English version below

Norme sulla privacy relative alle APP Zucchetti

ai sensi dell’art. 13 Regolamento Europeo per la protezione dei dati personali 2016/679 (GDPR)



Zucchetti Hospitality rende la presente Informativa Privacy solo ed esclusivamente ai fini del download dell’applicazione "Zucchetti" Beddy; inoltre, la stessa non riguarda l’utilizzo di altri eventuali siti web attraverso i quali ad esempio l’Utente dovesse accedere a/o utilizzare l’applicazione. L’App è dedicata ai gestori delle attività ristorative che hanno acquistato l’applicativo Beddy e non agli utenti delle predette.



Titolare del Trattamento

Titolare del trattamento dei dati personali, solo ed esclusivamente ai fini del download dell’applicazione, , ai sensi dell’art. 4 punto 7) del GDPR è Zucchetti Hospitality S.r.l con sede legale in Lodi, Via Solferino, n. 1, 26900 – e-mail ufficio.privacy@zucchetti.it.


Responsabile della protezione dei dati

Il responsabile per la protezione dei dati è il dott. Mario Brocca a cui potrà rivolgersi scrivendo una e-mail a dpo@zucchetti.it.


Sviluppatore

Lo Sviluppatore dell’applicazione è Zucchetti Hospitality srl, con sede legale in Lodi, Via Solferino n. 1, 26900 - ufficio.privacy@zucchetti.it.


Dati personali raccolti

L’app Beddy raccoglie i seguenti dati la cui Titolarità è in capo però all’azienda cliente che ha acquistato il portale:

  • Dati log in : email/username e password
  • Geolocalizzazione : funzionalità non attiva per questa app
  • Fotocamera* : utilizzata per scansione del documento o ai fini dell’upload dei documenti al fine della gestione del check-in
  • Accesso ai file contenuti nel device* : accesso finalizzato all’upload dei documenti

* si precisa che per ogni tipo di dato raccolto, il sistema operativo richiede l’espressa autorizzazione all’utente, il quale può negare l’accesso al dato.


Natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale rifiuto

Il conferimento dei dati è facoltativo ma sono necessari per l’erogazione del servizio. Il rifiuto al conferimento non consente l’erogazione del servizio e l’utilizzo dell’app.


Modalità del trattamento

I trattamenti avvengono in formato elettronico e durante l’utilizzo dell’app i dati personali sono reindirizzati attraverso connessioni sicure al prodotto gestionale Beddy installato dal centro che detiene la titolarità dei dati dei clienti ed utenti della app. I dati sopra riportati non sono mai salvati in via definitiva né sulla app né sul dispositivo. L’utente può cancellare i dati sopra riportati su app utilizzando la funzione di logout o disinstallando l’app.


Procedure sicure di trattamento dei dati utente personali e sensibili


Le misure di sicurezza configurabili nel sistema applicativo sono:



Gestione credenziali di accesso

  • User name: l’accesso al sistema avviene solo attraverso l’identificazione univoca del soggetto che vi accede. Nel sistema c’è una credenziale amministrativa che viene consegnata al titolare e da questo utilizzabile so-no in circostanze eccezionali. Il titolare deve predisporre una procedura organizzativa affinché tale utenza sia assegnata ad un unico incaricato e sia gestita in conformità alle buone regole di gestione.
  • È prevista la doppia autenticazione per accedere al servizio, con abilitazione del dispositivo tramite invio di PIN via email o tramite Google Authenticator (OTP)
  • Criteri di complessità per le impostazioni delle credenziali: il sistema consente di impostare una password che deve avere come minimo i seguenti requisiti: lunghezza di 8 caratteri; presenza di almeno un numero, una lettera maiuscola e una minuscola
  • Funzione di blocco account a tempo oppure il blocco account per superamento tentativi di login fail
  • Il sistema adotta misure di protezione contro l’enumerazione degli account: in caso di credenziali errate vie-ne sempre restituito un messaggio generico, senza fornire indicazioni specifiche sull’errore. Inoltre, qualora venga rilevato un numero eccessivo di tentativi di accesso falliti in un intervallo di tempo ristretto (oltre 5 tentativi entro 60 secondi), il sistema blocca automaticamente l’indirizzo IP da cui provengono i tentativi di login.

Minimizzazione

  • Profili di autorizzazione: il Titolare può configurare l’accesso ai dati personali trattati nel sistema a seconda delle attività svolte dagli utenti.

Identificazione di chi ha trattato i dati

  • Strumenti di log: I log applicativi sono attivati di default e riguardano il log in, il log out, il log failed, le modifi-che ai prezzi, alle disponibilità e alle prenotazioni.
  • Presenza di utenze di servizio per personale di assistenza: Coloro che eseguono assistenza e manutenzione sulla procedura hanno utenze nominali.

Tecniche di crittografia

  • Crittografia delle password: viene registrato un hash delle password con l’algoritmo bcrypt aggiungendo un “salt” di applicazione
  • Crypting password DB service account
  • La comunicazione dei dati tra applicativo e DB è crittografata SSL 256bit

Privacy by default

  • Attivazione profilo utente : gli utenti nel portale sono attivati secondo una logica di non assegnare alcun pro-filo autorizzativo sui dati trattati. Sarà il Titolare in autonomia a scegliere la profilazione utente idonea e ad attribuire le autorizzazioni in funzione dell’area omogenea di cui fa parte l’utente o del profilo di autorizza-zione individuale.

Diritti degli interessati

  • Rettifica : Il Titolare potrà modificare i dati dei clienti tramite la propria area riservata
  • Diritti degli interessati: per garantire agli interessati il diritto all’oblio, è sufficiente che inviino una richiesta al Titolare che farà le opportune valutazioni. Qualora il Titolare decida che i dati debbano essere cancellati potrà agire direttamente su Beddy, cancellando l’anagrafica e all’interno dell’applicativo non sarà più repe-ribile alcuna informazione neppure indiretta su quell’interessato
  • Per garantire il diritto dell’interessato di avere informazione su quali dati tratta il Titolare e alla portabilità dei suoi dati, all’interno di Beddy c’è la possibilità di fare delle estrazioni in csv o pdf sia della parte anagrafi-ca che di ogni parte applicativa che riguardano quell’interessato. Con l’esportazione il Titolare potrà tra-smettere i dati all’interessato che potrà trattarli per le sue finalità.

Queste misure di sicurezza devono essere correttamente impostate da parte del Titolare.

Per quanto riguarda le procedure di assistenza, la sicurezza del trattamento è garantita per ogni modalità di erogazione prevista con le seguenti modalità:



Assistenza telefonica

Non presenta problemi da un punto di vista di trattamento di dati personali. Non sono trasmessi dati o archivi e la comunicazione rimane verbale. Qualora, a seguito di richiesta di assistenza telefonica, fosse necessaria un’attività sul sistema da parte degli operatori di ZH, si seguirà l’iter previsto per l’assistenza con necessità di collegamento da remoto.


Assistenza tramite e-mail/ticket web

Nell’assistenza tramite email gli operatori di Zucchetti Hospitality inseriranno sempre nel testo del messaggio il disclaimer per rendere edotto il Titolare dell’informativa sintetica e dei recapiti a cui potrà rivolgersi per esercitare i suoi diritti o i diritti dei suoi interessati. L’addetto Zucchetti Hospitality non è autorizzato a farsi mandare le credenziali di accesso del Titolare via email né tantomeno potrà salvarle sullo strumento di ticketing. Qualora un Titolare invii le credenziali di accesso al suo ambiente senza richiesta del tecnico Zucchetti Hospitality è necessario che lo stesso risponda che non è autorizzato ad accedere ai sistemi con credenziali di altri utenti in quanto questa modalità viola il GDPR. Quindi il tecnico Zucchetti Hospitality dovrà richiedere credenziali individuali oppure collegamento tramite LogMeIn o software similare. I tecnici Zucchetti Hospitality firmeranno ogni email con nome e cognome e l’informazione sarà salvata nel ticketing.


Assistenza attraverso la ricezione di database dei clienti

Qualora per risolvere il problema segnalato dal Titolare fosse necessario è necessario comunicare al Titolare la necessità di effettuare una copia del DB dal proprio ambiente e ottenere la relativa autorizzazione, salvandola nel ticket.

Autorizzazione di backup da parte dei sistemisti di Zucchetti Hospitality 

L’archivio “copiato” viene scaricato su una directory del gruppo di assistenza non soggetta a backup. L’assistenza procederà alle analisi di cui il problema necessita e poi cancellerà gli archivi, comunicandolo al Cliente/Titolare. Qualora vi fosse la necessità di mantenere gli archivi sarà mandata una email al Titolare che ne darà l’autorizzazione. Gli archivi dei Titolari non potranno mai essere trasmessi a gruppi di lavoro differenti rispetto a quelli finalizzati alla risoluzione del problema segnalato dal Titolare. L’unica possibilità che i tecnici hanno per conservare gli archivi senza la previa autorizzazione del Titolare è l’anonimizzazione degli stessi


Assistenza attraverso collegamento da remoto

Nei casi in cui si renda necessario collegarsi per verificare la problematica segnalata (attraverso telefonata o ticket), gli operatori di Zucchetti Hospitality si collegano all’ambiente cliente attraverso la propria utenza ADMIN, sulla base della semplice richiesta del Titolare stesso. Nel dettaglio, le operazioni effettuate dagli operatori ZH sono identificate dai seguenti parametri: ADMIN-NOMEUTENTE. Viene inoltre visualizzato l’indirizzo IP da cui è stata effettuata la modifica. L’accesso avviene con utenza nominativa. Le operazioni effettuate (modifiche) vengono tracciate in una tabella applicativa, in cui i log sono conservati fino a 2 mesi dalla data coinvolta nell'aggiornamento. Per garantire l’inalterabilità e l’integrità dei log, il Cliente/Titolare del trattamento deve procedere ad apposite estrazioni. Per garantire l’inalterabilità e l’integrità dei log, il Cliente/Titolare del trattamento deve procedere ad apposite estrazioni.


Di seguito le misure specifiche adottate da Zucchetti Hospitality

CODICE

CLASSE DELLA MISURA

LIVELLO DI APPLICAZIONE

M1

Sicurezza locali e apparati

Le aree tecniche di competenza ZUCCHETTI sono caratterizzate da misure che controllano l’accesso fisico ai locali.

M2

Autenticazione

I sistemi ed i servizi ZUCCHETTI sono accessibili solo attraverso il superamento di una procedura di autenticazione che prevede l’utilizzo di credenziali associate agli incaricati.

M3

Sistema di autorizzazione

L’accesso ai dati è controllato attraverso i profili di autorizzazione definiti a livello del sistema operativo della piattaforma che ospita l’applicazione (Windows) e a livello applicativo.

M4

Controllo integrità dei dati

Sono attivi servizi di controllo per presenza di virus sia nei file systems locali dei singoli PC che nei file system condivisi, oltre che sui messaggi di posta elettronica.

M5

Backup e Ripristino dei dati

Sono in atto politiche di backup per i dati. Sono in atto attività indirizzate a ridurre il disservizio in caso di guasto (disaster recovery)

M6

Gestione delle politiche di sicurezza

Sono predisposte delle Policy IT indirizzate alla sicurezza.

M7

Formazione degli incaricati

È previsto un piano di formazione e di aggiornamento per gli incaricati di ZUCCHETTI.

M8

Supporti rimovibili

Sono disposte regole per la gestione (custodia, uso e riutilizzo) di supporti removibili in presenza di dati sensibili.

M9

Procedure automatiche di cancellazione dati utenti interni

Ci sono regole di cancellazione dei dati in relazione alle diverse attività svolte

M10

Backup

Qualora sia applicata la crittografia sul db anche i backup sono crittografati


Classificazione e scheda dettagliata delle Misure di sicurezza adottate

CLASSE MISURA

 

MISURA

 

DESCRIZIONE SINTETICA

 

M1.

 

 

1.1 Sistemi di allarme anti intrusione

È previsto un sistema di allarme contro le intrusioni. In caso di intrusione il sistema di allarme provvede ad avvisare automaticamente i referenti di ZUCCHETTI

1.2 Dislocazione degli apparati attivi e dei server di rete

Tutti gli apparati attivi ed i server di rete sono dislocati in locali tecnici ad accesso controllato.

1.3 Registrazione accessi agli uffici

Data ed ora di ingresso ed uscita del personale impiegatizio vengono registrati tramite l’ausilio di apparecchi di rilevazione presenze.

M2. 

2.1 Adozione di procedure di gestione delle credenziali di Autenticazione: USERNAME

Tutti i lavoratori sono identificati nel sistema informativo attraverso una username assegnata in modo univoco agli stessi.

La User name non sarà associata ad altri lavoratori neppure in tempi diversi. Quando si accede agli strumenti informatici le username in genere sono memorizzate e riproposte all’utente all’accesso successivo.

2.2 Adozione di procedure di gestione delle credenziali di Autenticazione: PASSWORD

L’accesso ad ogni ambiente o strumento elettronico avviene attraverso credenziali di autenticazione.

La password al primo accesso viene impostata dall’ufficio tecnico che configura inizialmente l’ambiente di lavoro di ogni singolo incaricato.

Ogni utente che inizia un trattamento di dati personali viene edotto sull’importanza che la componente riservata della credenziale di autenticazione non venga divulgata ad altri operatori.

Inoltre l’incaricato viene formato sulle regole minime di composizione della password (almeno 8 caratteri e costituita da caratteri alfanumerici non facilmente riconducibili al soggetto di appartenenza). Tale formazione viene effettuata con la distribuzione del “Regolamento interno per l’utilizzo degli strumenti informatici”.

L’incaricato viene inoltre edotto sulla necessità di modifica delle password ogni sei mesi nel caso in cui tratti dati personali e ogni tre mesi qualora tratti categorie particolari di dati (i dati giudiziari non sono stati ad oggi identificati in azienda).

Gli strumenti utilizzati per i trattamenti spesso non gestiscono in autonomia il cambio password, né effettuano controlli sulla ripetitività delle stesse password nel tempo. Quindi tali adempimenti sono a carico dello stesso utente che assume tale onere con la sottoscrizione della lettera di incarico.

Le password di tutti i sistemi elettronici quando vengono digitate sono in formato inintelligibile, cioè riportano asterischi e non caratteri alfanumerici.

2.3 Uso esclusivo delle credenziali di autenticazione.

Ogni credenziale di autenticazione (username e password) viene assegnata ad un unico operatore che la utilizzerà in modo esclusivo.

2.4 Disattivazione delle credenziali di autenticazione per mancato utilizzo (+ 6 mesi) o perdita qualità

 

Nel caso in cui un incaricato dovesse perdere la qualità per la quale gli erano state assegnate le credenziali di autenticazione (ad esempio cessazione dell’attività in azienda, oppure cambio di mansione di ruolo, etc). le credenziali al medesimo riferite saranno disattivate e non verranno più utilizzate. Per la casella di posta elettronica al medesimo riferita verrà osservata la procedura per l’utilizzo degli strumenti elettronici che si riporta in calce al documento. In particolare: L’USERNAME dovrà essere disattivata nei seguenti casi:

§  Immediatamente, nel caso in cui l’incaricato perda la qualità che gli consentiva di accedere allo strumento (sia nel caso in cui cessi di lavorare, sia nel caso in cui venga trasferito da un ufficio ad un altro con conseguente cambio di mansioni e di ambiti di trattamento dei dati personali tale da rendere necessario il conferimento di una nuova chiave);

§  In ogni caso, entro sei mesi di mancato utilizzo.

2.5 Divieto di lasciare incustodita la postazione di lavoro durante una sessione di trattamento.

L’incaricato viene edotto circa la necessità di non lasciare incustodito ed accessibile lo strumento elettronico durante una sessione di trattamento. Detta regola potrà essere disattesa solo alla presenza contestuale delle seguenti condizioni:

* prolungata assenza o impedimento dell’incaricato;

* l’intervento è indispensabile ed indifferibile;

* presenza di concrete necessità di operatività e sicurezza del sistema;

In tal caso dell’accesso effettuato si dovrà provvedere ad informare tempestivamente l’incaricato cui appartiene la parola chiave.

M3

3.1 Profilo di autorizzazione per singolo incaricato

Detto processo garantisce, a fronte del superamento della fase di autenticazione, la corretta e completa associazione tra utenza ed oggetti del sistema informatico connessi al profilo assegnato; comprende l’insieme delle informazioni, associate ad una persona, dirette  ad individuare a quali dati essa possa accedere ed altresì di quali trattamenti essa possa usufruire; esso stabilisce a quali aree del sistema informatico l’incaricato possa accedere e quali azioni, una volta entrato, possa compiere.

3.2 Aggiornamento periodico dei profili di autorizzazione

Ad ogni incaricato, prima di iniziare il trattamento, viene configurato un profilo di autorizzazione. Il profilo di autorizzazione viene configurato dal coordinatore del gruppo di lavoro di cui la risorsa farà parte, valutando profili analoghi di colleghi che prestano la stessa attività professionale ed evidenziando le eccezioni. I profili di autorizzazione vengono configurati da parte del coordinatore inviando una email reimpostata con un modello all’ufficio tecnico che provvede ad implementare i livelli di autorizzazione o direttamente o trasmettendo l’informazione ai rispettivi responsabili di prodotto per l’attivazione del profilo di autorizzazione delle singole applicazioni. Se in corso di rapporto di lavoro viene valutata l’esigenza di estendere o restringere il profilo di autorizzazione, sarà il coordinatore ad inviare la comunicazione all’ufficio tecnico o ai singoli responsabili di prodotto al fine di provvedere a tale adempimento.

M4

4.1 Architettura sicurezza informatica

È previsto un insieme di regole comportamentali e procedure operative dirette a proteggere l’intero sistema informatico.

M5

5.1 Procedure di backup

Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza giornaliera

5.2 Procedure di ripristino

Sono adottate idonee misure atte a garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. Sono altresì previste attività indirizzate a ridurre il disservizio in caso di guasto.

M6

6.1 Policy per l’utilizzo degli strumenti IT

 

Sono predisposte policy per l’utilizzo degli strumenti elettronici relativamente agli aspetti di:

-       Utilizzo del Pc;

-       Navigazione internet

-       Utilizzo della posta elettronica

La responsabilità di gestione delle stesse è affidata all’Ufficio Tecnico sezione Sicurezza.

M7

7.1 Piano di Formazione degli incaricati

 

È previsto un piano di formazione e di aggiornamento per gli incaricati ZUCCHETTI.

A tutti i neoassunti apprendisti viene erogata una formazione di 6 ore sulla disciplina prevista dal Codice privacy e sulle relative problematiche di applicazione. In occasione dell’inserimento di nuovi strumenti o standard aziendali viene effettuata una formazione a coloro che dovranno applicarli o utilizzarli.

È stato costituito un settore aziendale, Accademia Zucchetti, che è incaricato di evadere le richieste formative provenienti dai diversi settori o divisioni di gruppo.

M8

 

8.1 Istruzioni agli incaricati

Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.

8.2 Custodia, uso e riutilizzo supporti rimovibili

I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intellegibili e tecnicamente in alcun modo ricostruibili.



MISURE DI SICUREZZA APPLICATE AL DATA CENTER

Zucchetti Hospitality utilizza Amazon Web Services (AWS) leader di mercato in IaaS (Infrastructure-as-a-Service) e PaaS (Platform-as-a-Service) per ecosistemi cloud, che possono essere combinati per creare un'applicazione cloud scalabile senza preoccuparsi dell'infrastruttura provisioning (calcolo, storage e rete) e gestione. Il servizio Cloud è erogato attraverso il Data Center di Amazon Web Services (AWS), da centri dati localizzati nell’Unione Europea (Irlanda). Le misure di sicurezza del Provider sono quelle dettagliate ai seguenti link: httPS://aws.amazon.com/it/compliance/data-center/perimeter-layer/ e httPS://aws.amazon.com/it/compliance/data-center/controls/


CRITTOGRAFIA DEI DATI

Zucchetti Hospitality dispone di diverse forme di crittografia:
- Data encryption in-transit: il traffico tra l'utente finale e la parte dell'infrastruttura rivolta a Internet è protet-to con TLS (Transport Layer Security) versione 1.2 o successiva.
- Hashing della password: la password degli utenti finali viene sottoposta ad hashing utilizzando il principale al-goritmo di hashing standard Argon2
- Cifratura dati DB:solo i dati di carta di credito vengono crittografati utilizzando OpenSSL e AES-256-CBC


PENETRATION TEST DELLE APPLICAZIONI WEB

Vengono periodicamente eseguiti penetration test, attraverso un fornitore terzo.


BACKUP

È previsto un backup di DB (infrastruttura RDS) con periodicità giornaliera e retention di 7 giorni I backup producono a intervalli regolari snapshot del database RDS (ogni ora). Per quanto riguarda le istanze EC2 non vengono effettuati snapshot in quanto i sistemi funzionano a container Docker creati costruiti on demand.


ANTIVIRUS E MALWARE

Si rimanda alle misure di protezione standard definite da AWS. E’ Inoltre presente un antivirus sui file che vengono caricati (ClamAV).


FIREWALL

Si rimanda alle misure di protezione standard definite da AWS. Non sono stati implementati ulteriori sistemi, in quanto l’accesso ai server viene effettuato esclusivamente da persone autorizzate di ZH, tramite chiavi SSH crittografate machina-macchina e con collegamenti da sistemi interni che operano in ambiente protetto.


PATCHING

AWS Shield: è in uso la versione base per la protezione contro attacchi DDoS. Viene applicato il patching di sistema operativo, che garantisce l’applicazione di patch di sicurezza, con cadenza almeno trimestrale, previa analisi e valutazione degli impatti a livello applicativo (ossia, previa validazione delle KB di Windows da parte degli sviluppatori) A livello applicativo, vengono rilasciate patch periodiche, in cui si ricomprendono sia fix relativa al software sia relative alla sicurezza.


ADS

E’ attivo il servizio CLOUD TRAIL che monitora, archivia e convalida gli eventi delle attività per l'autenticità. Ge-nera rapporti di verifica, identifica gli incidenti di sicurezza rilevando l'accesso non autorizzato usando le infor-mazioni Chi, Cosa e Quando negli eventi CloudTrail.


Categorie di destinatari a cui i dati potrebbero essere comunicati

I dati personali raccolti dall’App Beddy potranno essere comunicati alle aziende del gruppo Zucchetti ed ai relativi subappaltatori. Inoltre, al fine di eseguire tutte le attività di assistenza e manutenzione, i dati raccolti potranno essere forniti a incaricati della Divisione Trippete e di tutte le aree collegate ai prodotti utilizzati dal Titolare, finalizzate ad eseguire attività di assistenza e manutenzione.


Periodo di conservazione dei dati personali

I dati conservati in Beddy saranno disponibili per tutta la durata del contratto con il Cliente/Titolare del trattamento, ad eccezione dei dati di carta di credito che sono disponibili fino a 15 giorni dopo la data di fine soggiorno del cliente finale. Alla cessazione del contratto il cliente può esportate (in formato PDF o CSV per i dati semplici, XML per documenti discali collegati allo SDI) i dati contenuti nell’applicativo entro 7 giorni dalla cessazione. Decorsi i 7 giorni dalla cessazione, i dati saranno conservati per un ulteriore anno, con account sospeso, decorso il quale verranno cancellati. Le copie di backup saranno conservate per ulteriori 12 mesi dalla cancellazione. Entro un anno dalla cessazione (nel periodo di sospensione account), il Cliente/Titolare del trattamento, ha possibilità di recuperare i propri dati, inviando una richiesta al Responsabile, il quale potrà o ri-abilitare temporaneamente l’accesso all’utenza indicata dal cliente al fine di consentirgli l’estrazione dei file in formati standard (PDF o CSV per i dati semplici, XML per documenti discali collegati allo SDI) o provvedere direttamente all’estrazione e alla restituzione.


Finalità del trattamento cui sono destinati i dati personali

L’app viene utilizzata per:
I. Ricezione e gestione prenotazioni e richieste di disponibilità II. Invio di preventivi e contatti con gli utenti finali III. Acquisizione pagamenti IV. Emissione documenti fiscali V. Statistiche


Ambito di conoscenza dei Suoi dati

I dati trattati dell’app sono trasmessi al prodotto gestionale Beddy. I dati saranno visualizzabili dal Datore di lavoro in funzione dei profili autorizzativi dallo stesso assegnati nell’ambito della sua organizzazione sugli applicativi sopra citati. Il fornitore del servizio non è autorizzato a visualizzare i dati personali registrati bensì solo ad eseguire attività di manutenzione applicativa e sistemistica sul servizio offerto. Qualora vi sia la necessità di accedere ai suoi dati personali il fornitore richiederà preventivamente l’autorizzazione al cliente/Titolare del trattamento che la dovrà informare prontamente della necessità e sulle misure di sicurezza adottate a tutela dei suoi dati.


Ambito territoriale del trattamento

I dati forniti saranno trattati all’interno dello spazio economico europeo


Diritti degli interessati

Limitatamente al trattamento dei dati nell’ambito del download dell’App, l’utente, potrà esercitare i Suoi diritti in-viando una email a ufficio.privacy@zucchetti.it, in particolare si potrà richiedere l’accesso ai dati personali che la riguardano, la rettifica o la cancellazione o potrà richiedere la limitazione al trattamento e potrà opporsi al trat-tamento. Inoltre, avrà diritto alla portabilità dei dati e qualora volesse proporre reclamo potrà presentarlo anche all’autorità Garante per la protezione dei dati personali. Per tutto ciò che concerne il trattamento dei dati nell’ambito dell’utilizzo del gestionale l’utente dovrà rivolgersi al Titolare del predetto Trattamento.







Privacy Policy concerning Zucchetti APPs

provided pursuant to art. 13 of the European General Data Protection Regulation 2016/679 (GDPR)



Zucchetti Hospitality makes this Privacy Policy solely and exclusively for the purposes of downloading the "Zucchetti" Beddy application; furthermore, it does not concern the use of any other websites through which, for example, the User may access/or use the application.



Data Controller

The Data Controller, only for the purposes of downloading the app, pursuant to art. 4 paragraph 7 of the GDPR is Zucchetti Hospitality srl with registered office in Lodi, Via Solferino, 1, 26900 – e-mail zprivacy.officer@zucchetti.com;


Responsible for data protection

The data protection officer is Dr. Mario Brocca, whom you can contact by writing an e-mail to dpo@zucchetti.it.


Developer

The developer of the application is Zucchetti Hospitality, with registered office in Lodi, Via Solferino No. 1, 26900 - ufficio.privacy@zucchetti.it.