Vai al contenuto principale

Informativa sulla privacy

Data di entrata in vigore:

Jonot è un servizio di gestione code in cloud. La presente informativa spiega quali dati personali raccogliamo quando tu o i tuoi clienti utilizzate il servizio, perché li raccogliamo, per quanto tempo li conserviamo e quali diritti hai su di essi.

Chi siamo

Il servizio è gestito da Jonot Oy (codice impresa 3620928-7), una società registrata in Finlandia ("Jonot", "noi" nella presente informativa). Per questioni relative alla privacy:

  • Email: info@jonot.io
  • Indirizzo postale: Jonot Oy, Tenavatie 11B, 00760 Helsinki, Finlandia

Non abbiamo nominato un responsabile della protezione dei dati — siamo al di sotto delle soglie dell'articolo 37 del GDPR che lo richiederebbero —, ma l'indirizzo email sopra indicato raggiunge la persona responsabile della conformità in materia di privacy.

Cosa raccogliamo, per ruolo

Jonot è utilizzato da tre gruppi di persone e raccogliamo dati diversi per ciascuno.

Utenti finali (le persone che entrano in coda)

  • Hash del ticket: un identificativo casuale di 22 caratteri che rappresenta l'Utente finale. È l'unica credenziale che gli Utenti finali possiedono: per impostazione predefinita non vengono raccolti account, accesso né email.
  • Indirizzo IP: letto all'edge per la limitazione di frequenza e la protezione dagli abusi, ad esempio per impedire che un singolo browser intasi una coda. Gli indirizzi IP non sono archiviati nel database delle code; vengono conservati solo in log delle richieste di breve durata.
  • Dati di contatto facoltativi: se l'attività ha configurato un flusso di chiosco o di ingresso che richiede un nome o un numero di telefono, ad esempio per chiamarti quando è il tuo turno, tale valore viene archiviato e associato al tuo ticket per la durata della sessione di coda.

Utenti del personale (banco, amministrazione, super-admin)

  • Identità: email, nome, avatar e un ID utente. Jonot gestisce in proprio l'autenticazione sul suo database nell'UE; la tua password è archiviata solo come hash con salt — mai in chiaro e mai visibile a noi.
  • Autorizzazioni: i ruoli assegnati al tuo utente, ad esempio org-manager o desk, verificati a ogni richiesta.
  • Registro delle attività: una traccia delle modifiche amministrative, come la creazione di una sede o la revoca di un dispositivo, collegata al tuo ID utente.
  • Metadati della richiesta: indirizzo IP e user-agent registrati in log delle richieste di breve durata.

Dispositivi (chioschi, schermi)

  • Hash del token di sessione del dispositivo: un hash unidirezionale del token che abbiamo emesso durante l'abbinamento. Non archiviamo mai il token in chiaro.
  • Metadati di abbinamento: la sede a cui è associato il dispositivo, un'etichetta leggibile e i timestamp dell'ultimo accesso.

Perché li raccogliamo (base giuridica)

Ai sensi del GDPR, ogni attività di trattamento necessita di una base giuridica. Le nostre sono:

  • Contratto (art. 6, par. 1, lett. b): account del personale, emissione dei ticket e abbinamento dei chioschi, tutti necessari per fornire il servizio che il nostro Cliente pagante ha sottoscritto.
  • Legittimo interesse (art. 6, par. 1, lett. f): limitazione di frequenza, prevenzione degli abusi e log delle richieste. Il nostro interesse a mantenere il servizio attivo ed equo non è superato dall'impatto minimo di un log IP di breve durata.
  • Consenso (art. 6, par. 1, lett. a): i campi di contatto facoltativi che un Utente finale inserisce attivamente in un modulo di chiosco. Puoi revocare il consenso in qualsiasi momento scrivendoci un'email.

Chi tratta i dati per nostro conto

Ci affidiamo a un numero ristretto di sub-responsabili per erogare il servizio. Ciascuno è vincolato da un accordo sul trattamento dei dati e può trattare i dati personali solo secondo le nostre istruzioni:

  • Cloudflare — hosting, database (D1) ed elaborazione all'edge. I dati di coda e degli account sono archiviati nell'UE (Europa occidentale); le risorse statiche e l'elaborazione senza stato sono erogate dalla sua rete edge globale.

L'autenticazione e l'identità del personale sono gestite internamente sul nostro database nell'UE, non da terzi. La fatturazione è gestita da Polar in qualità di nostro merchant of record; Polar agisce come titolare autonomo per i dati di pagamento, non come nostro sub-responsabile. Aggiorneremo questo elenco quando i nostri sub-responsabili cambiano.

Dove vengono trattati i dati

  • Dati di coda: archiviati nell'UE (Europa occidentale).
  • Risorse statiche ed elaborazione dell'applicazione: erogate da una rete edge globale. L'elaborazione è senza stato; all'edge non vengono conservati dati personali.
  • Identità e autenticazione: gestite internamente sul nostro database nell'UE (Europa occidentale).
  • Fatturazione (tramite Polar, il nostro merchant of record): può comportare trasferimenti verso gli Stati Uniti nell'ambito dell'EU–US Data Privacy Framework.

Qualora un destinatario non sia certificato nell'ambito dell'EU–US Data Privacy Framework, il trasferimento si basa invece sulle clausole contrattuali tipo della Commissione europea; una copia delle clausole è disponibile su richiesta scrivendo a info@jonot.io.

Per quanto tempo li conserviamo

  • Ticket di coda: conservati fino alla chiusura della sessione di coda, poi per 30 giorni ai fini della risoluzione delle controversie, quindi cancellati.
  • Sessioni dei dispositivi: conservate fino alla revoca del dispositivo; la revoca comporta la cancellazione immediata dell'hash del token.
  • Dati account del personale: conservati per tutta la durata dell'abbonamento dell'organizzazione, più 90 giorni dopo la disdetta, quindi cancellati dal nostro database. I dati di identità, compreso l'hash della password con salt, fanno parte di questi dati account del personale e vengono cancellati secondo lo stesso calendario.
  • Log di audit: 12 mesi.
  • Log delle richieste: in genere 7 giorni.

I tuoi diritti

Se ti trovi nell'UE/SEE, e nella maggior parte dei casi indipendentemente da dove ti trovi, hai il diritto di:

  • Accedere ai dati personali che conserviamo su di te.
  • Rettificare i dati inesatti.
  • Cancellare i tuoi dati, fatti salvi gli obblighi legali di conservazione, ad esempio i documenti di fatturazione.
  • Esportare i tuoi dati in un formato portabile.
  • Opporti al trattamento basato sul legittimo interesse.
  • Revocare il consenso per qualsiasi trattamento a cui hai precedentemente acconsentito, senza pregiudicare il trattamento già effettuato.

Scrivi a info@jonot.io per esercitare uno qualsiasi di questi diritti. Cerchiamo di rispondere entro 30 giorni; il termine previsto dal GDPR è di un mese, prorogabile una volta di ulteriori due mesi nei casi complessi.

Se trattiamo dati per conto di un Cliente di Jonot, ad esempio il tuo datore di lavoro, rivolgi prima a loro la richiesta: sono loro il titolare di tali dati e noi agiamo secondo le loro istruzioni.

Cookie e archiviazione locale

Le app di Jonot usano l'archiviazione del browser con parsimonia:

  • Archiviazione di sessione per gli URL di ritorno dopo l'accesso così, dopo l'accesso, ti riportiamo da dove eri partito. Viene cancellata non appena il reindirizzamento è completato.
  • Token di identità: token di ID e di refresh conservati in memoria e in cookie di refresh sicuri emessi dal servizio di autenticazione di Jonot.

Non usiamo cookie pubblicitari o di analisi nelle app del prodotto. Il sito di marketing potrebbe utilizzare in futuro analisi di prima parte; una tale aggiunta comporterà un aggiornamento di questa pagina e, ove richiesto, una richiesta di consenso.

Minori

Jonot è un servizio rivolto alle imprese. Non raccogliamo consapevolmente dati da minori di 16 anni. Se ritieni che un minore abbia inviato, tramite il chiosco di un Cliente, dati che non dovrebbero esserci, scrivici e li cancelleremo.

Modifiche alla presente informativa

Aggiorneremo la presente informativa man mano che il servizio si evolve. La data di entrata in vigore in cima alla pagina riflette sempre la versione attuale; per le modifiche sostanziali avviseremo gli Utenti del personale registrati con almeno 14 giorni di anticipo via email.

Reclami

Se non sei soddisfatto del modo in cui gestiamo una richiesta in materia di privacy, puoi presentare un reclamo a un'autorità di controllo. In Finlandia è il Garante per la protezione dei dati (tietosuoja.fi). In un altro paese dell'UE/SEE è la tua autorità locale di protezione dei dati.