Chi è il titolare del trattamento.

Contenza K/S (CVR 43349023), Danimarca, è il titolare del trattamento per i dati personali trattati su questo servizio. Contattate il team tramite il modulo su /contact per qualsiasi questione relativa alla privacy.

Cosa raccogliamo.

  • Dati dell'account — indirizzo e-mail, livello, timestamp di autenticazione.
  • Contenuto del passaporto — dettagli di prodotto e fabbricante che inserite per pubblicare un Passaporto digitale di prodotto. Sono prevalentemente dati aziendali, ma includono un'e-mail di contatto ai sensi dell'Allegato III.
  • Dati di utilizzo — eventi di scansione su URL pubbliche di passaporto (geolocalizzazione a livello paese derivata dall'IP, categoria di user-agent). Non conserviamo gli indirizzi IP grezzi oltre la finestra del log delle richieste.
  • Dati di fatturazione — ID cliente e stato dell'abbonamento da Stripe. I dati delle carte non toccano mai i nostri server.

Basi giuridiche.

  • Contratto (Art. 6 §1 b) per la creazione dell'account, l'autenticazione e la fornitura del servizio.
  • Obbligo di legge (Art. 6 §1 c) per fatturazione e registri fiscali.
  • Interessi legittimi (Art. 6 §1 f) per il monitoraggio della sicurezza e l'analisi aggregata delle scansioni — bilanciati rispetto ai dati personali minimi coinvolti.

Analisi degli eventi di scansione sui passaporti pubblici.

Quando un visitatore scansiona il codice QR di un passaporto digitale di prodotto pubblicato e carica /p/{code}, registriamo un evento di scansione grezzo. I dati raccolti per evento sono volutamente minimi: un codice paese ISO-3166 alpha-2 derivato dall'intestazione della richiesta che il nostro edge proxy allega, una categoria di classe dispositivo (mobile, tablet, desktop, bot) analizzata dalla stringa User-Agent, e il tipo Accept della risposta (HTML o JSON-LD). Non memorizziamo indirizzi IP grezzi, stringhe User-Agent complete, impronte digitali del browser o cookie collegati agli eventi di scansione.

La base giuridica per questo trattamento è l'interesse legittimo ai sensi dell'articolo 6, paragrafo 1, lettera f, del GDPR. Il nostro interesse è gestire e migliorare il servizio, dimostrare la tracciabilità normativa UE ai nostri clienti e rilevare abusi. Poiché i dati raccolti sono grezzi e mai collegati a una persona identificabile, abbiamo valutato che i diritti e le libertà dei visitatori non prevalgono. Non utilizziamo questi dati per pubblicità, profilazione o vendita.

Ai sensi dell'articolo 21 del GDPR, hai il diritto di opporti in qualsiasi momento al trattamento degli eventi di scansione. Per opporti, contattaci tramite /contact indicando il paese e il periodo approssimativo delle scansioni che desideri rimuovere; elimineremo le righe corrispondenti entro 30 giorni. Poiché nessun dato personale è memorizzato accanto al codice paese, l'identificazione avviene tramite autodichiarazione piuttosto che ricerca autenticata.

Analytics di visualizzazione pagine marketing.

Un piccolo insieme di pagine di conformità pubbliche — attualmente /compliance/faq, /compliance/matrix, /continuity e /security — registra una visualizzazione di pagina altrettanto grossolana per richiesta. I dati catturati per visualizzazione sono il percorso della richiesta, la lingua risolta (in modo che il traffico EN / DE / DA / FR / IT / ES / PL sullo stesso percorso possa essere distinto in aggregato), lo stesso codice paese ISO-3166 a due lettere dall'header di richiesta che il nostro edge-proxy allega, e la stessa classe di dispositivo (mobile, tablet, desktop, bot). Nessun IP grezzo, nessun User-Agent completo, nessun cookie, nessun fingerprinting.

La base giuridica è la stessa degli analytics di scansione — articolo 6(1)(f) del GDPR, legittimi interessi. I dati informano la manutenzione editoriale della superficie di conformità (es. la matrice è letta in DE, i team acquisti raggiungono la pagina sicurezza) senza identificare il visitatore. Lo stesso meccanismo di opposizione dell'articolo 21 si applica; contattateci tramite il modulo sopra e cancelleremo le righe corrispondenti entro 30 giorni.

Conservazione.

Conserviamo i dati solo per il tempo necessario:

  • Dati dell'account — finché il vostro account è attivo, più 30 giorni dopo la cancellazione per assorbire le richieste di supporto su cancellazioni accidentali.
  • Fatture — 5 anni dall'emissione, ai sensi della legge danese sulla contabilità.
  • Eventi di scansione — 24 mesi mobili, poi aggregati in conteggi mensili e le righe grezze vengono scartate.
  • Token Magic Link — eliminati all'uso o 15 minuti dopo l'emissione, a seconda di cosa avviene prima.
  • Passaporti pubblicati — conservati per la vita regolatoria del prodotto (l'Articolo 10 paragrafo 4 del Regolamento Ecodesign per Prodotti Sostenibili vieta la cancellazione mentre il passaporto è in servizio).

I vostri diritti.

Ai sensi del GDPR avete il diritto di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione al trattamento dei vostri dati personali. Potete esercitare ciascuno di questi diritti contattandoci — non è richiesto né un account né un login se potete identificare i dati a cui vi riferite.

Se ritenete che abbiamo trattato male i vostri dati, avete il diritto di proporre reclamo all'Autorità danese per la protezione dei dati (Datatilsynet).

Residenza dei dati.

Tutti i dati personali sono conservati su infrastruttura residente nell'UE. Quando un sub-responsabile opera al di fuori dell'UE, i trasferimenti si basano sulle Clausole contrattuali tipo della Commissione europea. L'elenco completo è su /sub-processors.

Minori.

Il servizio è venduto ad aziende e non è rivolto a persone di età inferiore a 18 anni. Non raccogliamo consapevolmente dati di minori.

Modifiche.

Le modifiche sostanziali sono comunicate via e-mail ai titolari degli account almeno 30 giorni prima della loro entrata in vigore. I chiarimenti minori vengono pubblicati qui con una data aggiornata in cima alla pagina.

Domande su questa politica? Usate il modulo di contatto — oppure scrivete al team tramite i recapiti della pagina contatti.