GDPR Compilance

1. GPDR – Valutazione Iniziale

Identificazione di tutti i dati, delle applicazioni associate e della conservazione

Il servizio Metooo, per il suo funzionamento di base, ha necessità di acquisire i seguenti dati dagli utenti:

  • Nome
  • Cognome
  • Indirizzo Email

Se l’utente di Metooo mette in vendita biglietti a pagamento, e/o se sceglie di attivare un abbonamento PRO a pagamento, Metooo acquisisce ulteriori dati:

  • indirizzo dell’account PayPal e/o Stripe dell’utente, necessario affinché l’utente possa vendere i propri biglietti e/o possa sottoscrivere un abbonamento a pagamento PRO
  • profilo di fatturazione dell’utente (Nome, Cognome, Codice Fiscale e/o Partita IVA) necessario per poter vendere i biglietti e per ricevere fattura commerciale per le commissioni pagate a Metooo sui biglietti a pagamento e/o per ricevere fattura commerciale per l’abbonamento PRO a pagamento sottoscritto con Metooo.

Se l’utente di Metooo usa il servizio di invio RSVP ai propri contatti, Metooo acquisisce i dati dei contatti (Nome, Cognome, Indirizzo email) che vengono caricati dall’utente Metooo sulla piattaforma Metooo.

Se l’utente Metooo usa il servizio di acquisizione dati personalizzata (somministrazione di un questionario, formulario etc…) durante la fase di vendita del biglietti, i dati acquisiti sono conservati da Metooo, che non ne analizza la composizione semantica, ma esclusivamente effettua la conservazione.

I dati vengono acquisiti tramite browser desktop/mobile e/o tramite app, e sono conservati all’interno del database di Metooo ospitato sul servizio Compose (www.compose.io)

Metooo può acquisire inoltre informazioni sulla localizzazione geografica dell’utente, attraverso richiesta di consenso da fornire su browser desktop/mobile e/o su app.

Determinazione delle informazioni personali che direttamente o indirettamente identificano un soggetto

I dati che possono identificare un soggetto sono:

  • Nome
  • Cognome
  • Indirizzo email
  • Profilo di Fatturazione
  • Account PayPal e/o Stripe

Determinazione dell’autorità di controllo e/o di elaborazione delle Informazioni Personali Identificabili

All’interno di Metooo l’autorità di controllo e/o di elaborazione delle Informazioni Personali Identificabili è assegnata a Ferdinando Caruso che assume il ruolo di DPO.

Il DPO è stato designato in funzione delle qualità professionali, e della capacità di adempiere ai propri compiti. 

Il DPO è prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali sia dal titolare del trattamento (la società Metooo SRL) che dal responsabile del trattamento e gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal GPDR.

Il DPO gode di ampia autonomia e non riceve alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti.

Identificazione dei processi aziendali tramite l’utilizzo di Informazioni Personali Identificabili

I processi aziendali interni a Metooo che coinvolgono l’utilizzo di Informazioni Personali Identificabili sono:

  • iscrizione dell’utente
  • login dell’utente
  • vendita di biglietti
  • emissione delle fatture per le commissioni sulle vendite dei biglietti
  • invio di RSVP email
  • invio di comunicazioni di servizio
  • invio di contenuti per lo storytelling
  • checkin dei biglietti
  • rimborso dei biglietti

Identificazione delle persone che interagiscono con le Informazioni Personali Identificabili

L’accesso alle Informazioni Personali Identificabili è consentito esclusivamente al personale tecnico di Metooo, che vi accede solo per fini connessi alla manutenzione del servizio ed al supporto agli utenti. Non è consentito l’accesso al personale non tecnico ed a terzi estranei al servizio Metooo.


2. GPDR - Identificazione delle priorità di conformità

Le categorie dei dati, i processi aziendali e loro caratteristiche sono gestiti in Metooo in maniera combinata per garantire la compliance al GDPR.

A tal proposito abbiamo individuato le seguenti categorie di dati:

  • Nome e Cognome utente
  • Email utente
  • Codice fiscale utente
  • Partita Iva utente
  • Indirizzo account PayPal utente
  • Indirizzo account Stripe utente
  • Nome e Cognome di persone invitate dall’utente
  • Indirizzo email di persone invitate dall’utente
  • Messaggi inviati e ricevuti dall’utente
  • Altri dati di natura varia raccolti dall’utente attraverso questionari, interviste e moduli di raccolta e sistema di storytelling usati dall’utente attraverso il servizio Metooo

Alcune di queste categorie rientrano nelle Informazioni Personali Identificabili:

  • Nome e Cognome utente
  • Email utente
  • Codice fiscale utente
  • Partita Iva utente
  • Indirizzo account PayPal utente
  • Indirizzo account Stripe utente
  • Nome e Cognome di persone invitate dall’utente
  • Indirizzo email di persone invitate dall’utente

Le altre invece rappresentano informazioni non identificabili, né visionate per l’esecuzione del servizio, a meno di esplicita richiesta di supporto pervenuta dall’utente.

I processi aziendali che interessano le categorie di informazioni sono:

  • registrazione nuovo utente
  • login utente
  • vendita di biglietti (gratuiti, a pagamento, donazione e merchandising)
  • invio di inviti RSVP
  • invio di comunicazioni ai partecipanti
  • checkin partecipanti
  • storytelling
  • supporto all’utente
  • invio di comunicazioni tecniche all’utente
  • invio di comunicazioni di servizio all’utente
  • invio di promozioni all’utente

L’utente che aderisce al servizio Metooo approva esplicitamente ogni punto di questo elenco di utilizzo, in modo chiaro e consapevole.

La priorità seguita nell’aggiornamento del servizio è stata infatti quella di predisporre un sistema di comprensione semplice e sicuro per ciascuna delle operazioni elencate, con la possibilità di aderire solo ad alcune. Naturalmente, esistono delle operazioni (es. acquisizione numero Partita Iva) che sono necessarie per la stessa esecuzione del servizio (es. vendita dei biglietti).


3. GPDR - Valutazione dell’Impatto sulla Protezione dei Dati (DPIA: Data Protection Impact Assessment)

Abbiamo eseguito una valutazione d’impatto su qualsiasi processo a rischio di violazione dei diritti di riservatezza dei dati del soggetto interessato. Lo scopo della valutazione è stato quello di consentirci di mitigare al massimo i rischi identificati.

Il report di valutazione di seguito descritto riguarda:

  • Descrizione delle attività di controllo e/o elaborazione delle Informazioni Personali Identificabili
  • Valutazione dell’impatto sui diritti degli interessati
  • Misure prese per limitare l’impatto

Abbiamo identificato le attività critiche dal momento in cui è acquisito il primo dato considerabile come Informazione Personale Identificabile: l’indirizzo email dell’utente, e il proprio nome e cognome.

Queste informazioni sono acquisite esclusivamente al momento della registrazione volontaria dell’utente al servizio Metooo.

Abbiamo rivisto il processo di acquisizione dei dati, fornendo all’utente una maggiore chiarezza del modo in cui i dati vengono acquisiti, e dell’uso che di tali dati sarà fatto all’interno del Servizio Metooo.

Abbiamo effettuato un checkup approfondito dei nostri servizi per garantire che durate la fase di acquisizione dei dati non intervengano soggetti terzi che possano “rubare” i dati forniti dall’utente.

Usiamo il protocollo HTTPS su ogni pagina del sito metooo.io in modo da rendere sicure le trasmissioni di informazioni tra utenti e piattaforma, sia attraverso browser desktop che browser mobile.

Non conserviamo, all’interno di Metooo e dei servizi inclusi, dati finanziari sensibili, come numero e scadenza della carta di credito dell’utente. Per motivi di superiore sicurezza, non forniamo un gateway interno per la gestione delle transazioni finanziarie legate alla vendita, rimborso e pagamento delle commissioni dei biglietti. Usiamo esclusivamente servizi terzi identificabili in modo chiaro: PayPal e Stripe. L’utente è messo a conoscenza in modo esaustivo sull’uso possibile dei servizi terzi. La connessione tra Metooo ed i servizi terzi avviene in modo sicuro. Per ulteriori approfondimenti è possibile consultare la Privacy Policy dei servizi terzi.

L’utente di Metooo è quindi incolume ai rischi connessi a furti di dati finanziari, perché tali dati non sono inclusi tra quelli acquisiti, trattati e conservati da Metooo.

Relativamente ai dati che vengono raccolti dagli utenti di Metooo, tramite il servizio Metooo, abbiamo migliorato ulteriormente i sistemi di avviso e di tutela che offriamo, sia ai nostri utenti che agli utenti dei nostri utenti.

In modo particolare, abbiamo migliorato le procedure di individuazione di azioni di spam compiute dai nostri utenti, attraverso il servizio Metooo, nei confronti di propri contatti e/o utenti, fornendo sia una più chiara esplicitazione di cosa è consentito e cosa non è consentito fare attraverso il servizio Metooo, sia fornendo un canale di segnalazione cui i terzi possono accedere per richiedere verifiche su determinati comportamenti.


4. GPDR – Dichiarazione di conformità

Alla data di entrata di vigore del GPDR il servizio Metooo è da ritenersi conforme alle specifiche richieste.

Ci siamo dotati di:

  • archivio delle attività di elaborazione delle Informazioni Personali Identificabili;
  • archivio delle violazioni dei dati;
  • valutazione dettagliata delle attività di elaborazione ad alto rischio;
  • dettagli contrattuali tra la vostra organizzazione e i fornitori di terze parti che elaborano e/o controllano i dati a vostro nome.

L’archivio delle attività di elaborazione delle Informazioni Personali Identificabili è il database ospitato dal servizio Compose al cui interno vengono conservati i dati degli utenti ed i log di accesso a tali dati. E’ sempre possibile risalire in modo preciso a modifiche e modalità di utilizzo di tali dati.

L’archivio delle violazioni dei dati è un database, ospitato sul nostro server in cui verranno annotate tutte le eventuali violazioni dei dati, occorse nonostante il nostro massimo e costante impegno alla tutela degli stessi.

La valutazione dettagliata delle attività di elaborazione ad alto rischio è contenuta in un database, ospitato sul nostro server, in cui sono state elencate tutte le attività che sono svolte in Metooo, con relativo grado di Identificazione dell’utente, e correlato grado di rischio nella perdita e/o utilizzo improprio dei dati.


5. GDPR – La condivisione dei dati degli utenti

Condividiamo nome, cognome, email e biglietti acquistati con gli organizzatori dell’evento per rendere più efficace la gestione dell’evento.

Gli organizzatori di eventi possono contattare gli utenti di volta in volta con notizie o annunci importanti relativi all'evento per cui ci si è registrato.

Invitiamo tutti gli organizzatori di eventi a includere una domanda di opt-in sulla loro pagina di prenotazione se intendono contattare i partecipanti. Non è responsabilità di Metooo il mancato rispetto della GDPR da parte deli organizzatori degli eventi. Metooo non è responsabile per l'uso improprio dei dati da parte dell'organizzatore dell'evento.

In caso di sospetto di una violazione di dati personali è necessario contattare Metooo, che farà il possibile per aiutare l’utente.

Con lo scopo di monitorare e analizzare le statistiche di visualizzazione del nostro servizio condividiamo l’indirizzo IP con le seguenti aziende:

  • Google Analytics
  • Hotjar
  • Facebook

Non condividiamo o vendiamo i dati dei nostri utenti con servizi di terze parti che non siano direttamente collegate al nostro servizio.

Di tanto in tanto, inviamo newsletter via e-mail contenenti notizie importanti e aggiornamenti al nostro servizio. Per questo, condividiamo il tuo indirizzo email con il nostro servizio di email marketing di terze parti: Sendgrid.

Abbiamo un certificato SSL installato sul nostro server per garantire che tutti i dati inviati tra il tuo computer e il nostro server siano crittografati. Noi criptiamo il tuo indirizzo email e la password. Il tuo nome utente, il tuo nome e il tuo cognome non sono criptati.

Inizia ora

Sei già registrato? Entra

Recupera password

Sei già registrato? Entra

Accedi

Hai dimenticato la password?

Iscrivendoti, confermi di accettare i termini di servizio e l'informativa sulla privacy di Metooo e acconsenti alla ricezione di comunicazioni di marketing da Metooo.

Non sei registrato? Registrati

Il nostro sito web utilizza cookies per fornire il Servizio. Queste informazioni servono per migliorare il Servizio e comprendere i tuoi interessi.
Usando il nostro sito web, tu accetti l'utilizzo dei cookies. Clicca qui per approfondire.