Privacy Policy

La presente informativa, redatta ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR), descrive le modalità di trattamento dei dati personali degli utenti che interagiscono con il sito web di franzLAB Società cooperativa e con i servizi ad esso connessi.

Titolare del Trattamento

Il Titolare del trattamento dei dati personali è:

franzLAB Società cooperativa
Piazza Vittoria 3, 39100 Bolzano (BZ), Italia
P.IVA: IT02711330213
Email: aq@franzlab.com

Dati Personali Raccolti

A seconda dell'interazione dell'utente con il Sito, il Titolare può raccogliere le seguenti categorie di dati personali:

Dati di identificazione e contatto

• Nome e cognome (o nickname, se applicabile)
• Indirizzo email
• Numero di telefono (facoltativo nella maggior parte dei form)
• Ragione sociale, P.IVA e indirizzo (per utenti business)

Dati di navigazione e tecnici

• Indirizzo IP (per finalità di sicurezza, prevenzione frodi e diagnostica)
• Tipo e versione del browser, sistema operativo, risoluzione schermo
• Pagine visitate, durata sessione, sequenza di interazione
• Identificatori cookie e di altri strumenti di tracciamento (vedi Cookie Policy)

Dati forniti volontariamente

• Contenuti dei messaggi inviati tramite form di contatto o area riservata
• Eventuali allegati o documenti caricati
• Preferenze espresse sul Sito (lingua, tema, consensi)

L'elenco dei dati effettivamente trattati dipende dai servizi attivi sul Sito al momento della visita. Per dettagli sulle singole finalità si rinvia alla sezione "Finalità del Trattamento".

Natura del Conferimento dei Dati

Ai sensi dell'art. 13.2.e) del GDPR si specifica che:

Dati obbligatori: alcuni dati sono necessari per la prestazione del servizio richiesto e sono generalmente segnalati come tali nei form (es. con asterisco o etichetta "obbligatorio"). Includono tipicamente i dati di identificazione, contatto e quelli funzionali al servizio. La loro mancata comunicazione comporta l'impossibilità per il Titolare di evadere la richiesta dell'utente.

Dati facoltativi: altri dati (es. telefono, dati aziendali, dettagli aggiuntivi) sono facoltativi e servono a migliorare la qualità del servizio o ad abilitare funzionalità accessorie. La loro mancata comunicazione non impedisce l'utilizzo dei servizi base.

Consenso a finalità promozionali (marketing, newsletter, profilazione): è sempre facoltativo e separato. Il rifiuto del consenso non pregiudica in alcun modo la fruizione dei servizi richiesti.

Le conseguenze del rifiuto sono in sintesi:

• Rifiuto di dati obbligatori → impossibilità di erogare il servizio richiesto
• Rifiuto di dati facoltativi → nessuna conseguenza sui servizi base; eventuale impossibilità di accedere a funzionalità accessorie
• Rifiuto del consenso marketing → nessuna comunicazione promozionale, libera fruizione di tutti i servizi

Finalità del Trattamento

I dati personali sono trattati per le seguenti finalità, ciascuna fondata su una specifica base giuridica ex art. 6 GDPR:

Finalità necessarie al servizio (esecuzione del contratto o misure precontrattuali — art. 6.1.b GDPR)

• Riscontro alle richieste di informazioni, preventivi o assistenza inoltrate dall'utente
• Erogazione dei servizi specifici offerti dal Sito (es. gestione account, prenotazioni, acquisti, download di contenuti)
• Gestione delle comunicazioni operative connesse al servizio richiesto

Adempimenti di legge (obbligo legale — art. 6.1.c GDPR)

• Adempimenti fiscali, contabili e amministrativi (in caso di transazioni economiche)
• Conservazione documentale prevista dalla normativa italiana
• Riscontro a richieste di Autorità competenti

Sicurezza e legittimo interesse (legittimo interesse — art. 6.1.f GDPR, previa valutazione di bilanciamento)

• Sicurezza informatica, prevenzione abusi e attività fraudolente
• Difesa in sede giudiziaria o stragiudiziale dei diritti del Titolare
• Statistiche aggregate sull'utilizzo del Sito (analytics tecniche esenti da consenso ai sensi del Provv. Garante 8/10/2020)

Finalità di marketing e profilazione (consenso esplicito — art. 6.1.a GDPR)

• Invio di newsletter, comunicazioni promozionali e inviti a eventi
• Personalizzazione dei contenuti e delle offerte sulla base di interessi e comportamenti
• Remarketing pubblicitario su piattaforme terze (es. Google Ads, Meta)

Il consenso per marketing e profilazione è sempre facoltativo, separato e revocabile in qualsiasi momento senza pregiudicare la liceità del trattamento precedente (art. 7.3 GDPR).

Base Giuridica del Trattamento

Il trattamento dei dati personali si fonda su una delle seguenti basi giuridiche di cui all'art. 6 GDPR:

• Consenso (art. 6.1.a GDPR): per le finalità di marketing, profilazione, invio newsletter e attivazione di cookie di analisi/marketing. Il consenso è sempre facoltativo, granulare (separato per finalità) e revocabile in qualsiasi momento senza pregiudizio per la liceità del trattamento precedente (art. 7.3 GDPR).
• Esecuzione di un contratto (art. 6.1.b GDPR): per la prestazione dei servizi richiesti dall'utente e per l'adempimento di misure precontrattuali (es. risposta a richieste di preventivo).
• Obbligo legale (art. 6.1.c GDPR): per gli adempimenti fiscali, contabili, antiriciclaggio e per il riscontro a richieste di Autorità competenti.
• Legittimo interesse del Titolare (art. 6.1.f GDPR): per la sicurezza del Sito, la prevenzione frodi, il legittimo esercizio del diritto di difesa, e per l'analisi tecnica aggregata e anonimizzata del funzionamento del servizio. In tutti i casi in cui il trattamento si fonda sul legittimo interesse, il Titolare ha condotto una Legitimate Interest Assessment (LIA) ai sensi delle Guidelines EDPB e ha verificato la prevalenza dell'interesse del Titolare rispetto ai diritti e alle libertà degli interessati. Copia del bilanciamento è disponibile su richiesta scrivendo a aq@franzlab.com.

Destinatari dei Dati

Ai sensi dell'art. 13.1.e) del GDPR, i Suoi dati personali possono essere comunicati alle seguenti categorie di destinatari, sempre nel rispetto delle finalità dichiarate:

• Fornitori di servizi tecnici (hosting, CDN, sicurezza, manutenzione applicativa) — agiscono come Responsabili del trattamento ai sensi dell'art. 28 GDPR;
• Provider di posta e comunicazione (email transazionali, newsletter, customer support) — Responsabili ex art. 28 GDPR;
• Provider di analytics e marketing (vedi sezione tracker e cookie) — Responsabili ex art. 28 GDPR salvo diversa indicazione;
• Provider di pagamento (gateway, PSP) — Titolari autonomi per i dati strettamente necessari alla transazione;
• Consulenti, commercialisti, legali — Responsabili o Titolari autonomi a seconda del rapporto contrattuale;
• Autorità pubbliche (giudiziarie, tributarie, di vigilanza) — solo su specifica richiesta legittima e nei limiti previsti dalla legge.

L'elenco aggiornato dei singoli Responsabili nominati ai sensi dell'art. 28 GDPR è disponibile su richiesta scrivendo a aq@franzlab.com.

I Suoi dati non vengono ceduti, venduti o diffusi a terzi per finalità diverse da quelle dichiarate nella presente informativa.

Periodo di Conservazione

I dati personali vengono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti, secondo i termini specifici sotto indicati. Decorso il termine, i dati sono cancellati o resi anonimi, salvo necessità di conservazione per finalità di accertamento, contestazione o difesa in giudizio (art. 2947 c.c.) o per obblighi normativi.

L'interessato può richiedere in qualsiasi momento la cancellazione anticipata dei propri dati scrivendo a aq@franzlab.com, salvo i casi in cui il Titolare sia tenuto a conservarli per obbligo di legge.

Trasferimento Dati Extra-UE

Alcuni Responsabili del trattamento (vedi sezione "Destinatari dei Dati") hanno sede al di fuori dello Spazio Economico Europeo (SEE). Il Titolare garantisce che tali trasferimenti avvengano nel rispetto degli artt. 44-49 GDPR mediante una delle seguenti garanzie:

• Decisione di adeguatezza ex art. 45 GDPR: per i Paesi dichiarati adeguati dalla Commissione Europea (Regno Unito, Svizzera, Andorra, Argentina, Canada commerciale, Faroe, Guernsey, Israele, Isle of Man, Jersey, Nuova Zelanda, Uruguay, Giappone, Repubblica di Corea)
• EU-US Data Privacy Framework (Decisione di esecuzione (UE) 2023/1795 del 10 luglio 2023): per i Responsabili statunitensi certificati DPF
• Standard Contractual Clauses (SCC) di cui alla Decisione di esecuzione (UE) 2021/914 della Commissione Europea: per i Responsabili non coperti da decisione di adeguatezza, integrate con misure tecniche supplementari (cifratura at-rest e in-transit, pseudonimizzazione, separazione logica dei dati) ai sensi della sentenza CGUE Schrems II (C-311/18 del 16 luglio 2020)
• Norme Vincolanti d'Impresa (BCR) ex art. 47 GDPR, per i Responsabili che le hanno adottate

L'interessato può richiedere copia delle garanzie adottate e l'elenco aggiornato dei Paesi di trattamento scrivendo a aq@franzlab.com.

Sicurezza dei Dati

franzLAB Società cooperativa adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR per garantire un livello di sicurezza proporzionato al rischio, tenuto conto dello stato dell'arte, dei costi di attuazione, della natura e delle finalità del trattamento.

• Cifratura in transito: connessioni HTTPS con protocolli TLS 1.3 per tutte le comunicazioni
• Cifratura at-rest: cifratura dei dati persistiti su database e sistemi di backup
• Gestione credenziali: utilizzo di password manager protetto, autenticazione a più fattori per gli account amministrativi, principio del minimo privilegio
• Pseudonimizzazione e minimizzazione dei dati ove tecnicamente possibile
• Backup periodici cifrati e procedure documentate di ripristino tempestivo della disponibilità e dell'accesso ai dati personali in caso di incidente fisico o tecnico (art. 32.1.c GDPR)
• Testing periodico: valutazione, verifica e analisi regolare dell'efficacia delle misure di sicurezza (art. 32.1.d GDPR), inclusi audit interni
• Tracciabilità degli accessi: log delle operazioni di accesso ai dati personali (Provv. Garante 27/11/2008 e succ.)
• Aggiornamenti di sicurezza tempestivi su tutti i sistemi e i servizi utilizzati
• Formazione del personale autorizzato al trattamento e vincoli di riservatezza scritti
• Procedura di gestione data breach: notifica al Garante entro 72 ore dalla scoperta della violazione (art. 33 GDPR), salvo casi di rischio improbabile per i diritti e le libertà degli interessati

Log di sistema

Il Sito raccoglie automaticamente, ai fini di sicurezza informatica, prevenzione di abusi, debug e diagnostica tecnica, alcuni dati relativi alle richieste effettuate dai server (cosiddetti log di sistema):

• indirizzo IP del visitatore;
• tipo e versione del browser (user-agent);
• data e ora della richiesta;
• URL della pagina richiesta e codice di risposta HTTP;
• eventuale URL di provenienza (referrer).

Base giuridica: legittimo interesse del Titolare alla sicurezza del Sito (art. 6.1.f GDPR) e adempimento di obblighi normativi in materia di sicurezza dei dati (art. 32 GDPR).

Conservazione: i log di sistema sono conservati per un periodo di 30 giorni, salvo necessità di estensione per finalità di accertamento, contestazione o difesa in giudizio.

Destinatari: i log non sono comunicati a terzi, salvo richiesta dell'Autorità giudiziaria o di altre Autorità competenti.

Processo decisionale automatizzato (art. 22 GDPR)

Il Titolare non effettua processi decisionali interamente automatizzati, compresa la profilazione, ai sensi dell'art. 22 GDPR, che producano effetti giuridici sull'interessato o che incidano in modo analogo sulla sua persona.

L'eventuale profilazione marketing (vedi sezione dedicata, se applicabile) ha effetti unicamente sulla personalizzazione dei contenuti commerciali e non produce conseguenze rilevanti sui diritti dell'interessato.

Minori di età

Il Sito non è destinato a minori di 14 anni. Ai sensi dell'art. 8 del Regolamento (UE) 2016/679 e dell'art. 2-quinquies del D.Lgs. 196/2003, il consenso al trattamento dei dati personali per i servizi della società dell'informazione è validamente prestato dal minore che abbia compiuto i 14 anni; per i minori di età inferiore, il consenso deve essere prestato o autorizzato dal titolare della responsabilità genitoriale.

Il Titolare non raccoglie consapevolmente dati personali di minori di 14 anni. Qualora venga a conoscenza di aver raccolto dati di un minore senza un valido consenso del genitore o tutore, provvederà alla loro cancellazione tempestiva.

Genitori e tutori che ritengano che un minore abbia trasmesso dati personali senza autorizzazione possono contattarci a aq@franzlab.com per richiederne la rimozione.

Diritti dell'Interessato

In qualità di interessato, ai sensi degli artt. 15-22 del GDPR, hai diritto di:

• Accesso (art. 15) — ottenere conferma del trattamento e una copia dei dati personali che ti riguardano
• Rettifica (art. 16) — correggere dati inesatti o integrare dati incompleti
• Cancellazione (art. 17) — richiedere la cancellazione dei dati ("diritto all'oblio"), nei limiti previsti dalla normativa
• Limitazione (art. 18) — limitare il trattamento in determinati casi
• Notifica (art. 19) — essere informato delle eventuali rettifiche o cancellazioni comunicate dal Titolare ai destinatari dei dati
• Portabilità (art. 20) — ricevere i dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico
• Opposizione (art. 21) — opporsi al trattamento per motivi legittimi, in particolare al marketing diretto
• Diritto sulla decisione automatizzata (art. 22) — non essere sottoposto a decisioni basate unicamente su trattamento automatizzato, inclusa la profilazione, che producano effetti giuridici o incidano in modo analogo sulla persona
• Revoca del consenso (art. 7.3) — ritirare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca

Modalità di esercizio: per esercitare i tuoi diritti scrivi a aq@franzlab.com. Il Titolare risponde entro 30 giorni dalla ricezione della richiesta, prorogabili a 90 in caso di complessità (art. 12.3 GDPR).

Reclamo al Garante: hai inoltre diritto di proporre reclamo all'Autorità di controllo competente, in Italia il Garante per la Protezione dei Dati Personali:

• Indirizzo: Piazza Venezia 11, 00187 Roma
• Sito: www.garanteprivacy.it
• Email: garante@gpdp.it
• PEC: protocollo@pec.gpdp.it

Contatti

Per qualsiasi domanda relativa al trattamento dei tuoi dati personali o per esercitare i diritti previsti dagli artt. 15-22 GDPR, puoi contattare il Titolare:

Email: aq@franzlab.com
Indirizzo: Piazza Vittoria 3, 39100 Bolzano (BZ), Italia

Il Titolare risponde entro 30 giorni dalla ricezione della richiesta, prorogabili a 90 giorni in caso di richieste particolarmente complesse o numerose (art. 12.3 GDPR).

Modifiche alla Privacy Policy

franzLAB Società cooperativa si riserva di modificare la presente Privacy Policy in qualsiasi momento per adeguarla a novità normative, organizzative o tecnologiche. Le modifiche saranno pubblicate su questa pagina con indicazione della data di ultimo aggiornamento.

In caso di modifiche sostanziali che incidano sui trattamenti, gli interessati saranno informati con avviso evidente sul Sito o tramite email, se in possesso del recapito.

Si invita l'utente a consultare periodicamente questa pagina per essere costantemente informato sui trattamenti effettuati.

Cookie Policy dedicata

Per informazioni dettagliate sui cookie e sugli strumenti di tracciamento installati sul Sito, sulle relative finalità, durate, fornitori e modalità per gestire o revocare il consenso, si rinvia alla Cookie Policy, parte integrante della presente Privacy Policy.