English version below

Norme sulla privacy relative alle App Zucchetti

ai sensi dell'art. 13 Regolamento Europeo per la protezione dei dati personali 2016/679 (GDPR)


La presente Informativa Privacy è resa solo ed esclusivamente per l'applicazione Zucchetti Q-ID e non anche per eventuali siti web attraverso i quali ad esempio l'Utente dovesse accedere a/o utilizzare l'applicazione.





Titolare del Trattamento

Titolare del trattamento dei dati personali, solo ed esclusivamente ai fini del download dell'applicazione, ai sensi dell'art. 4 punto 7) del GDPR, è Zucchetti S.p.A. con sede legale in Lodi, Via Solferino, n. 1, 26900 - e-mail ufficio.privacy@zucchetti.it.





Responsabile della protezione dei dati

Il responsabile per la protezione dei dati è il dott. Mario Brocca a cui potrà rivolgersi scrivendo una e-mail a dpo@zucchetti.it.





Sviluppatore

Lo Sviluppatore dell'applicazione è Zucchetti S.p.A., con sede legale in Lodi, Via Solferino n. 1, 26900 - ufficio.privacy@zucchetti.it.





Dati personali raccolti

I servizi forniti dalla App, nonché le caratteristiche e le funzioni della stessa non richiedono alcuna forma di registrazione degli Utenti. Segnaliamo tuttavia che, i sistemi informatici e le procedure software preposte al funzionamento della App (come ad esempio Apple Store, Google Play o App Gallery), acquisiscono nel corso del loro normale esercizio, alcuni dati comunque riferibili all'Utente la cui trasmissione è implicita nell'uso dei protocolli di comunicazione internet, degli smartphone e dei dispositivi utilizzati. In questa categoria di dati rientrano, a titolo esemplificativo ma non esaustivo, la posizione geografica, l'identità del telefono, i contatti dell'Utente, e-mail, i dati relativi alla carta di credito. L'Utente potrà consultare le informazioni sulla Privacy disponibili sui seguenti siti:

Questa applicazione mobile raccoglie i seguenti dati:

    • fotocamera: per leggere una combinazione di dati all'interno di un QR code al fine di associare l'utenza al dispositivo. La fotocamera viene ulteriormente utilizzata per effettuare l'autenticazione a QWeb. Le immagini non vengono salvate in una locazione di memoria del telefono;
    • microfono: eventualmente utilizzato solo dalla tastiera virtuale del dispositivo. Non vengono salvati dati nell'App;
    • user name ID installazione ed informazioni dispositivo (Sistema Operativo ed ID dispositivo): necessari per accedere alle funzionalità dell'App, codici utenti dell'applicativo server (QWeb), riferimento all'area geografica del lavoro dell'operatore (sede e ufficio applicativo server QWeb).
      I dati del dispositivo vengono inviati all'applicativo server (con accesso web) e non sono direttamente contenuti nell'area dati dell'App.




Natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale rifiuto

Il conferimento dei dati è facoltativo ma sono necessari per l'erogazione del servizio. Il rifiuto al conferimento non consente l'erogazione del servizio e l'utilizzo dell'App.





Finalità del trattamento cui sono destinati i dati personali

I suoi dati verranno trattati per le seguenti finalità:

  • la finalità di Q-ID è migliorare la sicurezza del processo di accesso a QWeb da parte dei CAF e dei relativi utenti utilizzando una MFA;
  • la finalità del fornitore è quella di fornire assistenza e manutenere il prodotto.




Modalità del trattamento

Il Titolare procede al trattamento dei dati in formato elettronico. I dati personali sono reindirizzati attraverso connessioni sicure al prodotto software web QWeb prodotto da Zucchetti e da quest'ultimo gestiti. I dati sono conservati presso il sistema Zucchetti nel rispetto delle policy adottate. Il trattamento e la custodia dei dati avvengono con modalità tali da garantirne la riservatezza e la sicurezza, e con logiche e mediante forme di organizzazione strettamente correlate alle finalità di cui sopra ed agli incarichi da Lei conferiti. Il trattamento potrà essere effettuato anche attraverso strumenti automatizzati atti a memorizzare, gestire e trasmettere i dati stessi. è esclusa la profilazione nominativa ed anonima dell'interessato dal trattamento dei dati, ovverosia qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale.





Procedure sicure di trattamento dei dati utente personali e sensibili

Lo sviluppatore ha sviluppato e implementato procedure sicure di trattamento dei dati costituite da misure di sicurezza a livello tecnico organizzativo, sia a livello di servizi di assistenza.

  • Accesso alla Suite QWeb in modalità due fattori (2FA), fornendo un ulteriore livello di sicurezza dopo la digitazione delle credenziali di accesso.
  • In particolare, le misure di sicurezza configurabili a livello applicativo sono: Diritti degli interessati: per garantire agli interessati il diritto all'oblio, è sufficiente effettuare la rimozione dell'App dal dispositivo.
  • Per garantire il diritto dell'interessato ad avere informazione sui dati tratta dal Titolare e alla portabilità dei suoi dati, è possibile consultare le informazioni sulla Privacy disponibile nello Store.




Procedure di assistenza



Assistenza telefonica

Non presenta problemi da un punto di vista di trattamento di dati personali. Non sono trasmessi dati o archivi e la comunicazione rimane verbale.


Assistenza tramite e-mail/ticket web

Nell'assistenza tramite e-mail i tecnici Zucchetti inseriranno sempre nel testo del messaggio il disclaimer per rendere edotto il Titolare dell'informativa sintetica e dei recapiti a cui potrà rivolgersi per esercitare i suoi diritti o i diritti dei suoi interessati.
L'addetto Zucchetti non è autorizzato a farsi mandare le credenziali di accesso del Titolare via e-mail né tantomeno potrà salvarle sullo strumento di ticketing.
Qualora un Titolare invii le credenziali di accesso al suo ambiente senza richiesta del tecnico Zucchetti è necessario che lo stesso risponda che non è autorizzato ad accedere ai sistemi con credenziali di altri utenti in quanto questa modalità viola il GDPR. Quindi il tecnico Zucchetti dovrà richiedere credenziali individuali oppure collegamento tramite strumenti a ciò dedicati.
I tecnici Zucchetti firmeranno ogni e-mail con nome e cognome e l'informazione sarà salvata nel ticketing.


Assistenza attraverso la ricezione di database dei Clienti

Qualora per risolvere il problema segnalato dal Titolare fosse necessario farsi mandare la base dati o altri files o query contenenti dati personali è necessario comunicare al Titolare o l'area FTP su cui dovrà caricare i file oppure per i Titolari con l'ambiente installato sul ns. Data Center, richiedere l'autorizzazione per far effettuare la copia ai nostri sistemisti.

Area FTP
L'area FTP sarà impostata affinché il Titolare veda solo l'upload. Il download sarà visualizzato solo dal gruppo di assistenza a cui la richiesta di assistenza è stata effettuata.
Tre giorni dopo la data di pubblicazione una routine cancellerà i file caricati in area FTP.

Area SharePoint
Essendo diventato Office 365 strumento aziendale anche di collaborazione ogni utente Zucchetti ha a disposizione Sharepoint che può utilizzare anche tale strumento per la condivisione dei documenti e file in genere coi clienti.
L'azienda al fine di tutelare la privacy del dipendente non entrerà nel merito dello sharepoint individuale, pertanto, una volta che il cliente ha scaricato i files, l'operatore avrà anche la responsabilità della relativa cancellazione.

Scaricamento archivi tramite WeTransfer o link di collegamento su ambienti del Titolare
In questo caso la gestione è in carico al Titolare che fornirà le credenziali per accedere all'ambiente dove risiedono gli archivi.
L'assistenza dovrà scaricarli in dischi di rete non soggetti a backup e cancellarli al termine dell'attività come nelle altre ipotesi.

Autorizzazione di backup da parte dei nostri sistemisti
L'archivio ricevuto viene scaricato su una directory del gruppo di assistenza non soggetta a backup.
L'assistenza di primo livello trasmette il db all'assistenza di secondo livello. L'assistenza di secondo livello procederà alle analisi di cui il problema necessita e poi cancellerà gli archivi ricevuti.
In ogni caso l'assistenza che ha in carico il problema, sia essa di primo o secondo livello, al termine dell'attività, cancellerà gli archivi ricevuti.
L'assistenza che ha in carico la gestione, terminata l'attività dovrà cancellare gli archivi ricevuti dal disco condiviso e da eventuali supporti di memorizzazione locali.
Qualora vi fosse la necessità di mantenere gli archivi sarà mandata una e-mail al Titolare che ne darà l'autorizzazione.
Gli archivi dei Titolari non potranno mai essere trasmessi a gruppi di lavoro differenti rispetto a quelli finalizzati alla risoluzione del problema segnalato dal Titolare.
L'unica possibilità che i tecnici hanno per conservare gli archivi senza la previa autorizzazione del Titolare è l'anonimizzazione degli stessi.


Assistenza attraverso la necessità di avere il backup dei clienti di un servizio Data Center

Qualora i dati personali del Titolare siano su sistema Zucchetti/Data Center, in nessun caso l'assistenza di 1 livello potrà richiedere il backup ai sistemisti di Data Center se non previa autorizzazione del Titolare stesso.
I sistemisti non potranno estrarre nessun backup dei Titolari per esigenze e finalità differenti rispetto al fornire assistenza agli stessi; ad esempio, non potranno essere effettuati backup indirizzati alla produzione per l'esecuzione di test.


Assistenza attraverso collegamento da remoto Team Viewer

Questa modalità di collegamento sugli strumenti dei Titolari garantisce la privacy in quanto:

  • il collegamento è sempre richiesto dal Titolare;
  • le credenziali di accesso sono sempre individuali;
  • il Titolare fa accedere i tecnici Zucchetti ad un ambiente con profilo di autorizzazione da lui scelto per far eseguire le attività di assistenza;
  • il Titolare può disconnettere il tecnico quando desidera.

Attraverso Team Viewer è possibile far accedere anche l'assistenza di secondo livello alla stessa sessione aperta.
In questo caso il Titolare ne ha l'evidenza perché fornita dallo strumento e quindi accetta implicitamente tale modalità è essenziale utilizzare il Team Viewer Zucchetti in quanto licenziato e personalizzato con tutta la documentazione che deve essere prodotta dalla legge sul trattamento dei dati personali.
Solo in casi eccezionali e dopo attenta valutazione del responsabile e dell'ufficio privacy è possibile utilizzare altri strumenti di connessione che si comportano in modo uguale.


Assistenza attraverso collegamento da remoto su IP pubblici oppure tramite VPN

Qualora l'attività di assistenza debba essere svolta su sistemi cloud su IP pubblici oppure tramite VPN o accessi privati è necessario che gli addetti Zucchetti entrino nei sistemi dei Titolari:

  • previa autorizzazione del cliente;
  • previa ricezione delle credenziali individuali e le stesse siano state attivate per il tempo necessario all'esecuzione delle attività richieste;
  • al termine dell'attività siano disattivate le credenziali da parte del Titolare.

Regole che riguardano gli ambienti dei Titolari, in qualsiasi forma di delivery (SaaS/PaaS/On Premise) riferite a:

  • creazione utenze per consulenti applicativi;
  • creazione utenze per personale di assistenza.

Consulenti applicativi

Per effettuare tutte le attività di start up sull'ambiente del Titolare è necessario che venga appositamente creata un'utenza all'interno del sistema come di seguito indicato:

  • ZU_+ prime 3 lettere del cognome + prime 3 lettere del nome;
  • nella descrizione (nome completo) apporre: Utente Zucchetti.

In questo modo il Cliente potrà riconoscere la provenienza dell'utenza stessa.
Es: per il soggetto Rossi Mario dovrà essere creata l'utenza: ZU_ROSMAR.

Per la creazione dovrà essere coinvolto il Titolare, il quale dovrà essere guidato all'accesso e alla creazione dell'utenza precisando e condividendo con lui, i diritti che verranno assegnati a quest'ultima.


Personale di Help Desk

La creazione dell'utenza deve essere richiesta solo al Titolare che, attraverso l'amministratore di applicazione, potrà creare il nuovo utente.
Non deve mai essere utilizzato l'utente amministratore da parte degli operatori di assistenza.
Anche in questo caso, per la creazione delle utenze, valgono le regole di creazione esplicitate per i consulenti applicativi.
Le utenze dovranno essere generate con la codifica: ZU_prime tre cognome_prime tre nome.
Nella descrizione dovrà essere inserito Zucchetti Utente.


Conversioni e progetti di start up

Qualora si verifichino le seguenti casistiche:

  • conversioni o start up con contratto;
  • conversioni o startup senza contratto.

Nel primo caso le attività sono finalizzate ad adempiere all'obbligazione contrattuale e pertanto lecite.
In questo caso è necessario redigere un documento di progetto in cui si convengono con il Titolare le modalità operative di esecuzione delle attività tra cui:

  • dati personali, archivi, base dati di cui necessita l'esecuzione delle attività;
  • dettaglio delle operazioni da eseguire sui dati;
  • identificazione del periodo entro cui sarà terminata tale attività;
  • la previsione di un collaudo in cui il Titolare proverà la conversione.

I documenti che il Titolare ha sottoscritto per lo svolgimento di queste attività sono il contratto e la nomina a responsabile conferendo mandato a Zucchetti di svolgere tutte le attività necessarie all'erogazione del servizio.
In questo caso non serve mandare al Titolare la lettera di incarico, in quanto la stessa viene fatta da Zucchetti, in qualità di responsabile, agli addetti Zucchetti.
Qualora non vi sia il contratto invece è necessario inviare al Titolare la nomina a responsabile al trattamento.
Nella nomina dovrà essere previsto un termine di svolgimento e portata a termine dell'attività. Zucchetti provvederà ad incaricare gli addetti in qualità di responsabile.
Anche in questo caso è necessario prevedere una fase progettuale in cui condividere gli step sopra riportati.
Al termine sarà anche in questo caso essenziale prevedere il collaudo.
Con il documento di collaudo, che dovrà essere sottoscritto dal Titolare, lo stesso ci dichiarerà che le attività da noi effettuate sono corrette e quindi ci autorizzerà a cancellare i suoi archivi.

Nel documento di collaudo dovranno essere inserite le seguenti indicazioni:

  • il lavoro svolto è conforme rispetto all'ambito contrattuale convenuto;
  • il Titolare ha provato la conversione e dichiara che il prodotto funziona e tutte le funzioni sono state correttamente configurate e implementate;
  • che non ci sono errori nei dati convertiti e che quindi potrà utilizzare il prodotto per le finalità per cui lo ha acquistato.

Inoltre, il Titolare deve dichiarare che dalla data della firma del contratto non avrà nulla a pretendere rispetto all'attività di conversione svolta e prevista dal contratto e che autorizza Zucchetti a cancellare ogni dato, archivio, data base che è servito per portare a termine la fase di conversione.
Solo qualora ci fosse la necessità di mantenere gli archivi del Titolare per finalità di cautela e verifica del lavoro da noi svolto, dobbiamo inviare una comunicazione con la quale il Titolare ci autorizza a conservare gli archivi per l'ulteriore periodo, terminato il quale gli archivi dovranno essere eliminati.
Tutto l'iter autorizzativo dovrà essere inserito nel post-vendita al fine di averne memoria.
Tutti i documenti contenenti dati dei Titolari stampati non possono essere riutilizzati come carta da riciclo e devono essere immediatamente distrutti.





Categorie di destinatari a cui i dati potrebbero essere comunicati

Non è prevista, da parte del Responsabile del trattamento, la comunicazione dei dati a soggetti terzi.





Periodo di conservazione dei dati personali

I dati personali raccolti in relazione alle modalità sopra descritte saranno conservati sul sistema Zucchetti per la durata del rapporto contrattuale e per i 14 mesi successivi alla sua cessazione nei soli supporti di backup. In relazione a quanto previsto nell'informativa presente sul contratto stipulato per usufruire dei servizi del prodotto QWeb.
L'App segue i termini di cancellazione dei dati di QWeb. Pertanto, i dati relativi al nome utente e all'ID del dispositivo rimangono in archivio fintanto che l'utente è attivo. La gestione di questi dati rimane in gestione ai CAF.





Ambito di conoscenza e diffusione dei Suoi dati

Per il perseguimento delle finalità sopra indicate, i dati potranno essere comunicati e trattati, esclusivamente in ambito nazionale, da soggetti terzi con i quali il Titolare intrattiene rapporti, in particolare:

  • soggetti autorizzati al trattamento da intendersi quali dipendenti o collaboratori, che potranno trattare i dati per il perseguimento delle finalità sopra indicate, nel rispetto dei profili autorizzativi determinati;
  • soggetti designati come Responsabili del trattamento.




Ambito territoriale del trattamento

I dati forniti saranno trattati in Italia.





Diritti degli interessati

Potrà esercitare i Suoi diritti inviando una e-mail a ufficio.privacy@zucchetti.it, in particolare potrà richiedere l'accesso ai dati personali che la riguardano, la rettifica o la cancellazione o potrà richiedere la limitazione al trattamento e potrà opporsi al trattamento. Inoltre, avrà i diritti alla portabilità dei dati e qualora volesse proporre reclamo potrà presentarlo anche all'autorità Garante per la protezione dei dati personali.





Privacy Policy for Zucchetti Apps

pursuant to Art. 13 European Data Protection Regulation 2016/679 (GDPR)


This Privacy Policy is provided solely and exclusively for the Zucchetti Q-ID application and not also for any websites through which for example the User may access and/or use the application.





Data Controller

The data controller, pursuant to Article 4 point 7) of the GDPR, is Zucchetti S.p.A. with registered office in Lodi, Via Solferino, no. 1, 26900 - e-mail ufficio.privacy@zucchetti.it.





Data Protection Officer

The person responsible for data protection is Dr. Mario Brocca, whom you can contact by sending an e-mail to dpo@zucchetti.it.





Developer

The Developer of the application is Zucchetti S.p.A., with registered office in Lodi, Via Solferino n. 1, 26900 - ufficio.privacy@zucchetti.it.





Personal Data Collected

The services provided by the App as well as its features and functions do not require any form of User registration. We would like to point out, however, that the IT systems and software procedures used to operate the App (such as the Apple Store, Google Play or App Gallery), acquire during their normal operation, some data in any case referable to the User, the transmission of which is implicit in the use of internet communication protocols, smartphones and devices used. This category of data includes, but is not limited to, geographical location, telephone identity, the User's contact details, e-mail, and credit card data. The User may consult the Privacy information available on the following sites:

The App collects the following data:

    • camera: to read a combination of data within a QR code in order to associate the user with the device. The camera is further used to perform authentication to QWeb. Images are not stored in a memory location on the phone;
    • microphone: possibly only used by the device's virtual keyboard. No data are saved in the App;
    • user name installation ID and device information (Operating System and device ID): required to access the App's functionalities, user codes of the application server (QWeb), reference to the geographical area of the operator's work (headquarters and QWeb application server office).
      Device data are sent to the application server (with web access) and are not directly contained in the data area of the App.




Compulsory or Optional Nature of Providing Data and Consequences of Refusal

The provision of data is optional, but they are necessary for the provision of the service. Refusal to provide them does not allow the provision of the service and the use of the App.





Purposes of the Processing for Which Personal Data Are Intended

Your data will be processed for the following purposes:

  • the purpose of Q-ID is to improve the security of the access process to QWeb by CAFs and their users using an MFA;
  • the purpose of the supplier is to service and maintain the product.




Treatment Modalities

The Data Controller processes data in electronic format. Personal data are redirected through secure connections to the QWeb web software product produced by Zucchetti and managed by the latter. The data is stored in the Zucchetti system in accordance with the adopted policies. The data is processed and stored in such a way as to guarantee its confidentiality and security, and using logics and forms of organisation strictly related to the purposes set out above and to the tasks conferred on you. The data may also be processed using automated tools for storing, managing and transmitting the data. The nominative and anonymous profiling of the data subject is excluded from the data processing, i.e. any form of automated processing of personal data consisting in the use of such personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects relating to professional performance.





Secure Processing Procedures for Personal and Sensitive User Data

The developer has developed and implemented secure data processing procedures consisting of security measures at the technical organisational level and at the service level.

  • Access to the QWeb Suite in two-factor mode (2FA), providing an additional layer of security after entering login credentials.
  • In particular, the security measures that can be configured at application level are: Rights of data subjects: in order to guarantee data subjects the right to be forgotten, it is sufficient to remove the App from the device.
  • In order to guarantee the data subject's right to information on the data processed by the Data Controller and to the portability of his data, you can consult the information on Privacy available in the Store.




Assistance Procedures



Telephone Assistance

It presents no problems from a personal data processing point of view. No data or files are transmitted and communication remains verbal.


Assistance via E-mail/Web Tickets

When providing assistance by e-mail, Zucchetti technicians will always include the disclaimer in the text of the message to make the owner aware of the summary information and contact details he or she can use to exercise his or her rights or the rights of those concerned.
The Zucchetti employee is not authorised to have the Holder's access credentials sent by e-mail, nor may he or she save them on the ticketing tool.
If a Holder sends access credentials to his environment without a request from the Zucchetti technician, the latter must reply that he is not authorised to access the systems with credentials of other users as this mode violates the GDPR. Therefore, the Zucchetti technician will have to request individual credentials or connection via dedicated tools.
Zucchetti technicians will sign each e-mail with first and last name and the information will be saved in the ticketing.


Assistance Through the Reception of Customer Databases

If, in order to solve the problem reported by the Data Controller, it is necessary to have the database or other files or queries containing personal data sent to the Data Controller, it is necessary to inform the Data Controller either of the FTP area on which he will have to upload the files or, for Data Controllers with the environment installed on our data centre, to request authorisation to have our system engineers make the copy.

FTP Area
The FTP area will be set up so that the Holder only sees the upload. The download will only be viewed by the support group to which the support request was made.
Three days after the publication date, a routine will delete the files uploaded in the FTP area.

SharePoint Area
Since Office 365 has become a corporate tool also for collaboration, every Zucchetti user has Sharepoint at his disposal, which can also be used for sharing documents and files in general with customers.
The company in order to protect the privacy of the employee will not enter into the individual sharepoint, so once the customer has downloaded the files, the operator will also be responsible for their deletion.

Downloading of Archives via WeTransfer or Link on Controller's Environments
In this case, management is the responsibility of the owner who will provide credentials to access the environment where the archives reside.
The service should download them to non-backed-up network disks and delete them at the end of the activity as in the other cases.

Back-up Authorisation by Our Systems Engineers
The received archive is downloaded to a directory in the service group that is not subject to backup.
Level 1 support transmits the db to Level 2 support. Level 2 support will carry out the necessary analysis of the problem and then delete the received archives.
In any case, the service that is in charge of the problem, whether first or second level, will delete the archives received at the end of the activity.
Once the task is completed, the service provider in charge of management must delete the archives received from the shared disk and from any local storage media.
Should there be a need to maintain the archives, an e-mail will be sent to the owner giving authorisation. Holders' files may never be passed on to working groups other than those aimed at solving the problem reported by the Holder.
The only possibility for technicians to keep archives without the prior authorisation of the owner is to anonymise them.


Assistance Through the Need to Back Up Customers of a Data Center Service

QIf the Controller's personal data are on a Zucchetti/Data Center system, under no circumstances may Level 1 support request backups from Data Center systems unless authorised by the Controller himself.
The systems analysts may not extract any backups of the Holders for needs and purposes other than providing assistance to the Holders; for example, no backups may be made to production for testing purposes.


Assistance Through Remote Team Viewer Connection

This mode of connection on the Holders' instruments guarantees privacy because:

  • the connection is always requested by the Holder;
  • access credentials are always individual;
  • the owner gives Zucchetti technicians access to an environment with an authorisation profile chosen by him to perform service activities;
  • the Holder may disconnect the technician whenever he wishes.

Through Team Viewer, it is also possible to have Level 2 assistance access the same open session. In this case, the owner has evidence of this because it is provided by the tool and therefore implicitly accepts this modality.
It is essential to use the Zucchetti Team Viewer as it is licensed and customised with all the documentation that must be produced by the Data Protection Act.
Only in exceptional cases and after careful evaluation by the manager and the privacy office is it possible to use other connection tools that behave in the same way.


Support Through Remote Connection on Public IP or via VPN

If the support activity is to be carried out on cloud systems over public IPs or via VPN or private access, Zucchetti employees are required to enter the systems of the Holders:

  • subject to customer authorisation;
  • individual credentials have been received and activated for the time required to perform the requested activities;
  • at the end of the activity, the credentials are deactivated by the Holder.

Rules concerning Holders' environments, in any form of delivery (SaaS/PaaS/On Premise) referring to:

  • user creation for application consultants;
  • creation of utilities for support staff.

Application Consultants

In order to carry out all start-up activities on the Holder's environment, a user account must be specially created within the system as indicated below:

  • ZU_+ first 3 letters of surname + first 3 letters of first name;
  • in the description (full name) enter: Zucchetti User.

This will enable the customer to recognise the origin of the user.
E.g.: the user name: ZU_ROSMAR must be created for the subject Rossi Mario.

For the creation, the Holder must be involved, who must be guided to access and create the user by specifying and sharing with him, the rights that will be assigned to the latter.


Help Desk Personnel

The creation of the user must only be requested from the Holder who, via the application administrator, can create the new user.
The administrator user must never be used by service operators.
In this case too, the creation rules explained for application consultants apply for the creation of users.
Users must be generated with the coding: ZU_first three surname_first three first name.
The description must include Zucchetti User


Conversions and Start-Up Projects

Qualora si verifichino le seguenti casistiche:

  • conversions or start-ups with contract;
  • conversions or start-ups without a contract.

In the first case, the activities are intended to fulfil the contractual obligation and are therefore lawful.
In this case, a project document must be drawn up in which the operating methods for carrying out the activities are agreed with the owner, including:

  • personal data, archives, databases needed to perform the activities;
  • detail of operations to be performed on data;
  • identification of the period within which this activity will be completed;
  • the provision of a test where the Holder will prove the conversion.

The documents that the owner has signed for the performance of these activities are the contract and the appointment of the person in charge by mandating Zucchetti to perform all activities necessary for the provision of the service.
In this case, there is no need to send the letter of assignment to the owner, as this is done by Zucchetti, in its capacity as manager, to Zucchetti employees.
If there is no contract, on the other hand, it is necessary to send the Controller the appointment as data controller.
The appointment must include a time limit for the performance and completion of the activity. Zucchetti will appoint the persons in charge.
In this case, too, it is necessary to provide a project phase in which the above steps are shared. Upon completion, it will again be essential to provide for acceptance.
With the acceptance document, which must be signed by the owner, the owner will declare to us that the activities carried out by us are correct and thus authorise us to delete his records.

The following information must be included in the acceptance document:

  • the work performed complies with the agreed contractual scope;
  • the Holder has tested the conversion and declares that the product works and all functions have been correctly configured and implemented;
  • that there are no errors in the converted data and that he can therefore use the product for the purposes for which he purchased it.

In addition, the Holder must declare that from the date of signing the contract he will have nothing to claim in respect of the conversion activity performed and provided for in the contract and that he authorises Zucchetti to delete any data, archives, databases that were used to complete the conversion phase.
Only if there is a need to keep the Controller's archives for purposes of caution and verification of the work we have done, must we send a notice in which the Controller authorises us to keep the archives for a further period, after which the archives must be deleted.
The entire authorisation process should be entered in the after-sales record in order to keep a record of it.
All documents containing printed Holder data may not be reused as recycling paper and must be destroyed immediately.





Categories of Recipients to Whom the Data May Be Disclosed

There are no plans for the Data Processor to disclose the data to third parties.





Personal Data Retention Period

The personal data collected in connection with the methods described above will be stored on the Zucchetti system for the duration of the contractual relationship and for 14 months after its termination in backup media only. In relation to what is set out in the information notice on the contract stipulated to use the services of the QWeb product.
The App follows QWeb's data deletion terms. Therefore, user name and device ID data remain on file as long as the user is active. The management of this data remains in the hands of the CAF.





Scope of Knowledge and Dissemination of Your Data

For the pursuit of the above-mentioned purposes, the data may be communicated to and processed, exclusively within a national context, by third parties with which the Controller has relations, in particular:

  • persons authorised to process the data to be understood as employees or collaborators, who may process the data for the pursuit of the above-mentioned purposes, in accordance with the determined authorisation profiles;
  • persons designated as data processors.




Territorial Scope of Treatment

The data provided will be processed in Italy.





Rights of Data Subjects

You may exercise your rights by sending an e-mail to ufficio.privacy@zucchetti.it. In particular, you may request access to your personal data, rectification or deletion, or you may request restriction of processing and you may object to processing. In addition, you have the right to data portability and if you wish to lodge a complaint, you may also lodge it with the Data Protection Authority.