Informazioni essenziali
Questa informativa descrive come GARAIA tratta i dati personali di visitatori, utenti registrati, amministratori di organizzazione, consulenti e referenti commerciali, ai sensi del Regolamento (UE) 2016/679 e della normativa italiana applicabile.
1. Titolare del trattamento
Il titolare del trattamento è UESE ITALIA S.p.A., con sede in Piazza Trivulziana 4/A, 20126 Milano (MI), Italia, P. IVA IT04398760274, contattabile all’indirizzo info@uese.eu. Per questioni relative alla protezione dei dati è disponibile l’indirizzo dpo@uese.it.
2. Categorie di dati trattati
- dati identificativi e di contatto, tra cui nome, cognome, email professionale, azienda o studio di appartenenza;
- dati di autenticazione e sicurezza, inclusi hash della password, eventi di accesso, indirizzo IP, user agent, codici TOTP e codici di recupero protetti;
- dati contrattuali, amministrativi e di fatturazione relativi al piano scelto;
- preferenze di ricerca, gare salvate, alert, note, report e attività svolte nella piattaforma;
- richieste di assistenza e comunicazioni inviate al servizio clienti;
- dati tecnici di navigazione e preferenze relative ai cookie;
- contenuti che l’utente decide di sottoporre alle funzioni di intelligenza artificiale;
- documenti aziendali caricati per la profilazione, quali visure camerali, attestazioni SOA, presentazioni, flyer e testi pubblici acquisiti dal sito web indicato dall’utente;
- preferenze, partecipazioni, aggiudicazioni e mancati esiti registrati nello storico, utilizzati per affinare le raccomandazioni e gli indicatori orientativi di successo.
3. Finalità, basi giuridiche e conservazione
| Finalità | Base giuridica | Periodo indicativo |
|---|---|---|
| Registrazione, prova gratuita, accesso e gestione dell’account | Esecuzione di misure precontrattuali e del contratto | Durata del rapporto e fino a 10 anni per gli obblighi amministrativi applicabili |
| Erogazione delle funzioni SaaS, profilazione dell’impresa, scouting di opportunità, storico degli esiti, indicatori di compatibilità e successo, alert, report e collaborazione nel tenant | Esecuzione del contratto | Durata del rapporto; successiva cancellazione o anonimizzazione secondo le procedure di chiusura |
| Sicurezza, prevenzione abusi, audit e continuità operativa | Legittimo interesse del titolare e obblighi di sicurezza | Di regola 12 mesi per i log ordinari, salvo eventi di sicurezza o obblighi ulteriori |
| Fatturazione, pagamenti e adempimenti fiscali | Obbligo legale ed esecuzione del contratto | 10 anni o diverso termine previsto dalla legge |
| Assistenza, reclami e gestione delle richieste | Esecuzione del contratto e legittimo interesse | Per il tempo necessario alla gestione e alla tutela dei diritti |
| Comunicazioni commerciali facoltative | Consenso, quando richiesto | Fino alla revoca o per un massimo di 24 mesi dall’ultima interazione utile |
I termini possono essere prolungati quando necessario per accertare, esercitare o difendere un diritto, adempiere a richieste dell’autorità o gestire un incidente.
4. Rapporti multi-tenant e ruoli privacy
Per i dati inseriti autonomamente da un’organizzazione cliente nei propri spazi, GARAIA può operare quale responsabile del trattamento ai sensi dell’articolo 28 GDPR, mentre il cliente resta titolare del trattamento. Per i dati necessari alla gestione del contratto, della sicurezza, della fatturazione e del rapporto commerciale, UESE ITALIA S.p.A. opera invece quale titolare autonomo.
La separazione logica tra tenant, i ruoli applicativi e i controlli di autorizzazione riducono il rischio di accesso non autorizzato tra organizzazioni diverse.
5. Destinatari, fornitori e trasferimenti
I dati possono essere trattati da personale autorizzato e da fornitori di hosting, posta elettronica, assistenza, pagamenti, sicurezza, monitoraggio e intelligenza artificiale, nominati responsabili del trattamento quando richiesto. L’elenco dei fornitori effettivamente attivi dipende dalla configurazione del servizio.
Qualora un fornitore comporti un trasferimento verso un Paese esterno allo Spazio economico europeo, il trasferimento viene gestito mediante una decisione di adeguatezza, clausole contrattuali standard, misure supplementari o altro meccanismo previsto dal GDPR.
6. Trattamenti connessi all’intelligenza artificiale
Le funzioni di IA aiutano a sintetizzare documenti, individuare requisiti, classificare il profilo dell’impresa, proporre codici CPV, leggere le informazioni SOA dichiarate nei documenti, cercare opportunità su fonti web e calcolare indicatori orientativi di compatibilità e potenziale di successo. Lo storico delle gare vinte, perse o partecipate può essere utilizzato per riconoscere schemi ricorrenti relativi a CPV, territori, procedure, importi e categorie SOA. L’utente deve evitare di inserire dati personali non necessari, categorie particolari di dati o informazioni riservate prive di una base giuridica adeguata. Gli output sono assistivi e devono essere verificati da una persona competente prima di assumere decisioni professionali, economiche o legali.
Ulteriori dettagli sono disponibili nella Informativa sull’intelligenza artificiale.
7. Diritti dell’interessato
L’interessato può chiedere accesso, rettifica, cancellazione, limitazione, portabilità, opposizione e revoca del consenso, ove applicabili. Può inoltre proporre reclamo al Garante per la protezione dei dati personali. Le richieste possono essere inviate a dpo@uese.it; potranno essere richieste informazioni ragionevoli per verificare l’identità del richiedente.
8. Sicurezza e data breach
GARAIA adotta misure tecniche e organizzative proporzionate al rischio, tra cui hashing delle password, autenticazione a più fattori, gestione sicura delle sessioni, segregazione dei tenant, controlli degli accessi, registrazione degli eventi e procedure di backup. Gli incidenti sono valutati secondo le procedure interne e, quando necessario, vengono effettuate le notifiche previste dalla normativa.
9. Aggiornamenti dell’informativa
La presente informativa può essere aggiornata per modifiche normative, organizzative o tecnologiche. In caso di variazioni rilevanti, gli utenti registrati potranno ricevere una comunicazione attraverso la piattaforma o tramite email.