1. Ruoli.

Voi (il cliente) siete titolari del trattamento per i dati personali che inviate al servizio. Contenza K/S è responsabile del trattamento e agisce esclusivamente sulle vostre istruzioni documentate. Quando trattiamo dati per finalità nostre (fatturazione, sicurezza del servizio, miglioramento del prodotto su dati aggregati), siamo titolari indipendenti per quella finalità limitata e il trattamento è disciplinato dalla privacy policy anziché dal presente contratto.

2. Oggetto, durata e natura.

Il trattamento viene effettuato per fornire il servizio QRRegistry: ospitare i record del Passaporto digitale di prodotto, consegnarli agli utenti finali, generare i QR code, inviare e-mail operative e fatturare. Il trattamento dura per la durata dell'abbonamento e per un periodo di chiusura definito alla clausola 9.

3. Categorie di dati e interessati.

I dati personali trattati per conto del titolare sono limitati a: dati di contatto dei rappresentanti del fabbricante (come richiesto dall'Allegato III del regolamento Ecodesign), account dei dipendenti del cliente che amministrano i passaporti ed eventi di scansione degli utenti finali (geolocalizzazione a livello paese e categoria di user-agent). Gli interessati sono i dipendenti del titolare e gli utenti finali anonimi che scansionano i QR code pubblici.

4. Istruzioni del titolare.

Trattiamo i dati personali esclusivamente sulle istruzioni documentate del titolare. Le Condizioni generali e il comportamento del prodotto descritto nella documentazione pubblica costituiscono tali istruzioni. Se riteniamo che un'istruzione violi il GDPR, informeremo il titolare e sospenderemo l'istruzione fino al chiarimento.

5. Riservatezza.

Il personale autorizzato al trattamento dei dati personali è soggetto a obblighi di riservatezza che permangono dopo la cessazione del rapporto.

6. Misure di sicurezza (Art. 32).

  • TLS 1.3 per tutti i dati in transito. HSTS applicato su ogni dominio pubblico.
  • Cifratura a riposo per i volumi di database e l'archiviazione oggetti.
  • Accesso basato sui ruoli ai sistemi di produzione; gli accessi sono registrati e riesaminati trimestralmente.
  • Hashing delle password e cookie di sessione HttpOnly, Secure e SameSite=Lax.
  • Backup giornalieri off-site cifrati con finestra mobile di 30 giorni.
  • Difesa in profondità: worker di background isolato, coda in sandbox, CSP rigorosa sulla superficie del visualizzatore.

7. Sub-responsabili.

Il titolare autorizza il nostro ricorso ai sub-responsabili elencati su /sub-processors. Forniremo un preavviso di almeno 30 giorni per qualsiasi aggiunta o sostituzione proposta, durante i quali il titolare potrà opporsi disdicendo l'abbonamento con rimborso pro rata.

8. Diritti degli interessati e assistenza.

Assistiamo il titolare nell'evasione delle richieste degli interessati. Quando la richiesta può essere soddisfatta tramite le funzionalità della dashboard (esportazione, rettifica, cancellazione), il titolare la gestisce direttamente; quando è necessario l'intervento dell'operatore, rispondiamo entro 10 giorni lavorativi.

9. Cancellazione e restituzione alla cessazione.

Alla cessazione, i dati personali sotto la responsabilità del titolare vengono cancellati entro 90 giorni, salvo obbligo di legge di conservazione (es. registrazioni di fatturazione). I Passaporti digitali di prodotto pubblicati restano accessibili in conformità all'Articolo 10 paragrafo 4 del regolamento Ecodesign; il titolare può richiedere una cancellazione eccezionale ove il prodotto sottostante sia stato ritirato dal mercato.

10. Audit.

Il titolare del trattamento può effettuare audit sull'osservanza del presente contratto una volta all'anno, a proprie spese, richiedendo un'analisi scritta degli scostamenti e i relativi elementi probatori. Gli audit in loco sono accolti solo dove ragionevolmente necessario e subordinati a un accordo di riservatezza.

11. Trasferimenti internazionali.

Tutti i dati personali sono conservati nell'UE. Quando un sub-responsabile opera al di fuori dell'UE/SEE, i trasferimenti si basano sulle Clausole contrattuali tipo della Commissione europea, integrate dalle misure tecniche di cui alla clausola 6.

12. Notifica delle violazioni.

Notifichiamo al titolare del trattamento senza ingiustificato ritardo — e in ogni caso entro 48 ore dal momento in cui ne veniamo a conoscenza — qualsiasi violazione di dati personali che riguardi i dati del titolare. La notifica descrive la natura della violazione, le categorie e il numero approssimativo di record interessati, le probabili conseguenze e le misure adottate per contenerla.

Domande su questa politica? Usate il modulo di contatto — oppure scrivete al team tramite i recapiti della pagina contatti.