Informativa Privacy - Portale Area Riservata

ai sensi dell’art. 13 - 14 del Regolamento (UE) 2016/679

Ultimo aggiornamento: 8  luglio 2024

La presente informativa, resa ai sensi dell’art. 13 e 14 del Regolamento (UE) 2016/679 (di seguito il “Regolamento” o “GDPR”), descrive le modalità del trattamento dei dati personali degli utenti (di seguito “Interessato/i” o genericamente “Utente/i”) degli enti aderenti (di seguito “Enti”) che si autenticano al portale  “Area Riservata” (di seguito anche il “Portale”) di PagoPA S.p.A. (di seguito anche “Titolare” o “Società”) raggiungibile all’indirizzo web: https://selfcare.pagopa.it (di seguito il “Sito”). Il Portale viene messo a disposizione dalla Società agli Utenti al fine di rendere fruibile in modalità semplificata l’accesso e l’adesione ai prodotti (di seguito “Prodotto/i”) della Società attraverso un unico canale (di seguito anche il “Servizio”).

La validità dell’informativa contenuta nella presente pagina è limitata al solo Portale e non si estende ad altri siti web eventualmente consultabili mediante collegamento ipertestuale.

Qui, per i Prodotti, puoi consultare le relative informative privacy e i Termini e condizioni d’uso specifici:

• Privacy policy e ToS – IO
• Privacy policy e ToS – SEND
• Privacy policy e ToS – PDND Interoperabilità
• Privacy policy e ToS – Piattaforma pagoPA
• Privacy policy e ToS – Firma con IO

Titolare del trattamento

Il Titolare del trattamento è la società PagoPA S.p.A. con sede legale in Roma, Piazza Colonna 370, CAP - 00187, n. di iscrizione a Registro Imprese di Roma, CF e P.IVA 15376371009, e-mail: info@pagopa.it.; PEC pagopa@pec.governo.it.

Data protection officer (DPO) o Responsabile Protezione Dati (RPD)

PagoPA S.p.A. ha nominato un proprio Responsabile della Protezione dei dati, ai sensi dell’art. 37 del Regolamento UE 2016/679, che può essere contattato tramite form di contatto raggiungibile dal sito web della Società, www.pagopa.it, dalla sezione “Diritto alla protezione dei dati personali”.  

E’ altresì contattabile ai seguenti recapiti: 

mail: dpo@pagopa.it; 

PEC: dpo@pec.pagopa.it; 

indirizzo: Via Sardegna n. 38 – 00187, ROMA (sede operativa della Società). 

Responsabili  del trattamento

L’elenco completo dei responsabili del trattamento può essere richiesto alla Società scrivendo al form di contatto summenzionato raggiungibile dalla sezione “Diritto alla protezione dei dati personali” del sito web della Società. 

Autorità di controllo 

Garante per la protezione dei dati personali:

E-mail: garante@gpdp.it 

PEC: protocollo@pec.gpdp.it  

Sito web: https://www.garanteprivacy.it 

Categorie di dati personali, finalità del trattamento e base giuridica

a) Dati trattati all’atto dell’accesso al Portale

Per accedere al Portale tramite identificazione digitale (SPID o CIE) la Società tratta i seguenti dati, ottenuti dall’identity provider:

• nome, cognome, codice fiscale;
• Log di accesso a mezzo SPID/CIE;
• Log di sistema. 

Successivamente alla registrazione dell’Ente al Portale (primo accesso) sono trattati anche i seguenti dati: ruolo di Utente (amministratore/operatore) dell’/degli Ente/i cui per cui si operi.

Tutti i dati sopra elencati sono trattati al fine di identificare l'utente, censirlo in maniera univoca e comunicare con lui, sulla base dell’esercizio del compito di interesse pubblico di cui all’art. 6, comma 1, lett. e) GDPR.

b) Dati relativi agli identificatori online e alla navigazione

I sistemi informatici preposti al funzionamento del Portale acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet.

In questa categoria di dati rientrano:

• nomi a dominio dispositivi utilizzati dagli Utenti;
• gli indirizzi in notazione URI/URL (Uniform Resource Identifier/Locator) delle risorse richieste, l’orario della richiesta;
• il tipo di richiesta effettuata (risorsa richiesta e nome dell’operazione);
• il metodo utilizzato nel sottoporre la richiesta al server;
• la dimensione del file ottenuto in risposta;
• Log di sistema;
• il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all’ambiente informatico dell’Utente.

A ciascun Utente, i sistemi del Portale attribuiscono un codice identificativo univoco associato all’account e conservato nei log, nonché un token di sessione. Tali dati, necessari per la fruizione delle funzionalità del Portale, vengono anche trattati allo scopo di controllare il corretto funzionamento dei sistemi e dei servizi offerti dal Portale (diagnostica), nonché per motivi di sicurezza, sulla base dell’art. 6, comma 1, lett. e) GDPR. 

c) Dati trattati per finalità di adesione ai Prodotti

L'utente referente degli Aderenti Pubblica Amministrazione, Gestore Pubblici Servizi, Società a Controllo Pubblico, PSP, Partner tecnologici, Enti privati, tra cui anche il legale rappresentante dell'organizzazione (es Amministratore delegato) o procuratore speciale, inserisce i dati del legale rappresentante o procuratore speciale, che firmerà l'accordo di adesione e quelli degli amministratori, che, come il legale rappresentante, avranno la possibilità di entrare nel Portale da cui accedere ad uno dei prodotti a cui l'Ente ha aderito e di gestire i relativi utenti e gruppi di utenti.

Dunque, La Società in fase di compilazione e sottoscrizione dell’accordo di adesione, tratta i seguenti dati:

• nome, cognome, codice fiscale ed e-mail ad uso istituzionale/lavorativo del Legale Rappresentante dell’Ente che firma digitalmente l'accordo di adesione;
• nome, cognome e firma del Legale Rappresentante dell’Ente ottenuta mediante la sottoscrizione dell’accordo di adesione a ciascun Prodotto;
• Log di accesso a mezzo SPID/CIE;
• Log di sistema;
• Nome, cognome, codice fiscale e email aziendale/istituzionale dei referenti dell'Ente che ricopriranno il ruolo di Amministratori nel portale Area Riservata. 

I suddetti dati sono trattati al fine di formalizzare l’adesione ai Prodotti, sulla base dell’art. 6, comma 1, lett. b) ed e) GDPR, nonché c) per gli aderenti a PagoPA.

d) Accesso alla piattaforma da parte degli utenti abilitati con il ruolo di Amministratore o Operatore per accedere al prodotto a cui l'Ente ha aderito

Quando l'utente/ il referente dell'Ente del prodotto a cui l'Ente ha aderito, censito durante la fase di adesione o successivamente da un utente Amministratore, entra nel portale Area Riservata tramite CIE o SPID, la Società tratta i seguenti dati:

• Nome, cognome, codice fiscale acquisti a mezzo CIE o SPID;
• Log di sistema;
• Log di accesso a mezzo SPID/CIE.

La Società, al fine di permettere l'accesso al Portale ai referenti che sono stati indicati in fase di sottoscrizione a un prodotto, tratta i suddetti dati ex art. 6, comma 1, lett. b) ed e).

e) Aggiunta, gestione e sostituzione referenti dell'Ente abilitandoli all'accesso al Portale e al prodotto a cui l'Ente ha aderito

La Società, nel processo di:

a) aggiunta, gestione e sostituzione referenti dell'Ente da parte dell’Utente Amministratore, abilitandoli all'accesso al Portale e al prodotto a cui l'Ente ha aderito

b) aggiunta e sostituzione manuale dei referenti dell'Ente al prodotto a cui l'Ente ha aderito

c) aggiunta di un nuovo delegato nel caso in cui all'interno di Area Riservata non siano più presenti utenti attivi che possono aggiungere nuovi Amministratori per gestire il prodotto

tratta i seguenti dati personali:

• Nome, cognome, codice fiscale, email aziendale/istituzionale dei referenti dell'Ente che ricopriranno il ruolo di Amministratori o Operatori
• Log di sistema

La Società tratta questi dati sulla base dell’art. 6, comma 1, lett b) ed e) GDPR

I suddetti dati, forniti volontariamente dall’Utente, sono trattati, con riferimento a ciascun Prodotto, per l’aggiunta e la gestione degli Utenti.

Con riferimento all’attività di gestione degli Utenti, l’Amministratore può  modificare l’e-mail ad uso istituzionale/lavorativo di un altro Utente, sospenderlo operativamente dal suo ruolo di Utente, nonché eliminarlo/rimuoverlo in via definitiva dal Prodotto e eventualmente riabilitarlo. 

Nel caso in cui tu stia inserendo dati personali di terzi, ti invitiamo ad ottenere specifica autorizzazione a procedere da parte di tale soggetto, al fine di non commettere un trattamento illecito.  

Inoltre, la totalità dei dati personali trattati possono essere utilizzati dal Titolare del trattamento in giudizio o nelle fasi propedeutiche alla sua eventuale instaurazione per la difesa da abusi perpetrati dall’Utente, ai sensi dell’art. 6, comma 1, lett. f)

f) Richiesta Assistenza funzionale e/o tecnica

La Società, quando l'utente di Area Riservata che ha necessità di assistenza tecnica o funzionale limitatamente alla navigazione sul portale, e non su uno dei prodotti a cui può accedere tramite il Portale, tratta i seguenti dati:

• Nome, cognome, codice fiscale, e-mail dell'utente che inoltra la richiesta di assistenza;
• Dettaglio della richiesta di informazione/chiarimento;
• Dati di navigazione (browser, device type, ip address).

La Società tratta i seguenti dati per finalità di assistenza, ai sensi dell’art. 6, comma 1, lett. e).

Modalità del trattamento

I dati personali degli Utenti sono trattati adottando adeguate misure di sicurezza volte ad impedire l’accesso, la divulgazione, la modifica o la distruzione non autorizzate dei dati personali. Tutti i dipendenti della Società che hanno accesso ai dati personali sono debitamente designati quali soggetti autorizzati al trattamento e ciascuno di essi è incaricato di trattare unicamente i dati strettamente necessari allo svolgimento delle proprie mansioni lavorative. Il trattamento è effettuato prevalentemente mediante strumenti informatici, con modalità organizzative e logiche strettamente correlate alle finalità sopra indicate. Oltre al Titolare, in alcuni casi, possono avere accesso ai dati, a seguito di comunicazione da parte dello stesso, anche ulteriori soggetti coinvolti nella gestione e l’erogazione del Servizio, nominati, ove necessario, quali responsabili del trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679. Tali soggetti trattano i dati esclusivamente per attività funzionali o comunque strettamente connesse allo svolgimento dei servizi richiesti.

Categorie di soggetti ai quali i dati personali possono essere comunicati

I dati potranno essere trattati dal Titolare, da personale autorizzato al trattamento o da soggetti appositamente nominati quali Responsabili del trattamento. In ogni momento, l’interessato può chiedere al Titolare la lista completa dei Responsabili di volta in volta nominati coinvolti nel trattamento dei dati per le finalità di cui alla presente informativa compilando il summenzionato form di contatto. 

Il Titolare, nello svolgimento delle proprie attività, potrebbe dover trasmettere su richiesta i dati trattati, al fine adempiere ad un obbligo legale o all'esercizio di un pubblico potere, nonché per riscontrare una specifica richiesta di un’Autorità.

Tempi di conservazione dei dati

I dati personali relativi agli Utenti sono trattati per il tempo strettamente necessario al perseguimento delle finalità per le quali sono stati raccolti. Nel rispetto dei principi di proporzionalità e necessità, i dati non sono conservati per periodi più lunghi rispetto a quelli indispensabili alla realizzazione delle finalità sopra indicate e dunque al diligente svolgimento delle attività. Per maggiori informazioni è disponibile il form dedicato alla gestione delle richieste degli interessati disponibile nella sezione “diritto alla protezione dei dati personali” del sito internet della Società https://www.pagopa.it/it/.

Di seguito alcune delle data retention stabilite:

• i log di accesso a mezzo SPID/CIE: 2 anni;
• i log di sistema: 90 giorni;
• i dati di navigazione ovvero i record contenenti informazioni relativi a browser, IP e device utilizzati durante le interazioni dell’Utente sul Portale: 90 giorni (nello specifico anche IP di navigazione estratto dal log);
• i cookie: 6 mesi.

Più nello specifico, taluni dati verranno conservati sino alla decorrenza del termine di 10 anni della prescrizione ordinaria, ai sensi dell’articolo 2946 c.c., ossia:

• i dati acquisiti a mezzo SPID/SPID e CIE ovvero nello specifico nome, cognome, codice fiscale, e-mail, a partire dall’ultima acquisizione;
• nome, cognome, codice fiscale ed e-mail ad uso istituzionale/lavorativo del Legale Rappresentante o procuratore speciale dell’Ente;
• e-mail ad uso istituzionale/lavorativo, nome, cognome, codice fiscale dell’/degli Utente/i (amministratore/i) da censire nell’accordo di adesione per i Prodotti;
• nome, cognome e firma del Legale Rappresentante dell’Ente ottenuta mediante la sottoscrizione dell’accordo di adesione a ciascun Prodotto;
• nome, cognome, codice fiscale ed e-mail ad uso istituzionale/lavorativo dell’Utente  da aggiungere;
• indicazione del ruolo dell’Utente (ad. amministratore o operatore);
• etichetta/nome del/dei gruppo/i di appartenenza dell’Utente (ivi inclusa la relativa descrizione);
• elenco degli Utenti appartenenti a ciascun gruppo.

Per maggiori informazioni è sempre disponibile il form dedicato alla gestione delle richieste degli interessati disponibile nella sezione “Diritto alla protezione dei dati personali” del sito internet della Società https://www.pagopa.it/it/ . 

Trasferimento dati fuori dall’UE

Alcuni dei fornitori terzi di cui la Società si avvale per alcuni servizi essenziali legati  all’operatività dei prodotti e servizi risiedono all’estero, compresi gli USA.  La Società ha concluso con tali fornitori accordi ai sensi dell'art. 28 del Regolamento e utilizzato uno o più meccanismi che garantiscano un adeguato livello di tutela (es. verifica dell’adesione degli stessi al Data Privacy Framework, sottoscrizione di Clausole Contrattuali Standard della Commissione Europea). Laddove possibile, inoltre, selezioniamo opzioni che consentono di mantenere i dati nell’Unione Europea e abbiamo negoziato misure aggiuntive per garantire un maggior livello di sicurezza.

Diritti degli interessati

Gli interessati hanno il diritto di ottenere, nei casi previsti, l’accesso ai propri dati personali e la rettifica o la cancellazione degli stessi nelle forme e nei limiti previsti dal Regolamento negli artt. 15 e ss. Inoltre, gli interessati, laddove ricorrano i presupposti, hanno diritto alla limitazione del trattamento che li riguarda o di opporsi al trattamento, oltre al diritto alla portabilità dei dati (artt. 18 e 21 del Regolamento). Tali richieste potranno essere indirizzate al Titolare, tramite il presente form di contatto. Il form è altresì disponibile sul sito web della Società nella sezione “Diritto alla protezione dei dati personali”. 

Diritti di reclamo

Qualora l’interessato ritenga che il trattamento dei propri dati personali avvenga in violazione di quanto previsto dalla normativa vigente, avrà il diritto di proporre reclamo all’Autorità di controllo. 

Modifiche 

Il Titolare si riserva il diritto di apportare alla presente informativa, a propria esclusiva discrezione ed in qualunque momento, tutte le modifiche ritenute opportune o rese obbligatorie dalle norme di volta in volta vigenti, dandone adeguata pubblicità agli Interessati. Salvo quanto diversamente specificato, la precedente versione dell’informativa continuerà ad applicarsi ai dati personali raccolti sino a quel momento.

COOKIE POLICY

Il presente Avviso Cookie è parte della nostra Informativa sulla privacy. Per ulteriori informazioni su di noi, e su come proteggiamo informazioni degli Utenti, si prega di consultare la nostra Informativa sulla privacy.

Il Sito utilizza cookie tecnici di navigazione o di sessione che garantiscono la normale navigazione e fruizione del Sito (essi vengono memorizzati sul terminale dell’Utente sino alla chiusura del browser). Detti cookie sono utilizzati nella misura strettamente necessaria per rendere il Servizio. Essi garantiscono un’adeguata fruizione del Sito e consentono all’Utente di navigare e utilizzare servizi e opzioni. Il loro utilizzo esula da scopi ulteriori e tali cookie sono installati direttamente dal Titolare (rientrano, dunque, nella categoria di cookie di prima parte o proprietari).

Per l’installazione dei suddetti cookie non è richiesto il preventivo consenso degli Utenti, mentre resta fermo l’obbligo di dare l’informativa ai sensi dell’art. 13 del Regolamento e dell’art. 122 del D. Lgs. 196/2003 e ss.mm.ii. (“Codice Privacy”).

Il Sito presenta cookie di terze parti, creati e gestiti da soggetti diversi dal Titolare, e sui quali lo stesso non ha e non può avere alcun controllo. Nello specifico, l’unico cookie settato di terze parti è MixPanel utile per il tracciamento degli eventi di failure nelle operazioni, di cui viene richiesto preventivo consenso.

I cookie vengono conservati per un periodo non superiore a 6 mesi dal momento della raccolta, salvo che la loro ulteriore conservazione non si renda necessaria per l’accertamento di reati.

E’ possibile gestire le preferenze relative ai cookie attraverso le opzioni fornite dal proprio browser e dal cookie banner nella sezione scopri di più dove potrai accettare o meno tutti o alcuni dei cookie presenti. 

Di seguito invece le istruzioni rese disponibili dai relativi fornitori ai link di seguito indicati:

• Chrome
• Firefox
• Safari
• Edge
• Opera

I tuoi feedback sono importanti per migliorare il Sito, anche sulle questioni privacy! Se qualcosa che riguarda la tua privacy non ti convince, non ti è chiaro o ritieni che dovremmo agire diversamente, scrivici utilizzando il form dedicato alla gestione delle richieste degli interessati.