English version below

Norme sulla privacy relative alle APP Zucchetti



resa ai sensi dell’art. 13 Regolamento Europeo per la protezione dei dati personali 2016/679 (GDPR)


La presente Informativa Privacy è resa solo ed esclusivamente per l’applicazione Zucchetti ZConnect e non anche per eventuali siti web attraverso i quali ad esempio l’Utente dovesse accedere a / o utilizzare l’applicazione.




Titolare del Trattamento

Titolare del trattamento dei dati personali, solo ed esclusivamente ai fini del download dell’applicazione, ai sensi dell'art. 4 punto 7) del GDPR, è Zucchetti S.p.A. con sede legale in Lodi, Via Solferino, n. 1, 26900 – e-mail ufficio.privacy@zucchetti.it.





Responsabile della protezione dei dati

Il responsabile per la protezione dei dati è il dott. Mario Brocca a cui potrà rivolgersi scrivendo una e-mail a dpo@zucchetti.it.





Sviluppatore

Lo Sviluppatore dell’applicazione è Zucchetti Spa, con sede legale in Lodi, Via Solferino n. 1, 26900 - ufficio.privacy@zucchetti.it.





Dati personali raccolti

I servizi forniti dalla App, nonché le caratteristiche e le funzioni della stessa non richiedono alcuna forma di registrazione degli Utenti. Segnaliamo tuttavia che, i sistemi informatici e le procedure software preposte al funzionamento della App (come ad esempio Apple Store, Google Play o App Gallery), acquisiscono nel corso del loro normale esercizio, alcuni dati comunque riferibili all’Utente la cui trasmissione è implicita nell'uso dei protocolli di comunicazione internet, degli smartphone e dei dispositivi utilizzati. In questa categoria di dati rientrano, a titolo esemplificativo ma non esaustivo, la posizione geografica, l’identità del telefono, i contatti dell’Utente, e-mail, i dati relativi alla carta di credito. L’Utente potrà consultare le informazioni sulla Privacy disponibili sui seguenti siti:


Questa applicazione mobile raccoglie i seguenti dati personali:


    • geolocalizzazione*:nell’area di timbratura per la geolocalizzazione (opzionale) della timbratura stessa; nell’area di inserimento spesa in ZTravel per la proposizione automatica dello Stato, della località del fornitore e della valuta corrente (opzionale). Parimenti, i dati della geolocalizzazione possono essere utilizzati per la selezione del garage nella funzionalità ZCarfleet. Inoltre, la geolocalizzazione può essere attivata anche nelle funzioni dell’applicativo Risk and Audit qualora nelle domande del questionario venisse richiesta. Nelle altre pagine dell'app la geolocalizzazione non è attiva. I dati della geolocalizzazione della timbratura non sono salvati lato server, ma sono risolti, se possibile, in un geofence (recinzione geografica) per indicare la zona in cui la timbratura è stata effettuata. Non c'è quindi un tracciamento continuo, ma un rilevamento puntuale (che può anche essere disabilitato da parte dell’utente);
    • fotocamera*: per leggere una combinazione di dati all’interno di un QR code nella configurazione dell’APP e nelle sezioni di timbratura; in aggiunta, viene utilizzata in ZTravel per la lettura del QR code dei fornitori, per proporre automaticamente i dati in fase di compilazione, e per l’acquisizione dei giustificativi di spesa in formato digitale. Nelle funzioni dell’applicativo Risk and Audit, qualora nelle domande del questionario venisse richiesto di allegare una foto. Le immagini vengono salvate in una locazione di memoria del telefono non accessibile all'utente al di fuori dell'app e possono essere eliminate in ogni momento dall'utente;
    • accesso ai file contenuti nel device*:nelle funzionalità Travel, Risk and Audit e Work Flow l’App può consentire l’accesso ai file del device per poterli allegare alla richiesta come documenti.
*si precisa che per ogni tipo di dato raccolto, il sistema operativo richiede l’espressa autorizzazione all’utente, il quale può negare l’accesso al dato.
  • username, password e URL di collegamento necessari per accedere alle funzionalità dell’app;
  • dati generici sul rapporto di lavoro (data assunzione, divisione, reparto compresi dati economici e relativi al contratto di lavoro);
  • dati anagrafici di personale dipendente e collaboratori;
  • iscrizione al sindacato
  • minori e stato di famiglia.


Solo per la funzionalità Health Check: dati relativi alla compatibilità dello stato di salute con l’accesso in un determinato luogo. In particolare i dati vengono conservati in forma aggregata, ovvero le risposte fornite al questionario vengono elaborate da un algoritmo che produce un risultato. Quest’ultimo può configurarsi in 3 differenti categorie: compatibile, parzialmente compatibile, non compatibile.





Natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale rifiuto

Il conferimento dei dati è facoltativo; tuttavia, il conferimento di alcuni dati è necessario per l’erogazione del servizio. In questo caso, l’eventuale rifiuto al conferimento non consente l’erogazione del servizio e l’utilizzo di quella determinata funzionalità dell’App.





Modalità del trattamento

I trattamenti avvengono in formato elettronico e durante l’utilizzo dell’app i dati personali sono reindirizzati attraverso connessioni sicure al prodotto software web HR Portal prodotto da Zucchetti (tutti gli applicativi della Suite HR). I dati sopra riportati non sono mai salvati in via definitiva sul dispositivo. L’utente può cancellarli in ogni momento utilizzando le funzioni presenti nel sistema operativo.




Procedure sicure di trattamento dei dati utente personali e sensibili

Lo sviluppatore ha sviluppato e implementato procedure sicure di trattamento dei dati costituite da misure di sicurezza a livello tecnico organizzativo, sia a livello di servizi di assistenza.


In particolare, le misure di sicurezza configurabili a livello applicativo da parte del Titolare del trattamento Cliente sono:


      • Gestione credenziali di accesso
        • username: l’accesso all’App avviene previa abilitazione da parte del Titolare dei propri dipendenti/collaboratori, i quali potranno scaricare autonomamente l’App. La gestione delle Utenze è demandata all’applicativo HR Portal a cui l’App sarà connessa. L’accesso avviene solo attraverso l’identificazione univoca del soggetto che vi accede. Nel sistema HR Portal c’è una credenziale amministrativa che viene consegnata al titolare e da questo utilizzabile so-lo in circostanze eccezionali. Il Titolare deve predisporre una procedura organizzativa affinché tale utenza sia as-segnata ad un unico incaricato e sia gestita in conformità alle buone regole di gestione;
        • password: le regole di complessità della password sono configurabili nel sistema da parte del Titolare. Potrà scegliere diversi gradi di complessità e applicarli a tutti gli utenti del sistema. Sono configurabili anche i tempi di sostituzione delle password;
        • criteri di complessità per le impostazioni delle credenziali: le credenziali di accesso possono essere impostate secondo diversi criteri di complessità dal Titolare;
        • il Titolare ha la possibilità di caricare in Blacklist Password un dizionario di password che non permette agli utenti l’inserimento di password non complesse;
        • il Titolare ha la possibilità di impostare la funzione di blocco account a tempo oppure il blocco account per superamento tentativi di login fail. Inoltre c’è la possibilità di impostare un numero massimo di tentativi di accesso e un numero massimo di cambi password in un giorno;
        • disattivazione/disabilitazione credenziali: anche i tempi di disattivazione delle credenziali inutilizzate o la disabilitazione delle credenziali di incaricati che non hanno più le caratteristiche soggettive per accedere a quei dati personali sono configurabili nel sistema da parte del titolare. La disattivazione dell’utenze avverrà in modalità automatica decorsi 180 giorni di inutilizzo.
        • l'autenticazione al Sistema può essere gestita direttamente dall’Applicativo HR Portal oppure può essere inter-facciata all’Active Directory (LDAP) del Cliente. In alternativa, è possibile configurare un Single Sign On (SSO) me-diante SAML 2.0 interfacciando l’Identity Provider del Cliente. Inoltre, per la sola autenticazione all’App, il siste-ma è configurabile con un sistema SSO attraverso un token. In questo caso, l’App autentica l’utente sulla base di un certificato rilasciato con apposita procedura dal server. Se così configurata, l’App non supporta più il local multi-user ed un device ammette un solo user. Nel caso di autenticazione gestita su HR Portal, è possibile da App effettuare il cambio password e, opzionalmente, effettuare il recupero della password dimenticata;
        • tutte le funzionalità applicative dell’App richiedono espressa abilitazione della singola utenza sfruttando i Gruppi di Sicurezza già creati su HR Portal. Per esempio, per consentire la timbratura da APP ad un gruppo di di-pendenti\utenti, dovrà essere necessariamente configurato un “Gruppo di sicurezza” ed abbinarlo nel profilo utente di questi dipendenti (da Pannello di controllo\Utenti e Gruppi\Utenti\Gruppi di appartenenza) affinché essi siano effettivamente abilitati a timbrare da APP sul dispositivo che sarà dato in loro dotazione;
        • funzioni dello smartphone utilizzabili dall’app (*si precisa che per ogni tipo di dato raccolto, il sistema operativo richiede l’espressa autorizzazione all’utente, il quale può negare l’accesso al dato):
          • dati della geolocalizzazione: nell’area di timbratura per la geolocalizzazione (opzionale) della timbratura stessa; nell’area di inseri-mento spesa in ZTravel per la proposizione automatica dello Stato, della località del fornitore e della valuta corrente (opzionale). Parimenti, i dati della geolocalizzazione possono essere utilizzati per la se-lezione del garage nella funzionalità ZCarfleet. Inoltre, la geolocalizzazione può essere attivata anche nelle funzioni dell’applicativo Risk and Audit qualora nelle domande del questionario venisse richiesta. Nelle altre pagine dell'app la geolocalizzazione non è attiva. I dati della geolocalizzazione della timbra-tura non sono salvati lato server, ma sono risolti, se possibile, in un geofence (recinzione geografica) per indicare la zona in cui la timbratura è stata effettuata. Non c'è quindi un tracciamento continuo, ma un rilevamento puntuale (che può anche essere disabilitato da parte dell’utente);
          • fotocamera:per leggere una combinazione di dati all’interno di un QR code nella configurazione dell’APP e nelle sezioni di timbratura; in aggiunta, viene utilizzata in ZTravel per la lettura del QR code dei fornitori, per proporre automaticamente i dati in fase di compilazione e per l’acquisizione dei giustificativi di spesa in formato digitale. Infine, è utilizzata nelle funzioni dell’applicativo Risk and Audit, qualora nelle doman-de del questionario venisse richiesto di allegare una foto. Le immagini vengono salvate in una locazione di memoria del telefono non accessibile all'utente al di fuori dell'app e possono essere eliminate in ogni momento dall'utente;
          • accesso ai file contenuti nei device: nelle funzionalità Travel, Risk and Audit e Work Flow, l’App può consentire l’accesso ai file del device per poterli allegare alla richiesta come documentazione.
        • la funzionalità della timbratura è sviluppata in modo tale che sul dispositivo sia posizionata un’icona che indichi quando la funzionalità di geolocalizzazione è attiva. Se il rilevamento della posizione è attivato sul dispositivo, quando l’utente accede alla funzionalità di timbratura, vedrà in evidenza la descrizione “Geolocalizzazione Attiva” oppure la descrizione dell’area geofence in cui si trova al momento. Ciò significa che il GPS ha rilevato le coordinate della geolocalizzazione. Al momento della timbratura vengono sempre inviate al server applicativo le coordinate (latitudine e longitudine) della posizione e vengono trasformate in un’area geofence. Pertanto, non c’è una rilevazione puntuale delle coordinate esatte ove è avvenuta la timbratura. Qualora la geolocalizzazione venga richiesta, ma l’utente abbia disabilitato il GPS sul proprio device, oppure non abbia concesso l’autorizzazione al rilevamento della posizione, all’atto della timbratura, vedrà in evidenza la descrizione “Geolocalizzazione non attiva”. Ciò significa che il GPS non rileva le coordinate della posizione. In questa situazione, se l’utente timbra, la timbratura effettuata verrà salvata ed inviata, ma senza le informazioni relative alla posizione in quanto mancanti, ovvero per posizione non disponibile. Questo potrebbe comportare il rifiuto della timbratura da parte dell’applicativo HR Portal.

        • Minimizzazione:
          • profili di autorizzazione: il Titolare può configurare l’accesso ai dati personali trattati nel sistema a seconda delle attività svolte dagli utenti.

          • Identificazione di chi ha trattato i dati:
            • presenza di utenze di servizio per personale di assistenza: coloro che eseguono assistenza e manutenzione sulla procedura hanno utenze nominali che dovranno essere attivate e disattivate dal Titolare in funzione della necessità.

            • Tecniche di crittografia (riguardano l'applicativo HR Portal):
              • crittografia delle password: viene registrato un hash delle password con l’algoritmo bcrypt aggiungendo un “salt” di applicazione ed un “salt” di utente;
              • Crypting password DB service account;
              • crittografia della base dati: è possibile crittografare il database mediante gli strumenti standard messi a disposizione dai vari DBEngine, come ad esempio TDE (Transparent Data Encryption), limitatamente ai servizi Saas e Paas e su impianti a partire dal 2006. L’opzione è attivabile solo a livello progettuale sull’hosting;
              • crittografia file DMS: tutti i documenti generati dalle applicazioni e conservati nel DMS sono crittografati; la crittografia per eventuali documenti generati all’esterno e archiviati nel DMS, verrà applicata impostando correttamente i parametri sulla “Classe documentale” associata ai documenti stessi.

            • Privacy by default:
              • attivazione profilo utente: gli utenti nel portale sono attivati secondo una logica di non assegnare alcun profilo autorizzativo sui dati trattati. Sarà il Titolare in autonomia a scegliere la profilazione utente idonea e ad attribuire le autorizzazioni in funzione dell’area omogenea di cui fa parte l’utente o del profilo di autorizzazione individuale.

              • Diritti degli interessati:
                • per garantire agli interessati il diritto all’oblio, è sufficiente che inviino una richiesta al Titolare che farà le oppor-tune valutazioni. Qualora il Titolare decida che i dati debbano essere cancellati potrà agire direttamente sul Por-tale HR, cancellando l’anagrafica all’interno di ogni applicativo dell’area HR non sarà più reperibile alcuna infor-mazione neppure indiretta su quell’interessato. Nei singoli applicativi saranno presenti quindi solo informazioni anonime non riconducibili neppure indirettamente ad alcun interessato. Le funzioni di cancellazione avvengono per anagrafica soggetto;
                • per garantire il diritto dell’interessato di avere informazione su quali dati tratta il Titolare e alla portabilità dei suoi dati, all’interno del Portale HR c’è la possibilità di fare delle estrazioni HTML sia della parte anagrafica che di ogni parte applicativa che riguardano quell’interessato. Con l’HTML il Titolare potrà trasmettere i dati all’interessato che potrà trattarli per le sue finalità. Qualora l’HTML non fosse sufficiente l’esportazione potrà avvenire in XML o CSV;
                • il Cliente può anonimizzare i dati personali degli interessati con apposite query. Questa funzione riguarda le ta-belle ma non i campi note sui cui contenuti non è possibile attivare alcun controllo a livello di procedura;
                • il sistema è impostato con la pseudo-anonimizzazione dei dati personali rispetto all’anagrafica degli interessati. Solo i clienti che hanno scelto di gestire i collegamenti per codice fiscale non possono avvalersi di questa tecnica di protezione.

                • Misure relative alla chat:
                  • l’accesso alla piattaforma per gli operatori e gli utenti avviene unicamente tramite i protocolli web https e wss, in modo che sia garantita la crittografia end to end dei dati nelle comunicazioni.

                • Gestione diritto all'oblio relativa alla chat:
                  • la procedura relativa alla cancellazione dei dati utente in Engagent prevede l'anonimizzazione delle seguenti tipologie di informazioni:
                    • informazioni relative all'utente;
                    • transcript della chat utente.
                  • in caso di più sessioni di chat con il sistema, la procedura riguarda i transcript di tutte le chat relative all'utente;
                  • le informazioni relative all'utente sono le seguenti:
                    • display_name;
                    • username;
                    • telefono;
                    • mail
                    • notes.
                  • i contenuti di questi campi dipendono dal mapping (tramite lo UserProfileAdapter) delle informazioni passate dall'applicazione mobile ad Engagent;
                  • dal punto di vista del database, i dati risiedono sullo schema denominato Touchdesk nelle seguenti tabelle:
                    • interaction_parameters, per quanto riguarda le informazioni utente;
                    • collected_interactions, per quanto riguarda i transcript.
              Queste misure di sicurezza devono essere correttamente impostate da parte del Titolare (Cliente).

              Procedure di assistenza

              Per quanto riguarda le procedure di assistenza, la sicurezza del trattamento è garantita per ogni modalità di erogazione prevista con modalità mostrate di seguito.




              Assistenza On Site

              Gli addetti Zucchetti accedono presso la struttura del Titolare per fare formazione od effettuare attività tecnica di manutenzione.


              In questo caso gli addetti Zucchetti lavorano come se facessero parte della struttura del Titolare ed adottano tutte le procedure di sicurezze implementate dallo stesso. I Titolari potranno generare utenze individuali per l’accesso ai loro sistemi, oppure potranno far accedere in affiancamento per formare il loro personale.


              Qualora durante l’attività di assistenza l’addetto Zucchetti abbia la necessità di prelevare archivi o db di cui necessita per risolvere le problematiche evidenziate è necessario che informi il Titolari e registri tale attività sulla Nota di intervento.


              Al termine dell’attività presso gli uffici Zucchetti sarà informato il Titolare sulla soluzione adottata e sulla successiva cancellazione dell’archivio.


              Qualora vi fosse la necessità di conservare gli archivi per il tempo necessario al collaudo della soluzione adottata, dovrà essere informato il Titolare sul tempo massimo di conservazione di tali archivi.




              Assistenza telefonica

              Non presenta problemi da un punto di vista di trattamento di dati personali. Non sono trasmessi dati o archivi e la comunicazione rimane verbale.




              Assistenza tramite e-mail/ tickets web

              Nell’assistenza tramite e-mail i tecnici Zucchetti inseriranno sempre nel testo del messaggio il disclaimer per rendere edotto il Titolare dell’informativa sintetica e dei recapiti a cui potrà rivolgersi per esercitare i suoi diritti o i diritti dei suoi interessati.


              L’addetto Zucchetti non è autorizzato a farsi mandare le credenziali di accesso del Titolare via e-mail né tantomeno potrà salvarle sullo strumento di ticketing.


              Qualora un Titolare invii le credenziali di accesso al suo ambiente senza richiesta del tecnico Zucchetti è necessario che lo stesso risponda che non è autorizzato ad accedere ai sistemi con credenziali di altri utenti in quanto questa modalità viola il GDPR. Quindi il tecnico Zucchetti dovrà richiedere credenziali individuali oppure collegamento tramite Team Viewer.


              I tecnici Zucchetti firmeranno ogni e-mail con nome e cognome e l’informazione sarà salvata nel ticketing.




              Assistenza attraverso la ricezione di database dei Clienti

              Qualora per risolvere il problema segnalato dal Titolare fosse necessario farsi mandare la base dati o altri files o query contenenti dati personali è necessario comunicare al Titolare o l’area ftp su cui dovrà caricare i file oppure per i Titolari con l’ambiente installato sul ns. data center, richiedere l’autorizzazione per far effettuare la copia ai nostri sistemisti.

              Strumenti di teleassistenza

              L’area dedicata sarà impostata affinché il Titolare veda solo l’upload. Il download sarà visualizzato solo dal gruppo di assistenza a cui la richiesta di assistenza è stata effettuata.
              Tre giorni dopo la data di pubblicazione una routine cancellerà i file caricati in area ftp.

              Scaricamento archivi tramite WeTransfer o link di collegamento su ambienti del Titolare


              In questo caso la gestione è in carico al Titolare che fornirà le credenziali per accedere all’ambiente dove risiedono gli archivi.
              L’assistenza dovrà scaricarli in dischi di rete non soggetti a backup e cancellarli al termine dell’attività come nelle altre ipotesi.
              Autorizzazione di backup da parte dei nostri sistemisti.
              L’archivio ricevuto viene scaricato su una directory del gruppo di assistenza non soggetta a backup.
              L’assistenza di primo livello trasmette il db all’assistenza di secondo livello. L’assistenza di secondo livello procederà alle analisi di cui il problema necessita e poi cancellerà gli archivi ricevuti.
              In ogni caso l’assistenza che ha in carico il problema, sia essa di primo o secondo livello, al termine dell’attività, cancellerà gli archivi ricevuti. L’assistenza che ha in carico la gestione, terminata l’attività dovrà cancellare gli archivi ricevuti dal disco condiviso e da eventuali supporti di memorizzazione locali. Qualora vi fosse la necessità di mantenere gli archivi sarà mandata una e-mail al Titolare che ne darà l’autorizzazione.
              Gli archivi dei Titolari non potranno mai essere trasmessi a gruppi di lavoro differenti rispetto a quelli finalizzati alla risoluzione del problema segnalato dal Titolare.
              L’unica possibilità che i tecnici hanno per conservare gli archivi senza la previa autorizzazione del Titolare è l’anonimizzazione degli stessi.
              Ogni utente ha inoltre, in alternativa, a disposizione un’area che può utilizzare anche tale strumento per la condivisione dei documenti e file in genere coi clienti.
              L’azienda al fine di tutelare la privacy del dipendente non entrerà nel merito dell’area individuale, pertanto una volta che il cliente ha scaricato i files, l’operatore avrà anche la responsabilità della relativa cancellazione.

              Assistenza attraverso la necessità di avere il backup dei clienti di un servizio data center

              Qualora i dati personali del Titolare siano su sistema Zucchetti/Data center, in nessun caso l’assistenza di primo livello potrà richiedere il backup ai sistemisti di Data center se non previa autorizzazione del Titolare stesso.
              I sistemisti non potranno estrarre nessun backup dei Titolari per esigenze e finalità differenti rispetto al fornire assistenza agli stessi; ad esempio non potranno essere effettuati backup indirizzati alla produzione per l’esecuzione di test.




              Assistenza attraverso collegamento da remoto Team Viewer

              Questa modalità di collegamento sugli strumenti dei Titolari garantisce la privacy in quanto:


              • il collegamento è sempre richiesto dal Titolare;
              • le credenziali di accesso sono sempre individuali;
              • il Titolare fa accedere i tecnici Zucchetti ad un ambiente con profilo di autorizzazione da lui scelto per far eseguire le attività di assistenza:
              • il Titolare può disconnettere il tecnico quando desidera.
              Attraverso Team Viewer è possibile far accedere anche l’assistenza di secondo livello alla stessa sessione aperta. In questo caso il Titolare ne ha l’evidenza perché fornita dallo strumento e quindi accetta implicitamente tale modalità.
              È essenziale utilizzare il Team Viewer Zucchetti in quanto licenziato e personalizzato con tutta la documentazione che deve essere prodotta dalla legge sul trattamento dei dati personali.
              Solo in casi eccezionali e dopo attenta valutazione del responsabile e dell’ufficio privacy è possibile utilizzare altri strumenti di connessione che si comportano in modo uguale.

              Assistenza attraverso collegamento da remoto su IP pubblici oppure tramite VPN

              Qualora l’attività di assistenza debba essere svolta su sistemi cloud su IP pubblici oppure tramite VPN o accessi privati è necessario che gli addetti Zucchetti entrino nei sistemi dei Titolari:


              • previa autorizzazione del cliente;
              • previa ricezione delle credenziali individuali e le stesse siano state attivate per il tempo necessario all’esecuzione; delle attività richieste al termine dell’attività siano disattivate le credenziali da parte del Titolare.

              Regole che riguardano gli ambienti dei Titolari, in qualsiasi forma di delivery (Saas/Paas/On Premise) riferite a:


              • creazione utenze per consulenti applicativi;
              • creazione utenze per personale di assistenza.


              Consulenti applicativi

              Per effettuare tutte le attività di start up sull’ambiente del Titolare è necessario che venga appositamente creata un’utenza all’interno del sistema come di seguito indicato:
              • ZU_+ prime 3 lettere del cognome + prime 3 lettere del nome;
              • nella descrizione (nome completo) apporre: Utente Zucchetti.
              In questo modo il Cliente potrà riconoscere la provenienza dell’utenza stessa.
              Es: per il soggetto Rossi Mario dovrà essere creata l’utenza: ZU_ROSMAR

              Per la creazione dovrà essere coinvolto il Titolare, il quale dovrà essere guidato all’accesso e alla creazione dell’utenza precisando e condividendo con lui, i diritti che verranno assegnati a quest’ultima.




              Personale di Help Desk

              La creazione dell’utenza deve essere richiesta solo al Titolare che, attraverso l’amministratore di applicazione, potrà creare il nuovo utente.
              Non deve mai essere utilizzato l’utente amministratore da parte degli operatori di assistenza.
              Anche in questo caso, per la creazione delle utenze, valgono le regole di creazione esplicitate per i consulenti applicativi.
              Le utenze dovranno essere generate con la codifica: ZU_prime tre cognome_prime tre nome.
              Nella descrizione dovrà essere inserito Zucchetti Utente.

              Categorie di destinatari a cui i dati potrebbero essere comunicati

              I dati personali raccolti potranno essere comunicati alle aziende del gruppo Zucchetti ed ai relativi subappaltatori. Inoltre, al fine di eseguire tutte le attività di assistenza e manutenzione, i dati raccolti potranno essere forniti a incaricati dell’Area Piattaforma Base HR & Tools e di tutte le aree collegate ai prodotti utilizzati dal Titolare. finalizzate ad eseguire attività di assistenza e manutenzione.
              Solo per quanto riguarda la funzionalità Health Check: persone autorizzate incaricate dal Cliente/Titolare.

              Periodo di conservazione dei dati personali

              Premesso che sull’App i dati raccolti possono essere cancellati dall’utente in qualsiasi momento grazie alle funzionalità del sistema operativo, i dati presenti nel Data Center Zucchetti saranno conservati per tutta la durata del contratto sottoscritto dal Cliente e per i 90 giorni successivi alla sua cessazione. Saranno conservati su supporti di backup per i successivi 12 mesi. I dati relativi alla gestione amministrativa e giuridica del predetto contratto saranno conservati per 10 anni dalla cessazione del rapporto contrattuale. Il Titolare (Cliente) ha la possibilità, attraverso le funzioni applicative di lanciare cancellazioni massive dei dati personali salvati nel db oppure di impostare la scadenza di visualizzazione di documenti nel dms e poi l’ads potrà accedere e cancellare tutti i dati di un determinato periodo. Per quanto concerne la funzionalità Health Check, i tempi di conservazione vengono stabiliti dal Cliente/Titolare.

              Finalità del trattamento cui sono destinati i dati personali

              L’app viene utilizzata per consultare i propri documenti personali, leggere comunicazioni, ricevere notifiche sulla pubblicazione di nuovi documenti e gestire gli adempimenti relativi a note spese, prenotare auto dal pool, gestire l’auto aziendale in dotazione, visualizzare i propri orari e task lavorativi, rendicontare le proprie attività lavorative, effettuare la timbratura ai fini delle presenze o della comunicazione di avanzamenti di produzione. Il download dell’app è volontario ed in ogni momento l’utente può disinstallarla o modificare i permessi e le autorizzazioni affinché non siano più registrati dati personali quali la geolocalizzazione, o cancellare i documenti prodotti quali le note spese.

              Ambito di conoscenza dei Suoi dati

              I dati trattati dell’app sono trasmessi al prodotto software HR Portal. I dati saranno visualizzabili dal Datore di lavoro in funzione dei profili autorizzativi dallo stesso assegnati nell’ambito della sua organizzazione sugli applicativi sopra citati. Il fornitore del servizio non è autorizzato a visualizzare i dati personali registrati bensì solo ad eseguire attività di manutenzione applicativa e sistemistica sul servizio offerto. Qualora vi sia la necessità di accedere ai suoi dati personali il fornitore richiederà preventivamente l’autorizzazione al cliente/Titolare del trattamento che la dovrà informare prontamente della necessità e sulle misure di sicurezza adottate a tutela dei suoi dati.




              Ambito territoriale del trattamento

              I dati forniti saranno trattati in Italia.




              Diritti degli interessati

              Limitatamente al trattamento dei dati nell’ambito del download dell’App, l’utente, potrà esercitare i Suoi diritti inviando una email a ufficio.privacy@zucchetti.it, in particolare si potrà richiedere l’accesso ai dati personali che la riguardano, la rettifica o la cancellazione o potrà richiedere la limitazione al trattamento e potrà opporsi al trattamento. Inoltre, avrà i diritto alla portabilità dei dati e qualora volesse proporre reclamo potrà presentarlo anche all’autorità Garante per la protezione dei dati personali. Per tutto ciò che concerne il trattamento dei dati nell’ambito dell’utilizzo dell’applicativo HR Portale, l’utente dovrà rivolgersi al Titolare del predetto Trattamento (Datore di Lavoro). Eventuali richieste di questo tipo, ricevute da Zucchetti, verranno inoltrate al Titolare del Trattamento.





              Privacy Policy concerning Zucchetti APPs


              provided pursuant to art. 13 of the European General Data Protection Regulation 2016/679 (GDPR)


              Zucchetti SPA makes this Privacy Policy solely and exclusively for the purposes of downloading the "Zucchetti" ZConnect application; furthermore, it does not concern the use of any other websites through which, for example, the User may access/or use the application.




              Data Controller

              The Data Controller, only for the purposes of downloading the app, pursuant to art. 4 paragraph 7 of the GDPR is Zucchetti S.p.A. with registered office in Lodi, Via Solferino, 1, 26900 – e-mail zprivacy.officer@zucchetti.com;




              Responsible for data protection

              The data protection officer is Dr. Mario Brocca, whom you can contact by writing an e-mail to dpo@zucchetti.it.




              Developer

              The developer of the application is Zucchetti Spa, with registered office in Lodi, Via Solferino No. 1, 26900 - ufficio.privacy@zucchetti.it.





              Personal data collected

              The services provided by the App, as well as its features and functions, do not require any form of User registration. However, we point out that the computer systems and software procedures used to operate the App (such as Apple Store, Google Play or App Gallery) acquire, during their normal operation, some data in any case referable to the User whose transmission is implicit. in the use of internet communication protocols, smartphones and devices used. This category of data includes, by way of example but not limited to, the geographical position, the identity of the telephone, the User's contacts, e-mails, credit card data. The User can consult the Privacy information available on the following sites:

              This mobile application collects the following personal data:


                • geolocation personal data*: in the stamping area for geolocalization (optional) of the stamping itself; in the expense entry area in ZTravel for the automatic suggestion of the state, the location of the supplier and the current currency (optional). Likewise, geolocation data can be used for garage selection in the ZCarfleet functionality. Furthermore, geolocation can also be activated in the functions of the Risk and Audit application if it is requested in the questions of the questionnaire. On the other pages of the app, geolocation is not active. The clocking geolocation data is not saved on the server side, but is resolved, if possible, in a geofence (geographic fence) to indicate the area in which the clocking was carried out. There is therefore no continuous tracking, but punctual detection (which can also be disabled by the user);
                • camera*: to read a combination of data within a QR code in the APP configuration and stamping sections; in addition, it is used in ZTravel to read the QR code of suppliers, to automatically propose data during compilation, and to capture expense slips in digital format. In the functions of the Risk and Audit application, should you be asked to attach a photo in the questionnaire questions. The pictures are saved in a memory location on the phone that is not accessible to the user outs;
                • file devices*: in the Travel, Risk and Audit and Work Flow features, the App can allow access to files on the device so that they can be attached to the request as documents.
              *for each type of data collected, the operating system requires express permission from the user, who may deny access to the data.
              • username, password and connection URL necessary to access the functionalities of the app;
              • general employment data (date of employment, division, department including economic and employment contract data)
              • personal data of employees and collaborators;
              • trade union membership;
              • minors and family status.

              Only for Health Check function: data on the compatibility of health status with access to a specific location. In particular, data are stored in aggregate form, i.e. the answers provided to the questionnaire are processed by an algorithm that produces a result. This one can be configured in 3 different categories: compatible, partially compatible, not compatible.





              Mandatory or optional nature of data provision and consequences of any refusal

              The provision of data is optional; however, the provision of some data is necessary for the provision of the service. In this case, refusal to provide it does not allow the provision of the service and the use of that particular feature of the App.




              Processing methods

              Processing takes place electronically, and while using the app, personal data are redirected through secure connec-tions to the HR Portal web software product produced by Zucchetti (all HR Suite applications). The above data are never permanently saved on the device. The user can delete them at any time using the functions in the operating system.

              Secured procedures for handling personal and sensitive user data

              The developer has developed and implemented secure data processing procedures consisting of security measures at both the technical organizational level and the support services level. In particular, the security measures that can be configured at the application level by the Customer Data Controller are:


              Application security mesasures:


              • Login credential:
                • username: access to the App occurs after the Owner has enabled its employees/collaborators, who will be able to down-load the App independently. The management of Utilities is delegated to the HR Portal application to which the App will be connected. Access is only through the unique identification of the person accessing it. In the HR Por-tal system there is an administrative credential that is conse-gned to the holder and can be used by the holder only in exceptional circumstances. The Holder must set up an organizational pro-cedure so that this user is as-signed to a single appointee and managed in accordance with good management rules;
                • password: password complexity rules are configurable in the system by the Owner. He/she can choose different degrees of complexity and apply them to all users in the system. Password replacement times are also configurable;
                • complexity criteria for credential settings: login credentials can be set according to different complexity criteria by the Data Controller (customer);
                • customer may upload password dictionary that does not allow users to enter non-complex passwords on Black-list Password;
                • customer (Data Controller) may set timed account lockout function or account lockout for exceeding login fail attempts. In addition, there is the ability to set a maximum number of login attempts and a maximum number of password changes in a day;
                • credential deactivation/disabling: the disabling of the credentials of persons in charge who no longer have the subjective characteristics to access that personal data can be configured in the system by the owner. The deac-tivation of the utilities will take place automatically after 180 days of inactivity;
                • authentication to the System can be managed directly from the Hr Portal Application or can be inter-faced with the Customer's Active Directory (LDAP). Alternatively, a Single Sign On (SSO) me-through SAML 2.0 can be con-figured by interfacing with the Customer's Identity Provider. In addition, for authentication to the App only, the system-ma can be configured with an SSO system through a token. In this case, the App authenticates the user based on a certificate issued by special procedure by the server. If so configured, the App no longer supports lo-cal multi-user, and a device admits only one user. In case of authentication managed HR Portal, it is possible from the App to perform password change and, optionally, to perform forgotten password recovery;
                • all application features of the App require express enabling of the individual user by taking advantage of the Security Groups already created on HR Portal. For example, in order to enable stamping from APP to a group of employees/users, a "Security Group" will necessarily have to be configured and matched in the user profile of these employees (from Control Panel/ Users and Groups/ Membership Groups) affore they are actually enabled to stamp from APP on the device that will be given to them;
                • Smartphone functions that can be used by the app:
                  • geolocalization data: it should be noted that for each type of data collected, the operative system requires express permission from the user, who can deny access to the data. In the stamping area for geolocation (optional) of the stamping itself. In the expense entry area in ZTravel for automatic status proposition for location and/or vendor indication (optional). In addition, the geolocation functionality can also be enabled in the Risk and Audit application functions should it be requested in the questionnaire questions. On the other pages of the app, geolocation is not active. The data from the geolocation of the stamping is not saved server-side, but is resolved, if possible, into a geofence (geographic fence) to indicate the area where the stamping was done. There is no continuous tracking, but point tracking (which can also es-surely be disabled by the user);
                  • camera: to read a combination of data within a QR code in the APP configuration and stamp-ing sections; in addition, it is used in ZTravel to read the QR code of suppliers, to automatical-ly propose data when filling in, and to capture expense slips in digital format. In the functions of the Risk and Audit application, should you be asked to attach a photo in the questionnaire questions. The pictures are saved in a memory location on the phone that is not accessible to the user outside the app and can be deleted at any time by the user;
                  • files device : in the Travel, Risk and Audit and Work Flow features, the App can allow access to files in the device in order to attach them to the request as documents.
                • the Stamping feature is developed so that an icon is placed on the device indicating when the geolocation feature is active. If location tracking is enabled on the device, when the user accesses the Stamping feature, he or she will see either the description "Geolocation Active" or the description of the geofence area in which he or she is currently located highlighted. This means that the GPS has detected the geolocation coordinates. At the time of stamping, the coordinates (latitude and longitude) of the location are always sent to the application server and are transformed into a geofence area. Therefore, there is no point-in-time detection of the exact co-ordinates where the stamping took place. If geolocation is requested, but the user has disabled GPS on his or her device, or has not granted permission for location detection, he or she will see the description "Geolocation not active" in evidence when stamping. This means that the GPS is not detecting the location coordinates. In this situation, if the user stamps, the stamping done will be saved and sent, but without the location infor-mation because it is missing, i.e., because of unavailable location. This could result in the HR Portal application rejecting the stamping.
              • Minimization:
                • Authorization profiles: the Data Controller can configure access to personal data processed in the system depending on the activities performed by users.
              • Identification of who processed the data:
                • Presence of service users for service personnel: Those who perform assistance and maintenance on the procedure have nominal utilities that must be activated and deactivated by the Owner according to the need.
              • Presence of service utilities for support personnel:
                • Those who perform support and maintenance on the procedure have named utilities that must be activated and deactivated by the Owner as needed.
              • Encryption Techniques:
                • Password encryption: a password hash is recorded using the bcrypt algorithm by adding an application "salt" and a user "salt";
                • Database encryption: it is possible to encrypt the database using standard tools made available by the various DBEngine, such as TDE (Transparent Data Encryption), limited to Saas and Paas services and on installations from 2006 onwards. The option can only be enabled at the design level on hosting;
                • DMS File Encryption: all documents generated by applications and stored in the DMS are encrypted; encryption for any documents generated outside and stored in the DMS, will be applied by correctly setting the parameters on the "docu-ment class" associated with the documents themselves.
              • Privacy by default:
                • User profile activation: user profile activation: users are activated in the portal according to a logic of not assigning any authoriza-tion profile on the data processed. It is up to the Data Controller, at its discretion, to choose the appropriate user profiling and assign authorizations according to the homogeneous area to which the user or the indi-vidual authorization profile belongs.
              • Rights of Data Subjects:
                • in order to guarantee data subjects the right to anonymity, it is sufficient that they send a request to the Da-ta Controller which will perform the appropriate assessments. Should the Data Controller decide that the da-ta must be deleted, the same may act directly on the HR Portal, thus deleting the personal data in each HR area application; no information, not even indirect, will be subsequently retrievable with regard to that data subject. Therefore, in individual applications there will only be anonymous information not referable even indirectly to any data subject. The deletion functions take place by subject registration data;
                • to guarantee the right of the data subject to have information on which data the Data Controller processes and on the portability of his/her data, there is the possibility in the HR Portal to make HTML extractions of both the personal details part as well as all application parts concerning that data subject. With the HTML, the Data Controller can transmit the data to the data subject, who will be able to process it for his/her own purposes. Should the HTML not be sufficient, the export can take place in XML or CSV.;
                • the Customer can anonymize the personal data of data subjects with specific queries. This function concerns the tables but not note fields on the content of which no check can be activated at the procedure level.
                • the system is set up with the pseudo-anonymization of personal data with respect to the personal data of data subjects. Only customers that during the configuration of the system have chosen to manage links by tax code cannot use this security technique.
              • Chat-related measures:
                • access to the platform for operators and users is via https and wss web protocols only, so that end-to-end encryption of data in communications is guaranteed;
                • management of right to be forgotten related to chat;
                • the procedure related to the deletion of user data in Engagent involves the anonymization of the following types of information:
                  • user-related information;
                  • transcripts of user chats.
                • in case of multiple chat sessions with the system, the procedure covers transcripts of all user-related chats;
                • the user-related information is as follows:
                  • display_name;
                  • username;
                  • phone;
                  • mail;
                  • notes.
                • the contents of these fields depend on the mapping (via the UserProfileAdapter) of the information passed from the mobile application to Engagent;
                • from the database perspective, the data reside on the schema named Touchdesk in the following tables:
                  • interaction_parameters, regarding user information;
                  • collected_interactions, regarding transcripts.
                These security measures must be correctly set by the Data Controller (Customer).

                Support procedures

                Support procedures security are implementend for each one as follows.




                Onsite Support

                Zucchetti employees access the Owner's facility to perform training or technical maintenance activities. In this case, Zucchetti employees work as if they were part of the Owner's facility and adopt all security proce-dures implemented by the Owner. Holders may generate individual users for access to their systems, or they may have side-by-side access to train their staff. If, during the service activity, the Zucchetti employee needs to retrieve archives or db's that he/she needs to re-solve the highlighted issues, it is necessary that he/she informs the Holders and records this activity on the Inter-vention Note: Upon completion of the activity at the Zucchetti offices the Holder will be informed about the solution adopted and the subsequent deletion of the archive. If there is a need to keep the archives for the time necessary for the testing of the adopted solution, the Holder must be informed about the maximum retention time of these archives.

                Telephone support

                It presents no problems from a personal data processing point of view. No data or archives are transmitted and communication remains verbal.

                Assistance via e-mail/web tickets

                In email assistance, Zucchetti technicians will always include in the text of the message the disclaimer to make the Holder aware of the summary information and the contact details he or she can contact to exercise his or her rights or the rights of his or her data subjects. The Zucchetti employee is not authorized to have the Holder's login credentials emailed to him or her, nor will he or she be able to save them on the ticketing tool. If a Holder sends login credentials to his or her environment without a request from the Zucchetti technician, it is necessary for the Zucchetti technician to respond that he or she is not authorized to access the systems with oth-er users' credentials because this mode violates the GDPR. So the Zucchetti technician will have to request indi-vidual credentials or connection via Team Viewer. Zucchetti technicians will sign each email with first and last name and the information will be saved in ticketing.

                Assistance Through Receipt Of Customer Data Base

                If, in order to solve the problem reported by the Holder, it is necessary to have the database or other files or que-ries containing personal data sent to him/her, it is necessary to notify the Holder either of the ftp area to which he/she will have to upload the files or for Holders with the environment installed on our data center, request permission to have our system engineers make the copy.

                Telecare Tools


                Three days after the publication date a routine will delete files uploaded to ftp area. Downloading archives via wetransfer or link on Holder's environments: In this case, management is the responsibility of the Owner who will provide credentials to access the environ-ment where the archives reside. Assistance will have to download them to network disks not subject to backup and delete them at the end of the activity as in the other cases. Backup authorization by our systems engineers. The received archive is downloaded to a directory in the support group that is not subject to backup. Level 1 support transmits the db to level 2 support. The 2-level support will perform the analysis that the problem needs and then delete the received archives. In any case, the assistance that has charge of the problem, whether first- or second-level assistance, will delete the archives received when the activity is completed. The assistance having charge of the management, upon completion of the activity will have to delete the received archives from the shared disk and from any local storage media. If there is a need to maintain the archives an email will be sent to the Holder who will give permission. The Holders' archives may never be passed on to work groups other than those aimed at solving the problem re-ported by the Holder. The only option for technicians to keep the archives without the prior authorization of the Holder is to anonymize them. Each user also alternatively has an area that can also use this tool for sharing documents and files in general with clients. The company in order to protect the privacy of the employee will not enter the individual area, so once the cus-tomer has downloaded the files, the operator will also be responsible for their deletion.

                Assistance through the need to have clients back up a data center service

                If the Holder's personal data is on a Zucchetti/Data center system, under no circumstances will 1-level support be able to request backups from Data center systemists unless authorized by the Holder himself. Systematists will not be able to extract any backups from Holders for needs and purposes other than providing support to Holders; for example, no backups directed to production for testing purposes may be made.

                Assistance through remote connection TeamViewer

                This mode of connection on the Holders' tools ensures privacy in that:


                • the connection is always requested by the Holder;
                • the access credentials are always individual;
                • the Holder gives Zucchetti technicians access to an environment with an authorization profile chosen by the Holder to have support activities performed;
                • the Holder can disconnect the technician whenever he/she wishes.
                Through Team Viewer it is also possible to have 2-level assistance access the same open session. In this case the Holder has the evidence because it is provided by the tool and therefore implicitly accepts this mode It is essential to use the Zucchetti Team Viewer as it is licensed and customized with all the documentation that must be produced by the law on the processing of personal data. Only in exceptional cases and after careful evaluation by the manager and the privacy office is it possible to use other connection tools that behave in the same way.

                Assistance through remote connection on public IP or via VPN

                If the assistance activity is to be carried out on cloud systems over public IPs or via VPN or private access, it is necessary for Zucchetti employees to enter the systems of the Holders:


                • upon customer authorization;
                • upon receipt of individual credentials and the credentials have been activated for the time necessary to perform the required activities;
                • upon completion of the activity the credentials are deactivated by the Holder.

                Rules affecting Holders' environments, in any form of delivery (Saas/Paas/On Premise) referring to:


                • user creation for application consultants;
                • user creation for support staff.


                Application consultant

                In order to perform all start-up activities on the Owner's environment, a user account must be specially created within the system as below:


                • ZU_+ first 3 letters of last name + first 3 letters of first name;
                • in the description (full name) affix: Zucchetti User.

                In this way the Customer will be able to recognize the origin of the user itself.


                E.g.: for the subject Rossi Mario the user: ZU_ROSMAR will have to be created.


                For the creation will have to be involved the Owner, who will have to be guided to the access and creation of the user specifying and sharing with him, the rights that will be assigned to it.




                Help Desk

                The creation of the user should be requested only from the Holder who, through the application administrator, will be able to create the new user.


                The administrator user should never be used by the help desk personnel.


                Again, the creation rules made explicit for application consultants apply to the creation of utilities.


                Users should be generated with the coding: ZU_first three surname_first three first name.


                Zucchetti User must be entered in the description.






                Recipients to whom the data may be disclosed

                The personal data collected may be communicated to companies in the Zucchetti group and their subcontractors. In addition, in order to perform all support and maintenance activities, the collected data may be provided to per-sons in charge of the HR Base Platform & Tools Area and all areas related to the products used by the Owner. aimed at performing support and maintenance activities. Only regarding the Health Check functionality: authorized persons assigned by the Client/Owner.

                Personal data retention period

                Collected data on the App can be deleted by the user at any time due to the functionality of the operating system. In any case, the data in the Personal data collected in relation to the methods described above, will be retained for the duration of the contract and for 90 days after its termination. They will be retained on backup media for the next 12 months. Data related to the administrative and legal management of the contractual relationship will be retained for 10 years after the termination of the contractual relationship. The Owner has the option through application functions to launch massive deletions of personal data saved in the db or to set the expiration date of viewing documents in the dms and then the ads will be able to access and de-lete all data for a given period. With regard to the Health Check feature, retention times are set by the Client/Proprietor.

                Personal data processing purposes

                The app is used to view one's personal documents, read notices, receive notifications about the publication of new documents, and manage fulfillments related to expense reports, book cars from the pool, manage the company car provided, view one's work schedules and tasks, report on one's work activities, and clock in for attendance pur-poses or production progress reporting. Downloading the app is voluntary, and at any time the user can uninstall it or change permissions and authoriza-tions so that personal data such as geolocation is no longer recorded, or delete documents produced such as ex-pense reports.

                Scope of knowledge of your data

                The data processed by the app is transmitted to the HR Portal software product. The data will be viewable by the Employer according to the authorization profiles assigned by the same in the context of its organization on the applications mentioned above. The service provider is not authorized to view the personal data recorded but only to perform application and system maintenance on the service provided. If there is a need to access your personal data, the provider will request prior authorization from the customer/Data Controller which must promptly inform you of the need and the security measures adopted to protect your data.

                Territorial scope of processing

                The data provided will be processed in Italy.




                Rights of Data Subjects

                Relating to the processing of data in the context of downloading the App only, the user may exercise his rights by sending an email to ufficio.privacy@zucchetti.it, in in particular, you may request access to personal data concerning you, rectification or cancellation or you may re-quest limitation of processing and you may object to processing. Furthermore, you will have the right to data portability and if you wish to lodge a complaint you can also present it to the Guarantor authority for the protec-tion of personal data. For everything concerning the processing of data in the context of the use of the HR Portal application, the user must contact the Data Controller of the aforementioned Data Processing (Employer). Any re-quests of this type, received by Zucchetti, will be forwarded to the Data Controller.