Sonova AG è costituita secondo le leggi della Svizzera, in qualità di titolare del trattamento dei dati, con sede legale in Laubisrütistrasse 28, 8712 Stäfa, Svizzera, e opera con le sue affiliate situate in tutto il mondo (collettivamente denominate “Società” o “noi” o “nostro”).
Poiché la Società tratta i Dati personali nella sua attività quotidiana, la presente Global Privacy Policy (“Policy”) è stata redatta e implementata al fine di descrivere le pratiche della Società relative all'uso dei Dati personali relativi ai propri clienti, appaltatori e partner (“Interessati”). La Società presta particolare attenzione al rispetto della privacy e dei Dati Personali e si impegna a rispettare la presente Policy, in conformità alle leggi locali applicabili.
Per “Dati personali” si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile.
Per “trattamento” si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, quali la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
La Società si impegna a rispettare la legge applicabile sulla protezione dei dati (“Legge applicabile”). Pertanto, a seconda dei paesi in cui ha sede la Società, il trattamento dei Dati personali sarà soggetto alla legge applicabile locale. Sebbene alcuni requisiti possano variare da un paese all'altro, la Società è particolarmente attenta alla privacy degli interessati e la presente Policy costituisce una linea guida globale verso cui la Società si impegna.
In particolare, la Società si impegna a rispettare le seguenti leggi, ove applicabili:
- La normativa (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche rispetto al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Normativa generale sulla protezione dei dati) (“GDPR”). La normativa GDPR mira ad armonizzare e inquadrare le regole relative al trattamento dei Dati Personali sul territorio dell'Unione Europea al fine di fornire un quadro giuridico unico per i professionisti, nonché rafforzare il controllo da parte dei cittadini circa l'uso ammesso dei Dati Personali che li riguardano. La presente normativa è applicabile al trattamento dei Dati Personali per cittadini o residenti UE e per l'attività di un titolare o di un responsabile del trattamento nel territorio dell'UE.
- La legge federale sulla protezione dei dati del 19 giugno 1992 (“LPD”), modificata nel 2020 al fine di adattarsi alle attuali tecnologie e allinearsi alla normativa GDPR e ad altre recenti normative europee.
- Il California Consumer Privacy Act del 2018 (“CCPA”) che mira a fornire maggiore trasparenza e garantire maggiori diritti ai consumatori residenti in California i cui Dati personali sono trattati dalle aziende.
- L'Health Insurance Portability and Accountability Act del 1996 (“HIPAA”) che definisce le regole degli Stati Uniti per il trattamento elettronico dei dati sanitari da parte di operatori sanitari e partner commerciali.
La Società può trattare i seguenti Dati Personali:
- Dati identificativi: cognome, nome, nazionalità e data di nascita
- Dati di contatto: indirizzo postale, numero di telefono privato, indirizzo e-mail privato e contatto di emergenza
- Numero di riferimento di previdenza sociale e compagnia di assicurazione
- Dati finanziari: mezzi di pagamento, istituto finanziario, IBAN
- Dati relativi alla salute dell'utente: peso, altezza, problemi medici, prescrizione medica, capacità uditiva, monitoraggio dell'attività fisica (conteggio dei passi, intensità dell'esercizio, minuti di esercizio), dati di fitness (frequenza cardiaca, dispendio energetico, pressione sanguigna)
- Dati relativi al comportamento dell'utente sul sito web
- Dati relativi al prodotto acquistato dal cliente: modello, numero di serie, dati di utilizzo
- Dati relativi al servizio erogato
- Dati relativi al feedback che il cliente fornisce sui nostri prodotti e servizi: commenti e note
Inoltre, poiché la nostra attività si concentra principalmente sulla produzione di soluzioni innovative per apparecchi acustici, potremmo essere tenuti a raccogliere Dati personali sensibili e più specificamente dati sanitari. A seconda del paese in cui risiede l'interessato, tali dati personali sensibili possono beneficiare di una protezione speciale, in particolare in termini di misure di sicurezza e riservatezza implementate.
Le seguenti basi giuridiche costituiscono il fondamento su cui la Società si basa per effettuare il trattamento dei Dati Personali. Altre basi giuridiche possono essere utilizzate a seconda del luogo di residenza dell'interessato e della relativa legge applicabile.
In primo luogo, alcuni trattamenti di Dati personali possono essere basati sul consenso degli Interessati. Il trattamento dei Dati Personali per tale finalità può comportare:
- Finalità di marketing quali l'invio di newsletter e informazioni su prodotti e servizi offerti dalla Società
- Per migliorare le prestazioni del nostro sito web
- Per consigliarti e interagire con te: per la creazione del tuo account, per contattarci tramite il modulo di contatto, per Sonova per rispondere agli utenti, per effettuare un test dell'udito online
Inoltre, il trattamento dei Dati Personali che la Società effettua può anche essere basato sull'esecuzione di un contratto o di misure precontrattuali con gli Interessati. Il trattamento dei Dati Personali per tale finalità può comportare:
- Adempimento dei nostri obblighi contrattuali nei confronti degli Interessati
- Fornitura di un servizio post-vendita dopo l'acquisto di un prodotto da parte di un cliente
- Previdenza sociale / elaborazione assicurativa
- Gestione dei reclami
La Società può anche trattare i Dati personali in base al suo legittimo interesse, in particolare al fine di migliorare i nostri prodotti e servizi, l'esperienza del cliente e i processi interni. Il trattamento dei Dati Personali per tale finalità può comportare:
- Conduzione di analisi statistiche/di utilizzo
- Svolgimento di funzioni amministrative interne
- Elaborazione delle richieste dei clienti
- Prevenzione di attività fraudolente e ottimizzazione della sicurezza
- Gestione dei rapporti con gli interessati
- Valutazione della pertinenza dei nostri prodotti e servizi
La Società può anche trattare i Dati personali al fine di rispondere ai requisiti legali. Il trattamento basato su requisiti legali dipende dalla legge applicabile.
I Dati Personali non saranno conservati più a lungo di quanto necessario per le finalità sopra indicate. Ciò significa che i Dati Personali saranno cancellati non appena raggiunto lo scopo del trattamento dei Dati Personali. Tuttavia, se necessario, la Società può conservare i Dati personali più a lungo per conformarsi alla legge applicabile o, se necessario, per proteggere o esercitare i suoi diritti, nella misura consentita dalla legge applicabile sulla protezione dei dati.
Al termine del periodo di conservazione, la Società potrebbe anche aver bisogno di archiviare i Dati Personali, per ottemperare alla Normativa Applicabile, per un periodo di tempo limitato e con accesso limitato.
Questi periodi di conservazione possono variare in base al paese di residenza degli interessati e in conformità alla legge applicabile.
La Società può condividere i Dati personali, previo consenso dell'utente o altra base giuridica pertinente, con le seguenti terze parti:
- Altre società del nostro gruppo come società controllate e affiliate
- Partner commerciali di fiducia che forniscono servizi per nostro conto, ad esempio per il supporto tecnico, per scopi di marketing o per altri tipi di erogazione di servizi
- Autorità governative e autorità pubbliche, nella misura in cui ciò sia necessario per fornire qualsiasi servizio che sia stato richiesto o autorizzato, per proteggere i diritti dei clienti, degli appaltatori e dei partner, o i diritti, la proprietà o la sicurezza nostri o di altri, per mantenere la sicurezza dei nostri servizi o, se tenuti a farlo ai sensi della legge applicabile, del tribunale o di altri regolamenti governativi, o se tale divulgazione è altrimenti necessaria a sostegno di qualsiasi indagine legale o penale o procedimento legale
A seconda della Legge Applicabile, implementiamo contratti con alcune parti terze per garantire che i Dati Personali siano trattati in base alle nostre istruzioni e in conformità alla presente Policy e a qualsiasi altra misura di riservatezza e sicurezza appropriata.
Le suddette terze parti come affiliate e sussidiarie, nonché partner commerciali, autorità pubbliche a cui possiamo divulgare i Dati personali, possono essere ubicate all'esterno del paese di domicilio di un interessato, potenzialmente includendo paesi le cui leggi sulla protezione dei dati possono differire da quelle del paese in cui risiedono gli interessati.
Le suddette terze parti come affiliate e sussidiarie, nonché partner commerciali, autorità pubbliche a cui possiamo divulgare i Dati personali, possono essere ubicate all'esterno del paese di domicilio di un interessato, potenzialmente includendo paesi le cui leggi sulla protezione dei dati possono differire da quelle del paese in cui risiedono gli interessati.:
- L'attuazione di procedure adeguate per conformarsi alla Legge applicabile e in particolare quando sia necessaria una richiesta di autorizzazione da parte dell'autorità di controllo competente
- L'attuazione di adeguate garanzie organizzative, tecniche e legali per disciplinare il suddetto trasferimento e per garantire il necessario e adeguato livello di protezione ai sensi della Legge Applicabile
- Se necessario, l'attuazione delle clausole contrattuali standard adottate dalla Commissione europea
- Se necessario, l'attuazione di misure supplementari come il completamento di una valutazione dell'adeguatezza del trasferimento dei dati se, dopo la valutazione delle circostanze del trasferimento e dopo la valutazione della legislazione del paese terzo, si renda necessario per la protezione dei dati personali trasferiti
Se i Dati Personali non vengono trattati all'interno dell'Unione Europea/Spazio Economico Europeo e nel caso in cui i Dati Personali siano divulgati a terzi situati al di fuori della giurisdizione dell'Interessato, la Società garantirà che siano in atto adeguate garanzie per proteggere i Dati Personali implementando adeguati meccanismi legali. Tali meccanismi possono differire a seconda del paese e della legge applicabile pertinente.
Le misure e le procedure appropriate in caso di violazione dei Dati personali possono differire a seconda del paese in cui si verifica, del tipo di violazione e a seconda della legge applicabile pertinente.
La Società implementa una serie di misure di sicurezza, secondo la legge applicabile, al fine di proteggere i Dati personali da incidenti di sicurezza o divulgazione non autorizzata e qualsiasi altro incidente risultante in una violazione dei Dati personali. Queste misure di sicurezza sono riconosciute come standard di sicurezza appropriati nel settore e comprendono, tra l'altro, controlli di accesso, password, crittografia e valutazioni periodiche della sicurezza.
Se si verifica una violazione dei Dati personali, e in particolare se vi è una violazione della sicurezza risultante, accidentalmente o illegalmente, nella distruzione, perdita, alterazione, divulgazione non autorizzata o accesso ai Dati personali trasmessi, archiviati o altrimenti elaborati, la Società adotterà misure appropriate quali:
- Indagini e analisi al fine di determinare le conseguenze della violazione dei dati personali e in particolare se è possibile che risulti in un rischio per i diritti e le libertà delle persone interessate
- Se l'analisi mostra che esiste un rischio per i diritti e le libertà delle persone interessate, la Società informerà l'autorità competente e, in caso di rischio elevato, lo comunicherà alle persone interessate
- Implementazione nel minor tempo possibile delle misure necessarie per rimediare e mitigare la violazione dei Dati Personali
- Documentazione della violazione dei Dati Personali al fine di garantirne la tracciabilità.
Le misure e le procedure appropriate in caso di violazione dei Dati personali possono differire a seconda del paese in cui si verifica, del tipo di violazione e a seconda della legge applicabile pertinente.
Gli Interessati detengono dei diritti relativi ai loro Dati Personali, come il diritto di richiedere l'accesso, la rettifica, la cancellazione dei loro Dati Personali, la limitazione del trattamento, l’opposizione opporsi al trattamento, la portabilità dei dati, e la possibilità di revocare il loro consenso al trattamento dei Dati Personali costituito su tale base legale. Gli interessati possono anche opporsi al processo decisionale individuale automatizzato, se coinvolti in tale trattamento.
Inoltre, in alcune giurisdizioni è possibile rilasciare istruzioni relative alla conservazione, comunicazione e cancellazione dei propri Dati Personali dopo il decesso.
L'esercizio di tali diritti non è assoluto ed è soggetto alle limitazioni previste dalla Legge applicabile.
Gli interessati hanno altresi’ il diritto di presentare reclamo all'autorità di controllo locale o all'autorità di regolamentazione competente, qualora ritengano che il trattamento dei loro dati personali violi la legge applicabile.
Per esercitare tali diritti alla privacy, gli interessati possono contattarci come descritto nella sezione “Come contattarci” di seguito. Prima di rispondere alla richiesta, potremmo richiedere una prova di identità. Nel caso in cui non fossimo in grado di soddisfare la richiesta dell’Interessato (rifiuto o limitazione), motiveremo la nostra decisione per iscritto.
Se necessario, potremmo di volta in volta aver bisogno di aggiornare la presente Policy al fine di adeguarla a nuove o diverse pratiche sulla privacy. In questo caso, pubblicheremo versioni aggiornate della presente Policy su questa pagina. Una Policy rivista si applicherà solo ai dati acquisiti successivamente alla relativa data di entrata in vigore. Ti invitiamo a consultare periodicamente questa pagina per le ultime informazioni sulle nostre pratiche sulla privacy.
Per qualsiasi domanda, commento o dubbio sulla presente Policy o al fine di esercitare i diritti alla privacy consentiti dalla Legge Applicabile relativa ai Dati Personali, si prega di contattare il nostro Responsabile della Protezione dei Dati al seguente indirizzo: Sonova AG, Laubisruetistraße 28, 8712 Stäfa, Svizzera oppure inviando una e-mail all'indirizzo: privacy@sonova.com
Valida dal: Febbraio 2022