Identificazione di tutti i dati, delle applicazioni associate e della conservazione
Il servizio Metooo, per il suo funzionamento di base, ha necessità di acquisire i seguenti dati dagli utenti:
Se l’utente di Metooo mette in vendita biglietti a pagamento, e/o se sceglie di attivare un abbonamento PRO a pagamento, Metooo acquisisce ulteriori dati:
Se l’utente di Metooo usa il servizio di invio RSVP ai propri contatti, Metooo acquisisce i dati dei contatti (Nome, Cognome, Indirizzo email) che vengono caricati dall’utente Metooo sulla piattaforma Metooo.
Se l’utente Metooo usa il servizio di acquisizione dati personalizzata (somministrazione di un questionario, formulario etc…) durante la fase di vendita del biglietti, i dati acquisiti sono conservati da Metooo, che non ne analizza la composizione semantica, ma esclusivamente effettua la conservazione.
I dati vengono acquisiti tramite browser desktop/mobile e/o tramite app, e sono conservati all’interno del database di Metooo ospitato sul servizio Compose (www.compose.io)
Metooo può acquisire inoltre informazioni sulla localizzazione geografica dell’utente, attraverso richiesta di consenso da fornire su browser desktop/mobile e/o su app.
Determinazione delle informazioni personali che direttamente o indirettamente identificano un soggetto
I dati che possono identificare un soggetto sono:
Determinazione dell’autorità di controllo e/o di elaborazione delle Informazioni Personali Identificabili
All’interno di Metooo l’autorità di controllo e/o di elaborazione delle Informazioni Personali Identificabili è assegnata a Ferdinando Caruso che assume il ruolo di DPO.
Il DPO è stato designato in funzione delle qualità professionali, e della capacità di adempiere ai propri compiti.
Il DPO è prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali sia dal titolare del trattamento (la società Metooo SRL) che dal responsabile del trattamento e gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal GPDR.
Il DPO gode di ampia autonomia e non riceve alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti.
Identificazione dei processi aziendali tramite l’utilizzo di Informazioni Personali Identificabili
I processi aziendali interni a Metooo che coinvolgono l’utilizzo di Informazioni Personali Identificabili sono:
Identificazione delle persone che interagiscono con le Informazioni Personali Identificabili
L’accesso alle Informazioni Personali Identificabili è consentito esclusivamente al personale tecnico di Metooo, che vi accede solo per fini connessi alla manutenzione del servizio ed al supporto agli utenti. Non è consentito l’accesso al personale non tecnico ed a terzi estranei al servizio Metooo.
Le categorie dei dati, i processi aziendali e loro caratteristiche sono gestiti in Metooo in maniera combinata per garantire la compliance al GDPR.
A tal proposito abbiamo individuato le seguenti categorie di dati:
Alcune di queste categorie rientrano nelle Informazioni Personali Identificabili:
Le altre invece rappresentano informazioni non identificabili, né visionate per l’esecuzione del servizio, a meno di esplicita richiesta di supporto pervenuta dall’utente.
I processi aziendali che interessano le categorie di informazioni sono:
L’utente che aderisce al servizio Metooo approva esplicitamente ogni punto di questo elenco di utilizzo, in modo chiaro e consapevole.
La priorità seguita nell’aggiornamento del servizio è stata infatti quella di predisporre un sistema di comprensione semplice e sicuro per ciascuna delle operazioni elencate, con la possibilità di aderire solo ad alcune. Naturalmente, esistono delle operazioni (es. acquisizione numero Partita Iva) che sono necessarie per la stessa esecuzione del servizio (es. vendita dei biglietti).
Abbiamo eseguito una valutazione d’impatto su qualsiasi processo a rischio di violazione dei diritti di riservatezza dei dati del soggetto interessato. Lo scopo della valutazione è stato quello di consentirci di mitigare al massimo i rischi identificati.
Il report di valutazione di seguito descritto riguarda:
Abbiamo identificato le attività critiche dal momento in cui è acquisito il primo dato considerabile come Informazione Personale Identificabile: l’indirizzo email dell’utente, e il proprio nome e cognome.
Queste informazioni sono acquisite esclusivamente al momento della registrazione volontaria dell’utente al servizio Metooo.
Abbiamo rivisto il processo di acquisizione dei dati, fornendo all’utente una maggiore chiarezza del modo in cui i dati vengono acquisiti, e dell’uso che di tali dati sarà fatto all’interno del Servizio Metooo.
Abbiamo effettuato un checkup approfondito dei nostri servizi per garantire che durate la fase di acquisizione dei dati non intervengano soggetti terzi che possano “rubare” i dati forniti dall’utente.
Usiamo il protocollo HTTPS su ogni pagina del sito metooo.io in modo da rendere sicure le trasmissioni di informazioni tra utenti e piattaforma, sia attraverso browser desktop che browser mobile.
Non conserviamo, all’interno di Metooo e dei servizi inclusi, dati finanziari sensibili, come numero e scadenza della carta di credito dell’utente. Per motivi di superiore sicurezza, non forniamo un gateway interno per la gestione delle transazioni finanziarie legate alla vendita, rimborso e pagamento delle commissioni dei biglietti. Usiamo esclusivamente servizi terzi identificabili in modo chiaro: PayPal e Stripe. L’utente è messo a conoscenza in modo esaustivo sull’uso possibile dei servizi terzi. La connessione tra Metooo ed i servizi terzi avviene in modo sicuro. Per ulteriori approfondimenti è possibile consultare la Privacy Policy dei servizi terzi.
L’utente di Metooo è quindi incolume ai rischi connessi a furti di dati finanziari, perché tali dati non sono inclusi tra quelli acquisiti, trattati e conservati da Metooo.
Relativamente ai dati che vengono raccolti dagli utenti di Metooo, tramite il servizio Metooo, abbiamo migliorato ulteriormente i sistemi di avviso e di tutela che offriamo, sia ai nostri utenti che agli utenti dei nostri utenti.
In modo particolare, abbiamo migliorato le procedure di individuazione di azioni di spam compiute dai nostri utenti, attraverso il servizio Metooo, nei confronti di propri contatti e/o utenti, fornendo sia una più chiara esplicitazione di cosa è consentito e cosa non è consentito fare attraverso il servizio Metooo, sia fornendo un canale di segnalazione cui i terzi possono accedere per richiedere verifiche su determinati comportamenti.
Alla data di entrata di vigore del GPDR il servizio Metooo è da ritenersi conforme alle specifiche richieste.
Ci siamo dotati di:
L’archivio delle attività di elaborazione delle Informazioni Personali Identificabili è il database ospitato dal servizio Compose al cui interno vengono conservati i dati degli utenti ed i log di accesso a tali dati. E’ sempre possibile risalire in modo preciso a modifiche e modalità di utilizzo di tali dati.
L’archivio delle violazioni dei dati è un database, ospitato sul nostro server in cui verranno annotate tutte le eventuali violazioni dei dati, occorse nonostante il nostro massimo e costante impegno alla tutela degli stessi.
La valutazione dettagliata delle attività di elaborazione ad alto rischio è contenuta in un database, ospitato sul nostro server, in cui sono state elencate tutte le attività che sono svolte in Metooo, con relativo grado di Identificazione dell’utente, e correlato grado di rischio nella perdita e/o utilizzo improprio dei dati.
Condividiamo nome, cognome, email e biglietti acquistati con gli organizzatori dell’evento per rendere più efficace la gestione dell’evento.
Gli organizzatori di eventi possono contattare gli utenti di volta in volta con notizie o annunci importanti relativi all'evento per cui ci si è registrato.
Invitiamo tutti gli organizzatori di eventi a includere una domanda di opt-in sulla loro pagina di prenotazione se intendono contattare i partecipanti. Non è responsabilità di Metooo il mancato rispetto della GDPR da parte deli organizzatori degli eventi. Metooo non è responsabile per l'uso improprio dei dati da parte dell'organizzatore dell'evento.
In caso di sospetto di una violazione di dati personali è necessario contattare Metooo, che farà il possibile per aiutare l’utente.
Con lo scopo di monitorare e analizzare le statistiche di visualizzazione del nostro servizio condividiamo l’indirizzo IP con le seguenti aziende:
Non condividiamo o vendiamo i dati dei nostri utenti con servizi di terze parti che non siano direttamente collegate al nostro servizio.
Di tanto in tanto, inviamo newsletter via e-mail contenenti notizie importanti e aggiornamenti al nostro servizio. Per questo, condividiamo il tuo indirizzo email con il nostro servizio di email marketing di terze parti: Sendgrid.
Abbiamo un certificato SSL installato sul nostro server per garantire che tutti i dati inviati tra il tuo computer e il nostro server siano crittografati. Noi criptiamo il tuo indirizzo email e la password. Il tuo nome utente, il tuo nome e il tuo cognome non sono criptati.
Se l'indirizzo email inserito corrisponde al tuo account di registrazione, a breve riceverai un'email con tutte le informazioni per il recupero password.