Portale Back Office Area Riservata

INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

Ultimo aggiornamento: 13 giugno 2022

La presente informativa, resa ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (di seguito il “Regolamento” o “GDPR”), descrive le modalità del trattamento dei dati personali degli utenti (di seguito “Interessato/i” o genericamente “Utente/i”) degli enti aderenti (di seguito “Enti”) che si autenticano al portale di back office “Area Riservata” (di seguito anche il “Portale”) di PagoPA S.p.A. (di seguito anche “Titolare” o “Società”) raggiungibile all’indirizzo web: https://selfcare.pagopa.it (di seguito il “Sito”). Il Portale viene messo a disposizione dalla Società agli Utenti al fine di rendere fruibile in modalità semplificata l’accesso e l’adesione ai prodotti (di seguito “Prodotto/i”) della Società attraverso un unico canale (di seguito anche il “Servizio”).

La validità dell’informativa contenuta nella presente pagina è limitata al solo Portale e non si estende ad altri siti web eventualmente consultabili mediante collegamento ipertestuale.

All’interno del Portale la Società rende disponibili i seguenti Prodotti: 

• App IO all’indirizzo web: io.selfcare.pagopa.it
• Piattaforma Notifiche Digitali all’indirizzo web: pn.selfcare.pagopa.it 
• PDND Interoperabilità all’indirizzo web: interop.selfcare.pagopa.it 

Qui, per i Prodotti, puoi consultare le relative informative privacy e i Termini e condizioni d’uso specifici:

• Privacy policy e ToS – App IO
• Privacy policy e ToS – Piattaforma Notifiche Digitali
• Privacy policy e ToS – PDND Interoperabilità

Titolare del trattamento e base giuridica

Il Titolare del trattamento è PagoPA S.p.A., con sede in Roma, Piazza Colonna 370, CAP – 00187, n. di iscrizione a Registro Imprese di Roma, CF e P.IVA 15376371009. 

E-mail: info@pagopa.it. 

La Società tratta i dati personali in qualità di Titolare del trattamento sulla base dell’esercizio del compito di interesse pubblico di cui all’art. 6, comma 1, lett. e), del GDPR riguardante, in particolare, la progettazione, la gestione e lo sviluppo del Portale.

Per ogni domanda inerente il trattamento di dati personali si prega di scrivere utilizzando il form dedicato alla gestione delle richieste degli interessati.

Data protection officer (DPO) o Responsabile Protezione Dati (RPD) 

PagoPA S.p.A. ha nominato un proprio Responsabile della Protezione dei dati, ai sensi dell’art. 37 del Regolamento, che può essere contattato tramite il presente form di contatto. Il form è altresì disponibile sul sito web della Società nella sezione “Diritto alla protezione dei dati personali”. 

Categorie di soggetti ai quali i dati personali possono essere comunicati e finalità della comunicazione

La Società potrà comunicare alcuni dati personali a soggetti terzi dei quali si avvale per lo svolgimento di attività connesse alla gestione del Portale.

In particolare, i dati personali potranno essere comunicati a società esterne che offrono alla Società taluni servizi e ai soggetti cui la comunicazione sia dovuta in forza di obblighi di legge. I suddetti soggetti potranno trattare i dati in qualità di responsabili per conto della Società o di titolari autonomi nel rispetto delle disposizioni di legge.

L’elenco completo dei responsabili del trattamento può essere richiesto alla Società scrivendo sul form di contatto presente nella sezione “Diritto alla protezione dei dati personali” del sito web della Società. 

Non è prevista alcuna forma di diffusione dei dati personali a soggetti indeterminati.

Alcuni dei responsabili del trattamento di cui la Società si avvale vengono elencati, a titolo esemplificativo, di seguito:

• Microsoft Ireland Operations, Ltd. per l’infrastruttura tecnologica con sede in One Microsoft Place South County Business Park Leopardstown Dublin 18, D18 P521, Ireland.

Gli interessati possono contattare il responsabile della protezione dei dati compilando il modulo web in https://aka.ms/privacyresponse. È possibile inoltre contattare il responsabile della protezione dei dati anche tramite posta: Responsabile della protezione dei dati di Microsoft EU – One Microsoft Place, South County Business Park, Leopardstown, Dublino 18, D18 P521, Irlanda – Telefono: +353 (1) 706-3117.

• OneTrust Technology Limited per la gestione delle richieste degli interessati, con sede in 82 St John Street, London, England, EC1M 4JN, n. di iscrizione al Registro Imprese Great England and Wales n. 04156317. Gli interessati possono contattare il responsabile della protezione dei dati scrivendo all’indirizzo e-mail: dpo@onetrust.com

Dati personali trattati e finalità del trattamento

a) Dati trattati all’atto dell’accesso

Per accedere al Portale devi autenticarti tramite identificazione digitale (SPID/SPID Professionale o CIE). Il Portale ottiene direttamente dall’identity provider i seguenti dati personali:

• nome, cognome, codice fiscale ed e-mail ottenuti tramite accesso al Portale con SPID/SPID Professionale;
• il ruolo di dipendente/collaboratore presso l’Ente se l’accesso al Portale è avvenuto con SPID Professionale;
• nome, cognome, codice fiscale ed e-mail ottenuti tramite accesso al Portale con CIE.

L’e-mail viene acquisita per poter generare un codice OTP al fine di garantire un accesso sicuro al Portale. 

Successivamente alla registrazione del tuo Ente al Portale (primo accesso) sono trattati anche i seguenti dati: 

• ruolo di Utente (amministratore/operatore) dell’/degli Ente/i cui appartieni/per cui operi.

Tutti i dati sopra elencati sono trattati al fine di identificare univocamente ogni Utente che accede al Portale. 

b) Dati relativi agli identificatori online e alla navigazione

I sistemi informatici preposti al funzionamento del Portale acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet.

In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dispositivi utilizzati dagli Utenti, gli indirizzi in notazione URI/URL (Uniform Resource Identifier/Locator) delle risorse richieste, l’orario della richiesta, il tipo di richiesta effettuata (risorsa richiesta e nome dell’operazione), il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all’ambiente informatico dell’Utente.

A ciascun Utente, i sistemi del Portale attribuiscono un codice identificativo univoco associato all’account e conservato nei log, nonché un token di sessione.

Tali dati, necessari per la fruizione delle funzionalità del Portale, vengono anche trattati allo scopo di controllare il corretto funzionamento dei sistemi e dei servizi offerti dal Portale (diagnostica), nonché per motivi di sicurezza.

c) Dati trattati per finalità di adesione ai Prodotti

• nome, cognome, codice fiscale ed e-mail ad uso istituzionale/lavorativo del Legale Rappresentante dell’Ente;
• e-mail ad uso istituzionale/lavorativo, nome, cognome, codice fiscale dell’/degli Utente/i (amministratore/operatore) da censire nell’accordo di adesione per i Prodotti;
• nome, cognome e firma del Legale Rappresentante dell’Ente ottenuta mediante la sottoscrizione dell’accordo di adesione a ciascun Prodotto. 

I suddetti dati sono trattati al fine di formalizzare l’adesione ai Prodotti. 

d) Dati forniti volontariamente dall’Utente per aggiungere e gestire gli Utenti

Inoltre, per aggiungere e successivamente gestire un Utente al Portale, vengono trattati i seguenti dati personali:

• nome, cognome, codice fiscale ed e-mail ad uso istituzionale/lavorativo del Utente dell’Ente da aggiungere;
• indicazione del ruolo dell’Utente (amministratore o operatore);
• etichetta/nome del/dei gruppo/i di appartenenza dell’Utente (ivi inclusa la relativa descrizione);
• elenco degli Utenti appartenenti a ciascun gruppo.

I suddetti dati, forniti volontariamente dall’Utente, sono trattati, con riferimento a ciascun Prodotto, per l’aggiunta e la gestione degli Utenti.

Con riferimento all’attività di gestione degli Utenti, se sei un amministratore, puoi  modificare l’e-mail ad uso istituzionale/lavorativo di un altro Utente, sospenderlo operativamente dal suo ruolo di Utente, nonché eliminarlo/rimuoverlo in via definitiva dal Prodotto e eventualmente riabilitarlo. 

Nel caso in cui tu stia inserendo dati personali di terzi, ti invitiamo ad ottenere specifica autorizzazione a procedere da parte di tale soggetto, al fine di non commettere un trattamento illecito.  

Inoltre, la totalità dei dati personali trattati possono essere utilizzati dal Titolare del trattamento in giudizio o nelle fasi propedeutiche alla sua eventuale instaurazione per la difesa da abusi perpetrati dall’Utente.

Modalità del trattamento

I dati personali degli Utenti sono trattati adottando adeguate misure di sicurezza volte ad impedire l’accesso, la divulgazione, la modifica o la distruzione non autorizzata dei dati personali. Tutti i dipendenti della Società che hanno accesso ai dati personali sono debitamente designati quali soggetti autorizzati al trattamento e ciascuno di essi è incaricato di trattare unicamente i dati strettamente necessari allo svolgimento delle proprie mansioni lavorative. Il trattamento è effettuato prevalentemente mediante strumenti informatici, con modalità organizzative e logiche strettamente correlate alle finalità sopra indicate. Oltre al Titolare, in alcuni casi, possono avere accesso ai dati, a seguito di comunicazione da parte dello stesso, anche ulteriori soggetti coinvolti nella gestione e l’erogazione dei servizi offerti tramite il Portale, nominati, ove necessario, quali responsabili del trattamento ai sensi dell’art. 28 del Regolamento. Tali soggetti trattano i dati esclusivamente per attività funzionali o comunque strettamente connesse allo svolgimento del Servizio.

Categorie di destinatari dei dati

Il Titolare, nello svolgimento delle proprie attività, ha la facoltà di trasmettere, eventualmente e su richiesta, i dati alle seguenti categorie di destinatari:

• responsabili del trattamento quali fornitori di servizi;
• altri soggetti pubblici o privati che ne facciano richiesta per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di un pubblico potere o per adempiere a un obbligo legale o contrattuale.

Tempi di conservazione dei dati

I dati personali relativi agli Utenti sono trattati per il tempo strettamente necessario al perseguimento delle finalità per le quali sono stati raccolti. Nel rispetto dei principi di proporzionalità e necessità, i dati non sono conservati per periodi più lunghi rispetto a quelli indispensabili alla realizzazione delle finalità sopra indicate e dunque al diligente svolgimento delle attività. 

Di seguito alcune delle data retention stabilite:

• i log di accesso a mezzo SPID/SPID Professionale e CIE: 2 anni;
• i log di funzionamento ovvero log di sistema: 3 anni;
• gli audit log: 5 anni;
• i dati di navigazione ovvero i record contenenti informazioni relativi a browser, IP e device utilizzati durante le interazioni dell’Utente sul Portale: 90 giorni (nello specifico anche IP di navigazione estratto dal log);
• i cookie: 6 mesi;
• il codice OTP: 15 minuti;
• i dati relativi alla configurazione delle utenze (Utenti abilitati, ruoli, gruppi di
• appartenenza etc.): 2 anni a partire dall’ultimo accesso.
•  

Più nello specifico, taluni dati verranno conservati sino alla decorrenza del termine di 10 anni della prescrizione ordinaria, ai sensi dell’articolo 2946 c.c., ossia:

• i dati acquisiti a mezzo SPID/SPID Professionale e CIE ovvero nello specifico nome, cognome, codice fiscale, e-mail e ruolo (quest’ultimo solo con SPID Professionale), a partire dall’ultima acquisizione;
• nome, cognome, codice fiscale ed e-mail ad uso istituzionale/lavorativo del Legale Rappresentante dell’Ente;
• e-mail ad uso istituzionale/lavorativo, nome, cognome, codice fiscale dell’/degli Utente/i (amministratore/i) da censire nell’accordo di adesione per i Prodotti;
• nome, cognome e firma del Legale Rappresentante dell’Ente ottenuta mediante la sottoscrizione dell’accordo di adesione a ciascun Prodotto;
• nome, cognome, codice fiscale ed e-mail ad uso istituzionale/lavorativo dell’Utente  da aggiungere;
• indicazione del ruolo dell’Utente (ad. amministratore o operatore);
• etichetta/nome del/dei gruppo/i di appartenenza dell’Utente (ivi inclusa la relativa descrizione);
• elenco degli Utenti appartenenti a ciascun gruppo.

Per maggiori informazioni è sempre disponibile il form dedicato alla gestione delle richieste degli interessati disponibile nella sezione “Diritto alla protezione dei dati personali” del sito internet della Società https://www.pagopa.it/it/ . 

Trasferimento transfrontaliero dei dati

I dati personali potranno essere trasferiti fuori dall’Unione Europea da parte di fornitori di servizi di cui la Società si avvale per attività connesse alla gestione del Portale. Tale trasferimento, ove ricorra il caso, verrà disciplinato con i fornitori di servizi mediante il ricorso a clausole contrattuali standard adottate dalla Commissione europea con la decisione 2021/914/UE ed eventuali successive modifiche o, in alternativa, sulla base di una decisione di adeguatezza della Commissione e/o di ogni altro strumento consentito dalla normativa di riferimento. La lista dei fornitori coinvolti, comprensivi delle garanzie poste in essere, può essere richiesta in qualsiasi momento, utilizzando il form dedicato alla gestione delle richieste degli interessati disponibile nella sezione “Diritto alla protezione dei dati personali” del sito internet della Società https://www.pagopa.it/it/.

Diritti degli interessati

Gli Utenti, ai quali i dati personali si riferiscono, hanno il diritto di ottenere dalla Società, in qualità di Titolare del trattamento, l’accesso ai propri dati personali, l’aggiornamento, l’integrazione, la rettifica o, laddove previsto dalla legge e nei limiti previsti, la cancellazione degli stessi, la limitazione del trattamento e il diritto di opporsi allo stesso. Gli Utenti potranno, altresì, chiedere l’anonimizzazione dei dati o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi del trattamento. 

Le richieste dovranno essere inoltrate alla Società. Gli Interessati possono, altresì, contattare il Responsabile della protezione dei dati per tutte le questioni inerenti il trattamento dei propri dati personali e l’esercizio dei propri diritti, utilizzando il presente form dedicato alla gestione delle richieste degli interessati disponibile nella sezione “Diritto alla protezione dei dati personali” del sito internet della Società https://www.pagopa.it/it/ . 

Gli Interessati che ritengano che il trattamento dei dati personali a loro riferiti, effettuato dal Titolare del trattamento, avvenga in violazione di quanto previsto dal Regolamento, hanno il diritto di proporre reclamo al Garante, come previsto dall’art. 77 del Regolamento stesso, o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).

Di seguito si trasmettono i dati di contatto ed i riferimenti dell’Autorità di controllo – Garante per la protezione dei dati personali 

Indirizzo e-mail: garante@gpdp.it

Indirizzo PEC: protocollo@pec.gpdp.it

Sito web: https://www.garanteprivacy.it 

Modifiche 

Il Titolare si riserva il diritto di apportare alla presente Informativa, a propria esclusiva discrezione ed in qualunque momento, tutte le modifiche ritenute opportune o rese obbligatorie dalle norme di volta in volta vigenti, dandone adeguata pubblicità agli Utenti. In caso di mancata accettazione delle modifiche effettuate, si invitano gli Utenti a cessare l’utilizzo del Portale e a chiedere alla Società la rimozione dei propri dati personali; salvo quanto diversamente specificato, la precedente versione dell’informativa continuerà ad applicarsi ai dati personali raccolti sino a quel momento.

COOKIE POLICY

Il presente Avviso Cookie è parte della nostra Informativa sulla privacy. Per ulteriori informazioni su di noi, e su come proteggiamo informazioni degli Utenti, si prega di consultare la nostra Informativa sulla privacy.

Il Sito utilizza cookie tecnici di navigazione o di sessione che garantiscono la normale navigazione e fruizione del Sito (essi vengono memorizzati sul terminale dell’Utente sino alla chiusura del browser). Detti cookie sono utilizzati nella misura strettamente necessaria per rendere il Servizio. Essi garantiscono un’adeguata fruizione del Sito e consentono all’Utente di navigare e utilizzare servizi e opzioni. Il loro utilizzo esula da scopi ulteriori e tali cookie sono installati direttamente dal Titolare (rientrano, dunque, nella categoria di cookie di prima parte o proprietari).

Per l’installazione dei suddetti cookie non è richiesto il preventivo consenso degli Utenti, mentre resta fermo l’obbligo di dare l’informativa ai sensi dell’art. 13 del Regolamento e dell’art. 122 del D. Lgs. 196/2003 e ss.mm.ii. (“Codice Privacy”).

Il Sito presenta cookie di terze parti, creati e gestiti da soggetti diversi dal Titolare, e sui quali lo stesso non ha e non può avere alcun controllo. Nello specifico, l’unico cookie settato di terze parti è MixPanel utile per il tracciamento degli eventi di failure nelle operazioni, di cui viene richiesto preventivo consenso.

I cookie vengono conservati per un periodo non superiore a 6 mesi dal momento della raccolta, salvo che la loro ulteriore conservazione non si renda necessaria per l’accertamento di reati.

E’ possibile gestire le preferenze relative ai cookie attraverso le opzioni fornite dal proprio browser e dal cookie banner nella sezione scopri di più dove potrai accettare o meno tutti o alcuni dei cookie presenti. 

Di seguito invece le istruzioni rese disponibili dai relativi fornitori ai link di seguito indicati:

• Chrome
• Firefox
• Safari
• Internet Explorer
• Edge
• Opera

I tuoi feedback sono importanti per migliorare il Sito, anche sulle questioni privacy! Se qualcosa che riguarda la tua privacy non ti convince, non ti è chiaro o ritieni che dovremmo agire diversamente, scrivici utilizzando il form dedicato alla gestione delle richieste degli interessati.