GDPR

1. GPDR – Valutazione Iniziale

Identificazione di tutti i dati, delle applicazioni associate e della conservazione

Il servizio Display.site, per il suo funzionamento di base, ha necessità di acquisire i seguenti dati dagli utenti:

  • Nome
  • Cognome
  • Indirizzo Email
  • Indirizzo di spedizione
  • Indirizzo di fatturazione

Se l’utente di Display.site mette in vendita prodotti a pagamento, e/o se sceglie di attivare un abbonamento a pagamento, Display.site acquisisce ulteriori dati:

  • indirizzo dell’account Stripe dell’utente, necessario affinché l’utente possa vendere i propri prodotti e/o possa sottoscrivere un abbonamento a pagamento;
  • profilo di fatturazione dell’utente (Nome, Cognome, Codice Fiscale e/o Partita IVA) necessario per poter vendere i prodotti e per ricevere fattura commerciale per l’abbonamento a pagamento sottoscritto con Display.site.

Se l’utente di Display.site usa il servizio di gestione clienti, Display.site acquisisce i dati dei contatti (Nome, Cognome, Indirizzo email) che vengono caricati sulla piattaforma.

I dati vengono acquisiti tramite browser desktop/mobile e/o tramite app, e sono conservati all’interno del database di Display.site ospitato sul servizio Compose (www.compose.io)

Display.site può acquisire inoltre informazioni sulla localizzazione geografica dell’utente, attraverso richiesta di consenso da fornire su browser desktop/mobile e/o su app.

Determinazione delle informazioni personali che direttamente o indirettamente identificano un soggetto

I dati che possono identificare un soggetto sono:

  • Nome
  • Cognome
  • Indirizzo email
  • Profilo di Fatturazione
  • Account Stripe

Determinazione dell’autorità di controllo e/o di elaborazione delle Informazioni Personali Identificabili

All’interno di Display.site l’autorità di controllo e/o di elaborazione delle Informazioni Personali Identificabili è assegnata a Ferdinando Caruso che assume il ruolo di DPO.

Il DPO è stato designato in funzione delle qualità professionali, e della capacità di adempiere ai propri compiti.

Il DPO è prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali sia dal titolare del trattamento (la società Display.site SRL) che dal responsabile del trattamento e gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal GPDR.

Il DPO gode di ampia autonomia e non riceve alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti.

Identificazione dei processi aziendali tramite l’utilizzo di Informazioni Personali Identificabili

I processi aziendali interni a Display.site che coinvolgono l’utilizzo di Informazioni Personali Identificabili sono:

  • iscrizione dell’utente
  • login dell’utente
  • vendita di prodotti
  • emissione delle fatture di vendite dei prodotti
  • invio di email
  • invio di comunicazioni di servizio
  • spedizione dei prodotti
  • rimborso dei prodotti

Identificazione delle persone che interagiscono con le Informazioni Personali Identificabili

L’accesso alle Informazioni Personali Identificabili è consentito esclusivamente al personale tecnico di Display.site, che vi accede solo per fini connessi alla manutenzione del servizio ed al supporto agli utenti. Non è consentito l’accesso al personale non tecnico ed a terzi estranei al servizio Display.site.


2. GPDR - Identificazione delle priorità di conformità

Le categorie dei dati, i processi aziendali e loro caratteristiche sono gestiti in Display.site in maniera combinata per garantire la compliance al GDPR.

A tal proposito abbiamo individuato le seguenti categorie di dati:

  • Nome e Cognome utente
  • Email utente
  • Codice fiscale utente
  • Partita Iva utente
  • Indirizzo account Stripe utente
  • Nome e Cognome di persone contattate dall’utente
  • Indirizzo email di persone contattate dall’utente
  • Messaggi inviati e ricevuti dall’utente
  • Altri dati di natura varia raccolti dall’utente attraverso questionari, interviste e moduli di raccolta attraverso il servizio Display.site

Alcune di queste categorie rientrano nelle Informazioni Personali Identificabili:

  • Nome e Cognome utente
  • Email utente
  • Codice fiscale utente
  • Partita Iva utente
  • Indirizzo account Stripe utente
  • Nome e Cognome di persone contattate dall’utente
  • Indirizzo email di persone contattate dall’utente

Le altre invece rappresentano informazioni non identificabili, né visionate per l’esecuzione del servizio, a meno di esplicita richiesta di supporto pervenuta dall’utente.

I processi aziendali che interessano le categorie di informazioni sono:

  • registrazione nuovo utente
  • login utente
  • vendita di prodotti
  • invio di comunicazioni email
  • supporto all’utente
  • invio di comunicazioni tecniche all’utente
  • invio di comunicazioni di servizio all’utente
  • invio di promozioni all’utente

L’utente che aderisce al servizio Display.site approva esplicitamente ogni punto di questo elenco di utilizzo, in modo chiaro e consapevole.

La priorità seguita nell’aggiornamento del servizio è stata infatti quella di predisporre un sistema di comprensione semplice e sicuro per ciascuna delle operazioni elencate, con la possibilità di aderire solo ad alcune. Naturalmente, esistono delle operazioni (es. acquisizione numero Partita Iva) che sono necessarie per la stessa esecuzione del servizio (es. vendita dei prodotti).


3. GPDR - Valutazione dell’Impatto sulla Protezione dei Dati (DPIA: Data Protection Impact Assessment)

Abbiamo eseguito una valutazione d’impatto su qualsiasi processo a rischio di violazione dei diritti di riservatezza dei dati del soggetto interessato. Lo scopo della valutazione è stato quello di consentirci di mitigare al massimo i rischi identificati.

Il report di valutazione di seguito descritto riguarda:

  • Descrizione delle attività di controllo e/o elaborazione delle Informazioni Personali Identificabili
  • Valutazione dell’impatto sui diritti degli interessati
  • Misure prese per limitare l’impatto

Abbiamo identificato le attività critiche dal momento in cui è acquisito il primo dato considerabile come Informazione Personale Identificabile: l’indirizzo email dell’utente, e il proprio nome e cognome.

Queste informazioni sono acquisite esclusivamente al momento della registrazione volontaria dell’utente al servizio Display.site.

Abbiamo rivisto il processo di acquisizione dei dati, fornendo all’utente una maggiore chiarezza del modo in cui i dati vengono acquisiti, e dell’uso che di tali dati sarà fatto all’interno del Servizio Display.site.

Abbiamo effettuato un checkup approfondito dei nostri servizi per garantire che durate la fase di acquisizione dei dati non intervengano soggetti terzi che possano “rubare” i dati forniti dall’utente.

Usiamo il protocollo HTTPS su ogni pagina del sito display.site in modo da rendere sicure le trasmissioni di informazioni tra utenti e piattaforma, sia attraverso browser desktop che browser mobile.

Non conserviamo, all’interno di Display.site e dei servizi inclusi, dati finanziari sensibili, come numero e scadenza della carta di credito dell’utente. Per motivi di superiore sicurezza, non forniamo un gateway interno per la gestione delle transazioni finanziarie legate alla vendita, rimborso e pagamento delle commissioni dei biglietti. Usiamo esclusivamente servizi terzi identificabili in modo chiaro: Stripe. L’utente è messo a conoscenza in modo esaustivo sull’uso possibile dei servizi terzi. La connessione tra Display.site ed i servizi terzi avviene in modo sicuro. Per ulteriori approfondimenti è possibile consultare la Privacy Policy dei servizi terzi.

L’utente di Display.site è quindi incolume ai rischi connessi a furti di dati finanziari, perché tali dati non sono inclusi tra quelli acquisiti, trattati e conservati da Display.site.

Relativamente ai dati che vengono raccolti dagli utenti di Display.site, tramite il servizio Display.site, abbiamo migliorato ulteriormente i sistemi di avviso e di tutela che offriamo, sia ai nostri utenti che agli utenti dei nostri utenti.

In modo particolare, abbiamo migliorato le procedure di individuazione di azioni di spam compiute dai nostri utenti, attraverso il servizio Display.site, nei confronti di propri contatti e/o utenti, fornendo sia una più chiara esplicitazione di cosa è consentito e cosa non è consentito fare attraverso il servizio Display.site, sia fornendo un canale di segnalazione cui i terzi possono accedere per richiedere verifiche su determinati comportamenti.


4. GPDR – Dichiarazione di conformità

Alla data di entrata di vigore del GPDR il servizio Display.site è da ritenersi conforme alle specifiche richieste.

Ci siamo dotati di:

  • archivio delle attività di elaborazione delle Informazioni Personali Identificabili;
  • archivio delle violazioni dei dati;
  • valutazione dettagliata delle attività di elaborazione ad alto rischio;
  • dettagli contrattuali tra la vostra organizzazione e i fornitori di terze parti che elaborano e/o controllano i dati a vostro nome.

L’archivio delle attività di elaborazione delle Informazioni Personali Identificabili è il database ospitato dal servizio Compose al cui interno vengono conservati i dati degli utenti ed i log di accesso a tali dati. E’ sempre possibile risalire in modo preciso a modifiche e modalità di utilizzo di tali dati.

L’archivio delle violazioni dei dati è un database, ospitato sul nostro server in cui verranno annotate tutte le eventuali violazioni dei dati, occorse nonostante il nostro massimo e costante impegno alla tutela degli stessi.

La valutazione dettagliata delle attività di elaborazione ad alto rischio è contenuta in un database, ospitato sul nostro server, in cui sono state elencate tutte le attività che sono svolte in Display.site, con relativo grado di Identificazione dell’utente, e correlato grado di rischio nella perdita e/o utilizzo improprio dei dati.


5. GDPR – La condivisione dei dati degli utenti

Condividiamo nome, cognome, email e informazioni sugli ordini con i venditori per rendere più efficace la gestione del processo di vendita e postvendita.

I venditori possono contattare i propri clienti di volta in volta con notizie o annunci importanti relativi all’ordine effettuato.

Invitiamo tutti i venditori a includere una domanda di opt-in sulla loro pagina di vendita se intendono contattare i clienti. Non è responsabilità di Display.site il mancato rispetto della GDPR da parte dei venditori. Display.site non è responsabile per l’uso improprio dei dati da parte del venditore.

In caso di sospetto di una violazione di dati personali è necessario contattare Display.site, che farà il possibile per aiutare l’utente.

Con lo scopo di monitorare e analizzare le statistiche di visualizzazione del nostro servizio condividiamo l’indirizzo IP con le seguenti aziende:

  • Google Analytics
  • Hotjar
  • Facebook

Non condividiamo o vendiamo i dati dei nostri utenti con servizi di terze parti che non siano direttamente collegate al nostro servizio.

Di tanto in tanto, inviamo newsletter via e-mail contenenti notizie importanti e aggiornamenti al nostro servizio. Per questo, condividiamo il tuo indirizzo email con il nostro servizio di email marketing di terze parti: Sendgrid.

Abbiamo un certificato SSL installato sul nostro server per garantire che tutti i dati inviati tra il tuo computer e il nostro server siano crittografati. Noi criptiamo il tuo indirizzo email e la password. Il tuo nome utente, il tuo nome e il tuo cognome non sono criptati.

6. GDPR - Diritti dell’utente di Display.site

L’utente di Display.site ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento; l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento; i dati personali sono stati trattati illecitamente; i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione”.

Se sussistono le succitate condizioni, l’utente di Display.site può inviare una richiesta di cancellazione a: info@display.site