Informativa sulla Riservatezza
e Consenso al Trattamento dei Dati

Si prega di leggere attentamente il presente atto prima di accedere ai servizi di Nugolo tramite computer o tramite applicazione mobile (App).

Il presente atto costituisce la "INFORMATIVA SULLA RISERVATEZZA", progettata e predisposta ai sensi ed in attuazione della vigente normativa comunitaria ed italiana concernente la protezione dei dati personali delle persone e quindi, in particolare:

• del Regolamento UE n. 679 del 27 aprile 2016 (RGPD/GDPR) sul trattamento e sulla libera circolazione dei dati personali

La registrazione a Nugolo e comunque l'inizio dell'utilizzazione dei suoi servizi da parte dell'UTENTE di Nugolo significano e provano a tutti gli effetti che lo stesso UTENTE:

• ha prestato il consenso al trattamento dei dati personali
• ha letto ed accettato il presente atto e tutte le dichiarazioni, comunicazioni e condizioni qui contenute, nonche la nomina di Nugolo a Responsabile del trattamento nei casi e nei limiti indicati all'art. 11 del presente atto
• ha letto ed accettato le Condizioni di Contratto tra lo stesso UTENTE e Nugolo

Le premesse fanno parte integrante del presente atto.

La registrazione a Nugolo e comunque l'inizio dell'utilizzo dei relativi servizi attestano l'intervenuta prestazione da parte dell'UTENTE del consenso al trattamento dei dati personali che lo stesso UTENTE ha inserito e/o inserira nel software di Nugolo per l'utilizzazione dei servizi.

Affinche il consenso cosi prestato sia correttamente informato, si forniscono nei successivi articoli le informazioni concernenti le modalita con le quali Nugolo effettua il trattamento e i particolari oneri posti a carico di Nugolo e anche dell'UTENTE riguardo alla tutela dei dati.

I dati personali dell'UTENTE saranno trattati da NUGOLO S.a.s. di Luca Parolin, con sede legale in Via Roma n. 16, Rivalta di Torino 10040 TO, email info@nugolo.it; Tel. 0113017164 — Cell. 3346599191.

I dati personali dell'UTENTE saranno concretamente trattati dal titolare di Nugolo e da personale autorizzato da questo, preparato e di fiducia, adeguatamente e giuridicamente responsabilizzato, dotato di specifiche e riservate credenziali di autenticazione, e comunque contrattualmente tenuto a speciali obblighi di riservatezza e segretezza.

Il trattamento avviene nel rispetto dei criteri e degli obblighi di riservatezza e tutela dei dati personali previsti dalla normativa comunitaria ed italiana. Nugolo ha istituito l'obbligo per i suoi amministratori e dipendenti di svolgere riunioni periodiche sulla materia della riservatezza e sulla verifica del corretto funzionamento delle procedure interne utilizzate per il trattamento e la protezione dei dati personali.

Nugolo utilizza per il trasferimento dei dati il protocollo di sicurezza HTTPS, effettua un backup completo ogni 24 ore ed utilizza le seguenti misure di sicurezza:

• Prodotto sviluppato internamente per un controllo su tutto il processo di gestione dei dati e delle informazioni
• I backup vengono memorizzati in sistemi separati dai server di produzione con una durata di 30 giorni
• Tutti i servizi AWS (Amazon Web Services) sono compliance con il GDPR ancor prima del recepimento dal nostro ordinamento

I dati personali forniti dall'UTENTE sono raccolti da Nugolo direttamente presso lo stesso UTENTE, che li inserisce autonomamente negli appositi campi previsti nei moduli web e mobile.

Nugolo tratta i dati personali inseriti dall'UTENTE per le seguenti finalita:

• Esecuzione del contratto tra Nugolo stessa e l'UTENTE
• Gestione documentale connessa alla corretta esecuzione dei servizi di Nugolo acquistati dall'UTENTE (gestione del sistema di archiviazione dei documenti negli archivi-UTENTE, della reportistica, del sistema di condivisione documenti con i terzi indicati e/o scelti dall'UTENTE, ecc.)
• Contatti e corrispondenza tra Nugolo e lo stesso UTENTE
• Corretta manutenzione dei servizi di Nugolo
• Gestione amministrativa e contabile interna di Nugolo dei dati personali dell'UTENTE
• Adempimenti di obblighi previsti dalla legge o da regolamenti
• Adempimenti previsti da provvedimenti amministrativi o da ordini delle Autorita competenti
• Utilizzi rientranti nel Legittimo Interesse di Nugolo cosi come definito all'art. 6 del GDPR

In relazione alle finalita descritte nel precedente articolo, il trattamento dei dati personali avviene mediante strumenti manuali, cartacei, informatici e telematici con logiche strettamente correlate alle finalita sopra evidenziate e comunque tali da garantire la sicurezza e la riservatezza dei dati personali stessi.

Il trattamento dei dati indicati dall'UTENTE potra continuare fino a che l'account dell'UTENTE non sara stato cancellato ai sensi dell'articolo 10 del CONTRATTO, sempre che la conservazione degli stessi dati non serva ancora a Nugolo al fine di comprovare un suo credito o una sua situazione giuridica rimasti insoluti o irrisolti nei confronti dello stesso UTENTE.

In relazione alle finalita descritte nel precedente articolo 5, Nugolo tratta dati personali dell'UTENTE diversi da quelli "sensibili" di cui agli artt. 9 e 10 del RGPD/GDPR (ad es., tra gli altri, dati che siano in grado di ricollegare in modo univoco il nominativo di una persona a dati genetici o di salute, a convinzioni religiose, a condanne penali, ecc.).

Per il perseguimento delle finalita descritte in precedenza, Nugolo necessita di comunicare i dati personali inseriti dall'UTENTE a soggetti terzi, che svolgono attivita di trasmissione, imbustamento, trasporto e smistamento delle comunicazioni con l'UTENTE e tra l'UTENTE ed i terzi da questo stesso indicati nelle funzionalita di invio dati e comunicazioni o messa in condivisione previste nei servizi di Nugolo.

I dati personali inseriti dall'UTENTE potranno inoltre essere resi noti alle Autorita Competenti in caso di ordine da parte di queste. I dati trattati da Nugolo non sono oggetto di diverse diffusioni.

In attuazione dei principi inerenti alla tutela della riservatezza, l'UTENTE puo esercitare, nei limiti imposti dai criteri di ragionevolezza e buon senso e dalle possibilita tecniche, i diritti di seguito indicati:

• Puo chiedere la conferma dell'esistenza o meno di dati che lo riguardano e comunque di dati da esso stesso inseriti
• Puo chiedere informazioni circa le finalita e le modalita del trattamento nonche la logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici automatizzati
• Puo chiedere informazioni circa i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza
• Puo chiedere la cancellazione e/o il blocco dei dati personali eventualmente trattati in violazione di legge
• Puo chiedere, con richiesta espressa scritta inviata a Nugolo, la cancellazione dei dati da lui inseriti nelle ipotesi in cui non lo possa fare autonomamente
• Puo chiedere l'aggiornamento, la rettificazione o, quando vi ha interesse, l'integrazione dei dati personali nelle ipotesi in cui non possa farlo autonomamente
• Puo opporsi, per motivi legittimi e rilevanti, al trattamento di dati personali che lo riguardano che ecceda il trattamento necessario a Nugolo per adempiere il contratto con l'UTENTE ed eseguire i servizi da questo acquistati
• Puo opporsi al trattamento di dati personali conseguente ad attivita informative e promozionali di Nugolo relative a nuovi servizi
• Puo proporre, in caso di trattamento dei dati personali intervenuti in ripetuta violazione di legge, reclamo alle Autorita di controllo previste dalla legge ai sensi dell'art. 13, comma 2, lett. d) del GDPR
• Puo chiedere, in caso di cessazione di ogni rapporto contrattuale con Nugolo, l'ottenimento dei dati personali da lui inseriti in almeno uno dei formati strutturati di uso comune leggibili da dispositivo automatico (portabilita dei dati)
• Ha il diritto di ottenere le risposte alle richieste qui previste in forma chiara, trasparente e concisa

Al fine di rendere i propri servizi il piu possibile efficienti e semplici da utilizzare Nugolo puo fare uso di cookies, che sono piccoli files che, quando l'UTENTE visita il sito web o l'applicazione mobile, vengono salvati nella directory del browser web del dispositivo dell'Utente.

I cookies che possono essere usati da Nugolo servono a migliorare l'utilizzazione da parte dell'UTENTE dei servizi di Nugolo perche:

L'installazione di cookies e di altri sistemi di tracciamento operata da soggetti terzi non puo essere tecnicamente controllata; ogni riferimento specifico a cookies e sistemi di tracciamento installati da terzi operatori web e da considerarsi meramente indicativo.

Ogni qualvolta nelle pagine di Nugolo siano espressamente in funzione servizi di analisi del traffico quali Google Analytics o altri strumenti di altri operatori web, l'UTENTE, per visionare la relativa informativa sulla riservatezza e per eventualmente evitare ogni tracciamento, dovra utilizzare gli appositi tool messi a disposizione da quello specifico operatore web.

Tenuto conto anche delle particolari modalita di funzionamento dei servizi offerti da Nugolo, l'UTENTE e responsabile di tutti i dati di terzi da esso stesso inseriti e trattati nell'utilizzazione dei servizi acquistati da Nugolo, e cio anche, e soprattutto, in tema di tutela della riservatezza dei dati personali di quegli stessi terzi.

L'UTENTE e l'unico Titolare e responsabile dell'inserimento e del Trattamento dei dati personali inseriti nei propri spazi riservati in Nugolo e nei documenti ivi creati (es.: fatture, archivi, elenchi, rubriche, mail, ecc.) inerenti i terzi suoi clienti, fornitori, collaboratori, ecc. Pertanto assume in via esclusiva, tutti gli obblighi giuridici applicabili secondo la normativa comunitaria e italiana in materia di tutela e sicurezza dei dati personali, ivi inclusi:

• L'obbligo di informazione ai terzi interessati
• Di preventiva acquisizione del consenso dei terzi interessati ove obbligatoria
• Di eventuale valutazione di impatto sui rischi del trattamento
• Di risposta e di adempimento ad eventuali richieste, da parte dei terzi interessati, di informazioni sul trattamento effettuato, di blocco o revoca del consenso, di opposizione al trattamento o di cancellazione dei dati personali

L'UTENTE assicura e garantisce in ogni caso che, quando immettera dati personali di terzi in Nugolo, avra gia ottenuto da questi stessi terzi, l'autorizzazione ed il consenso espresso, ove necessari, al trattamento dei dati personali e altresi l'autorizzazione, ove necessario, all'immissione dei dati stessi in infrastrutture di terzi quali Nugolo.

Nugolo si riserva in ogni caso il diritto di non effettuare il trattamento di dati personali di terzi inseriti dall'UTENTE ove si renda conto che l'inserimento e/o il trattamento sono posti in violazione di norme comunitarie od italiane in tema riservatezza e/o di protezione dei dati personali; in tal caso ne dara avviso all'Utente.

11.1 Nomine da parte di Nugolo
Per l'UTENTE la registrazione in Nugolo significa anche aver consentito a che Nugolo possa eventualmente nominare a sua volta suoi specifici Responsabili del trattamento dei dati, che naturalmente effettuino il trattamento con misure tecniche ed organizzative adeguate e, comunque, solo nei limiti di quanto necessario per l'erogazione dei servizi.

L'utilizzo e il trasferimento a qualsiasi altra app di informazioni ricevute dalle API di Google rispetta la Google API Services User Data Policy, inclusi i requisiti di Limited Use.

12.1 Dati acceduti
L'applicazione Nugolo, previa autorizzazione esplicita dell'utente tramite il consenso OAuth 2.0 di Google, accede esclusivamente a:

• Google Calendar API (scope: https://www.googleapis.com/auth/calendar) — in particolare: eventi del calendario selezionato dall'utente (titolo, descrizione, luogo, data/ora inizio e fine, partecipanti, stato)

12.2 Come vengono utilizzati i dati
Gli eventi Google Calendar vengono utilizzati unicamente per:

• Visualizzare gli appuntamenti e le attivita dell'utente all'interno della dashboard gestionale (CRM, commesse, agenda)
• Creare, modificare o eliminare eventi sul calendario Google a fronte di operazioni equivalenti effettuate dall'utente nel gestionale (sincronizzazione bidirezionale)
• Aggregare eventi di calendari condivisi di gruppo (es. team di lavoro) per la pianificazione operativa

12.3 Conservazione dei dati

• I token OAuth 2.0 (access token e refresh token) vengono conservati in forma cifrata nel database dell'istanza ERP dell'utente, ospitato su infrastruttura cloud privata con accesso limitato al solo personale tecnico autorizzato
• Gli eventi Google Calendar NON vengono copiati in massa nel database Nugolo: vengono recuperati in tempo reale a ogni visualizzazione. In caso di sincronizzazione (creazione/modifica da Nugolo), viene memorizzato il solo ID dell'evento Google (GoogleEventId) per consentire operazioni successive di aggiornamento/cancellazione
• L'utente puo revocare in qualsiasi momento l'accesso dalla sezione "Account Google → Sicurezza → App di terze parti" oppure disconnettere Google Calendar dalle impostazioni Nugolo. In tal caso i token vengono eliminati immediatamente dal nostro database

12.4 Condivisione con terze parti
I dati Google acceduti tramite Nugolo NON vengono ceduti, venduti o condivisi con terze parti. Restano esclusivamente all'interno dell'istanza ERP dell'azienda utente e sono accessibili solo agli utenti autorizzati della stessa istanza.

Nessun dato Google viene trasferito a servizi di analytics, marketing, AI/machine learning o data broker.

12.5 Sicurezza

• Connessione HTTPS/TLS 1.2+ per tutte le comunicazioni con le API di Google
• Token conservati nel database tenant isolato per istanza
• Accessi tracciati via log applicativo
• Conformita GDPR (Regolamento UE 2016/679)

L'applicazione Nugolo integra il servizio WhatsApp Business Cloud API di Meta Platforms, Inc. per consentire agli utenti aziendali (operatori del gestionale) di comunicare con i propri clienti tramite WhatsApp direttamente dall'interno del gestionale. Il trattamento dei dati ricevuti dalle API Meta avviene nel rispetto della WhatsApp Business Messaging Policy, della Meta Platform Terms e della Developer Policy di Meta, nonche del Regolamento UE 2016/679 (GDPR).

13.1 Dati acceduti (Data Accessed)
Tramite le WhatsApp Business Cloud API, Nugolo accede esclusivamente ai seguenti tipi di dati, forniti da Meta in relazione ai messaggi scambiati tra l'UTENTE aziendale ed i suoi interlocutori (clienti finali) che hanno volontariamente iniziato o accettato una conversazione con l'azienda:

• Numero di telefono del mittente/destinatario in formato E.164 (es. 393401234567)
• Nome profilo WhatsApp (profile name) cosi come esposto dall'interlocutore nelle proprie impostazioni WhatsApp
• Contenuto testuale dei messaggi scambiati nella conversazione
• Media allegati ai messaggi (immagini, audio, video, documenti, note vocali) e relativo mime_type quando l'interlocutore li invia volontariamente
• Identificativo univoco del messaggio (WaMessageId) e timestamp di invio/ricezione
• Stato di consegna dei messaggi inviati (inviato, consegnato, letto, fallito) e relativi codici di errore forniti da Meta

13.2 Come vengono utilizzati i dati (Data Use)
I dati WhatsApp vengono utilizzati esclusivamente per le seguenti finalita operative, coerenti con il servizio di messaggistica aziendale richiesto dall'UTENTE:

• Visualizzare nella dashboard gestionale dell'UTENTE l'elenco delle conversazioni con i clienti e lo storico dei messaggi scambiati
• Consentire agli operatori autorizzati dell'UTENTE di rispondere ai messaggi ricevuti e di inviare nuove comunicazioni (conferme appuntamento, notifiche di servizio, assistenza post-vendita, ecc.)
• Effettuare un match automatico tramite numero di telefono con l'anagrafica clienti/fornitori gia presente nel gestionale dell'UTENTE, al solo scopo di associare la conversazione al profilo cliente corretto
• Mostrare gli indicatori di stato di consegna/lettura dei messaggi inviati (spunte)
• Notificare in tempo reale all'operatore l'arrivo di nuovi messaggi tramite polling HTTP autenticato

13.3 Conservazione dei dati (Data Retention)

• I messaggi WhatsApp (testo, id, timestamp, stato, metadata) vengono conservati nel database dell'istanza ERP dell'UTENTE, isolato per tenant, per tutta la durata del rapporto contrattuale tra l'UTENTE ed il cliente finale e per il tempo necessario ad adempiere obblighi di legge (es. documentazione commerciale, contestazioni, garanzie)
• I media allegati ricevuti tramite WhatsApp vengono conservati solo se l'UTENTE li salva esplicitamente; Meta non consente il re-download illimitato dei media
• Le credenziali di accesso alle API Meta (WHATSAPP_ACCESS_TOKEN, WHATSAPP_PHONE_NUMBER_ID, WHATSAPP_VERIFY_TOKEN, WHATSAPP_BUSINESS_ACCOUNT_ID) sono memorizzate unicamente nella tabella di configurazione dell'istanza ERP dell'UTENTE, accessibile ai soli amministratori tenant autorizzati
• L'UTENTE aziendale puo in qualsiasi momento cancellare singole conversazioni o singoli messaggi dall'interfaccia del gestionale. La cancellazione e immediata e definitiva dal database Nugolo
• Su richiesta del cliente finale che abbia comunicato tramite WhatsApp, il Titolare (UTENTE aziendale) e obbligato, in forza dell'art. 17 GDPR, a cancellare i dati che lo riguardano. Nugolo mette a disposizione strumenti di cancellazione massiva per questa finalita
• I backup dei dati WhatsApp seguono il medesimo ciclo di vita di 30 giorni descritto all'art. 3
• In caso di revoca dell'integrazione WhatsApp da parte dell'UTENTE (rimozione dei token di accesso dalla configurazione), l'invio e la ricezione di nuovi messaggi vengono immediatamente sospesi. I dati storici restano consultabili dall'UTENTE fino ad esplicita richiesta di cancellazione

13.4 Condivisione con terze parti (Data Sharing)
I dati WhatsApp trattati da Nugolo NON vengono ceduti, venduti o condivisi con terze parti per finalita autonome di marketing, analytics o commerciali.

Gli unici flussi di dati verso terzi sono quelli strettamente necessari per l'erogazione del servizio:

• Meta Platforms Ireland Ltd. (fornitore delle WhatsApp Business Cloud API) — riceve i messaggi inviati dall'UTENTE per recapitarli al destinatario finale, secondo l'informativa e le condizioni Meta
• Amazon Web Services, Inc. (hosting cloud descritto all'art. 3) — come Responsabile del trattamento per il layer di infrastruttura
• Autorita Competenti esclusivamente in caso di ordine motivato da parte di queste

13.5 Base giuridica (Legal Basis)
Il trattamento dei dati derivanti dalle WhatsApp Business Cloud API trova base giuridica in:

• Esecuzione del contratto tra UTENTE (azienda) e cliente finale (art. 6.1.b GDPR), quando il cliente ha iniziato volontariamente una conversazione con l'azienda
• Legittimo interesse dell'azienda a rispondere alle richieste dei propri clienti (art. 6.1.f GDPR)
• Consenso del cliente finale (art. 6.1.a GDPR) per comunicazioni di marketing o promozionali, che devono rispettare la WhatsApp Business Messaging Policy ed essere preventivamente acquisite dall'UTENTE aziendale prima di contattare il destinatario

13.6 Sicurezza (Data Security)

• Tutte le comunicazioni con le API Meta avvengono esclusivamente tramite HTTPS/TLS 1.2+
• I webhook Meta sono autenticati tramite un verify token segreto specifico per ciascuna istanza UTENTE e validato a ogni richiesta
• Le conversazioni WhatsApp sono memorizzate in tabelle dedicate isolate per tenant (WA_Contatti, WA_Conversazioni, WA_Messaggi), accessibili solo agli operatori autorizzati dell'istanza
• Ogni accesso operativo agli endpoint API WhatsApp di Nugolo e autenticato tramite SessionID applicativa dell'operatore gestionale
• Meta applica crittografia end-to-end tra dispositivi WhatsApp e, per le Business Cloud API, conserva i messaggi in transito secondo le proprie policy di sicurezza
• In caso di data breach che coinvolga dati WhatsApp, Nugolo adempie agli obblighi di notifica previsti dagli artt. 33 e 34 GDPR

13.7 Diritti dell'interessato e revoca
I clienti finali che abbiano scambiato messaggi WhatsApp con un UTENTE aziendale di Nugolo possono, nei limiti descritti all'art. 9 del presente atto:

• Richiedere al Titolare (l'UTENTE aziendale con cui hanno interagito) la conferma dell'esistenza dei dati, l'accesso, la rettifica e la cancellazione
• Richiedere la cessazione di ulteriori comunicazioni inviando il comando STOP (o equivalente) o bloccando il numero dell'azienda nelle impostazioni WhatsApp
• Revocare in qualsiasi momento il proprio consenso al trattamento, con le modalita previste dall'UTENTE aziendale
• Proporre reclamo al Garante per la protezione dei dati personali