Informativa per Attivazione FEA

INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI PER L’UTILIZZO DELLA FIRMA ELETTRONICA AVANZATA

La presente informativa, ai sensi del regolamento UE 679/2016, descrive il trattamento dei dati personali che Etjca S.p.A. Agenzia per il lavoro, come di seguito individuato, effettua in qualità di titolare del trattamento in relazione all’utilizzo delle soluzioni di firma elettronica avanzata (“FEA”) implementate allo scopo di consentire ai propri utenti (firmatari) di sottoscrivere documenti informatici esclusivamente nell’ambito dei rapporti giuridici e dell’operatività con lo stesso intercorrenti (di seguito, “Dati Personali“).

TITOLARE DEL TRATTAMENTO

Titolare autonomo del trattamento dei dati personali per le finalità di seguito descritte è ETJCA S.p.a. con sede legale in Corso Sempione, 4 – 20154 Milano e direzione generale in via Valassina, 24 – 20159 Milano, CF/PI: 12720200158 (di seguito definita “Soggetto Erogatore” o il “Titolare”).

NORMATIVA E DISCIPLINA CONTRATTUALE APPLICABILE

Le soluzioni di FEA sono erogate nel rispetto della normativa contenuta nel D.lgs. 7 marzo 2005, n. 82 e successive modificazioni (Codice dell’Amministrazione Digitale – “CAD”), del D.P.C.M. del 22 febbraio 2013 (Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali – “DPCM”), del Regolamento UE n. 910/2014 (Regolamento eIDAS) e della normativa in materia di privacy, ivi incluso il Regolamento Generale per la Protezione dei dati personali n. 679/2016 (“GDPR“) e i provvedimenti, qualora efficaci, del Garante della Privacy specificamente applicabili alle diverse soluzioni di FEA, tra cui il Provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014 e le Linee Guida in materia di riconoscimento biometrico e firma grafometrica allegate a tale Provvedimento.

A livello contrattuale, trovano applicazione le “Condizioni generali per l’utilizzo del servizio di firma elettronica avanzata” in essere con il Soggetto Erogatore, il Manuale Tecnico Soluzione FEA (il “Manuale”) e gli ulteriori allegati alle Condizioni Generali.

TIPOLOGIE DI FIRMA E CATEGORIE DI DATI TRATTATI

La soluzione di FEA messa a disposizione dal Soggetto Erogatore comprende un unico sistema, secondo quanto descritto nelle Condizioni Generali per l’utilizzo della FEA:

  • la FEA Remota, che non prevede l’utilizzo di Dati Biometrici ma è basata su di un combinato processo di point and click e di successiva conferma dell’operazione tramite chiamata dal numero di cellulare, dichiarato dal sottoscrittore e nella sua esclusiva disponibilità, ovvero attraverso l’inserimento di un OTP ricevuto tramite sms al predetto numero di cellulare o generato tramite applicazione installata sullo smartphone.

Il Soggetto Erogatore è titolare dei Dati Personali che raccoglie in relazione alla gestione del rapporto contrattuale e per l’erogazione servizi delle soluzioni FEA. I dati personali sono quelli forniti dall’utente interessato (l’”Utente”) al momento dell’adesione servizio alla soluzione e quelli raccolti ed elaborati successivamente nel contesto della fruizione della soluzione di FEA attivata.

I dati personali comprendono i dati necessari all’identificazione dell’Utente e all’attivazione servizio della soluzione (ad esempio: nome, cognome, indirizzo di residenza, estremi del documento di riconoscimento, recapito telefonico, indirizzo e-mail). A seconda del tipo di FEA attivato dall’Utente, oltre ai dati identificativi dell’Utente potranno essere trattati dati personali di diversa natura, più precisamente:

  • in caso di attivazione e utilizzo della FEA Remota, i dati personali comprendono anche le credenziali di accesso e le ulteriori informazioni che permetteranno di autenticare l’Utente, (i) mediante una chiamata a un numero verde effettuata attraverso una SIM card, della quale il firmatario dichiara e garantisce di avere la piena ed esclusiva disponibilità, ovvero (ii) mediante un OTP inviato tramite sms alla predetta Sim card del firmatario, ovvero mediante OTP generato da apposita applicazione installata sullo smartphone del firmatario di cui il firmatario dichiara e garantisce di avere la piena ed esclusiva disponibilità.

L’Utente è tenuto ad assicurarsi che Dati Personali forniti al Soggetto Erogatore siano corretti e, in caso di variazioni, ad aggiornare tali dati contattando, preventivamente all’utilizzo della soluzione FEA, il Soggetto Erogatore ai recapiti sopra riportati.

Non è prevista la raccolta e il trattamento di dati biometrici.

FINALITA’ DEL TRATTAMENTO

Il trattamento dei dati è effettuato, prevalentemente mediante strumenti informatici, dal Soggetto Erogatore nello svolgimento delle sue attività economiche e commerciali per finalità connesse all’erogazione della soluzione di FEA (il “Servizio”), ai sensi della normativa applicabile, ossia:

a) l’esecuzione di obblighi strettamente connessi al Servizio, tra cui la gestione amministrativa dei contratti di utilizzo del Servizio.

b) l’adempimento di obblighi derivanti dalla legge, regolamenti o normativa comunitaria (es. obblighi di identificazione dell’Utente).

MODALITÀ DEL TRATTAMENTO E REQUISITI DI SICUREZZA

I Dati Personali saranno trattati dal Soggetto Erogatore con sistemi elettronici e manuali secondo i principi di correttezza, lealtà e trasparenza previsti dalla normativa applicabile in materia di protezione dei dati personali e tutelando la riservatezza dell’Utente tramite misure di sicurezza tecniche e organizzative per garantire un livello di sicurezza adeguato e secondo le modalità descritte nel Manuale tecnico, a cui si rinvia per la descrizione dettagliata delle misure di sicurezza adottate. Il processo di sottoscrizione è attivato esclusivamente previa identificazione dell’Utente firmatario e adesione di quest’ultimo al Servizio.

I dati personali sono acquisiti dal Titolare in sede d’identificazione dell’interessato (Utente).

I dati personali acquisiti tramite l’utilizzo della FEA sono criptati mediante l’utilizzo di una chiave di crittografia. Le operazioni di generazione, consegna e conservazione della chiave sono contenute nel Manuale Tecnico.

PRESUPPOSTI DI LEGITTIMITÀ DEL TRATTAMENTO

Il trattamento dei dati personali per le finalità descritte in questa informativa è basato sul libero consenso dell’Utente. Il consenso è espresso dall’Utente al momento dell’attivazione delle soluzioni di FEA ed ha validità, fino alla sua eventuale revoca, per tutti i documenti informatici da sottoscrivere. Il consenso può essere revocato in qualunque momento scrivendo al Soggetto Erogatore secondo le modalità indicate nelle Condizioni Generali per l’utilizzo. La revoca del consenso determinerà la disattivazione del servizio FEA, ma non avrà conseguenze sul trattamento dei dati personali già raccolti, che continueranno ad essere conservati per la durata imposta o comunque consentita dalla normativa applicabile in relazione al contenuto del documento informatico che li contiene.

AMBITO DI COMUNICAZIONE DEI DATI

I dati personali saranno trattati, nei limiti di quanto necessario, dal personale autorizzato, adeguatamente istruito e formato, del Titolare nonché dal personale dei soggetti terzi che prestano servizi al Titolare ed effettuano trattamenti di dati per conto e su istruzione di quest’ultimo quali responsabili del trattamento. Si tratta di coloro che forniscono servizi informatici (es. hosting provider) e operano nell’ambito dei servizi di gestione e manutenzione dei sistemi informativi mediante i quali è erogata la soluzione di FEA ovvero dei servizi di conservazione dei documenti informatici. La lista completa e aggiornata dei soggetti che trattano i dati personali in qualità di responsabili del trattamento è disponibile su richiesta al Responsabile per la Protezione dei dati personali.

Nello svolgimento delle proprie attività ordinarie aziendali i dati potranno essere comunicati a soggetti che svolgono attività di controllo, revisione e certificazione delle attività poste in essere dal Titolare, consulenti e liberi professionisti nel contesto di servizi di assistenza fiscale, giudiziale, enti e amministrazioni pubbliche, ivi incluse autorità fiscali ove ciò sia necessario, nonché a soggetti legittimati per legge a ricevere tali informazioni, autorità giudiziarie italiane e straniere e altre pubbliche autorità, per le finalità connesse all’adempimento di obblighi legali, o per l’espletamento delle obbligazioni assunte e scaturenti dalla fruizione del Servizio, compreso per esigenza di difesa in giudizio.

I Dati Personali non saranno in alcun caso diffusi né saranno trasferiti fuori dall’Unione Europea.

CONSERVAZIONE DEI DATI

I dati personali saranno conservati per il tempo necessario al raggiungimento delle finalità sopra descritte, nel rispetto della normativa di riferimento. In particolare, i dati necessari per l’identificazione acquisiti al momento dell’attivazione della FEA saranno conservati per 20 anni.

I dati incorporati nei documenti informatici saranno conservati per il tempo necessario alla conservazione di ciascun documento secondo la normativa di riferimento (es. art. 2220 codice civile).

DIRITTI DELL’INTERESSATO

L’Utente potrà esercitare, in relazione al trattamento dei dati ivi descritto, i diritti previsti dal GDPR (artt. 15 – 21), ivi inclusi:

  • ricevere conferma dell’esistenza dei Dati e accedere al loro contenuto (diritti di accesso);
  • aggiornare, modificare e/o correggere i dati (diritto di rettifica);
  • chiederne la cancellazione o la limitazione del trattamento dei Dati trattati in violazione di legge compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i Dati sono stati raccolti o altrimenti trattati (diritto all’oblio e diritto alla limitazione);
  • opporsi al trattamento (diritto di opposizione);
  • revocare il consenso, ove prestato, senza pregiudizio per la liceità del trattamento basata sul consenso prestato prima della revoca;
  • proporre reclamo all’Autorità di controllo (Garante per la protezione dei dati personali garanteprivacy.it) in caso di violazione della disciplina in materia di protezione dei dati personali;
  • ricevere copia in formato elettronico dei Dati che lo riguardano come Interessato, quando tali Dati siano stati resi nel contesto del contratto e chiedere che tali Dati siano trasmessi ad un altro titolare del trattamento (diritto alla portabilità dei dati).

Per esercitare tali diritti l’Utente può rivolgersi Titolare inviando la sua richiesta all’indirizzo mail rpd.privacy@etjca.it, oppure indirizzando la comunicazione via posta a: 20159 Milano – Via Valassina, 24. É stato nominato il responsabile della protezione dei dati (RPD-DPO), contattabile agli indirizzi sopraindicati.

Nel contattarci, l’Utente dovrà accertarsi di includere il proprio nome, email/indirizzo postale.