Risposta breve
123Acqua e' titolare del trattamento ai sensi del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003 aggiornato dal D.Lgs. 101/2018. Tutti i dati raccolti sono trattati con basi giuridiche dichiarate, finalita' specifiche e misure di sicurezza tecniche e organizzative adeguate.
Un laboratorio di analisi accreditato tratta dati personali e tecnici di natura particolarmente sensibile: dati anagrafici del committente, indirizzo del punto di prelievo (che puo' rivelare proprieta' o residenze), risultati analitici che possono incidere su contenziosi, atti notarili o vendite immobiliari. La conformita' al GDPR non e' un adempimento formale: e' una garanzia operativa sulla gestione di queste informazioni.
Quali dati raccogliamo e perche
Raccogliamo solo i dati necessari per erogare il servizio in conformita' alle norme tecniche (ISO/IEC 17025) e fiscali. Il principio di minimizzazione dell'art. 5 GDPR vieta di raccogliere dati eccedenti rispetto alla finalita'. La tabella seguente mostra le categorie tipiche di dati trattati per un'analisi standard.
| Categoria di dati | Finalita | Base giuridica | Conservazione |
|---|---|---|---|
| Anagrafica e contatti | Erogazione servizio, comunicazioni | Contratto (art. 6.1.b) | 10 anni post-ordine |
| Dati di pagamento | Fatturazione, antiriciclaggio | Contratto + obbligo di legge | 10 anni (D.Lgs. 231/2007) |
| Indirizzo punto prelievo | Tracciabilita campione, RdP | Contratto + ISO 17025 | 10 anni con il referto |
| Risultati analitici | Refertazione, conservazione decennale | Contratto + obbligo accreditamento | 10 anni (ISO 17025 cl. 8.4) |
| Dati di navigazione sito | Statistiche aggregate, sicurezza | Legittimo interesse / consenso | 12 mesi (Garante 27/11/2008) |
| Email marketing | Comunicazioni promozionali | Consenso esplicito (art. 6.1.a) | Fino a revoca consenso |
I tuoi diritti
Gli articoli 15-22 del GDPR ti garantiscono diritti specifici esercitabili in qualsiasi momento, senza costi e con risposta entro 30 giorni dalla richiesta (estendibili a 90 in casi complessi). Le richieste vanno inviate al titolare del trattamento o al Data Protection Officer (DPO) di 123Acqua via email PEC indicata nell'informativa.
- Diritto di accesso (art. 15): copia dei dati trattati
- Diritto di rettifica (art. 16): correzione di dati inesatti
- Diritto alla cancellazione (art. 17): salvi gli obblighi conservativi
- Diritto di limitazione (art. 18): congelamento del trattamento
- Diritto alla portabilita (art. 20): export in formato strutturato
- Diritto di opposizione (art. 21) e di revoca del consenso
Designato un DPO interno
123Acqua ha nominato un Data Protection Officer (DPO) ai sensi dell'art. 37 GDPR, che vigila sul rispetto della normativa e funge da punto di contatto con l'interessato e con il Garante per la protezione dei dati personali. Il contatto e' pubblicato in chiaro sull'informativa privacy.
Misure di sicurezza tecniche
Adottiamo misure conformi all'art. 32 GDPR e basate sulle linee guida ENISA: cifratura TLS 1.3 sulle comunicazioni, cifratura at rest dei database con chiavi gestite separatamente (KMS), controllo degli accessi basato sui ruoli (RBAC), log immutabili per le operazioni amministrative, MFA obbligatoria per il personale, backup giornalieri con conservazione separata e test di ripristino periodici, valutazione d'impatto (DPIA) per i trattamenti a rischio elevato.
Trasferimenti extra-UE
I dati restano archiviati su server europei (Italia o Germania) di fornitori GDPR-compliant. Eventuali trasferimenti extra-UE avvengono solo verso paesi con decisione di adeguatezza della Commissione Europea (art. 45 GDPR) o sotto Standard Contractual Clauses 2021/914 (art. 46), con valutazione di trasferimento (TIA) documentata caso per caso.
Informativa ex artt. 13-14 GDPR
L'informativa privacy di 123Acqua, resa al momento della raccolta dei dati come richiesto dall'art. 13 GDPR, include: identita' e contatti del titolare, contatti del DPO, finalita' specifiche per ciascun trattamento, basi giuridiche art. 6 (e art. 9 per dati particolari), categorie di destinatari, periodo di conservazione, diritti dell'interessato, diritto di reclamo al Garante, esistenza di processi decisionali automatizzati (assenti nel nostro caso). E' redatta in linguaggio chiaro e accessibile come prescritto dall'art. 12.
Data breach e notifica obbligatoria
In caso di violazione dei dati personali (art. 33 GDPR) abbiamo l'obbligo di notificare al Garante entro 72 ore dalla scoperta, salvo che la violazione sia improbabile presenti rischi per i diritti e le liberta' degli interessati. Se la violazione presenta un rischio elevato (art. 34) comunichiamo anche direttamente agli interessati. Manteniamo un registro interno delle violazioni con valutazione del rischio, misure di contenimento adottate, comunicazioni inviate, come prescritto dalle linee guida EDPB 9/2022.
Privacy by design e by default
Ogni nuovo servizio o funzionalita' del portale viene progettato applicando i principi di privacy by design e by default dell'art. 25 GDPR: raccolta minima dei dati, default conservativi, accesso solo al personale autorizzato, registrazione delle operazioni nei log applicativi. Le DPIA sono eseguite preventivamente per i trattamenti a rischio elevato come la profilazione o l'uso di nuove tecnologie.
Registro dei trattamenti
Manteniamo un registro dei trattamenti ai sensi dell'art. 30 GDPR, aggiornato e disponibile per il Garante in caso di richiesta. Il registro elenca per ciascun trattamento: finalita', categorie di interessati e dati, destinatari, trasferimenti extra-UE, termini di cancellazione, descrizione delle misure di sicurezza. E' lo strumento che dimostra l'accountability del titolare e permette al DPO di vigilare sulla conformita' di ogni nuova attivita'.
In sintesi
- Trattamento conforme al Reg. UE 2016/679 con DPO designato (art. 37)
- Sei categorie di dati con basi giuridiche art. 6 e tempi di conservazione dichiarati
- Diritti GDPR esercitabili senza costi, risposta entro 30 giorni (artt. 15-22)
- Server in UE, cifratura TLS 1.3, KMS at rest, RBAC e MFA per il personale
- Trasferimenti extra-UE solo con decisione di adeguatezza o SCC 2021/914
- Notifica data breach al Garante entro 72 ore (art. 33) con registro interno
- Privacy by design e registro trattamenti art. 30 sempre aggiornato
Vuoi esercitare un diritto GDPR?
Scrivi al DPO di 123Acqua: ricevi conferma entro 48 ore e risposta strutturata entro 30 giorni.
Contatta il DPODomande correlate
Approfondimenti: