La presente informativa è resa ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (di seguito «GDPR») a favore del professionista o dello studio di nutrizione (di seguito «Studio» o «Cliente») che si registra e utilizza la piattaforma NutriManager (di seguito il «Servizio»). Essa descrive le modalità con cui EV Network s.r.l. tratta i dati personali riferiti all'account dello Studio, ai suoi rappresentanti e referenti, in qualità di Titolare del trattamento. La presente informativa non disciplina il trattamento dei dati dei pazienti dello Studio, per il quale si rinvia espressamente alla sezione 4.
1. Titolare del trattamento
Titolare del trattamento dei dati personali oggetto della presente informativa è EV Network s.r.l., società che sviluppa e gestisce il Servizio.
- Denominazione: EV Network s.r.l.
- Sede legale: Via Emilio Salgari 14/e, 31056 Roncade (TV), Italia
- Partita IVA: IT04417370261
- Numero REA: TV-348415
- PEC: evnetwork@pec.it
- Email: info@evnetwork.it
- Email dedicata privacy: privacy@evnetwork.it
- Telefono: +39 366 4373328
Per ogni richiesta relativa al trattamento dei dati personali e all'esercizio dei diritti di cui alla sezione 8, l'interessato può rivolgersi al Titolare ai recapiti sopra indicati.
Responsabile della protezione dei dati (DPO)
Il Titolare non ha nominato un Responsabile della protezione dei dati (Data Protection Officer), non ricorrendo le condizioni di nomina obbligatoria di cui all'art. 37 del GDPR: il trattamento su larga scala di categorie particolari di dati (dati relativi alla salute dei pazienti) è effettuato dagli Studi-clienti in qualità di titolari, mentre EV Network s.r.l., rispetto a tali dati, agisce come responsabile del trattamento. Ogni richiesta in materia di protezione dei dati va indirizzata direttamente al Titolare, preferibilmente alla casella dedicata privacy@evnetwork.it, ovvero agli altri recapiti indicati alla sezione 1.
2. Categorie di dati trattati
Nell'ambito del rapporto contrattuale con lo Studio, il Titolare tratta le seguenti categorie di dati personali riferite allo Studio stesso e ai suoi rappresentanti o referenti:
- Dati di registrazione e di account: nome e cognome del referente, denominazione dello Studio, indirizzo email, numero di telefono, credenziali di accesso e relativi dati di autenticazione, ruolo e preferenze dell'account.
- Dati di fatturazione e pagamento: ragione sociale, partita IVA o codice fiscale, indirizzo di fatturazione, codice destinatario o PEC ai fini della fatturazione elettronica, dati relativi all'abbonamento e dati strettamente necessari alla gestione dei pagamenti tramite il fornitore di servizi di pagamento (i dati completi della carta sono trattati direttamente dal fornitore di pagamento e non sono conservati dal Titolare).
- Dati di log e di utilizzo: indirizzo IP, identificativi del dispositivo e del browser, data e ora degli accessi, pagine e funzionalità utilizzate, registri tecnici e di sicurezza (audit log) e altri dati generati automaticamente dall'interazione con il Servizio.
Il conferimento dei dati contrassegnati come obbligatori in fase di registrazione e di sottoscrizione è necessario per l'erogazione del Servizio: il mancato conferimento comporta l'impossibilità di attivare o mantenere l'account.
3. Finalità e basi giuridiche del trattamento
I dati personali sono trattati per le finalità e sulle basi giuridiche di seguito indicate:
- Attivazione, gestione ed erogazione del Servizio (creazione e gestione dell'account, fornitura delle funzionalità, assistenza tecnica): base giuridica è l'esecuzione del contratto o di misure precontrattuali richieste dall'interessato, ai sensi dell'art. 6, par. 1, lett. b) del GDPR.
- Adempimento di obblighi fiscali, contabili e di legge (emissione e conservazione delle fatture, comunicazioni alle autorità competenti): base giuridica è l'adempimento di un obbligo legale al quale è soggetto il Titolare, ai sensi dell'art. 6, par. 1, lett. c) del GDPR.
- Sicurezza del Servizio, prevenzione delle frodi e degli abusi, gestione dei log tecnici e di audit, esercizio o difesa di un diritto in sede giudiziaria: base giuridica è il legittimo interesse del Titolare, ai sensi dell'art. 6, par. 1, lett. f) del GDPR, a garantire la sicurezza e l'integrità della piattaforma e dei dati in essa contenuti.
- Invio di comunicazioni promozionali e marketing relative ai servizi del Titolare, ove previsto: base giuridica è il consenso dell'interessato, ai sensi dell'art. 6, par. 1, lett. a) del GDPR, liberamente prestato e revocabile in qualsiasi momento, fatta salva l'eventuale applicazione delle previsioni in materia di comunicazioni a clienti per servizi analoghi.
- Misurazione e ottimizzazione delle campagne pubblicitarie: quando un nuovo Studio raggiunge il Servizio tramite un annuncio pubblicitario online e successivamente si registra o sottoscrive un abbonamento, il Titolare trasmette al fornitore della piattaforma pubblicitaria (Google Ads) un segnale di conversione, comprensivo dell'identificativo del click pubblicitario (Google Click ID, «gclid»), dell'evento (registrazione o attivazione dell'abbonamento) e, per le sottoscrizioni, del relativo valore economico. Tale trattamento avviene esclusivamente lato server e non comporta l'installazione di cookie pubblicitari sul dispositivo dell'utente. La base giuridica è il legittimo interesse del Titolare, ai sensi dell'art. 6, par. 1, lett. f) del GDPR, a misurare l'efficacia delle proprie iniziative pubblicitarie e a ottimizzare i relativi investimenti; la relativa valutazione di bilanciamento è disponibile su richiesta. Non vengono trasmessi dati riferiti ai pazienti né categorie particolari di dati di cui all'art. 9 del GDPR. L'interessato può opporsi a tale trattamento in qualsiasi momento ai sensi dell'art. 21 del GDPR (cfr. sezione 8).
4. Ruolo del Titolare rispetto ai dati dei pazienti
Lo Studio, nell'utilizzo del Servizio, inserisce e tratta dati personali riferiti ai propri pazienti, ivi comprese categorie particolari di dati di cui all'art. 9 del GDPR (ad esempio dati relativi alla salute). Rispetto a tali dati, lo Studio agisce come Titolare del trattamento, mentre EV Network s.r.l. agisce esclusivamente come Responsabile del trattamento per conto dello Studio, ai sensi dell'art. 28 del GDPR, trattando i dati dei pazienti solo su istruzione documentata dello Studio.
I rapporti tra lo Studio (titolare) ed EV Network s.r.l. (responsabile) relativi ai dati dei pazienti sono disciplinati da un apposito accordo sul trattamento dei dati (Data Processing Agreement - DPA), al quale si rinvia integralmente. La presente informativa non copre il rapporto tra lo Studio e i propri pazienti: spetta allo Studio, in qualità di titolare, rendere ai pazienti l'informativa privacy e raccogliere le eventuali basi giuridiche necessarie.
5. Destinatari dei dati e responsabili esterni
I dati personali possono essere trattati da soggetti autorizzati del Titolare e comunicati a fornitori terzi che svolgono attività strumentali all'erogazione del Servizio, nominati responsabili del trattamento ai sensi dell'art. 28 del GDPR. Tra le categorie di destinatari rientrano:
- Fornitore di servizi di pagamento: Stripe Payments Europe, Ltd., per la gestione degli incassi e degli abbonamenti (trasferimenti UE/USA assistiti da Clausole Contrattuali Tipo; cfr. sezione 6).
- Fornitore di servizi di fatturazione elettronica e di trasmissione al Sistema di Interscambio (SdI), con trattamento nell'Unione Europea. La trasmissione delle fatture elettroniche all'Agenzia delle Entrate tramite SdI avviene in adempimento di obblighi di legge.
- Fornitore di servizi di hosting e infrastruttura, presso data center situati nell'Unione Europea, che ospita l'applicazione e l'infrastruttura di posta elettronica utilizzata per le comunicazioni di servizio, gestita direttamente dal Titolare. Non viene impiegato un fornitore terzo di invio email.
- Consulenti, professionisti e fornitori di servizi tecnici per finalità amministrative, contabili e di assistenza.
- Fornitore di servizi pubblicitari: Google Ireland Limited (Google Ads), per la misurazione delle conversioni e l'ottimizzazione delle campagne pubblicitarie, limitatamente al segnale di conversione e all'identificativo del click descritti alla sezione 3, sulla base delle condizioni di trattamento dei dati di Google.
L'elenco aggiornato dei responsabili e dei sub-responsabili del trattamento è disponibile su richiesta ai recapiti della sezione 1 e, per i sub-responsabili relativi ai dati dei pazienti, nell'Allegato A dell'Accordo sul trattamento dei dati. I dati possono inoltre essere comunicati ad autorità pubbliche ed enti competenti ove richiesto dalla legge. I dati non sono diffusi né ceduti a terzi per finalità diverse da quelle indicate nella presente informativa.
6. Trasferimenti di dati verso Paesi extra-UE
Il Titolare privilegia il trattamento dei dati all'interno dello Spazio Economico Europeo. Il trasferimento extra-UE attualmente rilevante riguarda il fornitore di servizi di pagamento (Stripe), i cui flussi possono interessare gli Stati Uniti e sono assistiti dalle Clausole Contrattuali Tipo (Standard Contractual Clauses) adottate dalla Commissione europea, integrate, ove necessario, da misure supplementari. Il fornitore di servizi pubblicitari è contrattualizzato tramite l'entità Google Ireland Limited, con sede nello Spazio Economico Europeo. Qualora, in relazione ad altri fornitori, si renda necessario un trasferimento di dati personali verso Paesi terzi, tale trasferimento avviene esclusivamente in presenza di adeguate garanzie ai sensi del Capo V del GDPR (decisione di adeguatezza della Commissione europea oppure Clausole Contrattuali Tipo). L'interessato può richiedere al Titolare informazioni sulle garanzie adottate e copia delle stesse ai recapiti indicati alla sezione 1.
7. Periodo di conservazione dei dati
I dati personali sono conservati per il tempo strettamente necessario al conseguimento delle finalità per cui sono stati raccolti, secondo i seguenti criteri:
- i dati di account e di rapporto contrattuale sono conservati per tutta la durata del contratto e, dopo la sua cessazione, per il termine ordinario di prescrizione dei diritti contrattuali pari a 10 anni (art. 2946 c.c.), salvo periodi più lunghi imposti per legge o necessari alla difesa in giudizio di un diritto fino alla definizione dello stesso;
- i dati di fatturazione e contabili (fatture e relative scritture) sono conservati per 10 anni dalla data dell'ultima registrazione o dell'operazione, ai sensi dell'art. 2220 del codice civile e della normativa fiscale e IVA applicabile;
- i dati di log tecnici e di sicurezza sono conservati di norma per 12 mesi dalla loro registrazione, termine prolungabile in caso di indagini su incidenti di sicurezza, frodi o abusi per il tempo necessario al loro accertamento e alla difesa in giudizio; i registri di audit relativi alle operazioni effettuate sull'account possono essere conservati per la durata del rapporto contrattuale a fini di tracciabilità e responsabilizzazione;
- i dati trattati sulla base del consenso per finalità di marketing sono conservati fino alla revoca del consenso e, in ogni caso, per un periodo non superiore a 24 mesi dall'ultimo contatto o dalla cessazione del rapporto, salva la conservazione dei soli dati necessari a comprovare la legittimità del trattamento e a gestire le revoche.
Alla cessazione dell'abbonamento l'account è posto in modalità di sola lettura (consultazione ed esportazione dei dati): i dati non vengono cancellati automaticamente al solo decorrere del tempo, ma sono cancellati su richiesta dell'interessato o dello Studio ovvero al venir meno delle finalità e dei termini di legge sopra indicati. Decorsi i termini di conservazione, i dati sono cancellati o resi anonimi in modo irreversibile.
8. Diritti dell'interessato
In relazione ai trattamenti descritti nella presente informativa, l'interessato può esercitare in qualsiasi momento i diritti previsti dagli artt. 15-22 del GDPR, e in particolare:
- diritto di accesso ai propri dati personali e di ottenerne copia;
- diritto di rettifica dei dati inesatti e di integrazione dei dati incompleti;
- diritto alla cancellazione dei dati («diritto all'oblio»), nei casi previsti;
- diritto di limitazione del trattamento;
- diritto di opposizione al trattamento fondato sul legittimo interesse e, in ogni momento, al trattamento per finalità di marketing diretto;
- diritto alla portabilità dei dati, nei casi previsti;
- diritto di revocare in qualsiasi momento il consenso prestato, senza pregiudicare la liceità del trattamento effettuato prima della revoca.
I diritti possono essere esercitati inviando una richiesta ai recapiti del Titolare indicati alla sezione 1. Il Titolare darà riscontro senza ingiustificato ritardo e comunque entro un mese dal ricevimento della richiesta, termine prorogabile di due mesi in casi di particolare complessità, ai sensi dell'art. 12, par. 3, del GDPR.
9. Reclamo all'Autorità di controllo
Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l'interessato che ritenga che il trattamento dei propri dati personali avvenga in violazione del GDPR ha il diritto di proporre reclamo al Garante per la protezione dei dati personali (i recapiti aggiornati sono consultabili sul sito istituzionale www.garanteprivacy.it) o all'Autorità di controllo dello Stato membro in cui risiede abitualmente, lavora o si è verificata la presunta violazione.
10. Cookie e tecnologie analoghe
Il sito e la piattaforma utilizzano esclusivamente cookie tecnici e strettamente necessari (cookie di sessione e cookie di sicurezza per la protezione contro gli attacchi CSRF) e un elemento di archiviazione locale (localStorage) per memorizzare la preferenza dell'utente sul tema grafico. Non sono utilizzati cookie di profilazione, di terze parti o pubblicitari: la misurazione delle conversioni pubblicitarie avviene esclusivamente lato server, come descritto alla sezione 3, senza installazione di cookie o identificatori sul dispositivo. Il dettaglio degli strumenti utilizzati, delle finalità e delle durate è riportato nella Cookie Policy, che costituisce parte integrante della presente informativa.
11. Assenza di processo decisionale automatizzato
Il Titolare non effettua, rispetto ai dati oggetto della presente informativa, processi decisionali automatizzati, compresa la profilazione, che producano effetti giuridici o incidano in modo analogo significativo sull'interessato ai sensi dell'art. 22 del GDPR.
12. Modifiche all'informativa
Il Titolare si riserva di aggiornare o modificare la presente informativa in qualsiasi momento, anche in conseguenza di modifiche normative, organizzative o tecniche. La versione aggiornata sarà pubblicata su questa pagina con indicazione della versione e della data di ultimo aggiornamento riportate in testata e, ove le modifiche siano sostanziali, l'interessato ne sarà informato con mezzi adeguati. Si invita pertanto a consultare periodicamente la presente informativa.