Informativa sulla privacy
Il nostro impegno a proteggere i tuoi dati personali ai sensi del GDPR e della legislazione irlandese.
La presente Informativa sulla Privacy descrive le modalità con cui Knogin CyberSecurity Limited (“Knogin”, “noi”, “nostro/a/i/e”) raccoglie, utilizza, conserva e protegge i vostri dati personali. Ci impegniamo a proteggere la vostra privacy in conformità al Regolamento generale sulla protezione dei dati (UE) 2016/679 (“GDPR” o “Regolamento”), all’Irish Data Protection Act 2018, al Decreto Legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), come modificato dal Decreto Legislativo 10 agosto 2018, n. 101, e a tutta la normativa applicabile in materia di protezione dei dati personali. Operiamo in qualità di responsabile del trattamento quando trattiamo dati personali per conto dei nostri clienti in base ad accordi di servizio. La presente Informativa sulla Privacy riguarda il nostro ruolo di titolare del trattamento per i dati personali che raccogliamo direttamente da voi e attraverso i nostri sistemi.
Per “dati personali” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile. Possiamo trattare le seguenti categorie di dati personali:
Nomi, titoli, pseudonimi, numeri di telefono, indirizzi postali, indirizzi e-mail e affiliazioni professionali.
Ove pertinenti a candidature di lavoro o rapporti con i clienti: genere, età, nazionalità, percorso formativo, esperienze lavorative, qualifiche professionali e informazioni analoghe da voi fornite.
Quando effettuate pagamenti per i nostri servizi: coordinate bancarie, dati delle carte di pagamento, identificativi delle transazioni, documenti di fatturazione e informazioni di pagamento.
Indirizzi IP, identificativi del dispositivo, tipo e versione del browser, sistema operativo, marcature temporali di accesso, pagine visitate, fonti di provenienza, durata della sessione, dati di navigazione (clickstream), log degli errori e log degli eventi di sistema.
Modelli di attività degli utenti, eventi di autenticazione, log di controllo degli accessi, dati relativi a incidenti di sicurezza, indicatori di minaccia, dati di rilevamento delle anomalie e punteggi di valutazione del rischio generati dai nostri sistemi di sicurezza.
In determinate circostanze, possiamo trattare dati personali sensibili, inclusi dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati relativi alla salute o dati relativi alla vita sessuale o all’orientamento sessuale. Trattiamo tali dati esclusivamente quando disponiamo di una base giuridica adeguata.
Raccogliamo dati personali con le seguenti modalità: Direttamente da voi: Quando ci contattate, create un account, vi abbonate ai servizi, inviate richieste, presentate candidature di lavoro o comunicate con noi in altro modo. Automaticamente tramite i nostri sistemi: Quando accedete ai nostri siti web o utilizzate i nostri servizi, raccogliamo automaticamente dati tecnici e di log tramite cookie, log del server e tecnologie analoghe. Dai nostri clienti: Quando forniamo servizi di cybersicurezza, i nostri clienti possono fornirci dati personali per il trattamento in conformità ai nostri accordi di servizio. Da fonti di terzi: Possiamo ricevere dati personali da fonti pubblicamente accessibili, banche dati di settore e partner, nei limiti consentiti dalla legge.
Trattiamo i dati personali esclusivamente quando disponiamo di una base giuridica ai sensi dell’articolo 6 del GDPR:
Trattamento necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.
Trattamento necessario per adempiere un obbligo legale al quale siamo soggetti ai sensi del diritto irlandese, italiano o dell’Unione.
Trattamento necessario per il perseguimento del nostro legittimo interesse o di quello di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato. I nostri legittimi interessi comprendono la gestione e la sicurezza della nostra attività, la prevenzione di frodi e crimini informatici, il miglioramento dei nostri servizi e la protezione dei nostri clienti dalle minacce alla sicurezza.
Qualora il trattamento sia basato sul vostro consenso, avete il diritto di revocarlo in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.
Trattamento necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
Quando trattiamo categorie particolari di dati personali, ci basiamo su una delle condizioni di cui all’articolo 9, paragrafo 2, del GDPR: il vostro consenso esplicito; il trattamento necessario in materia di diritto del lavoro, della sicurezza sociale e della protezione sociale; il trattamento necessario per la salvaguardia degli interessi vitali qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il consenso; il trattamento necessario per accertare, esercitare o difendere un diritto in sede giudiziaria; oppure il trattamento necessario per motivi di interesse pubblico rilevante.
Utilizziamo sistemi di sicurezza automatizzati, inclusi algoritmi di apprendimento automatico (machine learning) e intelligenza artificiale, per analizzare i modelli di comportamento degli utenti e gli eventi di sistema al fine di individuare e prevenire minacce alla sicurezza. Questo trattamento costituisce una “profilazione” ai sensi dell’articolo 4, paragrafo 4, del GDPR. Dati utilizzati per la profilazione: I nostri sistemi di sicurezza automatizzati trattano marcature temporali di accesso, modelli di accesso, informazioni sul dispositivo, indirizzi IP, dati di geolocalizzazione, comportamento di sessione, log delle attività e modelli storici di utilizzo. Funzionamento della profilazione: I nostri sistemi stabiliscono profili comportamentali di riferimento per utenti e sistemi, quindi identificano anomalie o deviazioni che possono indicare account compromessi, furto di credenziali, attività malevole o minacce alla sicurezza. I modelli di apprendimento automatico assegnano punteggi di rischio basati su fattori quali tempistiche di accesso, coerenza della localizzazione, riconoscimento del dispositivo, modelli di azione e deviazione dalle norme stabilite. Conseguenze della profilazione: La profilazione può comportare avvisi di sicurezza, restrizioni di accesso, sospensione dell’account, requisiti di autenticazione rafforzati o rinvio per revisione manuale. In determinate circostanze, le decisioni automatizzate possono limitare o bloccare l’accesso ai sistemi o ai servizi. Base giuridica: Trattiamo questi dati sulla base del nostro legittimo interesse a mantenere la sicurezza e l’integrità dei nostri sistemi e a proteggere i nostri clienti dalle minacce informatiche. Qualora le decisioni automatizzate producano effetti giuridici che riguardano l’interessato o incidano in modo analogo significativamente sulla sua persona, ci basiamo sull’articolo 22, paragrafo 2, lettera b), del GDPR (trattamento autorizzato dalla legge per finalità di sicurezza) o sull’articolo 22, paragrafo 2, lettera a), del GDPR (trattamento necessario per l’esecuzione di un contratto).
Ai sensi dell’articolo 22 del GDPR, avete il diritto di non essere sottoposti a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che vi riguardano o che incida in modo analogo significativamente sulla vostra persona. Qualora adottiamo tali decisioni automatizzate, avete il diritto di: • Ottenere l’intervento umano da parte di un membro qualificato del nostro team di sicurezza • Esprimere la vostra opinione in merito alla decisione automatizzata • Contestare la decisione e richiederne il riesame • Ottenere una spiegazione della logica generale utilizzata nel trattamento automatizzato • Richiedere informazioni sulla portata e sulle conseguenze previste di tale trattamento Per esercitare questi diritti, contattateci all’indirizzo privacy@knogin.com. Risponderemo entro un mese dal ricevimento della vostra richiesta.
Ci avvaliamo di fornitori terzi di servizi per trattare i dati personali per nostro conto. Tali responsabili del trattamento sono contrattualmente obbligati a trattare i dati personali esclusivamente sulla base delle nostre istruzioni documentate e ad adottare misure tecniche e organizzative di sicurezza adeguate. Possiamo avvalerci di ulteriori responsabili del trattamento per servizi specifici. Un elenco aggiornato dei nostri sub-responsabili è disponibile su richiesta contattando privacy@knogin.com.
I dati personali possono essere trasferiti e trattati in Paesi al di fuori dello Spazio Economico Europeo (“SEE”) che potrebbero non garantire lo stesso livello di protezione dei dati dell’Irlanda o dell’Italia. Quando trasferiamo dati personali al di fuori dello SEE, garantiamo che siano predisposte garanzie adeguate: Decisioni di adeguatezza: Trasferimenti verso Paesi per i quali la Commissione europea ha adottato una decisione di adeguatezza (compresi i trasferimenti verso gli Stati Uniti nell’ambito del quadro UE-USA sulla protezione dei dati per le organizzazioni certificate). Clausole contrattuali tipo: Trasferimenti basati sulle clausole contrattuali tipo dell’UE adottate dalla Commissione europea (Decisione di esecuzione (UE) 2021/914). Norme vincolanti d’impresa: Ove applicabile, trasferimenti all’interno di gruppi societari soggetti a norme vincolanti d’impresa approvate. I dati personali possono essere trasferiti negli Stati Uniti tramite i servizi di Microsoft e Cloudflare, subordinatamente alla certificazione nell’ambito del quadro UE-USA sulla protezione dei dati e/o alle clausole contrattuali tipo. Effettuiamo, ove necessario, valutazioni di impatto dei trasferimenti per valutare il livello di protezione nei Paesi destinatari e adottiamo misure supplementari ove necessario.
Possiamo comunicare dati personali alle autorità di contrasto, agli organismi di regolamentazione o ad altre autorità pubbliche qualora: • Siamo obbligati a farlo ai sensi del diritto irlandese, italiano o dell’Unione, di un’ordinanza del tribunale o di un mandato • La comunicazione sia necessaria e proporzionata per la prevenzione, l’individuazione, l’indagine o il perseguimento di reati, come consentito dalla Sezione 41(b) dell’Irish Data Protection Act 2018 • La comunicazione sia necessaria per la salvaguardia degli interessi vitali di qualsiasi persona • La comunicazione sia necessaria per accertare, esercitare o difendere un diritto in sede giudiziaria Vi informeremo di ogni comunicazione, salvo che la legge lo vieti o che la notifica possa pregiudicare un’indagine in corso.
Conformemente all’articolo 48 del GDPR e alle Linee guida 02/2024 dell’EDPB, gestiamo le richieste delle autorità di contrasto al di fuori dello SEE come segue: Trattati di assistenza giudiziaria reciproca: Quando una richiesta di un’autorità di un Paese terzo è basata su un accordo internazionale, quale un Trattato di assistenza giudiziaria reciproca (“MLAT”) in vigore tra il Paese richiedente e l’Irlanda o l’Unione europea, daremo esecuzione alla richiesta conformemente a tale accordo. Richieste senza accordo internazionale: Quando una richiesta di un’autorità di un Paese terzo non è basata su un accordo internazionale applicabile, la richiesta non è automaticamente riconosciuta né esecutiva ai sensi del diritto dell’Unione. Valuteremo se disponiamo di una base giuridica ai sensi dell’articolo 6 del GDPR e di un meccanismo di trasferimento adeguato ai sensi del Capo V del GDPR. Richieste extraterritoriali: Fatti salvi eventuali pretese di giurisdizione extraterritoriale ai sensi del diritto di Paesi terzi (incluso il CLOUD Act statunitense), siamo soggetti al diritto europeo in materia di protezione dei dati. Non comunicheremo dati personali alle autorità di Paesi terzi a meno che la richiesta sia formulata in base a un accordo internazionale applicabile o abbiamo individuato sia una base giuridica ai sensi dell’articolo 6 del GDPR sia un meccanismo di trasferimento adeguato ai sensi del Capo V del GDPR. Notifica: Qualora riceviamo una richiesta da un’autorità di un Paese terzo e non ci sia vietato farlo, informeremo gli interessati coinvolti della richiesta.
Conserviamo i dati personali solo per il tempo necessario al conseguimento delle finalità per le quali sono stati raccolti, per adempiere obblighi di legge, risolvere controversie e far valere i nostri accordi. Effettuiamo revisioni periodiche dei dati conservati e cancelliamo o rendiamo anonimi in modo sicuro i dati personali che non sono più necessari.
Adottiamo misure tecniche e organizzative adeguate per proteggere i dati personali da accesso non autorizzato, alterazione, divulgazione o distruzione. Tali misure comprendono: • Cifratura dei dati personali in transito e a riposo • Controlli degli accessi e meccanismi di autenticazione • Valutazioni periodiche della sicurezza e test di penetrazione • Formazione del personale in materia di protezione dei dati e sicurezza delle informazioni • Procedure di risposta agli incidenti • Misure di sicurezza fisica per le nostre sedi e i centri dati Quando ci avvaliamo di responsabili del trattamento, ci assicuriamo che forniscano garanzie sufficienti per l’adozione di misure tecniche e organizzative adeguate.
Ai sensi del GDPR, della normativa irlandese in materia di protezione dei dati e del Codice in materia di protezione dei dati personali (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018), avete i seguenti diritti:
Avete il diritto di ottenere la conferma dell’esistenza o meno di un trattamento dei vostri dati personali e, in tal caso, di accedere a tali dati e alle informazioni relative al trattamento.
Avete il diritto di ottenere la rettifica dei dati personali inesatti e l’integrazione dei dati personali incompleti.
Avete il diritto di ottenere la cancellazione dei vostri dati personali in determinate circostanze, incluso il caso in cui i dati non siano più necessari rispetto alle finalità per le quali sono stati raccolti.
Avete il diritto di ottenere la limitazione del trattamento in determinate circostanze, incluso il caso in cui stiamo verificando l’esattezza dei dati da voi contestati.
Avete il diritto di ricevere i dati personali che ci avete fornito in un formato strutturato, di uso comune e leggibile da dispositivo automatico e di trasmetterli a un altro titolare del trattamento.
Avete il diritto di opporvi al trattamento basato sul legittimo interesse, compresa la profilazione. Cesseremo il trattamento a meno che non dimostriamo l’esistenza di motivi legittimi cogenti che prevalgono sui vostri interessi, diritti e libertà.
Avete il diritto di ottenere l’intervento umano, di esprimere la vostra opinione e di contestare le decisioni automatizzate.
Qualora il trattamento sia basato sul consenso, potete revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.
Se non siete soddisfatti del modo in cui trattiamo i vostri dati personali o rispondiamo alle vostre richieste, avete il diritto di proporre reclamo a un’autorità di controllo. Data Protection Commission (DPC) irlandese 21 Fitzwilliam Square South Dublin 2, D02 RD28 Irlanda Sito web: www.dataprotection.ie Telefono: +353 1 765 0100 / +353 57 868 4800 Potete inoltre proporre reclamo all’autorità di controllo del Paese di vostra residenza o del luogo di lavoro se diverso dall’Irlanda. In Italia l’autorità competente è il Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Roma, www.garanteprivacy.it.
I nostri servizi non sono destinati a minori di 16 anni. Non raccogliamo consapevolmente dati personali di minori di 16 anni. Se ritenete che abbiamo raccolto dati personali di un minore di 16 anni, contattateci immediatamente all’indirizzo privacy@knogin.com.
Possiamo aggiornare periodicamente la presente Informativa sulla Privacy. Vi informeremo delle modifiche sostanziali pubblicando l’informativa aggiornata sul nostro sito web con una nuova data di efficacia. Vi invitiamo a consultare periodicamente la presente Informativa sulla Privacy. In caso di modifiche significative che incidano sui vostri diritti, forniremo un avviso ben visibile attraverso il nostro sito web o, ove opportuno, mediante comunicazione diretta.
Per qualsiasi domanda relativa alla presente Informativa sulla Privacy o alle nostre pratiche di protezione dei dati, contattateci: Referente per la Protezione dei Dati Knogin CyberSecurity Limited Dublin 6, Irlanda Telefono: 1800-816933 (Irlanda) / +353-1-800-816933 (Internazionale) E-mail: privacy@knogin.com Risponderemo alla vostra richiesta entro un mese. Tale termine può essere prorogato di due mesi ove necessario, tenuto conto della complessità e del numero delle richieste. Vi informeremo di un’eventuale proroga entro un mese dal ricevimento della vostra richiesta. Potremmo richiedere informazioni aggiuntive per verificare la vostra identità prima di rispondere alla vostra richiesta.
Domande sulla privacy?
Il nostro team per la protezione dei dati è a disposizione per qualsiasi domanda o dubbio relativo alla privacy.
Contatto per la protezione dei dati
Knogin CyberSecurity Limited
Dublin 6, Irlanda
Irlanda: 1800-816933
Internazionale: +353-1-800-816933
Autorità di controllo
Garante per la protezione dei dati personali
Piazza Venezia 11, 00187 Roma