Risposta breve
Mai a fini commerciali. Comunichiamo dati solo a fornitori tecnici essenziali (corriere, hosting, fatturazione) sotto data processing agreement, e ad autorita' competenti quando obbligati per legge.
La cessione di dati a terzi e' uno dei timori piu' diffusi quando si affida il proprio campione a un laboratorio. La risposta breve e': non vendiamo ne' cediamo dati per scopi di marketing. La risposta articolata e' descritta dall'informativa privacy ai sensi degli artt. 13-14 GDPR e qui sintetizzata in modo trasparente per categorie di destinatari.
Categorie di destinatari autorizzati
| Categoria | Esempi | Tipo di rapporto | Garanzia contrattuale |
|---|---|---|---|
| Responsabili esterni | Hosting cloud, gestionale LIMS | Contratto art. 28 GDPR (DPA) | DPA + audit annuale |
| Corrieri logistici | Spedizione kit, ritiro campioni | Contratto art. 28 GDPR (DPA) | DPA + tracking GDPR-compliant |
| Fornitori di pagamento | Gateway carte, PayPal | Titolari autonomi PCI-DSS | Certificazione PCI-DSS |
| Consulenti professionali | Commercialista, legale, DPO esterno | Vincolo professionale | Segreto professionale |
| Autorita competenti | ASL, ARPA, Agenzia Entrate, AG | Obbligo di legge | Art. 6.1.c GDPR |
| Sub-fornitori analisi | Laboratori accreditati per parametri esotici | Contratto art. 28 + ISO 17025 | DPA + scope ACCREDIA |
Cosa NON facciamo
- Non vendiamo liste di clienti a soggetti terzi
- Non cediamo i tuoi dati a societa di marketing o data broker
- Non condividiamo i risultati delle tue analisi con vicini, fornitori energetici, immobiliari
- Non pubblichiamo informazioni identificative su mappe o report aperti
- Non utilizziamo i tuoi dati per profilazione pubblicitaria di terzi
- Non eseguiamo decisioni automatizzate con effetti giuridici (art. 22 GDPR)
Trasparenza sui sub-responsabili
L'elenco aggiornato dei responsabili esterni e sub-responsabili e' disponibile su richiesta scritta al DPO ed e' citato nell'informativa. Eventuali nuove nomine vengono comunicate con preavviso permettendoti di esercitare il diritto di opposizione, come richiesto dalle linee guida EDPB 07/2020.
Quando la legge ci obbliga a comunicare i dati
Esistono alcuni casi in cui dobbiamo comunicare dati ad autorita' senza necessita' di tuo consenso, sulla base dell'art. 6.1.c GDPR (obbligo legale). Per esempio: trasmissione delle fatture allo SDI (Agenzia delle Entrate), comunicazione di superamenti di parametri rilevanti per la salute pubblica all'ASL competente quando la normativa lo prevede, risposta a richieste motivate dell'autorita' giudiziaria nei procedimenti civili e penali.
Comunicazione di superamenti sanitari
In caso di superamenti significativi su parametri di salute pubblica (per esempio Legionella oltre 10.000 UFC/L con esposizione documentata, contaminazioni microbiologiche acute in strutture aperte al pubblico) abbiamo l'obbligo deontologico e in alcuni casi normativo di comunicare l'esito all'ASL. Te ne avvertiamo immediatamente e ti accompagniamo nella gestione, ma non possiamo trattenere informazioni che mettano a rischio terzi.
Garanzie contrattuali con i fornitori
Tutti i nostri fornitori che trattano dati per nostro conto firmano un Data Processing Agreement (DPA) ex art. 28 GDPR. Il DPA impone: vincolo di riservatezza, divieto di ulteriore comunicazione senza autorizzazione scritta, obbligo di sicurezza tecnica e organizzativa, audit periodici, restituzione o cancellazione dei dati a fine rapporto, notifica di data breach entro 24 ore.
Audit e verifica annuale dei responsabili esterni
Ogni anno il DPO esegue un audit documentale sui principali responsabili esterni: verifica certificazioni ISO 27001, SOC 2, conformita' del DPA, presenza di sub-fornitori non comunicati, evidenza di data breach occorsi. L'audit produce un report sintetico che alimenta la valutazione del rischio del trattamento. I fornitori che non superano l'audit vengono sostituiti: e' accaduto in passato per un ex provider di backup che non aveva aggiornato le SCC 2021/914 dopo la sentenza Schrems II.
Richieste della pubblica autorita
Quando un'autorita' richiede dati (ASL, ARPA, Guardia di Finanza, Procura della Repubblica) verifichiamo sempre la base legale della richiesta: rifiutiamo richieste informali e pretendiamo l'atto motivato (decreto, ordinanza, richiesta scritta del dirigente competente). Te ne informiamo non appena possibile, salvo divieto specifico dell'autorita' (per esempio in caso di indagine penale coperta da segreto istruttorio).
Trasferimenti a fornitori extra-UE
Pochi fornitori tecnici (per esempio strumenti di analytics o anti-spam) sono basati extra-UE. In questi casi applichiamo le SCC 2021/914 della Commissione Europea aggiornate dopo Schrems II, con valutazione di trasferimento (TIA) che esamina: legge del paese ricevente sull'accesso governativo, misure tecniche aggiuntive (cifratura, pseudonimizzazione), diritti degli interessati. Quando la TIA non e' positiva sospendiamo il trasferimento o cambiamo fornitore.
In sintesi
- Mai vendita di dati a fini commerciali o di marketing
- Solo responsabili esterni con DPA art. 28 GDPR firmato
- Comunicazioni ad autorita solo per obblighi di legge documentati (art. 6.1.c)
- Elenco sub-fornitori disponibile su richiesta al DPO
- Notifica obbligatoria entro 24 ore in caso di data breach del fornitore
- Audit annuale documentale sui principali responsabili esterni
- TIA e SCC 2021/914 per ogni trasferimento extra-UE post-Schrems II
Vuoi l'elenco completo dei nostri fornitori?
Scrivi al DPO e riceverai entro 48 ore l'elenco aggiornato dei responsabili esterni con relativo DPA.
Richiedi elenco fornitoriDomande correlate
Approfondimenti: