noi aperta. In questo caso il cliente ne ha l’evidenza perché fornita dallo strumento e quindi accetta implicitamente tale modalità.

 

Qualora vi fosse la necessità di non far vedere al cliente codici, password, licenze che dobbiamo inserire per il corretto funzionamento dello strumento è essenziale utilizzare la funzione TeamViewer : Mostra videata nera

È essenziale utilizzare il nostro TeamViewer in quanto licenziato e personalizzato con tutta la documentazione che deve essere prodotta dalla legge sul trattamento dei dati personali.

 

Solo in casi eccezionali e dopo attenta valutazione del responsabile e dell’ufficio privacy è possibile utilizzare altri strumenti di connessione che si comportano in modo uguale.

 

ASSISTENZA ATTRAVERSO COLLEGAMENTO TRAMITE VPN

Qualora l’attività di assistenza debba essere svolta tramite VPN o accessi privati è necessario che gli addetti Zucchetti Axess entrino nei sistemi dei clienti:

• Previa autorizzazione del cliente
• Che abbiano le credenziali attive per il tempo necessario all’esecuzione delle attività richieste
• Che al termine dell’attività siano disattivate da parte del Cliente/Titolare del trattamento

 

La creazione dell’utenza deve essere richiesta solo al cliente che deve generarla individuale per ogni incaricato Zucchetti AX.

 

È necessario inviare al cliente una email:

“Per l’esecuzione delle attività di assistenza da Lei richieste è necessaria la creazione di profili di accesso individuali per gli operatori che effettueranno tale attività. Per questo è necessario che Lei generi a sistema tali credenziali”.

 

Quando il Cliente ci fa la richiesta, una volta creata l’utenza individuale:

“Per l’esecuzione delle attività di assistenza da Lei richieste è necessario che attivi l’utente a me abbinato”

Al termine:

“L’attività di assistenza è terminata le ricordiamo di disattivare le credenziali al fine di tutelare i suoi dati personali”.

 

ALTRE TIPOLOGIE DI ASSISTENZA

L’assistenza viene effettuata anche su sistemi di videosorveglianza. Quando la videocamera non funziona, se il sistema è integrato in Xatlas, si interviene direttamente su Xatlas; in questi casi l’accesso è alle impostazioni delle configurazioni o alle immagini ma solo in tempo reale e nessuno accede mai alle registrazioni. Se non vanno le registrazioni l’assistenza viene svolta ai manutentori del sistema di videosorveglianza.

 

 

Categorie di destinatari a cui i dati potrebbero essere comunicati

I dati personali raccolti potranno essere comunicati alle aziende del gruppo Zucchetti ed ai relativi subappaltatori, al fine di eseguire tutte le attività di assistenza e manutenzione.

 

Periodo di conservazione dei dati personali

Anche in questo caso si distinguono i due scenari ovvero se l’app Entro è usata congiuntamente al servizio Entry365 o meno.

– Utilizzo senza registrarsi al servizio cloud Entry365

In questo scenario l’unico dato memorizzato sullo smartphone è il codice univoco generato da Entro all’installazione. Questo dato viene cancellato quando si disinstalla l’app Entro.

• Utilizzo registrandosi al servizio cloud Entry365.

Se l’utente si è iscritto al servizio Entry365, allora dentro all’app ENTRO oltre al codice identificativo dell’utente ricevuto da Entry365, sono memorizzati anche email, nome e cognome dell’utente.

I dati sono memorizzati in ENTRO finché l’utente non preme il bottone “dissocia il dispositivo” da Entry365. In questo caso i dati sono cancellati dal telefono e il codice identificativo ricevuto da Entry365 viene sostituito con un codice univoco generato dall’app in autonomia.

 

Finalità del trattamento cui sono destinati i dati personali

L’app viene utilizzata per la timbratura del cartellino e per superamento controllo accessi. Ulteriore finalità del trattamento è quella di erogare i servizi di assistenza e manutenzione al Titolare.

 

Ambito di conoscenza dei Suoi dati

I dati trattati dell’app sono trasmessi al prodotto software Entry365 se l’App viene utilizzata con la registrazione al relativo cloud.

 

Ambito territoriale del trattamento

I dati forniti saranno trattati in Italia.

 

Diritti degli interessati

Potrà esercitare i Suoi diritti inviando una email a ufficio.privacy@zucchetti.it, in particolare potrà richiedere l’accesso ai dati personali che la riguardano, la rettifica o la cancellazione o potrà richiedere la limitazione al trattamento e potrà opporsi al trattamento. Inoltre, avrà i diritto alla portabilità dei dati e qualora volesse proporre reclamo potrà presentarlo anche all’autorità Garante per la protezione dei dati personali