GDPR e trattamento dei dati
Maintainer: Aether365 Team Destinatari: Responsabili della protezione dei dati e team legali Ambito: Ruoli GDPR, diritti dell'interessato e impegni di conformità di Aether365
Aether365 è progettato per aiutare le organizzazioni con gli obblighi GDPR, ma come piattaforma SaaS tratta anche dati personali per tuo conto. Questa pagina spiega la base giuridica del trattamento, i tuoi diritti e come esercitarli.
Ruoli ai sensi del GDPR
| Ruolo | Soggetto | Ambito |
|---|---|---|
| Titolare del trattamento | La tua organizzazione | Determini le finalità e i mezzi del trattamento (hai scelto di collegare il tuo tenant M365 ad Aether365) |
| Responsabile del trattamento | Aether365 | Trattiamo i dati secondo le tue istruzioni (esecuzione di controlli di sicurezza sul tuo tenant) |
| Sub-responsabile | Il nostro fornitore di infrastruttura cloud, Stripe, ecc. | Trattano i dati per conto di Aether365 - vedi Residenza dei dati |
Base giuridica del trattamento
Aether365 tratta i dati personali sulla base delle seguenti basi giuridiche:
| Attività di trattamento | Base giuridica | Note |
|---|---|---|
| Creazione e gestione dell'account | Esecuzione del contratto (Art. 6(1)(b)) | Necessaria per erogare il servizio |
| Scansione della configurazione Microsoft 365 | Esecuzione del contratto (Art. 6(1)(b)) | Funzione principale del servizio |
| Lettura dei dati di Microsoft Graph | Interesse legittimo (Art. 6(1)(f)) | La scansione di sicurezza richiede la lettura dei dati |
| Invio di report via email | Esecuzione del contratto | Hai configurato le notifiche email |
| Fatturazione ed elaborazione pagamenti | Esecuzione del contratto | Necessaria per i piani a pagamento |
Dati personali trattati
Quando Aether365 scansiona il tuo tenant Microsoft 365, può leggere dati di configurazione che includono identificatori personali:
- User Principal Name (UPN) - Indirizzi email utilizzati come identificatori nelle assegnazioni delle policy
- Object ID - ID Microsoft Entra per utenti, gruppi e service principal
- Nomi visualizzati - Nomi di utenti e gruppi nel contesto delle assegnazioni di ruolo
Questi dati vengono utilizzati esclusivamente per valutare i controlli di sicurezza e sono archiviati come parte dei risultati delle scansioni. Non vengono utilizzati per nessun altro scopo.
Nessuna AI né profilazione automatizzata
Aether365 non utilizza intelligenza artificiale o machine learning per trattare i dati personali che legge dal tuo tenant. I tuoi dati di configurazione e i risultati delle scansioni non vengono mai inviati ad alcun servizio di AI o a modelli linguistici di grandi dimensioni, utilizzati per addestrare modelli di AI, né sottoposti a processi decisionali automatizzati o a profilazione ai sensi dell'Article 22 del GDPR.
Diritti dell'interessato
In qualità di Titolare del trattamento, la tua organizzazione è responsabile di rispondere alle richieste degli interessati provenienti dai tuoi utenti Microsoft 365. Aether365 archivia solo dati di configurazione - non vengono mai trattati contenuti email individuali, documenti personali o corrispondenza personale.
In qualità di interessato per il tuo account Aether365 (il tuo indirizzo email e i dati dell'account), hai i seguenti diritti ai sensi del GDPR:
| Diritto | Come esercitarlo |
|---|---|
| Accesso (Art. 15) | Invia email a privacy@aether365.io |
| Rettifica (Art. 16) | Aggiorna il tuo account nelle Impostazioni, oppure contattaci via email |
| Cancellazione (Art. 17) | Invia email a privacy@aether365.io per richiedere l'eliminazione completa dell'account |
| Portabilità (Art. 20) | Esporta i dati delle scansioni tramite CSV o API, oppure richiedi un'esportazione completa via email |
| Limitazione (Art. 18) | Invia email a privacy@aether365.io |
| Opposizione (Art. 21) | Invia email a privacy@aether365.io |
Rispondiamo a tutte le richieste degli interessati entro 30 giorni.
Accordo sul trattamento dei dati
Un Data Processing Agreement (DPA) è disponibile per i clienti dei piani Pro ed Enterprise. Il DPA:
- Documenta gli obblighi di Aether365 come responsabile del trattamento
- Specifica le misure di sicurezza tecniche e organizzative
- Elenca i sub-responsabili e le relative ubicazioni
- Definisce le procedure per le richieste degli interessati, le violazioni dei dati e i diritti di audit
Per ricevere il DPA, invia un'email a privacy@aether365.io. I clienti Enterprise hanno il DPA incluso nel contratto; i clienti Pro possono richiederlo senza costi aggiuntivi.
Notifica di violazione dei dati
In caso di violazione dei dati personali che riguardi i tuoi dati, Aether365 ti notificherà senza indebito ritardo e non oltre 72 ore dal momento in cui ne viene a conoscenza, conformemente all'Articolo 33 del GDPR.
Le notifiche verranno inviate all'indirizzo email del proprietario dell'account. I clienti Enterprise possono designare un indirizzo di contatto per la sicurezza separato.
Per segnalare un incidente di sicurezza: security@aether365.io
Autorità di controllo
Aether365 è registrata nell'UE. La nostra autorità di controllo capofila è l'Autorità svedese per la protezione della privacy (IMY - Integritetsskyddsmyndigheten).
Hai il diritto di presentare un reclamo alla tua autorità di controllo locale se ritieni che abbiamo trattato i tuoi dati in modo illecito.