La presente informativa è resa nell’ambito di un servizio B2B offerto dal Titolare del trattamento. I dati personali delle persone fisiche sono trattati esclusivamente nell’ambito dei rapporti intercorrenti tra le parti.

Premessa
Go-Out è un sistema di sicurezza aziendale che, ai fini della prevenzione del rischio sanitario, acquisisce i dati di coloro che fanno ingresso e permangono nella struttura che se ne dota, gestendoli in modo da assicurare la riservatezza dei dati personali e particolari degli interessati e di garantire ad essi la protezione necessaria da ogni evento che possa metterli a rischio di violazione.
Il sistema è impostato su: un servizio di autenticazione, un servizio di Rest API quale interfaccia di comunicazione documentata in formato elettronico ed un’interfaccia web di gestione.
Il Titolare del Trattamento, individuabile con il responsabile della struttura che adotta Go-Out, mette in pratica policy e prassi aventi riguardo alla raccolta e all’utilizzo dei dati personali e all’esercizio dei diritti che sono riconosciuti agli utenti dalla normativa applicabile.
Il Titolare ha cura di aggiornare le policy e le prassi adottate per la protezione dei dati personali ogni volta che ciò si renda necessario e comunque in caso di modifiche normative e organizzative che possano incidere sui trattamenti dei suoi dati personali.

Come avviene il trattamento dei dati
Il Titolare raccoglie e/o riceve le informazioni che riguardano l’utente, strettamente funzionali a mitigare l’esposizione del rischio sanitario, quali: nome, cognome, e codice fiscale, indirizzo telematico, numero di telefono fisso e/o mobile, nonché i dati relativi alla eventuale attività commerciale e/o professionale.
I dati raccolti servono al Titolare per adempiere a finalità strumentali e funzionali al rispetto delle prescrizioni in tema di salute e sicurezza sui luoghi di lavoro, con speciale riferimento ai presidi sanitari da adottare.
La comunicazione dei dati avviene in fase di autenticazione al sistema.
La gestione dell’autenticazione utilizza lo standard Oauth2, ove al momento dell’autenticazione viene fornito un codice token con scadenza giornaliera, questo introduce alti standard di sicurezza contro tentativi non autorizzati. La piattaforma è stata progettata unitamente ad un sistema di “Antilockout”, ove tentativi di accesso mediante “brute force password” vengono protetti con il blocco dell’utenza.
Il Titolare non può trasferire i dati personali in paesi extra UE.
I dati personali e particolari così acquisiti non saranno in alcun modo diffusi o divulgati verso soggetti indeterminati e non identificabili neanche come terzi. Le informazioni personali e particolari sono trattate per:
1) rilevazione degli ingressi
Il trattamento dei dati personali e particolari avviene per rilevare la presenza di un utente all’interno della struttura, tracciandone la storicizzazione in ordine alle autocertificate condizioni di salute e al rispetto delle misure a prevenzione e contrasto di emergenze sanitarie ed epidemiologiche.
I dati personali che il Titolare tratta per le finalità di cui sopra, sono, tra gli altri:

• nome*, cognome*, codice fiscale*, indirizzo telematico*, numero di telefono fisso* e/o mobile, numero di conto corrente;
• informazioni relative all’attività commerciale e/o professionale dell’utenza.

Infine, i dati dell’utente, quali

• numero di telefono fisso e/o mobile
• indirizzo telematico

saranno trattati per fornire assistenza sui servizi e sui prodotti trattati dal Titolare.

2) monitoraggio dei contatti
L’informazione relativa all’ingresso e alla permanenza in struttura viene riportata in un prospetto giornaliero per i primi 45 giorni dall’ingresso, in modo da consentire il rintraccio degli utenti presenti e potenzialmente a rischio nel caso di episodi di contagio, segnalati dall’utente nel periodo di riferimento, allo scopo di prevenire focolai di infezione e mitigare il rischio di nuovi cluster di epidemia.

Il trattamento dei dati personali e sanitari dell’utente avviene in dipendenza del contratto e degli obblighi, anche di legge e/o regolamentari, che ne derivano. Detti dati non saranno comunicati a terzi/destinatari per loro finalità autonome a meno che:
1) l’utenza ne dia autorizzazione.
I dati dell’utente, altresì, non saranno comunicati a terzi/destinatari a meno che:
2) la comunicazione sia necessaria per l’adempimento degli obblighi di legge;
3) dalle norme di legge che lo disciplinano;
4) la comunicazione avvenga nei confronti di società di revisione e certificazione del bilancio, società di rilevazione e certificazione della qualità; istituti bancari per la gestione dei pagamenti; amministrazioni finanziarie e enti pubblici in adempimento di obblighi normativi, consulenti in materia contabile e fiscale, consulenti legali, società di recupero del credito e di consulenza contrattuale, società terze di fornitura e assistenza informatica e di elaborazione dati (es. web hosting, data entry, gestione e manutenzione infrastrutture e servizi informatici, ecc.), società di postalizzazione.
I dati personali che il Titolare tratta per tale finalità sono, tra gli altri:

• nome, cognome, codice fiscale, telematico, numero conto corrente;
• relativi alla attività commerciale e/o professionale dell’interessato.

3) per finalità di sicurezza informatica
Il Titolare tratta, anche per mezzo dei fornitori (terzi e/o destinatari), i dati personali, anche informatici (es. accessi logici) o di traffico raccolti o ottenuti nel caso di servizi esposti sul proprio sito web e sull’applicazione Go-Out in misura strettamente necessaria e proporzionata per garantire la sicurezza e la capacità di una rete o dei server ad essa connessi di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati personali conservati o trasmessi.
A tali fini il Titolare ha previsto procedure per la gestione della violazione dei dati personali (data breach) nel rispetto degli obblighi di legge al cui adempimento è tenuta.

Quelli tra i dati dell’utenza, raccolti o comunque ottenuti dal Titolare indicati con (*) si intendono necessari e il mancato conferimento comporta l’impossibilità per il Titolare di dar seguito alle attività relative al trattamento principale, ovvero a:

• la gestione del rapporto instaurato;
• gli adempimenti, anche legali, che derivano dal rapporto instaurato.

Quelli tra i dati che invece non sono indicati con (*) si intendono facoltativi e il mancato conferimento non pregiudica il trattamento principale.
Il Titolare ha inteso svolgere alcuni trattamenti in funzione di determinati legittimi interessi che non pregiudicano il diritto alla riservatezza, come quelli che:

• permettono di prevenire incidenti informatici e la notificazione all’autorità di controllo o la comunicazione agli utenti, se necessarie, della violazione dei dati personali;
• permettono la comunicazione dei dati personali alle società del gruppo di appartenenza del Titolare, per fini amministrativi;
• permettono la comunicazione a terzi/destinatari per attività legate a quelle di gestione del contratto;
• permettono la segnalazione alle Autorità sanitarie per finalità di prevenzione e contrasto ai rischi epidemiologici e sanitari.

La conservazione dei dati
Il trattamento dei dati che riguardano l’utenza avviene attraverso mezzi e strumenti sia elettronici che manuali messi a disposizione dei soggetti che agiscono sotto l’autorità del Titolare e allo scopo autorizzati e formati. Gli archivi cartacei e soprattutto elettronici dove i dati sono archiviati e conservati vengono protetti mediante misure di sicurezza efficaci e adeguate a contrastare i rischi di violazione considerati dal Titolare. Esso provvede alla verifica periodica e costante delle misure adottate, soprattutto per gli strumenti elettronici e telematici, a garanzia della riservatezza dei dati personali per loro tramite trattati, archiviati e conservati.
Il Sistema di archiviazione dei dati è versatile con possibilità di supportare più tipologie di motori database: questo è possibile introducendo un linguaggio intermedio che permette con sintassi univoca di gestire attraverso un framework differenti motori database.
Attualmente per l’impianto si è scelto un prodotto commerciale SQL Server di Microsoft, ma il software permette l’impiego anche di prodotti opensource e comunque qualsivoglia motore con linguaggio standard SQL.
A fini della sicurezza e della conservazione del dato la piattaforma software permette differenti livelli di sicurezza a seconda dell’ambito in cui viene questa attivata:

• Ambiente Cloud: si intende come ambiente Cloud es. la piattaforma AZURE del provider Microsoft, ove l’architettura di GO OUT è totalmente compatibile con i servizi in App Service. I servizi in App sono equiparabili a “contenitori” del software sui cui è facilmente distribuibile il software GO OUT con possibilità di rendere le informazioni al suo interno criptate sia nelle comunicazione punto-punto sia verso il database. I contenitori sia per quanto riguarda l’applicativo (transito dell’informazione), quanto il database ove contenuti i dati sono isolati.
• Ambiente “On promise”: si intende l’infrastruttura informatica del cliente, in questo caso è sufficiente predisporre un server di tipologia Windows, Linux o Mac/OSX per poter distribuire l’architettura del software di GO OUT e relativa connessione Internet.

I dati personali vengono conservati per il tempo necessario al compimento delle attività legate alla gestione del connesso rischio sanitario, e comunque per un periodo non superiore ai 45 giorni.
Decorso detto termine il dato viene anonimizzato e può essere reso intellegibile solo attraverso richiesta dell’Autorità Pubblica che ne ordini la decriptazione alla società che gestisce il software di sistema.

Il trattamento dei dati è eseguito attraverso supporti cartacei o procedure informatiche da parte di soggetti interni appositamente autorizzati e formati. A questi è consentito l’accesso ai suoi dati personali nella misura e nei limiti in cui esso è necessario per lo svolgimento delle attività di trattamento che la riguardano.
Il Titolare verifica periodicamente gli strumenti mediante i quali i suoi dati vengono trattati e le misure di sicurezza per essi previste di cui prevede l’aggiornamento costante; verifica, anche per il tramite dei soggetti autorizzati al trattamento, che non siano raccolti, trattati, archiviati o conservati dati personali di cui non sia necessario il trattamento; verifica che i dati siano conservati con la garanzia di integrità e di autenticità e del loro uso per le finalità dei trattamenti effettivamente svolti.

È fatto comunque salvo il suo diritto di opporsi in ogni momento ai trattamenti fondati sul legittimo interesse per motivi connessi alla situazione particolare dell’utenza.

I diritti dell’interessato
I diritti che sono riconosciuti all’utenza le permettono di avere sempre il controllo dei dati. I diritti sono quelli di:

• accesso;
• rettifica;
• revoca del consenso;
• cancellazione;
• limitazione del trattamento;
• opposizione al trattamento;
• portabilità.

Tali diritti sono garantiti senza oneri e formalità particolari per il loro esercizio che si intende essenzialmente a titolo gratuito. L’utente ha diritto:

• ad ottenere una copia, anche in formato elettronico, dei dati di cui ha chiesto l’accesso. In caso dovesse richiedere ulteriori copie, il Titolare può addebitare all’utente un contributo spese ragionevole;
• ad ottenere la cancellazione degli stessi o la limitazione del trattamento o anche l’aggiornamento e la rettifica dei dati personali;
• ad ottenere, in tali ultimi casi, che altri titolari del trattamento a cui, nel caso i dati siano stati comunicati o i destinatari degli stessi, siano messi a parte dell’istanza e dell’esito dell’esercizio dei suoi diritti affinché anch’essi provvedano a cancellare, sospendere o interrompere il trattamento o a rettificare i suoi dati;
• ad ottenere ogni comunicazione utile in merito alle attività svolte a seguito dell’esercizio dei suoi diritti senza ritardo e comunque, entro un mese dalla sua richiesta, salvo proroga, motivata e fino a due mesi, che le dovrà essere debitamente comunicata.

Per ogni ulteriore informazione e comunque per inviare la sua richiesta contatti il Titolare all’indirizzo privacy@go-out.tech

In sostanza l’utente, in ogni momento e a titolo gratuito e senza oneri e formalità particolari per la sua richiesta, può;

• ottenere conferma del trattamento operato dal Titolare;
• accedere ai propri dati personali e conoscerne l’origine, le finalità e gli scopi del trattamento, i dati dei soggetti a cui essi sono comunicati, il periodo di conservazione dei dati o i criteri utili per determinarlo;
• aggiornare o rettificare i propri dati personali in modo che siano sempre esatti e accurati;
• revocare il consenso in qualunque momento, nel caso in cui questo costituisca la base del trattamento. La revoca del consenso comunque non pregiudica la liceità del trattamento basata sul consenso svolto prima della revoca stessa;
• cancellare i propri dati personali dalle banche dati e/o dagli archivi anche di backup del Titolare nel caso, tra gli altri, in cui non siano più necessari per le finalità del trattamento o se questo si assume come illecito, e sempre se ne sussistano le condizioni previste per legge; e comunque se il trattamento non sia giustificato da un altro motivo ugualmente legittimo;
• limitare il trattamento dei propri dati personali in talune circostanze, ad esempio laddove l’utente ne abbia contestato l’esattezza, per il periodo necessario al Titolare per verificarne l’accuratezza. Lei deve essere informato, in tempi congrui, anche di quando il periodo di sospensione si sia compiuto o la causa della limitazione del trattamento sia venuta meno, e quindi la limitazione stessa revocata;
• ottenere i propri dati personali, se ricevuti o trattati dal Titolare con il consenso e/o se il loro trattamento avvenga sulla base di un contratto e con strumenti automatizzati, in formato elettronico anche al fine di trasmetterli ad altro titolare del trattamento.

Il Titolare dovrà procedere in tal senso senza ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta dell’utente. Il termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste ricevute. In tali casi il Titolare, entro un mese dal ricevimento della relativa richiesta, dovrà informare l’utente e metterlo al corrente dei motivi della proroga.

Per ogni ulteriore informazione e comunque per inviare la sua richiesta, contatti il Titolare all’indirizzo privacy@go-out.tech

Per motivi relativi ad una situazione particolare, l’utente può opporsi in ogni momento al trattamento dei propri dati personali se esso è fondato sul legittimo interesse, inviando la sua richiesta al Titolare all’indirizzo privacy@go-out.tech
L’utente ha diritto alla cancellazione dei suoi dati personali se non esiste un motivo legittimo prevalente rispetto a quello che ha dato origine alla relativa richiesta.
Fatta salva ogni altra azione in sede amministrativa o giudiziale, l’utente può presentare un reclamo all’autorità di controllo competente ovvero a quella che svolge i suoi compiti ed esercita i suoi poteri in Italia dove ha la sua residenza abituale o lavora o se diverso nello Stato membro dove è avvenuta la violazione delle normative di riferimento.
Ogni aggiornamento della presente informativa sarà reso noto attraverso la pubblicazione – nella sezione dedicata – del sito associativo mentre le sarà comunicato – in assenza di cause ostative normativamente sancite – tempestivamente e con mezzi congrui se il Titolare darà seguito al trattamento dei suoi dati per finalità ulteriori rispetto a quelle di cui alla presente informativa prima di procedervi e in tempo per prestare il suo consenso se necessario.