Informativa sulla privacy (PP)

1. Introduzione

Deskhero AB («noi», «ci» o «nostro») si impegna a proteggere la privacy delle persone che utilizzano la nostra piattaforma Software-as-a-Service (SaaS) («Servizio»). La presente Informativa sulla privacy spiega come raccogliamo, utilizziamo, divulghiamo e proteggiamo i dati personali quando Clienti, Utenti e Clienti del Cliente interagiscono con il nostro Servizio. Utilizzando il Servizio, accetti la raccolta e l’uso delle informazioni conformemente a questa Informativa sulla privacy e ai nostri Termini e condizioni.

2. Definizioni

• Cliente: Un’azienda o entità che ha stipulato un accordo con noi per utilizzare il Servizio.
• Utente: Un dipendente o rappresentante del Cliente autorizzato a utilizzare il Servizio.
• Cliente del Cliente: Una persona che interagisce con il Cliente tramite il Servizio.
• Dati personali: Qualsiasi informazione relativa a una persona fisica identificata o identificabile.
• Trattamento: Qualsiasi operazione effettuata sui Dati personali, come raccolta, uso, archiviazione o divulgazione.

3. Titolare e responsabile del trattamento

• Clienti in qualità di titolari del trattamento: I Clienti sono titolari del trattamento dei Dati personali relativi ai loro Utenti e ai Clienti del Cliente. Essi determinano le finalità e i mezzi del trattamento di tali dati.
• Deskhero AB in qualità di responsabile del trattamento: Agiamo come responsabile del trattamento per conto dei Clienti, trattando i Dati personali in conformità con il nostro Data Processing Agreement (DPA).

4. Tipi di dati personali raccolti

4.1 Dati personali forniti da Clienti e Utenti

Potremmo raccogliere i seguenti tipi di Dati personali da Clienti e Utenti:

• Informazioni sull’account: Nomi, indirizzi e-mail, numeri di telefono, ruoli e informazioni sull’azienda.
• Dati di autenticazione: Nomi utente e password.
• Informazioni di fatturazione: Dettagli di pagamento, indirizzi di fatturazione e registri delle transazioni.

4.2 Dati personali dei Clienti del Cliente

• Dati personali inviati dai Clienti del Cliente quando interagiscono con il Servizio, come richieste di supporto, dati di contatto e qualsiasi altra informazione fornita tramite il Servizio.

4.3 Dati raccolti automaticamente

• Dati di utilizzo: Informazioni su come gli Utenti accedono e utilizzano il Servizio, inclusi indirizzi IP, tipi di browser e sistemi operativi.
• Cookie e tecnologie simili: Informazioni raccolte tramite cookie e tecnologie di tracciamento simili. (Vedi Sezione 12: Cookie e tecnologie simili)

4.4 Uso dei dati della casella di posta Google e Microsoft

Quando colleghi la tua casella di posta Google o Microsoft («Fornitore di casella») a Deskhero, richiederemo la tua autorizzazione (tramite OAuth2 o altri metodi sicuri) per accedere, trattare e archiviare determinati dati della casella, così da offrire funzionalità di helpdesk (ad es. invio e ricezione di ticket di supporto, tracciamento della cronologia delle conversazioni).

4.4.1. Dati raccolti

• Contenuto della casella di posta: E-mail, allegati, metadati (oggetto, data/ora, indirizzi del mittente/destinatario).
• Informazioni dell’account utente: Token o credenziali necessari per inviare e ricevere e-mail per tuo conto.

4.4.2. Finalità del trattamento

• Gestione dei ticket di helpdesk: Conversione automatica delle e-mail in arrivo in ticket di supporto all’interno di Deskhero.
• Risposte in uscita: Invio di risposte dalla casella di posta collegata, garantendo un’esperienza e-mail fluida per i tuoi clienti o utenti finali.
• Cronologia delle conversazioni: Archivia e visualizza in Deskhero i thread di e-mail e gli allegati per fornire contesto ai casi di supporto in corso.

4.4.3. Divulgazione dei dati della casella

• Nessuna vendita di dati: Non vendiamo né condividiamo i dati della tua casella di posta con terze parti per scopi pubblicitari o di marketing.

• Sub-responsabili autorizzati:
• Condividiamo i dati della casella di posta solo con il numero limitato di sub-responsabili elencati nel nostro Record of Processing Activities (RoPA) esclusivamente quando necessario per fornire o migliorare il nostro Servizio (ad es. scansione antivirus, archiviazione o consegna e-mail).
• Tali sub-responsabili sono contrattualmente tenuti a rispettare obblighi di protezione dei dati non meno rigorosi di quelli previsti dal nostro Data Processing Agreement.
• Obblighi di legge o regolamentari: Potremmo divulgare dati se richiesto da leggi, regolamenti o ordini giudiziari.

4.4.4. Misure di protezione e sicurezza dei dati

Consideriamo i dati della casella di posta come confidenziali e applichiamo solidi controlli tecnici e organizzativi, tra cui:

• Crittografia: Tutti i dati della casella di posta sono crittografati in transito (TLS) e a riposo (AES-256 o equivalente).
• Controlli di accesso: Solo il personale autorizzato con una necessità legittima può accedere ai dati della tua casella di posta. Tutti gli accessi vengono registrati e monitorati.
• Gestione degli incidenti: Manteniamo un piano dettagliato di risposta agli incidenti per gestire eventuali eventi di sicurezza sospetti.
• Ulteriori misure di protezione: Per una panoramica completa, consulta la nostra Misure tecniche e organizzative (TOM).

4.4.5. Conservazione ed eliminazione

• Utilizzo attivo: Conserviamo i dati della tua casella di posta finché mantieni un account Deskhero e l’integrazione della casella attiva, per facilitare la creazione di ticket di supporto, le risposte e la consultazione storica.
• Disconnessione o chiusura dell’account:
• Se revochi l’integrazione della casella di posta o chiudi il tuo account Deskhero, elimineremo tutti i relativi dati di casella di posta dai nostri sistemi attivi entro 30 giorni, salvo eventuali obblighi legali di conservazione.
• Eventuali dati residui nei backup vengono eliminati automaticamente, a rotazione, entro un (1) anno, in linea con le nostre politiche di conservazione dei backup.

• Richieste di eliminazione anticipata: Puoi richiedere l’eliminazione anticipata dei dati della casella di posta contattandoci a [privacy@deskhero.com]. Daremo seguito a tali richieste salvo divieti di legge o esigenze aziendali legittime (es. obblighi legali in corso).

4.4.6 Conformità alle policy dei provider di integrazione e restrizioni AI/ML

L’utilizzo da parte di Deskhero dei dati ottenuti tramite integrazioni con servizi di terze parti—ad esempio API di Google Workspace e Microsoft Graph/Microsoft 365—è disciplinato dalle policy per sviluppatori e dalle norme sulla privacy di ciascun provider.

• Nessun addestramento di modelli IA/ML generalizzati – Non utilizziamo, conserviamo o trasferiamo dati utente provenienti da integrazioni per sviluppare, migliorare o addestrare modelli di apprendimento automatico o intelligenza artificiale generalizzati (non personalizzati).
• Solo modelli delimitati al Cliente – Qualsiasi funzionalità di machine learning che offriamo viene addestrata esclusivamente sui dati del singolo Cliente all’interno dell’ambiente di quel Cliente; i dati non vengono mai aggregati tra Clienti né condivisi con servizi IA/ML esterni.
• Limitazioni di accesso umano – L’accesso umano ai dati di integrazione è limitato alle circostanze minime (ad es. sicurezza o supporto) descritte in questa Policy e mai per lo sviluppo di modelli IA/ML.
• Dichiarazione di policy – L’utilizzo da parte di Deskhero delle informazioni ricevute da API di Google Workspace è conforme alla Google API Services User Data Policy, incluse le sue clausole di Limited Use, e applichiamo gli stessi principi a tutte le altre integrazioni di provider, come Microsoft Graph.

5. Finalità e base giuridica del trattamento

5.1 Fornitura del Servizio

• Finalità: Per far funzionare e fornire le funzionalità del Servizio.
• Base giuridica: Esecuzione di un contratto (GDPR articolo 6(1)(b)).

5.2 Comunicazione

• Finalità: Per comunicare con Clienti e Utenti in merito al Servizio, inclusi supporto e aggiornamenti.
• Base giuridica: Esecuzione di un contratto e legittimo interesse (GDPR articoli 6(1)(b) e 6(1)(f)).

5.3 Conformità e obblighi legali

• Finalità: Per rispettare obblighi di legge e rispondere a richieste legittime.
• Base giuridica: Adempimento di obblighi di legge (GDPR articolo 6(1)(c)).

5.4 Miglioramento e analisi

• Finalità: Per analizzare l’utilizzo e migliorare il Servizio.
• Base giuridica: Legittimo interesse (GDPR articolo 6(1)(f)). Ove richiesto dalla legge, otteniamo il consenso.

6. Diritti degli interessati

Le persone dispongono dei seguenti diritti in relazione ai propri Dati personali:

• Diritto di accesso: Ottenere conferma ed accesso ai propri Dati personali.
• Diritto di rettifica: Richiedere la correzione dei Dati personali inesatti.
• Diritto alla cancellazione: Richiedere la cancellazione dei Dati personali in determinate circostanze.
• Diritto alla limitazione: Richiedere la limitazione del trattamento in determinate circostanze.
• Diritto alla portabilità dei dati: Ricevere i propri Dati personali in un formato strutturato e di uso comune.
• Diritto di opposizione: Opporsi al trattamento basato sul legittimo interesse.
• Diritto di revocare il consenso: Revocare il consenso in qualsiasi momento, laddove il trattamento si basi sul consenso.

Esercizio dei diritti

• Clienti e Utenti: Possono contattarci a privacy@deskhero.com per esercitare i propri diritti.
• Clienti del Cliente: Dovrebbero contattare direttamente il Cliente (titolare del trattamento) per esercitare i propri diritti. Assisteremo i Clienti nel rispondere a tali richieste come previsto nel nostro DPA.

7. Divulgazione dei Dati personali

Possiamo divulgare Dati personali a:

• Sub-responsabili: Fornitori di servizi terzi che ci aiutano a fornire il Servizio. (Vedi Sezione 8)
• Autorità legali e regolatorie: Quando richiesto dalla legge o per proteggere i nostri diritti.
• Trasferimenti aziendali: In relazione a fusioni, acquisizioni o cessioni di asset.

8. Sub-responsabili

Utilizziamo Sub-responsabili di terze parti per supportare l’erogazione del nostro Servizio. Un elenco aggiornato dei Sub-responsabili è disponibile nel nostro Registro delle attività di trattamento (RoPA) e sarà aggiornato quando necessario. Garantiamo che tutti i Sub-responsabili siano vincolati da obblighi di protezione dei dati coerenti con la presente Informativa e con la normativa applicabile.

9. Trasferimenti internazionali di dati

I Dati personali possono essere trasferiti in paesi al di fuori dell’Unione europea (UE) o dello Spazio economico europeo (SEE) che possono avere leggi sulla protezione dei dati diverse. Garantiamo l’adozione di adeguate misure di salvaguardia, tra cui:

• Clausole contrattuali standard (SCC): Utilizzo di SCC approvate dalla Commissione europea. Consulta il nostro Accordo sul trattamento dei dati (DPA) per i dettagli.
• Decisioni di adeguatezza: Trasferimento verso paesi riconosciuti dalla Commissione europea come adeguati in materia di protezione dei dati.

10. Misure di sicurezza

Applichiamo adeguate misure tecniche e organizzative per proteggere i Dati personali da accesso, alterazione, divulgazione o distruzione non autorizzati. Tali misure includono:

• Crittografia: Crittografia dei dati in transito e a riposo.
• Controlli di accesso: Limitazione dell’accesso al personale autorizzato.
• Valutazioni periodiche: Svolgimento di verifiche e audit di sicurezza periodici.

Per informazioni dettagliate, fai riferimento al nostro Misure tecniche e organizzative (TOM) documento.

11. Conservazione dei dati

Conserviamo i Dati personali solo per il tempo necessario a soddisfare le finalità per cui sono stati raccolti, incluso per requisiti legali, contabili o di rendicontazione.

• Clienti e Utenti: I Dati personali sono conservati per la durata del Contratto e come richiesto dalla legge.
• Clienti del Cliente: I Dati personali sono conservati secondo le istruzioni del Cliente o come richiesto dalla legge.

Alla cessazione del Contratto, i Dati personali saranno eliminati o anonimizzati conformemente al nostro DPA e alle politiche di conservazione dei dati.

12. Cookie e tecnologie simili

Utilizziamo cookie e tecnologie simili per migliorare l’esperienza dell’Utente. I cookie sono piccoli file di testo memorizzati sul tuo dispositivo quando visiti il nostro Servizio.

12.1 Tipi di cookie utilizzati

• Cookie essenziali: Necessari per il funzionamento del Servizio.
• Cookie analitici: Ci aiutano a capire come viene utilizzato il Servizio.

12.2 Gestione dei cookie

Gli Utenti possono gestire le preferenze dei cookie tramite le impostazioni del browser. La disattivazione dei cookie potrebbe compromettere la funzionalità del Servizio.

Per maggiori informazioni, consulta la nostra Informativa sui cookie

13. Modifiche alla presente Informativa sulla privacy

13.1 Notifica delle modifiche

Potremmo aggiornare periodicamente la presente Informativa sulla privacy. Notificheremo a Clienti e Utenti le modifiche significative tramite:

• Invio di un’e-mail all’indirizzo di posta registrato.
• Visualizzazione di un avviso al prossimo accesso al Servizio.

13.2 Accettazione delle modifiche

L’uso continuato del Servizio dopo la pubblicazione delle modifiche costituisce accettazione dell’Informativa sulla privacy aggiornata. Se non concordi con le modifiche, puoi chiudere il tuo account.

14. Informazioni di contatto

Per domande o dubbi riguardanti questa Informativa sulla privacy o le nostre prassi sui dati, contatta il nostro Data Protection Officer (DPO):

• Nome: Klas Karlsson
• E-mail: dpo@deskhero.com
• Telefono: +46 70 601 13 22

15. Reclami

Se ritieni che il nostro trattamento dei Dati personali violi la normativa applicabile, hai il diritto di presentare reclamo a un’autorità di controllo nel tuo paese o in Svezia.

16. Legge applicabile

La presente Informativa sulla privacy è disciplinata e interpretata secondo le leggi della Svezia.

Utilizzando il Servizio, Clienti, Utenti e Clienti del Cliente riconoscono di aver letto e compreso la presente Informativa sulla privacy.