INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
Ai sensi degli artt. 13-14 del Regolamento (UE) 2016/679 (GDPR)
Versione 1 – Aggiornata al 6 marzo 2026
1. Titolare del trattamento
|
Denominazione |
iSustainability S.r.l. |
|
Sede legale (Milano) |
Viale Luigi Bodio 37/B – 20158 Milano (MI) |
|
Sede operativa (Roma) |
Via del Porto Fluviale 67/D – 00154 Roma (RM) |
|
Contatto privacy |
market@isustainability.it |
Ai sensi dell’art. 37 GDPR, iSustainability S.r.l. ha valutato l’obbligo di designare un Responsabile della Protezione dei Dati (DPO). Sulla base delle dimensioni e della tipologia dei trattamenti effettuati – limitati a dati comuni e non svolti su larga scala, né aventi ad oggetto categorie particolari di dati – il Titolare ha ritenuto non sussistere tale obbligo. Per qualsiasi quesito relativo al trattamento dei dati è possibile contattare il Titolare all’indirizzo sopra indicato.
2. Raccordo con l’informativa privacy del sito web
Il sito web www.isustainability.it è dotato di una propria informativa privacy, redatta ai sensi dell’art. 13 GDPR e gestita tramite la piattaforma iubenda, disponibile al seguente indirizzo: https://www.iubenda.com/privacy-policy/81416379. Tale informativa disciplina la raccolta automatica di dati di navigazione, l’utilizzo di cookie e strumenti di tracciamento, nonché il funzionamento tecnico dell’infrastruttura del sito (hosting, CDN, analytics, backup).
La presente informativa è complementare e non sostitutiva di quella del sito. Essa si applica specificatamente ai dati personali che l’interessato fornisce volontariamente attraverso i form del sito, le iscrizioni ad eventi, i download di contenuti e i sondaggi. In altri termini:
- L’informativa del sito (iubenda) governa cosa accade dal momento in cui un visitatore accede al sito: cookie, analytics, log di sistema, hosting.
- La presente informativa governa cosa accade dopo che l’interessato compila un form e invia i propri dati: come vengono conservati, per quali finalità di CRM e marketing vengono usati, a chi vengono comunicati.
Entrambe le informative fanno capo allo stesso Titolare (iSustainability S.r.l.) e devono essere lette congiuntamente per avere un quadro completo del trattamento.
3. Ambito di applicazione
La presente informativa si applica ai dati personali raccolti da iSustainability S.r.l. attraverso i seguenti canali e strumenti:
- Moduli di contatto (form) presenti sul sito web
- Iscrizioni ad eventi, webinar e conferenze
- Download di report, White Paper e ricerche
- Sondaggi e survey di ricerca
- Interazioni sui canali social gestiti dal Titolare (es. LinkedIn)
Non si applicano trattamenti di categorie particolari di dati (art. 9 GDPR), dati giudiziari (art. 10 GDPR) o dati relativi a minori. Qualora l’interessato fosse minorenne, è pregato di non compilare alcun form o di ottenere il consenso del genitore/tutore.
4. Categorie di dati personali trattati
Il Titolare tratta esclusivamente dati personali comuni, forniti volontariamente dall’interessato:
|
Categoria |
Dati specifici |
Obbligatorietà |
|
Dati anagrafici |
Nome, Cognome |
Obbligatoria per l’erogazione del servizio |
|
Dati di contatto |
Indirizzo e-mail |
Obbligatoria |
|
Dati professionali |
Azienda di appartenenza |
Facoltativa |
|
Dati comportamentali |
Contenuti scaricati, eventi seguiti, preferenze tematiche |
Registrati automaticamente dal sistema in base all’azione compiuta dall’interessato (es. download di un report, iscrizione a un evento). Trattati per finalità di profilazione solo previo consenso (finalità C) |
Il mancato conferimento dei dati obbligatori comporta l’impossibilità di dare seguito alla richiesta dell’interessato o di iscriverlo agli eventi.
5. Finalità e basi giuridiche del trattamento
|
Finalità |
Descrizione |
Base giuridica (art. 6 GDPR) |
Conservazione |
|
A – Gestione richieste di contatto |
Risposta a domande, richieste di informazioni e gestione della relazione precontrattuale. |
Art. 6(1)(b) – Misure precontrattuali; in alternativa art. 6(1)(f) – Legittimo interesse del Titolare a rispondere alle comunicazioni ricevute |
24 mesi dall’ultima interazione |
|
B – Marketing e divulgazione |
Invio di newsletter, inviti ad eventi, aggiornamenti sui temi della sostenibilità e del reporting ESG. |
Art. 6(1)(a) – Consenso esplicito e liberamente prestato |
Fino alla revoca del consenso, poi cancellazione entro 30 giorni |
|
C – Profilazione degli interessi |
Analisi dei contenuti scaricati (White Paper, ricerche) e degli eventi seguiti per inviare comunicazioni personalizzate e pertinenti al profilo professionale. |
Art. 6(1)(a) – Consenso esplicito e separato rispetto alla finalità B |
Fino alla revoca del consenso, poi cancellazione entro 30 giorni |
|
D – Ricerche di settore e survey |
Svolgimento di indagini conoscitive e sondaggi tramite piattaforme dedicate per finalità di ricerca in materia di sostenibilità. |
Art. 6(1)(a) – Consenso esplicito |
Dati aggregati/anonimizzati conservati a tempo indeterminato; dati nominativi eliminati al termine della ricerca e comunque entro 12 mesi |
|
E – Comunicazioni per eventi di terzi |
Invio di comunicazioni relative ad eventi, convegni o iniziative organizzati da soggetti terzi (es. partner, co-organizzatori) a cui iSustainability partecipa. Le comunicazioni sono inviate direttamente dal Titolare: i dati degli interessati NON vengono ceduti o trasmessi ai terzi organizzatori. |
Art. 6(1)(a) – Consenso esplicito. Il consenso è separato da quello per le comunicazioni proprie (finalità B) e può essere revocato autonomamente. |
Fino alla revoca del consenso, poi cancellazione entro 30 giorni |
Nota sulla profilazione (finalità C): il trattamento non include processi decisionali automatizzati con effetti giuridici sull’interessato (art. 22 GDPR). La profilazione è limitata alla personalizzazione delle comunicazioni e può essere revocata in qualsiasi momento senza pregiudizio per gli altri trattamenti.
Nota sul legittimo interesse (finalità A): il Titolare ha effettuato il bilanciamento degli interessi (Legitimate Interest Assessment) e ritiene prevalente l’interesse a dare riscontro a comunicazioni spontaneamente indirizzategli, in considerazione della ragionevole aspettativa dell’interessato a ricevere risposta.
Nota sulle comunicazioni per eventi di terzi (finalità E): iSustainability S.r.l. agisce in qualità di unico mittente delle comunicazioni. I dati degli interessati non vengono in alcun caso comunicati, ceduti o messi a disposizione dei terzi organizzatori dell’evento. La partecipazione all’evento da parte dell’interessato potrà comportare un autonomo trattamento da parte dell’organizzatore, del quale il Titolare non è responsabile.
6. Responsabili esterni e destinatari dei dati
I dati personali possono essere comunicati a soggetti terzi che agiscono in qualità di Responsabili del Trattamento (art. 28 GDPR), con i quali il Titolare ha stipulato appositi accordi contrattuali. L’elenco aggiornato dei Responsabili è disponibile su richiesta all’indirizzo privacy sopra indicato.
6.1 Responsabile esterno – agenzia operativa
Silverback S.r.l. (www.silverback.it) – Agenzia incaricata da iSustainability S.r.l. della gestione operativa del sito web, dei canali social (tra cui LinkedIn), dell’ufficio stampa e dell’organizzazione degli eventi. In tale veste, Silverback accede e tratta i dati personali degli interessati per conto e su istruzione scritta del Titolare, operando come Responsabile del Trattamento ai sensi dell’art. 28 GDPR. Silverback non è autorizzata a trattare i dati per finalità proprie né a comunicarli a terzi al di fuori di quanto strettamente necessario all’esecuzione delle attività delegate.
6.2 Sub-responsabili e piattaforme tecnologiche
|
Fornitore / Piattaforma |
Finalità del trattamento |
Sede / Trasferimento extra-UE |
Garanzie |
|
Brevo (Sendinblue SAS) |
Invio newsletter e gestione delle liste di contatti (finalità B, E) |
Francia (UE) – Sede principale Paris. Possibili trasferimenti verso USA |
Clausole Contrattuali Standard (SCC) – Art. 46 GDPR |
|
Vertigo Media Group |
Gestione contatti e invio comunicazioni per eventi e DEM (finalità B, E) |
Stati Uniti (USA) – Trasferimento extra-UE |
SCC – Clausole Contrattuali Standard ex Decisione 2021/914/UE. Privacy Policy: vertigomediagrp.com/privacy-policy |
|
Microsoft 365 (Microsoft Ireland) |
Gestione file, backup, archiviazione dati CRM |
Irlanda (UE). Possibili trasferimenti verso USA (Microsoft US) |
SCC + Data Processing Agreement (DPA) Microsoft |
|
Formbricks |
Raccolta dati per survey e sondaggi di ricerca (finalità D) |
Germania (UE). Self-hosted o cloud EU region |
Trattamento limitato al territorio UE; DPA disponibile |
|
Elementor Ltd. |
Gestione dei form di raccolta dati sul sito web |
Israele – Paese con decisione di adeguatezza della Commissione UE (art. 45 GDPR) |
Decisione di adeguatezza UE. Privacy Policy: elementor.com/about/privacy |
|
VHosting Solution s.r.l. |
Hosting del sito web – primo contenitore fisico dei dati inseriti nei form |
Italia (UE) |
Contratto di trattamento ex art. 28 GDPR. Privacy Policy: vhosting.com |
|
Sectigo Limited (CodeGuard) |
Backup automatico del sito e dei dati raccolti tramite form |
Regno Unito – Paese con decisione di adeguatezza UE (art. 45 GDPR, valida post-Brexit) |
Decisione di adeguatezza UE. Privacy Policy: sectigo.com/privacy-policy |
|
LinkedIn (LinkedIn Ireland) |
Gestione pagina aziendale e interazioni social |
Irlanda (UE) – LinkedIn Ireland Unlimited Company. Trasferimenti verso USA |
SCC – LinkedIn Privacy Policy |
Trasferimenti extra-UE (artt. 44-49 GDPR): laddove i fornitori sopra indicati effettuino trasferimenti di dati verso Paesi terzi (es. Stati Uniti), il Titolare si assicura che tali trasferimenti siano coperti da adeguate garanzie, in particolare le Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea con Decisione 2021/914/UE, o da una decisione di adeguatezza ex art. 45 GDPR. Su richiesta, il Titolare fornisce copia o riferimento agli strumenti di garanzia adottati.
Cessione a terzi: i dati non vengono diffusi pubblicamente né ceduti a terzi per finalità di marketing altrui. Nelle comunicazioni relative ad eventi di terzi (finalità E), iSustainability S.r.l. agisce come unico mittente e i dati degli interessati non vengono trasmessi agli organizzatori esterni.
7. Periodo di conservazione
I periodi di conservazione sono indicati nella tabella della sezione 4 per ciascuna finalità. In ogni caso si applicano i seguenti criteri generali:
- Revoca del consenso: i dati vengono rimossi dalle liste attive entro 30 giorni dalla revoca. Una copia minima può essere conservata per un ulteriore periodo (max 24 mesi) nel solo registro delle revoche, per comprovare il rispetto del GDPR in caso di contestazioni.
- Fine del rapporto: i dati raccolti per la gestione di richieste (finalità A) sono conservati fino a 24 mesi dall’ultima interazione, salvo necessità di adempiere ad obblighi legali.
- Obblighi di legge: in presenza di obblighi legali di conservazione (es. fiscali, contabili), i dati sono trattenuti per la durata imposta dalla legge applicabile.
- Dati di profilazione: cancellati contestualmente alla revoca del consenso; i profili aggregati e anonimizzati non soggetti a GDPR potranno essere conservati a fini statistici.
Al termine del periodo di conservazione, i dati sono cancellati in modo sicuro o resi definitivamente anonimi.
8. Diritti dell’interessato (artt. 15-22 GDPR)
In qualità di interessato, l’utente può esercitare in qualsiasi momento i seguenti diritti:
|
Diritto |
Art. GDPR |
Contenuto |
|
Accesso |
Art. 15 |
Ottenere conferma che siano trattati dati che La riguardano e riceverne copia. |
|
Rettifica |
Art. 16 |
Far correggere dati inesatti o incompleti che La riguardano. |
|
Cancellazione (“diritto all’oblio”) |
Art. 17 |
Ottenere la cancellazione dei dati al ricorrere dei presupposti previsti (es. revoca del consenso, dati non più necessari). |
|
Limitazione |
Art. 18 |
Ottenere la limitazione del trattamento in caso di contestazione dell’esattezza, opposizione, o trattamento illecito. |
|
Portabilità |
Art. 20 |
Ricevere i propri dati in formato strutturato e leggibile da dispositivo automatico (applicabile ai dati trattati su base consenso o contratto). |
|
Opposizione |
Art. 21 |
Opporsi in qualsiasi momento al trattamento per finalità di marketing diretto o profilazione; opporsi al trattamento basato su legittimo interesse per motivi connessi alla situazione particolare. |
|
Revoca del consenso |
Art. 7(3) |
Revocare il consenso in qualsiasi momento, senza pregiudizio per la liceità del trattamento effettuato prima della revoca. |
|
Non essere sottoposto a decisioni automatizzate |
Art. 22 |
Non essere sottoposto a decisioni basate esclusivamente su trattamento automatizzato con effetti giuridici significativi (attualmente non applicabile: il Titolare non effettua tali trattamenti). |
Come esercitare i diritti: inviare una richiesta scritta a market@isustainability.it, specificando il diritto che si intende esercitare e allegando copia di un documento di identità. Il Titolare risponderà senza ingiustificato ritardo e comunque entro 30 giorni dalla ricezione della richiesta (prorogabili di ulteriori 60 giorni in caso di complessità, previa comunicazione motivata).
Disiscrizione rapida: per revocare il consenso al solo invio di newsletter e comunicazioni marketing, è sufficiente cliccare il link “unsubscribe” presente in calce a ogni email. La revoca ha effetto immediato e l’interessato non riceverà ulteriori comunicazioni entro il termine tecnico di propagazione (max 48 ore lavorative).
Reclamo all’Autorità di controllo: fermo restando il diritto di adire le vie giudiziarie, l’interessato ha il diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it), Piazza Venezia 11 – 00187 Roma.
9. Misure di sicurezza
Il Titolare adotta misure tecniche e organizzative adeguate al rischio del trattamento, conformemente all’art. 32 GDPR, tra cui:
- Accesso ai dati limitato al personale autorizzato e istruito, sulla base del principio del need-to-know
- Trasmissione dei dati tramite connessioni cifrate (TLS/HTTPS)
- Utilizzo di piattaforme certificate e conformi ai principali standard di sicurezza (es. ISO/IEC 27001 per Microsoft)
- Procedure di gestione delle violazioni dei dati (data breach) ai sensi dell’art. 33 GDPR
- Revisione periodica delle misure di sicurezza e degli accordi con i Responsabili Esterni
10. Cookie e tecnologie di tracciamento
Per le informazioni relative all’utilizzo di cookie e tecnologie di tracciamento sul sito web, si rimanda alla Cookie Policy disponibile nella sezione dedicata del sito. In conformità all’art. 122 del Codice Privacy (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018) e alle Linee Guida del Garante del 10 giugno 2021, il consenso ai cookie non strettamente necessari è raccolto tramite apposito banner.
11. Aggiornamenti dell’informativa
Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, in particolare a seguito di cambiamenti normativi, organizzativi o tecnologici. In caso di modifiche sostanziali, gli interessati ne saranno informati via e-mail o tramite avviso in evidenza sul sito, con congruo anticipo rispetto all’entrata in vigore della nuova versione.
La versione aggiornata sarà sempre disponibile sul sito di iSustainability S.r.l. La continuazione nell’utilizzo dei servizi successivamente alla pubblicazione delle modifiche costituirà accettazione delle stesse, nei limiti di quanto consentito dalla normativa applicabile.