DijiSense Informativa sul Trattamento dei Dati Personali

La Piattaforma tratta i dati esclusivamente nella misura necessaria all'esecuzione del contratto con il Cliente e soltanto per le finalità specifiche di seguito indicate: **1. Acquisizione e instradamento dei dati da dispositivi IoT** Ricezione, inoltro ed elaborazione dei segnali di dati provenienti da sensori IoT, gateway e dispositivi autorizzati dal Cliente, al fine di abilitare le funzionalità di monitoraggio in tempo reale, allarme e visualizzazione. **2. Costruzione e manutenzione di modelli Digital Twin** Trattamento delle informazioni sugli impianti fornite dal Cliente – compresi modelli architettonici, dati di configurazione dei dispositivi e dati storici dei sensori – per la costruzione e il mantenimento di modelli Digital Twin a supporto dell'analisi degli impianti e delle decisioni operative. **3. Archiviazione nel registro di audit (solo per gli utenti abbonati)** Per i Clienti che hanno sottoscritto il servizio "Mail Ledger Audit Archiving", la Piattaforma mette a disposizione un ambiente di archiviazione neutrale e di terza parte, isolato dai sistemi del Cliente, per la conservazione dei dati dei sensori e dei registri operativi a fini di verifica e audit futuri. **4. Operazioni di sicurezza e supporto tecnico** Raccolta dei log di accesso al sistema e dei registri di audit operativi necessari al mantenimento della sicurezza della Piattaforma, all'identificazione di comportamenti di accesso anomali e alla fornitura di supporto tecnico su richiesta del Cliente.

La Piattaforma raccoglie le seguenti categorie di dati nella misura necessaria all'erogazione dei propri servizi: **A. Informazioni sull'account Cliente** Denominazione aziendale, nome del referente, indirizzo e-mail, indirizzo di fatturazione e informazioni di pagamento. I dati di pagamento sono elaborati in modo sicuro da processori di pagamento terzi; la Piattaforma non conserva i numeri completi delle carte di pagamento. **B. Informazioni sugli impianti e sui dispositivi** Planimetrie architettoniche, configurazioni dei punti sensore, elenchi dei modelli di dispositivi e configurazioni delle chiavi API caricati o autorizzati dal Cliente. **C. Dati operativi dei sensori** Dati numerici in tempo reale e storici generati dai sensori IoT, quali temperatura, umidità, consumo energetico, qualità dell'aria e stato dei controlli di accesso. Tali dati non costituiscono generalmente dati personali ai sensi del RGPD; tuttavia, il Cliente è tenuto a verificare in autonomia se i dati che connette alla Piattaforma contengano informazioni di identificazione personale. **D. Log delle attività degli utenti** Timestamp di accesso alla Piattaforma, log delle operazioni, registrazioni delle modifiche alla configurazione del Dashboard e log delle chiamate API. Utilizzati per audit di sicurezza e supporto tecnico. **E. Informazioni sui dispositivi e sulla connessione** Tipo di browser, indirizzo IP, versione del sistema operativo e identificatori di sessione. Utilizzati per l'autenticazione e la gestione della sicurezza della connessione.

La Piattaforma applica rigorosamente il principio di minimizzazione dei dati ai sensi dell'art. 5, par. 1, lett. c), del RGPD, riducendo al minimo i rischi per la privacy. **Divieto di utilizzo per finalità diverse** La Piattaforma si impegna a non utilizzare i dati del Cliente – comprese informazioni sugli impianti, dati dei sensori, configurazioni dei dispositivi, modelli Digital Twin e registri operativi – per finalità diverse dall'erogazione del servizio, dal supporto tecnico e dall'archiviazione ai fini di audit. Sono vietati il data mining sui dati del Cliente, la profilazione a scopi pubblicitari e la vendita o la cessione di qualsiasi dato a terzi. **Qualità di responsabile del trattamento** Nell'ambito del presente servizio, il Cliente agisce in qualità di titolare del trattamento ai sensi dell'art. 4, par. 7, del RGPD; la Piattaforma opera esclusivamente come responsabile del trattamento ai sensi dell'art. 4, par. 8, del RGPD e dell'art. 28 del medesimo Regolamento. La Piattaforma non comunica i dati del Cliente a soggetti esterni, salvo obbligo di legge. Su richiesta del Cliente, la Piattaforma è disponibile a stipulare un Accordo sul Trattamento dei Dati (DPA) conforme all'art. 28 del RGPD. **Trattamento dei dati da parte dei partner SI in white-label** I Clienti titolari di un piano SI Partner autorizzato che erogano i servizi della Piattaforma ai propri clienti finali sotto il proprio marchio assumono piena e autonoma responsabilità in merito alla protezione dei dati personali dei propri clienti finali. La Piattaforma non riveste la qualità di titolare del trattamento nei confronti dei clienti finali dei partner SI.

La Piattaforma offre i seguenti meccanismi di protezione dei dati, graduati per livello di sicurezza: **1. Cifratura dei dati a riposo (Encryption at Rest)** Tutti i dati storici dei sensori, i modelli Digital Twin e i registri dell'audit ledger conservati nell'ambiente cloud della Piattaforma sono cifrati con l'algoritmo di cifratura simmetrica AES-256. **2. Cifratura dei dati in transito (Encryption in Transit)** Tutte le trasmissioni di dati – compresi MQTT, HTTP API e WebSocket – sono obbligatoriamente protette con TLS 1.2 o versione superiore, al fine di prevenire intercettazioni o manomissioni durante la trasmissione. **3. Principi di gestione delle chiavi** La Piattaforma offre livelli differenziati di protezione crittografica in base al piano di servizio sottoscritto dal Cliente. Ciò può includere la custodia delle chiavi da parte della Piattaforma, oppure l'utilizzo di chiavi fornite dal Cliente (BYOK) o detenute dal Cliente (HYOK). **4. Verifica dell'integrità** A ogni lotto di dati dei sensori scritto nell'audit ledger viene assegnata un'impronta digitale SHA-256, che garantisce l'integrità dei dati sin dal momento dell'archiviazione e consente la verifica dell'assenza di qualsiasi alterazione. **5. Distribuzione on-premise** I Clienti che optano per la distribuzione on-premise conservano tutti i dati nei propri data center; i sistemi cloud della Piattaforma non hanno contatto con tali dati. Le chiavi di licenza emesse dalla Piattaforma sono vincolate all'hardware server designato dal Cliente. La Piattaforma fornisce esclusivamente la licenza software e non assume alcuna responsabilità per l'hardware, l'infrastruttura di rete o la gestione della sicurezza informatica del Cliente.

La Piattaforma eroga i propri servizi avvalendosi di infrastrutture cloud distribuite a livello globale. **Conformità ai trasferimenti transfrontalieri** Per i dati dei Clienti soggetti alle normative dell'UE, del Regno Unito o di altre giurisdizioni che impongono restrizioni ai trasferimenti transfrontalieri, la Piattaforma assicura la conformità ai requisiti di legge applicabili, anche mediante l'adozione delle Clausole Contrattuali Standard dell'UE (CCS/SCCs) ai sensi dell'art. 46 del RGPD, o di altri meccanismi di trasferimento riconosciuti dall'autorità di controllo competente. **Protezione sostanzialmente equivalente** La Piattaforma garantisce uno standard di protezione della sicurezza dei dati uniforme e sostanzialmente equivalente in tutte le aree geografiche di erogazione del servizio, senza ridurre il livello di protezione in base alla localizzazione del Cliente.

Nell'ambito delle proprie attività operative, la Piattaforma può avvalersi delle seguenti categorie di fornitori di servizi terzi: - **Fornitori di infrastrutture cloud**: Utilizzati per servizi di elaborazione, archiviazione e rete. Tutti i fornitori sono vincolati da Accordi sul Trattamento dei Dati (DPA). - **Processori di pagamento** (es. Paddle, TapPay): Elaborazione dei pagamenti degli abbonamenti. La Piattaforma non conserva i dati completi delle carte di pagamento. - **Servizi di notifica via e-mail**: Invio di avvisi di sistema, notifiche di fatturazione e comunicazioni di supporto tecnico. Vengono trasmesse solo le informazioni necessarie. La Piattaforma non condivide i dati dei Clienti con inserzionisti, broker di dati o terze parti non direttamente coinvolte nell'erogazione del servizio.

**1. Esercizio dei diritti** La Piattaforma rispetta i diritti riconosciuti agli interessati dal RGPD e dal D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018, tra cui: - **Diritto di accesso (art. 15 RGPD):** Il diritto di ottenere conferma del trattamento e copia dei dati personali. - **Diritto di rettifica (art. 16 RGPD):** Il diritto di ottenere la rettifica dei dati inesatti senza ingiustificato ritardo. - **Diritto alla cancellazione (art. 17 RGPD – "diritto all'oblio"):** Il diritto di chiedere la cancellazione dei dati nei limiti consentiti dalla legge. - **Diritto di limitazione del trattamento (art. 18 RGPD):** Il diritto di richiedere la limitazione del trattamento in determinate circostanze. - **Diritto alla portabilità dei dati (art. 20 RGPD):** Il diritto di ricevere i dati personali in un formato strutturato e leggibile da dispositivo automatico. - **Diritto di proporre reclamo:** Gli interessati hanno il diritto di proporre reclamo al Garante per la protezione dei dati personali o all'autorità di controllo competente ai sensi dell'art. 77 RGPD. Per esercitare i diritti sopra indicati, si prega di contattare: **security@dijisense.com** **2. Periodi di conservazione** - **Dati dell'account:** Conservati per tutta la durata del servizio attivo; cancellati definitivamente entro trenta (30) giorni dalla chiusura dell'account. - **Dati storici dei sensori:** Conservati per il periodo corrispondente al piano di archiviazione sottoscritto; distrutti mediante tecniche di distruzione fisica o digitale irreversibile allo scadere del periodo. - **Dati dell'audit ledger:** Conservati esclusivamente per la durata del periodo di audit sottoscritto. In caso di cessazione del servizio o di richiesta di cancellazione, la Piattaforma completa la distruzione digitale irreversibile entro trenta (30) giorni. - **Log operativi di sistema:** Conservati per un massimo di novanta (90) giorni ai fini dell'audit di sicurezza, poi eliminati automaticamente. **3. Clienti con distribuzione on-premise** I Clienti che hanno optato per la distribuzione on-premise gestiscono autonomamente i propri dati. La Piattaforma non è in grado di eseguire operazioni di cancellazione per loro conto. Il Cliente può eseguire autonomamente le procedure di eliminazione dei dati in conformità alla documentazione tecnica fornita dalla Piattaforma.

Il sito web ufficiale e il pannello di gestione della Piattaforma utilizzano esclusivamente cookie tecnici strettamente necessari al mantenimento delle sessioni di accesso e delle preferenze dell'utente. La Piattaforma non utilizza cookie di tracciamento pubblicitario di terze parti, non effettua tracciamento tra siti diversi e non eroga pubblicità comportamentale.

I servizi della Piattaforma sono rivolti esclusivamente a imprese e organizzazioni professionali (B2B). La Piattaforma non eroga servizi direttamente a minori di età e non raccoglie consapevolmente dati personali di soggetti noti come minori di diciotto (18) anni.

La presente Informativa sarà aggiornata periodicamente in risposta a modifiche normative o variazioni dei servizi della Piattaforma. I Clienti saranno informati delle modifiche sostanziali mediante e-mail o comunicazione sulla Piattaforma almeno trenta (30) giorni prima della data di entrata in vigore delle stesse. Per qualsiasi domanda relativa alla presente Informativa o alle pratiche di trattamento dei dati, si prega di contattare il Team Sicurezza e Conformità della Piattaforma: **Contatto: security@dijisense.com** **La presente Informativa è disciplinata dalla legge della Repubblica di Cina (Taiwan). Qualsiasi controversia relativa alla presente Informativa sarà di competenza esclusiva del Tribunale distrettuale di Taipei, Taiwan, quale foro di primo grado.**