Informativa sulla privacy

Ultima modifica: 25 maggio 2022

Usando il sito web proton.me, un account Proton (“Account”) e tutte le sue funzioni correlate, tra cui Proton Mail, Proton Contacts, Proton Calendar e Proton Drive (“Servizi”), sei consapevole che i dati legati al tuo utilizzo dei nostri Servizi vengono trattati in base alla seguente informativa sulla privacy. La presente informativa indica (i) quali dati raccogliamo attraverso l'accesso e l'utilizzo dei Servizi; (ii) l'uso che facciamo di tali dati; e (iii) le misure di sicurezza messe in atto per proteggere i tuoi dati. La presente informativa sulla privacy deve essere letta e intesa come un'integrazione dei nostri termini di servizio.

N.B.: Proton VPN è soggetta a una politica diversa; per informazioni dettagliate consulta la pagina protonvpn.com/privacy-policy.

1. Quadro giuridico

I Servizi sono gestiti da Proton AG (“Azienda”, “Noi”), che ha sede in Route de la Galaise 32, 1228 Plan-les-Ouates, Ginevra, Svizzera, ed è quindi regolata dalle leggi e dalle normative svizzere. Ulteriori informazioni sul quadro giuridico sono disponibili nel nostro rapporto sulla trasparenza e nella pagina di assistenza per le autorità preposte all'applicazione della legge.

Siamo inoltre conformi al GDPR. Il rappresentante designato dell'Azienda nell'Unione Europea (in particolare ai fini dell'art. 27 del GDPR) è Proton Europe sàrl, rue de Grünewald 94, L-1912 Lussemburgo.

2. Raccolta e utilizzo dei dati

La nostra politica prevalente è quella di raccogliere il minor numero possibile di informazioni sull'utente (dati personali inclusi) per garantire un'esperienza utente completamente privata durante l'utilizzo dei Servizi. Non disponiamo dei mezzi tecnici per accedere al contenuto delle email, dei file e degli eventi del calendario cifrati.

La raccolta dei dati è limitata a quanto segue:

2.1 Visita del nostro sito web: utilizziamo un'installazione locale di strumenti di analisi sviluppati autonomamente. Le analisi vengono rese anonime quando possibile e archiviate localmente (e non sul cloud). Gli indirizzi IP non vengono conservati e archiviati per tali analisi.

2.2 Creazione dell'Account: non è necessario fornire dati personali per creare un Account, ma è possibile fornire un indirizzo email esterno per scopi di notifica o recupero della password. Scegliendo di fornirlo, associamo questo indirizzo email al tuo account (per il recupero della password o per scopi di notifica). Tali dati verranno utilizzati solo per contattarti con notifiche importanti sui Servizi, per inviarti informazioni relative alla sicurezza, per verificare il tuo account o per inviarti link per il recupero della password se attivi l'opzione. Potremmo anche informarti sui nuovi prodotti Proton che potrebbero interessarti. La base legale per il trattamento è il consenso e hai la facoltà di rimuovere tali dati nel pannello delle impostazioni del tuo Account in qualsiasi momento.

Al fine di mantenere l'integrità dei Servizi, dobbiamo adottare delle misure per evitare che gli spammer creino degli account: se gli spammer inviano dei messaggi usando Proton Mail, gli indirizzi IP di Proton Mail possono infatti venire bloccati dai principali provider di posta, quali Gmail, Yahoo, Outlook ecc. Al fine di perseguire il nostro legittimo interesse di impedire la creazione di account da parte di spam bot o spammer umani, utilizziamo diversi metodi di verifica umana. La verifica può essere richiesta anche per alcune operazioni sensibili, oltre che per la creazione degli account, al fine di fornire protezione dagli attacchi a forza bruta. Potrebbe essere richiesta la verifica con hCaptcha (o reCAPTCHA nel caso in cui hCaptcha non fosse disponibile), email o SMS. Gli indirizzi IP, gli indirizzi email e i numeri di telefono forniti vengono salvati temporaneamente per rendere possibile l'invio di un codice di verifica e per contrastare lo spam. Il periodo di conservazione temporanea dei dati è determinato dai nostri legittimi interessi di tutela del servizio dallo spam e anche da eventuali obblighi normativi svizzeri. Se questi dati vengono salvati in modo permanente, vengono sempre salvati come hash crittografico, il che garantisce che i valori grezzi non possano essere da noi decifrati. <Scopri di più

2.3 Attività dell'Account Proton Mail: a causa delle limitazioni del protocollo SMTP, abbiamo accesso ai seguenti metadati email: indirizzi email del mittente e del destinatario, indirizzo IP, messaggi in arrivo, oggetto del messaggio e orari di invio e ricezione del messaggio. NON abbiamo accesso al contenuto dei messaggi cifrati, ma i messaggi non cifrati inviati da provider esterni al tuo account, o da Proton Mail a servizi di posta esterni non cifrati, vengono scansionati alla ricerca di spam e virus per perseguire il legittimo interesse di proteggere l'integrità dei nostri Servizi e utenti. Tali messaggi in entrata vengono analizzati alla ricerca di spam in memoria, quindi cifrati e scritti su disco. Non possediamo la capacità tecnica di scansionare il contenuto dei messaggi dopo che sono stati cifrati. Abbiamo anche accesso ai seguenti record di attività dell'Account: numero di messaggi inviati, quantità di spazio di archiviazione utilizzata, numero totale di messaggi, ora dell'ultimo login. I dati dell'utente non vengono mai utilizzati per scopi pubblicitari.

2.4 Attività dell'Account Proton Calendar: il Servizio deve essere in grado di accedere ad alcune proprietà degli eventi per recuperarli e indicizzarli in modo efficiente, nonché inviare notifiche e avvisi richiesti. A tal fine, abbiamo accesso ai seguenti metadati: nome e descrizione del calendario, identificatore univoco dell'evento (UID), data di inizio e fine (incluso il fuso orario), regola di ripetizione (incluse date od orari di esclusione), stato di partecipazione dei partecipanti, informazioni sull'organizzatore (solo quando viene emesso o ricevuto un invito), avvisi e notifiche, orari di creazione e aggiornamento dell'evento e stato dell'evento (confermato o annullato). NON abbiamo accesso alla descrizione degli eventi, al loro riepilogo o titolo, ai luoghi e agli indirizzi email dei partecipanti.

2.5 Attività dell'Account Proton Drive: per scopi operativi, il Servizio deve avere accesso ai seguenti metadati non cifrati: timestamp di creazione e modifica di file/cartelle, autorizzazioni file/cartella, tipo di file, creatore del file/cartella. Quando si condivide un file o una cartella, è necessario registrare quali utenti possiedono o possono accedere a tale file o cartella condivisi. Quando si condividono gli URL, abbiamo accesso all'ora della creazione e dell'ultimo accesso, al numero di volte in cui è stato effettuato l'accesso all'URL e al suo creatore. Tuttavia, NON abbiamo accesso ai contenuti dei file, ai nomi di file e cartelle e alle anteprime. Tali dati sono protetti con crittografia end-to-end. Archiviamo solo le dimensioni dei file cifrati, non le dimensioni del file originale non cifrato. Nel caso di una segnalazione per abuso di un URL condiviso da parte di terzi, questi hanno accesso alla password utilizzata per decifrare i file e la trasmettono a noi. Possiamo accedere al contenuto dei file solo in questi casi.

Oltre alla crittografia end-to-end, tutto il contenuto viene anche firmato crittograficamente dall'utente, prima di inviarlo a noi. Ciò significa che puoi sempre controllare la firma di qualsiasi contenuto che ricevi dai nostri server, che ti protegge dalla contraffazione (ad esempio da parte di un malintenzionato).

2.6 Comunicazione con Proton: le tue comunicazioni con noi, come richieste di assistenza, segnalazioni di bug o richieste di funzione, possono essere salvate dal nostro staff. La base giuridica per il trattamento è il nostro legittimo interesse a risolvere i problemi in modo più efficiente e migliorare la qualità dei nostri Servizi.

2.7 Registrazione IP: per impostazione predefinita, non conserviamo log IP permanenti in relazione al tuo Account. Tuttavia, i log IP possono essere conservati temporaneamente per combattere abusi e frodi e il tuo indirizzo IP può essere conservato in modo permanente se sei impegnato in attività che violano i nostri termini e condizioni (ad es. spamming, attacchi DDoS contro la nostra infrastruttura, attacchi a forza bruta). La base giuridica di questo trattamento è il nostro legittimo interesse a proteggere il nostro servizio da attività nefaste.

Se abiliti la registrazione dell'autenticazione per il tuo Account, il registro dei tuoi indirizzi IP di login viene conservato per tutto il tempo in cui la funzione è abilitata. Questa funzione è disattivata per impostazione predefinita e tutti i registri vengono eliminati alla disattivazione della funzione. La base giuridica di questo trattamento è il consenso e hai la facoltà di accettare o rifiutare tale trattamento in qualsiasi momento nel pannello di sicurezza del tuo Account.

2.8 Informazioni sul pagamento: ci affidiamo a terzi per elaborare le transazioni con carta di credito, PayPal e Bitcoin e pertanto dobbiamo condividere le informazioni di pagamento con loro. Sono accettati pagamenti e donazioni anonimi in contanti o Bitcoin. La base giuridica di questo trattamento è la necessità per l'esecuzione del contratto per fornire i Servizi.

2.9 Applicazioni native: quando utilizzi le nostre applicazioni native, noi (o i fornitori di piattaforme di app mobili) possiamo raccogliere determinate informazioni. Possiamo utilizzare software di analisi mobile (ad es. statistiche delle app fabric.io e rapporti di arresto anomalo, statistiche dell'app Play Store, statistiche dell'app App Store o rapporti di arresto anomalo di Sentry self-hosted) per inviare informazioni di arresto anomalo ai nostri sviluppatori al fine di correggere rapidamente i bug. Alcune piattaforme, come il Play Store di Google o l'App Store di Apple, possono anche raccogliere statistiche aggregate e anonime, che possono essere regolate dalle rispettive informative sulla privacy e termini e condizioni. Tali statistiche possono includere i dispositivi e i sistemi operativi più comunemente utilizzati (ad es. percentuale di Android 6.x v. Android 7.x), numero totale di installazioni e disinstallazioni e numero totale di utenti attivi.

Le nostre applicazioni non accedono né tracciano alcuna informazione basata sulla posizione dal tuo dispositivo.

2.10 Import Assistant con "Accedi con Google": quando utilizzi il nostro strumento Import Assistant per importare i tuoi dati da Google e autenticarti utilizzando l'opzione "Accedi con Google", il trattamento delle informazioni ricevute dalle API di Google del nostro Import Assistant verrà eseguito in conformità con la politica sui dati utente dei servizi API di Google, compresi i requisiti per l'uso limitato.

2.11 Import Assistant con una combinazione di nome utente e password: quando utilizzi il nostro strumento Import Assistant per importare le tue email da un altro provider, le credenziali dell'account email da cui viene eseguita l'importazione vengono archiviate da noi per la durata limitata dell'importazione. Una volta effettuata l'importazione, tali credenziali vengono completamente eliminate dai nostri sistemi.

N.B.: Proton VPN è soggetta a una politica diversa; per informazioni dettagliate consulta la pagina protonvpn.com/privacy-policy.

3. Archiviazione dei dati

All servers used in connection with the provision of the Services are wholly owned and operated by the Company or its subsidiaries. Only employees of the Company have physical or other access to the servers. Data is always stored in encrypted format on our servers. Offline backups, which may be stored periodically, are also encrypted. We cannot decrypt any user encrypted content on either the production servers or in the backups. Backups are kept for up to 30 days.

4. Reti di terze parti

L'uso del percorso alternativo da parte di Proton consente ai Servizi Proton di aggirare molte attività di censura, ma con questa tecnologia il traffico potrebbe passare attraverso reti di terze parti, estranee al nostro controllo. Una terza parte potrebbe quindi registrare il tuo indirizzo IP e potrebbe vedere che stai utilizzando le app Proton (le stesse informazioni disponibili per il tuo provider di servizi internet). Queste terze parti non possono vedere i tuoi dati effettivi, che rimangono cifrati. Per impostazione predefinita, le app Proton non usano il percorso alternativo, a meno che non si rilevi la presenza di attività di censura sulla rete. Nel pannello delle impostazioni delle nostre applicazioni mobili e desktop, è possibile disattivare il percorso alternativo. Ciò potrebbe però impedire l'accesso al proprio account da una rete che sta censurando Proton. Scopri di più

5. Sub-responsabili del trattamento dei dati

Per fornire i Servizi, ci affidiamo a diversi sub-responsabili del trattamento dei dati, che trattano diverse categorie di dati. I responsabili non archiviano mai i dati al di fuori dell'ambito del loro scopo specifico. In particolare, non archiviano dati in relazione all'uso quotidiano generale del tuo Account e dei tuoi Servizi, che viene elaborato esclusivamente dalla Società. I sub-responsabili sono i seguenti:

5.1 Sub-responsabili del gruppo Proton

ProtonLabs DOOEL Skopje

  • Scopo: trattare i dati in relazione alle richieste di assistenza clienti o ad altre comunicazioni dirette con l'azienda (sezione 2.4)
  • Luogo del trattamento dei dati: Macedonia

ProtonLabs Taiwan Co., Ltd

  • Scopo: trattare i dati in relazione alle richieste di assistenza clienti o ad altre comunicazioni dirette con l'azienda (sezione 2.4)
  • Luogo del trattamento dei dati: Taiwan (R.O.C)

5.2 Sub-responsabili terzi

Zendesk, Inc.

  • Scopo: fornire servizi in relazione al trattamento dei dati dell'assistenza clienti (sezione 2.4)
  • Luogo del trattamento dei dati: Stati Uniti

Stripe, Inc.

  • Scopo: fornire servizi in relazione al trattamento dei dati di pagamento (sezione 2.6)
  • Luogo del trattamento dei dati: Stati Uniti

PayPal group

  • Scopo: fornire servizi in relazione al trattamento dei dati di pagamento (sezione 2.6)
  • Luogo del trattamento dei dati: Stati Uniti, Singapore

6. Divulgazione dei dati

Comunicheremo i pochi dati utente in nostro possesso solo se legalmente obbligati da una richiesta vincolante delle competenti autorità svizzere. Siamo tenuti a rispettare le notifiche elettroniche solo se queste vengono consegnate nel pieno rispetto degli obblighi di legge svizzeri. Per sua politica generale, Proton si oppone alle richieste ogniqualvolta ciò sia possibile e in caso di dubbi sulla validità delle richieste, o in presenza di un interesse pubblico. In tali situazioni, non rispetteremo le richieste finché non si esauriscano tutte le soluzioni alternative, legali o di altro tipo. In base al diritto svizzero, chi è sottoposto a procedimenti giudiziari deve esserne informato, anche se la notifica deve provenire dalle autorità e non dalla Società. In nessun caso Proton può decifrare il contenuto dei messaggi cifrati e divulgare copie decifrate. Le statistiche aggregate sulle richieste di dati da parte delle autorità svizzere competenti sono disponibili nel nostro rapporto sulla trasparenza.

7. Diritto di accesso, rettifica, cancellazione, portabilità e diritto di presentare un reclamo

Attraverso l'interfaccia del tuo Account, puoi accedere direttamente, modificare, eliminare o esportare i dati personali elaborati dall'Azienda nell'utilizzo dei Servizi.

Se il tuo account è stato sospeso per una violazione dei nostri termini e condizioni e desideri esercitare i diritti relativi ai tuoi dati personali, puoi inviare una richiesta alla nostra assistenza.

In caso di violazione dei tuoi diritti, hai il diritto di presentare un reclamo all'autorità di controllo competente.

8. Modifiche all'informativa sulla privacy

Ci riserviamo il diritto di rivedere e modificare periodicamente questa informativa di volta in volta e informeremo gli utenti che hanno abilitato la preferenza di notifica sulle modifiche alla nostra informativa sulla privacy. L'uso continuato dei Servizi sarà considerato accettazione di tali modifiche.