CHIMPA ED ERMETX INFORMATIVA IN MATERIA DI TRATTAMENTO DATI PERSONALI CLIENTI ED UTENTI EX ART 13 REG. UE 679/16.

XNOOVA S.r.l., Via dei Mille 3, 29121 Piacenza (PC), Tel./Fax  05237901660, E-mail:info@xnoova.com, pec: xnoova@legalmail.it , C.F./P.IVA01698590336, COD. ID CEE IT01698590336, Iscr. Reg Imprese di Piacenza 01698590336, C.C.I.A. REA N.184332, in qualità di Titolare del trattamento dei Suoi dati personali in persona del Legale Rappresentante pro tempore ,  Le fornisce le seguenti informazioni in merito al trattamento dei dati personali raccolti e trattati nell’ambito dell’attivazione, settaggio e fruizione delle funzionalità del software.

Il dominio dell’applicativo Chimpa è www.chimpa.eu   e la privacy policy del sito può essere reperita al presente link https://www.chimpa.eu/it/privacy-cookie/  

Il dominio relativo per Ermetix è   www.ermetix.eu   e la privacy policy del sito può essere reperita al presente link https://www.ermetix,eu/it/privacy-cookie/

Responsabile Protezione Dati è l’Avvocato Rossella Calicchio reperibile al seguente indirizzo e-mail: dpo@xnoova.com , pec: rossella.calicchio@ordineavvocatipc.it .

A.  DESCRIZIONE E FINALITÁ DEL TRATTAMENTO.

1. Autenticazione, creazione profilo utente e configurazione del dispositivo.   Il Cliente ( soggetto acquirente detentore dei privilegi di amministratore) per iniziare a usare il software deve autenticarsi e creare un account collegato al singolo utente ( con tale termine si intende il soggetto che utilizza materialmente l’end point). I dati generati per effetto dell’utilizzo di tale funzione sono i dati normalmente utilizzati per l’autenticazione e per la configurazione di un account quali credenziali per autenticazione, nome, cognome, codice identificativo o indirizzo e-mail, nonché i file di log dell’attività svolta, e gli indirizzi IP. La generazione e il trattamento di tali dati è finalizzato esclusivamente a consentire al Cliente l’utilizzo del software. La base giuridica per il trattamento dati del Cliente è data dall’adempimento di obblighi contrattuali ai sensi dell’art 6.I lett. b) del Reg. Ue 679/16. La base giuridica per il trattamento dei dati dell’utente è data dal legittimo interesse del Titolare del trattamento.
2. Geolocalizzazione.   Il Cliente può attivare la geolocalizzazione del dispositivo. Tale funzione implica il trattamento dei seguenti dati: posizione del dispositivo, indirizzo e-mail al quale inviare la notifica con l’indicazione della posizione, log di attivazione della richiesta di localizzazione.   La base giuridica per il trattamento dati del Cliente è data dall’adempimento di obblighi contrattuali ai sensi dell’art 6.I lett. b) del Reg. Ue 679/16.  

La base giuridica per il trattamento dei dati dell’utente è data dal legittimo interesse del Titolare del trattamento.

3 Applicazione di blocchi e restrizioni.   Chimpa ed Ermetix consentono al Cliente di bloccare alcune funzioni di un dispositivo o più dispositivi (ad es. impostare un codice di blocco, bloccare la fotocamera etc.). Chimpa  ed Ermetix consentono al Cliente di applicare dei filtri che impediscono all’utente di svolgere determinate attività ( ad esempio accedere a determinati siti o alle pagine social). L’attivazione di tali specifiche implica la generazione ed il salvataggio di dati personali: i log relativi all’attivazione o rimozione dei blocchi e dei filtri. La base giuridica è data dall’adempimento di obblighi contrattuali assunti su richiesta del Cliente ai sensi dell’art 6.I lett. b) del Reg. Ue 679/16. La base giuridica per il trattamento dei dati dell’utente è data dal legittimo interesse del Titolare del trattamento.

4.Monitoraggio del dispositivo.   Chimpa ed Ermetix consentono di attivare la funzione monitoraggio che consente di raccogliere dati relativi all’utilizzo del dispositivo.

L’attivazione della funzione implica la creazione e il salvataggio di una serie di dati indirettamente personali quali volume di traffico generato dalle applicazioni, i log di accesso alle applicazioni installate sul dispositivo, l’indirizzo IP dal quale viene richiesto l’accesso, tipologia/quantità di banda usata da ogni applicazione collocata all’interno di Chimpa e di Ermetix, cronologia delle richieste al browser. L’app non genera dati relativi alle attività svolte dall’utente all’interno delle singole applicazioni installate sul dispositivo. La base giuridica per il trattamento dati del Cliente è data dall’adempimento di obblighi contrattuali ai sensi dell’art 6.I lett. b) del Reg. Ue 679/16. La base giuridica per il trattamento dei dati dell’utente è data dal legittimo interesse del Titolare del trattamento.

5 Caricamento e rimozione di contenuti nelle cartelle documenti Chimpa folder/Ermetix Folder download e siti.   Chimpa ed Ermetix consentono il trasferimento di file a tre differenti cartelle presenti su Chimpa: a.documenti Chimpa folder o Ermetix folder b.download, siti. Chimpa ed Ermetix consentono altresì il caricamento file tramite dei link esterni, all’interno delle cartelle. Il Cliente può rimuovere i contenuti ma non visualizzare il contenuto delle cartelle e file. All’interno della cartella documenti Chimpa folder ed Ermetix folder l’utente può visualizzare la lista dei file presenti.  All’interno delle cartelle download  e siti   la visualizzazione della lista documenti non è possibile. Né il Cliente, né lo sviluppatore possono visualizzare i contenuti dei file. L’attivazione di tale specifica implica la creazione e la conservazione dei log relativi alla attività di caricamento e di rimozione dei file da parte del Cliente. La base giuridica è data dall’adempimento di obblighi contrattuali assunti su richiesta del Cliente ai sensi dell’art 6.I lett. b) del Reg. Ue 679/16. La base giuridica per il trattamento dei dati dell’utente è data dal legittimo interesse del Titolare del trattamento.

6  Creazione collegamenti alle risorse esterne da parte dell’utente  mediante l’utilizzo di Chimpa Bazaar/Ermetix Private Catalog   Chimpa Bazaar ed Ermetix Private Catalog consentono rispettivamente sull’applicativo Chimpa e sull’applicativo Ermetix di caricare collegamenti a risorse esterne. L’utente può fruire del contenuto delle risorse. Lo sviluppatore non accede, non visualizza né tratta in alcun modo i contenuti delle risorse, né le attività svolte dall’utente con le risorse.

Tale trattamento coinvolge i seguenti dati: log di accesso a Chimpa Bazar/ Ermetix Private Catalog: log del download effettuato dall’utente. La base giuridica per il trattamento dati del Cliente è data dall’adempimento di obblighi contrattuali ai sensi dell’art 6.I lett. b) del Reg. Ue 679/16. La base giuridica per il trattamento dei dati dell’utente è data dal legittimo interesse del Titolare del trattamento.

7. Utilizzo delle Google Api.

7.1Safe Browsing Api.

Google Web Risk viene utilizzata per attivare i seguenti il Safe Browsing API. Il Safe Browsing API  consente di controllare se l’utente naviga verso siti malevoli. In particolare, enables client applications to check all ‘Utente   web resources ( most commonly  URLs) against Google-generated lists of unsafe web resources . API.

E’ fondamentale per controllare se il cliente naviga verso siti malevoli.

L’attivazione di questa funzione coinvolge i seguenti dati: account Google Cloud , dispositivi abilitare la funzione, IP e hostname.

Il trattamento non implica in alcun modo il download dei dati personali degli utenti Google sui sistemi dello Sviluppatore.

7.2.Ermetix/ FCM For Chimpa  Android.

Ermetix/Chimpa no FCM per Chimpa Android viene utilizzata per attivare Android Device Verification  e   permette di verificare che non siano state intaccate le funzionalità del sistema operativo. Il servizio di verifica richiesto a Google coinvolge le seguenti categorie di dati: seriale del dispositivo a cui si riferisce la richiesta di verifica. Tale seriale viene visualizzato dallo sviluppatore solo nell’ambito dell’attività di assistenza.

Ermetix/ FCM per Chimpa Android permette di attivare Cloud Messaging . Che  consente la comunicazione push da server alle APP Android. L’attivazione di questo servizio richiede che la generazione di un token di Firebase da parte di Google che viene correlato ad un dispositivo per consentire il funzionamento del servizio.

Lo sviluppatore utilizza i dati indicati soltanto per fornire il servizio richiesto. Non vi sono finalità secondarie  e non avviene alcun download di dati di Google.

7.3 Ermetix/ FCM For Chimpa  IOS.

Ermetix/ no FCM per Chimpa Android permette di attivare Cloud Messaging . Questo servizio   consente la comunicazione push da server alle APP IOS  L’attivazione di questo servizio richiede che la generazione di un token di Firebase da parte di Google che viene correlato ad un dispositivo per consentire il funzionamento del servizio.

Lo sviluppatore utilizza i dati indicati soltanto per fornire il servizio richiesto. Non vi sono finalità secondarie  e non avviene alcun download di dati di Google

7.4.Ermetix/Chimpa Google Connect.

Ermetix/Chimpa Google Connect sono utilizzati per attivare i seguenti Google  macro-scope :

         7.4.1.Oauth.

Oauth viene utilizzato per ottenere gli identificativi utenti durante l’autenticazione SSO o per l’attivazione del Factory Reset Protection: email, Google id. Funzione avviata su richiesta dell’amministratore con l’azione Abilita Factory Reset Protection o all’attivazione del SSO.

• openid
• .../auth/userinfo.email. Questo microscope consente di visualizzare l'indirizzo email principale del tuo Account Google.

Gli scope descritti coinvolgono i dati dell’account dell’utente e non implica il download dei dati contenuti negli account Google.

7.4.2.Admin SDK API

Admin SDK API viene usata per sincronizzare le utenze, alias, domini, dipartimenti da Google Workspace. Funzione avviata se l’amministratore abilita il Google Workspace Directory Sync.

Consente di attivare i seguenti Google scope.

• .../auth/admin.directory.user.readonly (Visualizzare informazioni sugli utenti del tuo dominio)
• .../auth/admin.directory.domain.readonly (Visualizzare i domini collegati)
• .../auth/admin.directory.user.alias.readonly (Visualizzare gli alias degli utenti sul proprio dominio)
• .../auth/admin.directory.orgunit.readonly (Visualizzare le unità organizzative sul proprio dominio)
• .../auth/admin.directory.user (Visualizzare e gestire il processo di provisioning degli utenti sul proprio dominio)

Gli scope descritti coinvolgono i dati dell’account dell’utente e non implica il download dei dati contenuti negli account Google.

L’attivazione di SDK API necessita che si proceda con un’autenticazione di un account amministratore di Google Workspace. Tale attività non implica il download dei dati contenuti negli account Google.

7.4.3.Google Classroom API.

Google Classroom API può essere utilizzata per la sincronizzazione unidirezionale o bidirezionale (in base a come configurato) dei corsi e dei relativi utenti (studenti, docenti). Funzione avviata e definita solo se l’amministratore abilita il Google Workspace Directory Sync e la sincronizzazione Google Classroom, specificando se unidirezionale o bidirezionale.

• .../auth/classroom.courses (Visualizzare, modificare, creare ed eliminare definitivamente i tuoi corsi di Google Classroom)
• .../auth/classroom.rosters (Gestire gli elenchi delle classi di Google Classroom)
• .../auth/classroom.profile.emails (Visualizza gli indirizzi e-mail delle persone delle tue classi)
• .../auth/classroom.profile.photos (Visualizza gli avatar di profilo delle persone delle tue classi)

Gli scope descritti coinvolgono i dati dell’account dell’utente e non implica il download dei dati contenuti negli account Google.

L’attivazione di Google Classroom API necessita che si proceda con un’autenticazione di un account amministratore di Google Workspace. Tale attività non implica il download dei dati contenuti negli account Google.

7.4.4.Android Device Provisioning Partner API.

Android Device Provisioning Partner API viene utilizzato per ottenere la lista dei dispositivi inseriti in Android Enterprise Zero-touch e per creare la configurazione Zero-touch automaticamente. Funzione avviata e definita solo se l’amministratore effettua l’Android Enterprise Zero-touch Sync .

• ./auth/androidworkzerotouchemm (Gestire i dispositivi Android di registrazione senza intervento e le configurazioni EMM per la tua organizzazione)

Gli scope descritti coinvolgono i dati dell’account dell’utente e non implica il download dei dati contenuti negli account Google.

7.4.5.Google Drive API

Google Drive API / Google Picker API viene usato per prendere i link dei file che l’amministratore seleziona da Google Drive per l’inserimento di una risorsa in Chimpa Bazaar o per l ’ azione Upload File verso uno o più dispositivi.

• ... /auth/drive.readonly (Visualizzare e scaricare i file selezionati da Google Drive)
• .../auth/drive.metadata.readonly (Visualizzare la lista dei file su Google Drive)

Gli scope descritti coinvolgono i dati dell’account dell’utente e non implica il download dei dati contenuti negli account Google.

8.Ermetix Remote Support/Chimpa  Remote support. Tale funzione presente solo sui dispositivi che utilizzano il sistema operativo Android. Questa specifica consente al Cliente di creare un collegamento sui dispositivi degli utenti e fornire supporto agli stessi in tempo reale. Tale funzione implica la creazione delle seguenti categorie di dati personali: dati relativi all’autorizzazione della richiesta di collegamento, dati visualizzati nel corso del collegamento sul dispositivo di destinazione, log delle attività compiute dal Cliente che effettua assistenza. La base giuridica per il trattamento dati del Cliente è data dall’adempimento di obblighi contrattuali ai sensi dell’art 6.I lett. b) del Reg. Ue 679/16. La base giuridica per il trattamento dei dati dell’utente è data dal legittimo interesse del Titolare del trattamento.

9.Invio newsletter per finalità di promozione commerciale. Il Titolare Le invierà tramite e-mail materiale promozionale allo scopo di informarLa su iniziative, offerte aziendali. L’invio avrà cadenza indicativamente quindicinale ed avverrà con strumenti automatizzati.

La base giuridica del trattamento è costituita dal consenso liberamente prestato dall’interessato ai sensi dell’art 6.I lett. a) Reg. Ue 679716. Il  conferimento del consenso è facoltativo e gratuito. Il mancato conferimento non pregiudicherà in alcun modo l’interessato, né le condizioni di accesso ai prodotti e servizi del Titolare. Il consenso è sempre liberamente revocabile dall’interessato contattando il titolare ai recapiti indicati nell’intestazione della presente informativa. La revoca del consenso non pregiudica la liceità del trattamento basato sul consenso precedentemente conferito.

B. ORIGINE DEI DATI TRATTATI.

L’attivazione e fruizione delle specifiche funzionali genera una serie di dati personali quali file di log di alcune attività svolte dal Cliente ( attivazione e disattivazione e settaggio delle specifiche), dati relativi allo stato di salute e ad utilizzi molto limitati del dispositivo ( quantità di banda usata, presenza di blocchi attivi).

Alcuni dati personali sono conferiti volontariamente dal Cliente/Utente, per esempio, dati inseriti al momento della configurazione dell’account anche ad opera dell’operatore commerciale autorizzato.

Alcuni dati personali o indirettamente personali sono generati dall’attivazione delle Google Api.

C. CATEGORIE DI DATI TRATTATI.

Lo sviluppatore non accede in alcun modo al contenuto delle attività svolte nel corso dell’utilizzo delle applicazioni nemmeno se inserite all’interno del perimetro operativo di Ermetix/Chimpa.

I dati generati e salvati per effetto dell’utilizzo dell’applicativo Ermetix/Chimpa sono dati personali comuni che spesso non consentono allo sviluppatore di trattare o anche solo visualizzare categorie particolari di dati personali.

L’applicazione raccoglie e tratta le seguenti categorie di dati personali: localizzazione, contatti, identificativi univoci del device e dell’utilizzatore [quali codice IMEI ^[1] , IMSI ^[2] , UDID ^[3] , e numero di telefono], identità dell’interessato.

D. MODALITÀ DEL TRATTAMENTO ED AMBITO DI DIFFUSIONE DEI DATI .

I dati personali saranno trattati dal Titolare nel rispetto delle disposizioni normative vigenti in materia di protezione dei dati personali.

I dati personali sono trattati dal personale del Titolare, formato ed autorizzato al trattamento dei dati personali in conformità alle prescrizioni normative vigenti. Il personale autorizzato è vincolato inoltre  da specifici obblighi di riservatezza a tutela degli interessati.

Il trattamento è totalmente informatizzato, organizzato e impostato in modo da garantire la sicurezza, l'integrità e la riservatezza dei dati nel rispetto delle misure organizzative, fisiche e logiche previste dalle disposizioni vigenti.

L’attivazione delle Google Api implica la visualizzazione e la trasmissione di dati allo sviluppatore. Tali dati sono trattati al solo scopo di consentire la fruizione degli scope descritti. Lo sviluppatore non effettua alcuna attività di download dei dati di Google.

I dati generati dall’attivazione, settaggio e fruizione delle specifiche funzionali del software sono accessibili unicamente al personale del Titolare che può visualizzare i dati ( spesso non direttamente riconducibili ad una persona fisica identificata) nell’effettuare attività di assistenza  e supporto al Cliente.

La conservazione dei dati avviene in modalità digitale su Google Cloud Platform, il servizio è offerto da Google Cloud Italy S.r.l, Via Federico Confalonieri 4, 20124, P. Iva 11256580697, Milan, pec: googleclouditaly@legalmail.it, Google Cloud Italy S.r.l  è responsabile del trattamento dei dati personali. Eventuali trasferimenti di dati verso gli Stati Uniti effettuati da Google per effetto del servizio di conservazione digitale sono assistiti da garanzie adeguate https://www.dataprivacyframework.gov/list

Il Titolare non sottopone i dati personali raccolti a processi decisionali automatizzati né a profilazione ai sensi dell’art 22 par I e IV del Reg. Ue 679/16.

Il Titolare non trasferisce i dati personali trattati al di fuori del territorio dell’Unione Europea e nemmeno ad organizzazioni internazionali.

Il servizio newsletter sarà erogato avvalendosi dei seguenti responsabili esterni: Mail Up servizio erogato da Growens S.p.A., con sede legale in Milano (MI) on sede legale in Via Pola 9, 20124 Milano, P. Iva 01279550196, pec:amministrazione@pec.growens.io. Il trattamento dei dati personali nell’ambito del servizio newsletter non comporterà il trasferimento di dati al di fuori dell’Unione Europea.

E. TEMPI DI CONSERVAZIONE.  

I dati personali trattati dal Titolare saranno conservati per  i seguenti periodi.

1.Autenticazione, creazione profilo utente e configurazione del dispositivo.   Il Cliente setta il tempo di conservazione dei dati in autonomia. Lo sviluppatore non è in grado imporre un termine di conservazione differente da quello scelto dal Cliente.

I dati dell’account restano salvati fino alla rimozione dell’account.

I log delle attività svolte dall’account restano salvati per 90 giorni decorrenti dalla data di generazione dei log ed al termine di questo periodo vengono eliminati con modalità automatizzate.

2.Geolocalizzazione.   Il dato relativo alla posizione del dispositivo è salvato per 72 ore decorrenti dal momento di rilevazione della posizione. I log delle attività compiute dal Cliente   restano salvati per 90 giorni decorrenti dalla data di generazione dei log ed al termine di questo periodo vengono eliminati con modalità automatizzate.

3 Applicazione di blocchi e restrizioni.   Il Cliente setta il tempo di conservazione dei blocchi e delle restrizioni in autonomia. Lo sviluppatore non è in grado imporre un termine di conservazione differente da quello scelto dal Cliente.

Tali dati restano salvati fino alla rimozione degli stessi. I log delle attività di impostazione/rimozione blocchi e filtri associati all’account restano salvati per 90 giorni decorrenti dalla data di generazione dei log ed al termine di questo periodo vengono eliminati con modalità automatizzate.

4.Monitoraggio del dispositivo.   I dati raccolti per effetto del monitoraggio del dispositivo sono conservati al massimo per 90 giorni decorrenti dal momento della generazione del dato. Decorso tale termine la cancellazione avviene con modalità automatizzate.

5 Caricamento e rimozione di contenuti nelle cartelle documenti Chimpa folder/Ermetix Folder, download e siti.   I log delle attività restano al massimo per 90 giorni decorrenti dal giorno di creazione del log. Decorso tale termine la cancellazione avviene con modalità automatizzate.

6  Creazione collegamenti alle risorse esterne da parte dell’utente  mediante l’utilizzo di Chimpa Bazaar/Ermetix Private Catalog.   I log delle attività collegate all’account eventualmente nominativo, restano salvati al massimo per 90 giorni decorrenti dal giorno di creazione del log. Decorso tale termine la cancellazione avviene con modalità automatizzate.

7. Utilizzo delle Google Api .   [ 7.1Safe Browsing Api; 7.2. FCM For Chimpa  Android /Ermetix Firebase Android ; 7.3 FCM For Chimpa  IOS /Ermetix Firevase IOS ; 7.4.Chimpa Google Connect /Ermetix Google Connect] . Se il Cliente attiva tale servizio, i dati coinvolti descritti restano salvati fino a che l’account creato dal Cliente resta attivo

8.Ermetix Remote Support/Chimpa  Remote support.   I log delle attività restano salvati al massimo per 90 giorni decorrenti dal giorno di creazione del log. Decorso tale termine la cancellazione avviene con modalità automatizzate.

9. Invio newsletter per finalità di promozione commerciale.   I suoi dati saranno conservati per 24 mesi decorrenti dalla data di conferimento del consenso.  

F. DIRITTI DELL’INTERESSATO.  L’interessato potrà, in qualsiasi momento, esercitare i diritti riconosciuti dal Reg. Ue 679/16 inviando una richiesta ai recapiti indicati nell’intestazione della presente informativa.

Diritto di accesso ai dati  personali . L’interessato ha diritto di ottenere dal Titolare l’accesso ai dati personali oggetto di trattamento e una copia degli stessi salvo il caso in cui il rilascio della copia risulti lesivo dei diritti e delle libertà di altri interessati.

Diritto alla rettifica . L’interessato ha il diritto di ottenere dal Titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano e l’integrazione dei dati personali incompleti.

Diritto alla cancellazione . L’interessato ha il diritto di ottenere dal Titolare la cancellazione dei dati personali che lo riguardano.

Diritto alla limitazione di trattamento . L’interessato ha diritto di ottenere dal Titolare la limitazione del trattamento. Se il trattamento è limitato, i dati personali sono trattati, salvo che per la conservazione, soltanto con il Suo consenso o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi d’interesse pubblico.

Diritto alla portabilità dei dati . L’interessato  ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un Titolare del trattamento e ha il diritto di trasmettere tali dati a un differente Titolare del trattamento senza impedimenti da parte del Titolare cui li ha forniti qualora il trattamento si basi sul consenso o su un contratto e sia effettuato con strumenti automatizzati.

Diritto di revoca del consenso.  Lei ha il diritto di revocare il consenso in qualsiasi momento, inviando una richiesta ai recapiti indicati nella intestazione della presente informativa . La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso precedente conferito.

Diritto di opposizione. L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, par. 1,lett. e) o f).

Diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali.  L’interessato ha il diritto di proporre reclamo alla Autorità di Controllo mediante consegna a mano dello stesso presso gli uffici del Garante (all'indirizzo di seguito indicato) o mediante l'inoltro di raccomandata A/R indirizzata a Garante per la protezione dei dati personali , Piazza di Montecitorio, 121, 00186 Roma o mediante l’inoltro di messaggio di posta elettronica certificata a protocollo@pec.gpdp.it

Luogo e data [..]

• Flag per accettazione

• Presto il consenso al trattamento dei miei dati personali per l’invio da parte del titolare di newsletter con finalità di promozione commerciale.