Accordo sul trattamento dei dati

Scarica il DPA di iLost

Apri DPA (PDF)

Sulla base di due fasi di trattamento distinte, come mostrato nella panoramica visiva in fondo a questa pagina, viene descritto il modo in cui i dati personali vengono trattati all'interno della piattaforma iLost. Vengono spiegati i tipi di dati personali coinvolti, i ruoli delle parti e il quadro normativo applicabile, senza riferimento ad articoli di legge specifici della giurisdizione.

Definizioni

  1. Richiesta / Segnalazione di smarrimento: Informazioni inviate da un Utente attraverso la piattaforma iLost allo scopo di rivendicare la proprietà o il diritto su un Oggetto ritrovato.
    Una Richiesta diventa effettiva solo dopo che l'account dell'Utente è stato verificato, il che include l'invio di un indirizzo e-mail e la convalida tramite un link di verifica, e l'accettazione da parte di iLost in conformità con le sue politiche. Una volta accettata, le informazioni relative alla richiesta vengono messe a disposizione del Cliente interessato e l'oggetto smarrito viene associato all'Utente.
    Questo momento segna il passaggio dalla Fase 1 alla Fase 2, come descritto di seguito.

  2. Cliente: Un'organizzazione, un'azienda o un'istituzione (inclusi, a titolo esemplificativo ma non esaustivo, hotel, luoghi di ritrovo, operatori di trasporto e istituzioni pubbliche) che utilizza la piattaforma iLost per registrare e gestire gli oggetti smarriti.
    A scanso di equivoci, un Cliente non è una persona fisica.

  3. Titolare del trattamento: L'entità che determina le finalità e i mezzi essenziali del trattamento dei dati personali.

  4. Oggetto smarrito: Un oggetto registrato nella piattaforma iLost da un Cliente. Un oggetto smarrito può inizialmente non essere collegato a una persona identificabile e può, a seguito della presentazione e della verifica di una richiesta, essere associato a un Utente.

  5. Piattaforma iLost: La soluzione software-as-a-service online gestita da iLost, compresa la sua interfaccia web e i widget di ricerca incorporati, che consente ai Clienti di registrare e gestire gli oggetti ritrovati e agli Utenti di cercare, segnalare, reclamare e recuperare gli oggetti smarriti.

  6. Dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile, inclusi, a titolo esemplificativo ma non esaustivo, nome, recapiti, dati identificativi, fotografie, informazioni relative alla richiesta di risarcimento e identificatori online quali indirizzi IP.

  7. Trattamento: qualsiasi operazione o insieme di operazioni compiute sui dati personali, quali la raccolta, la conservazione, l'utilizzo, la divulgazione o la cancellazione.

  8. Responsabile del trattamento: l'entità che tratta i Dati personali per conto di un Titolare del trattamento.

  9. Utente: una persona fisica che interagisce direttamente con la Piattaforma iLost per cercare, reclamare o recuperare un oggetto smarrito e i cui dati personali vengono trattati in tale contesto. Laddove si applica la legge sulla protezione dei dati, un Utente si qualifica come "interessato", "individuo" o concetto giuridico equivalente ai sensi di tale legge.

1. Fase 1 – Trattamento avviato dal cliente

Nella Fase 1, i dati personali vengono inseriti nella piattaforma iLost da un membro del personale del Cliente nel contesto della registrazione e della gestione degli oggetti ritrovati.

Azioni quali la notifica proattiva a un possibile proprietario o l'abbinamento di un oggetto presso un banco di assistenza fisico sono considerate parte della Fase 1 e rimangono sotto la responsabilità del Cliente in qualità di Titolare del trattamento.

Ciò può includere, ma non è limitato a:

  • Dati di contatto di un proprietario noto o presunto che non è ancora un utente
  • Note aggiunte a un oggetto smarrito
  • Informazioni personali inserite per confermare il ritiro di un oggetto senza richiesta online

Ruoli nella Fase 1

Nella Fase 1:

  • Il Cliente determina lo scopo del trattamento, ovvero la restituzione degli oggetti ritrovati ai legittimi proprietari
  • Il Cliente agisce in qualità di Titolare del trattamento
  • iLost agisce in qualità di Responsabile del trattamento, trattando i dati personali inseriti dal Cliente e per suo conto

Il rapporto di trattamento nella Fase 1 è regolato dal Contratto di trattamento dei dati (DPA) applicabile.

2. Fase 2 – Trattamento avviato dall'utente (post-verifica)

La Fase 2 ha inizio solo dopo che un Utente ha presentato una richiesta di risarcimento o una segnalazione di smarrimento e iLost ha completato il proprio processo di verifica.
Tale verifica include la conferma dei dati di contatto dell'Utente (ad esempio la verifica dell'indirizzo e-mail) e la conformità alle politiche interne di convalida e anti-abuso di iLost.

Fino al completamento della verifica, i dati personali forniti dall'utente vengono trattati esclusivamente da iLost e non vengono messi a disposizione del cliente.

Una volta che una richiesta di risarcimento o una segnalazione di smarrimento sono state verificate e approvate da iLost, la fase 2 diventa attiva e i dati personali dell'utente in questione possono essere messi a disposizione del cliente per un'ulteriore elaborazione.

Dati personali forniti dall'utente

Durante la procedura di reclamo o di segnalazione di smarrimento, l'utente può fornire dati personali quali:

  • Nome e recapiti
  • Informazioni relative al reclamo o spiegazioni volte a dimostrare la proprietà
  • Messaggi scambiati tramite la piattaforma iLost
  • Dettagli di spedizione e indirizzo per la restituzione di un oggetto
  • Immagini o documenti di supporto

Inviando un reclamo o una segnalazione di smarrimento e accettando l'informativa sulla privacy e i termini applicabili, l'utente acconsente al trattamento dei propri dati personali da parte di iLost ai fini del funzionamento della piattaforma iLost e per facilitare il recupero degli oggetti smarriti.

Ruolo di iLost nella Fase 2

Nella Fase 2:

  • iLost agisce come Titolare indipendente per tutte le operazioni di trattamento avviate dall'utente sulla piattaforma iLost, tra cui:
  • Verifica dell'utente
  • Gestione dell'account
  • Gestione delle richieste di risarcimento
  • Flussi di comunicazione

  • Avvio della spedizione

  • iLost determina se e quando i dati personali dell'utente vengono messi a disposizione del Cliente, sulla base dei risultati della verifica e delle politiche della piattaforma.

Identificabilità degli oggetti ritrovati nella Fase 2

Un oggetto ritrovato registrato nella Fase 1 non costituisce automaticamente un dato personale.

Un oggetto ritrovato viene collegato a una persona identificabile solo quando la richiesta di risarcimento o la segnalazione di smarrimento dell'utente è stata verificata da iLost.

Da quel momento in poi, l'oggetto ritrovato è considerato un dato personale tracciabile all'interno della piattaforma iLost.

Divulgazione dei dati personali al Cliente

Dopo la verifica, alcuni dati personali dell'Utente (ad esempio, informazioni relative alla richiesta di risarcimento o dettagli di spedizione) possono essere divulgati al Cliente ove e nella misura necessaria per:

  • Verificare la proprietà
  • Prendere una decisione definitiva sulla corrispondenza
  • Preparare e completare la spedizione o la consegna fisica dell'oggetto

Nessun dato personale dell'Utente viene condiviso con il Cliente prima della verifica e dell'approvazione da parte di iLost.

3. Relazione tra responsabili del trattamento nella fase 2

Una volta che i dati personali dell'utente sono stati comunicati al Cliente a seguito della verifica, i dati personali vengono trattati e scambiati nell'ambito di un quadro di riferimento tra responsabili del trattamento (C2C).

In questo quadro:

  • iLost rimane titolare del trattamento per il trattamento avviato dall'utente all'interno della piattaforma iLost, compresi la verifica, la comunicazione e i flussi di lavoro a livello di piattaforma
  • Il Cliente rimane titolare del trattamento per il proprio trattamento successivo, compreso:
  • Verifica della proprietà e decisione finale in merito alla corrispondenza
  • Conservazione dei registri interni
  • Preparazione e completamento della spedizione o della consegna fisica

Ciascuna parte determina in modo indipendente le proprie finalità e i mezzi essenziali del trattamento ed è responsabile del rispetto delle leggi applicabili in materia di protezione dei dati in relazione alle proprie attività di trattamento.

4. Riepilogo dell'attribuzione delle responsabilità

Fase 1

  • Cliente: Titolare del trattamento
  • iLost: Responsabile del trattamento (ai sensi del DPA)

Fase 2 (Post-verifica e divulgazione)

  • iLost: Titolare del trattamento indipendente (trattamento avviato dall'utente)
  • Cliente: Titolare indipendente (trattamento operativo proprio)
  • I dati personali vengono scambiati in base a una clausola da titolare a titolare

5. Normative applicabili in materia di protezione dei dati e privacy

Il seguente elenco è non esaustivo.
I requisiti applicabili dipendono dall'ubicazione del Cliente, dell'Utente e dalle attività di trattamento pertinenti (Fase 1 e/o Fase 2).

Americhe

  • Stati Uniti (selezionati): California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA) – principalmente Fase 2
  • Stati Uniti: Altre leggi statali sulla privacy (se applicabili) – Fase 1 e/o Fase 2
  • Brasile: Legge generale sulla protezione dei dati (LGPD) – Fase 1 e Fase 2
  • Canada: PIPEDA e leggi provinciali sulla privacy applicabili – Fase 1 e Fase 2
  • Messico: Legge federale sulla protezione dei dati personali detenuti da soggetti privati – Fase 1 e Fase 2
  • Argentina: Legge sulla protezione dei dati – Fase 1 e Fase 2

Asia-Pacifico

  • Cina: Legge sulla protezione delle informazioni personali – Fase 1 e Fase 2 (ove applicabile)
  • Giappone: Legge sulla protezione delle informazioni personali – Fase 1 e Fase 2
  • Singapore: Legge sulla protezione dei dati personali – Fase 1 e Fase 2
  • Australia: Legge sulla privacy del 1988 – Fase 1 e Fase 2
  • Corea del Sud: Legge sulla protezione delle informazioni personali – Fase 1 e Fase 2
  • India: Legge sulla protezione dei dati personali digitali – Fase 1 e Fase 2 (ove applicabile)
  • Indonesia: Legge sulla protezione dei dati personali – Fase 1 e Fase 2
  • Thailandia: Legge sulla protezione dei dati personali - Fase 1 e Fase 2
  • Malesia: Legge sulla protezione dei dati personali - Fase 1 e Fase 2
  • Filippine: Legge sulla privacy dei dati - Fase 1 e Fase 2
  • Vietnam: Decreto sulla protezione dei dati personali - Fase 1 e Fase 2
  • Hong Kong: Ordinanza sui dati personali (privacy) - Fase 1 e Fase 2
  • Taiwan: Legge sulla protezione dei dati personali – Fase 1 e Fase 2

Europa

  • Unione Europea / SEE: Regolamento generale sulla protezione dei dati (GDPR) – Fase 1 e Fase 2
  • Regno Unito: GDPR del Regno Unito e Legge sulla protezione dei dati 2018 – Fase 1 e Fase 2
  • Svizzera: Legge federale sulla protezione dei dati (FADP) – Fase 1 e Fase 2

Medio Oriente e Africa

  • Regolamenti sulla protezione dei dati degli Emirati Arabi Uniti / DIFC / ADGM – Fase 1 e Fase 2
  • Qatar: Legge sulla protezione dei dati – Fase 1 e Fase 2
  • Israele: Legge sulla protezione della privacy – Fase 1 e Fase 2
  • Arabia Saudita: Legge sulla protezione dei dati personali (PDPL) – Fase 1 e Fase 2
  • Bahrein / Oman: Leggi nazionali applicabili in materia di protezione dei dati – Fase 1 e Fase 2
  • Turchia: Legge sulla protezione dei dati personali – Fase 1 e Fase 2
  • Sudafrica: Legge sulla protezione delle informazioni personali (POPIA) – Fase 1 e Fase 2
  • Nigeria: Legge sulla protezione dei dati della Nigeria (NDPA) – Fase 1 e Fase 2
  • Kenya: Legge sulla protezione dei dati – Fase 1 e Fase 2

Ciascuna parte rimane responsabile del rispetto delle leggi sulla protezione dei dati applicabili alle proprie attività di trattamento e alla propria giurisdizione e dovrà informare iLost per iscritto di eventuali aggiunte o modifiche sostanziali a quanto sopra.

Panoramica visiva del flusso

Di seguito è riportato il diagramma di mappatura visiva che illustra il flusso completo dei dati tra la Fase 1 e la Fase 2, compresi i ruoli dell'organizzazione e dell'utente e il passaggio delle responsabilità del titolare del trattamento.

Diagramma del flusso di dati della Fase 1 e della Fase 2