Privacy policy

ai sensi degli art. 13 e 14 del Regolamento UE n. 2016/679 (GDPR).

1. Titolare del trattamento

FABLAB srl
società del gruppo CompuGroup Medical SE & Co. KGaA
Sede legale: Foro Buonaparte 70, 20121 Milano (MI) – Italia
P.IVA/C.F.: 08319770965
Email: info.fablab.it@cgm.com
PEC: fab-lab@pec.it
Telefono: +39 02 84269400 | +39 040 3220845

2. I nostri interlocutori e tipologie di dati raccolti

fablab si rivolge esclusivamente a professionisti del settore healthcare, farmaceutico e cosmetico:

• Decision makers di aziende farmaceutiche e cosmetiche
• Medici e professionisti sanitari
• Farmacisti e responsabili di farmacia
• Marketing manager e professionisti del settore healthcare

2.1 Dati che raccogliamo

Dati professionali:

• Nome e cognome
• Email professionale/aziendale
• Numero di telefono professionale
• Azienda/Struttura di appartenenza
• Ruolo professionale e specializzazione
• Partita IVA (se applicabile)

Dati di navigazione:

• Indirizzo IP (anonimizzato)
• Tipo di browser e sistema operativo
• Pagine visitate e tempo di permanenza
• Provenienza della visita (referrer)

3. Base giuridica del trattamento

Trattiamo i suoi dati sulla base di:

• Esecuzione contrattuale (art. 6.1.b GDPR): per fornire i servizi richiesti
• Consenso (art. 6.1.a GDPR): per newsletter e comunicazioni marketing
• Legittimo interesse (art. 6.1.f GDPR): per sicurezza informatica e miglioramento servizi
• Obbligo legale (art. 6.1.c GDPR): per adempimenti fiscali e amministrativi

4. Finalità del trattamento

4.1 Per clienti aziende farmaceutiche/cosmetiche

• Invio newsletter e comunicazioni specializzate
• Gestione contratti pubblicitari e spazi media
• Fornitura report e analytics
• Comunicazioni commerciali su nuove opportunità
• Fatturazione e adempimenti amministrativi

4.2 Per professionisti sanitari

• Invio newsletter e comunicazioni specializzate
• Inviti a webinar ed eventi formativi
• Opportunità di partecipazione a ricerche retribuite
• Accesso a contenuti educational

4.3 Per tutti gli utenti

• Invio newsletter
• Gestione richieste di contatto
• Miglioramento dell’esperienza sul sito
• Sicurezza e prevenzione frodi
• Adempimenti legali e fiscali

4.4 Creazione pubblici personalizzati

Utilizziamo i dati di contatto professionali per:

• Creare liste di remarketing su LinkedIn e Google Ads
• Generare pubblici simili (lookalike) per raggiungere professionisti analoghi
• Escludere clienti esistenti da campagne di acquisizione
• Personalizzare messaggi pubblicitari per settore/ruolo

Queste attività sono basate su legittimo interesse per migliorare la pertinenza delle nostre comunicazioni commerciali. Puoi opporti in qualsiasi momento scrivendo a info.fablab.it@cgm.com.

5. Modalità di raccolta dati

5.1 Tramite il nostro sito web

Raccogliamo dati quando:

• Compila form di contatto o richiesta informazioni
• Si iscrive alla newsletter
• Scarica materiali o risorse
• Partecipa a webinar

I form sono gestiti tramite Evalanche (Germania), sistema di marketing automation certificato ISO 27001.

5.2 Tramite LinkedIn

Utilizziamo LinkedIn Lead Generation Forms per raccogliere contatti professionali interessati ai nostri servizi. In questo processo:

• LinkedIn agisce come titolare autonomo per la raccolta iniziale
• I dati vengono scaricati manualmente con frequenza settimanale
• Trasferiamo i dati in Evalanche solo dopo verifica del consenso
• LinkedIn conserva i lead per 90 giorni

Per dettagli sul trattamento dati di LinkedIn: https://it.linkedin.com/legal/privacy/eu

5.2.1 Retargeting e Remarketing

Utilizziamo tecnologie di retargeting per mostrarti contenuti pertinenti:

LinkedIn Matched Audiences

• Carichiamo liste di contatti professionali (email hash crittografate)
• Creiamo pubblici simili per raggiungere professionisti con caratteristiche analoghe
• Base giuridica: Legittimo interesse per contatti esistenti, consenso per prospect
• Opt-out: linkedin.com/psettings/advertising

Google Ads Remarketing

• Global Site Tag traccia le visite al nostro sito
• Mostriamo annunci pertinenti su rete Google
• Durata cookie remarketing: 540 giorni
• Opt-out: google.com/settings/ads

I dati caricati sono sempre crittografati con l’algoritmo SHA-256 in formato esadecimale (HEX) e le piattaforme non hanno accesso ai dati originali, solo agli hash per il matching.

5.2.2 LinkedIn Insight Tag e Enhanced Matching

L’Insight Tag di LinkedIn è un codice JavaScript che traccia le visite e le conversioni:

Dati raccolti dal Tag:

• Metadati: IP (anonimizzato), timestamp, eventi pagina
• URL visitati, referrer, User Agent
• Cookie: li_fat_id (30 giorni), UserMatchHistory (30 giorni)
• ID univoco browser LinkedIn

Enhanced Matching (opzionale):

• Email professionali (hash SHA-256 lato client)
• Matching con profili LinkedIn esistenti
• Maggiore accuratezza conversioni
• Dati illeggibili se non già presenti in LinkedIn

Cookie utilizzati:

• _linkedin_* (funzionali)
• li_sugr (3 mesi) – cross-domain tracking
• bcookie (2 anni) – browser ID
• lidc (24 ore) – data center routing

Finalità:

• Retargeting visitatori sito web
• Creazione pubblici simili
• Tracciamento conversioni
• Analytics aggregati audience
• Ottimizzazione campagne

Base giuridica:

• Consenso esplicito cookie marketing (art. 6.1.a GDPR)
• Per analisi aggregate: legittimo interesse

Configurazione privacy:

• GDPR compliance mode disponibile
• Messaggio consenso personalizzabile
• Rispetto segnali Do Not Track

5.3 Tramite Google Ads

5.3.1 Google Ads Lead Forms

Utilizziamo i moduli di acquisizione lead nativi di Google Ads che appaiono direttamente in:

• Risultati di ricerca
• YouTube ads
• Gmail ads
• Display Network
• Altri canali di Google

Funzionamento:

• Form precompilati con dati dell’account Google dell’utente
• Invio diretto senza lasciare la pagina di ricerca
• Download manuale o automatico tramite webhook/API

Dati raccolti:

• Nome e cognome
• Email professionale
• Numero di telefono aziendale
• Azienda di appartenenza
• Eventuali campi custom (ruolo, specializzazione)

Garanzie privacy:

• Google agisce come responsabile del trattamento
• Dati crittografati in transito e a riposo
• Conservazione lead per 30 giorni su Google Ads
• Trasferimento in Evalanche solo dopo verifica consenso

Base giuridica:

• Consenso esplicito nell’invio del form (art. 6.1.a GDPR)
• Informativa privacy visibile nel form stesso

5.3.2 Google Ads Conversion API (Enhanced Conversions)

Utilizziamo Enhanced Conversions di Google Ads per migliorare l’accuratezza del tracciamento conversioni attraverso l’invio server-to-server di dati crittografati:

Dati trattati (sempre hash SHA-256):

• Email professionale
• Numero di telefono aziendale
• Nome e cognome
• Indirizzo aziendale (solo città, CAP, paese – mai hash)

Caratteristiche tecniche:

• Timing: Dati inviati entro 24 ore dalla conversione
• Crittografia: SHA-256 obbligatorio prima dell’invio
• Modalità di invio: Server-to-server (più sicuro del pixel)
• Google Consent Mode v2: Implementato per conformità GDPR

Base giuridica:

• Consenso esplicito (art. 6.1.a GDPR) tramite banner cookie
• Per clienti esistenti: possibile legittimo interesse previa valutazione

Garanzie privacy:

• Dati aggregati nei report (mai individuali)
• Certificazione ISO 27001 per sistemi Google
• Accesso limitato con controlli rigorosi
• No condivisione con altri inserzionisti

5.4 Tramite contratti e attività commerciali

Procedura post-firma contratto: Dopo la sottoscrizione di un contratto commerciale:

1. Inviamo documentazione di kick-off ai referenti indicati
2. Includiamo link a form dedicato per:
   
   • Confermare i dati di contatto per gestione progetto
   • Richiedere consensi separati per marketing (facoltativi)
3. I dati vengono registrati in Evalanche con tag specifico “Cliente-[Azienda]”
4. Manteniamo separazione tra comunicazioni contrattuali (sempre legittime) e marketing (solo con consenso)

Import/Export SAP-Evalanche: I dati commerciali possono essere sincronizzati tra i sistemi solo per clienti con consenso marketing esplicito o per comunicazioni di servizio.

6. Destinatari dei dati

I suoi dati possono essere comunicati a:

6.1 Categorie di destinatari

• Dipendenti autorizzati di Fablab
• Società del gruppo CompuGroup Medical SE & Co. KGaA
• Fornitori di servizi IT e hosting
• Consulenti legali e commercialisti
• Autorità pubbliche (su richiesta legittima)

6.2 Responsabili del trattamento

• Evalanche GmbH (Germania) – Marketing automation
• CompuGroup Medical SE & Co. KGaA (Germania) – Servizi IT e hosting
• LinkedIn Corporation (USA) – Lead generation e conversioni
• Google LLC (USA) – Lead generation e conversioni
• Altri fornitori di servizi, sempre con accordi GDPR

6.3 Piattaforme pubblicitarie

I dati (in forma crittografata/hash) possono essere condivisi con:

• Google Ireland Limited – Per Google Ads e pubblici personalizzati
• LinkedIn Ireland – Per campagne Matched Audiences

Questi trasferimenti avvengono con appropriate garanzie (SCC, certificazioni).

6.4 Tracciamento conversioni e performance

Per misurare l’efficacia delle nostre campagne e migliorare i servizi:

Conversioni tracciate:

• Form di contatto compilati
• Download materiali
• Iscrizioni newsletter
• Partecipazioni webinar
• Richieste demo
• Contratti firmati (offline conversion)
• Lead form Google Ads compilati
• Lead form LinkedIn compilati

Tecnologie utilizzate:

• LinkedIn Conversion Tracking (Insight Tag)
• Google Ads Conversion Tracking (gtag.js)
• Server-side tracking per conversioni sensibili
• Enhanced Conversions con dati hash
• Google Ads Lead Form Extensions
• LinkedIn Lead Gen Forms

Garanzie privacy:

• Nessun dato sensibile nelle conversioni
• Hash SHA-256 per dati identificativi
• Aggregazione dati per report
• No profilazione comportamentale invasiva

7. Trasferimenti di dati extra-UE

7.1 Infrastruttura principale

Il nostro server principale è ospitato in Germania presso l’infrastruttura del gruppo CGM garantendo che i dati rimangano in UE con i massimi standard di protezione. 

7.2 Trasferimenti verso USA

Alcuni servizi comportano trasferimenti negli Stati Uniti:

Video YouTube/Vimeo: Solo con suo consenso esplicito prima della riproduzione

Google LLC (per Google Ads):

• Entità ricevente: Primariamente Google Ireland Limited (UE)
• Trasferimenti secondari: USA per alcuni servizi
• Garanzie:
  • Clausole Contrattuali Standard (SCC) 2021
  • Misure supplementari (crittografia, pseudonimizzazione)
  • Processor Terms di Google
• Valutazione impatto: Disponibile su richiesta
• Privacy policy: https://policies.google.com/privacy?hl=en-US#europeanrequirements

LinkedIn Corporation:

• Entità ricevente: LinkedIn Ireland Unlimited Company
• Trasferimenti secondari: USA per elaborazione
• Garanzie:
  • SCC 2021 + Data Processing Agreement
  • Certificazioni ISO 27001, 27018
  • Binding Corporate Rules per gruppo Microsoft
• Privacy policy: https://it.linkedin.com/legal/privacy/eu

Tutti i trasferimenti sono protetti da garanzie appropriate secondo il Capo V del GDPR.

8. Tempi di conservazione

9. Cookie e tecnologie di tracciamento

9.1 Gestione cookie

Utilizziamo Complianz GDPR/CCPA Cookie Consent per gestire i consensi in modo conforme.

Categorie di cookie utilizzati:

• Funzionali (sempre attivi): Necessari per il funzionamento del sito
• Preferenze: Memorizzano le sue scelte
• Statistiche: Ci aiutano a migliorare il sito
• Marketing: Per mostrarle contenuti pertinenti

9.2 Analytics privacy-friendly

Utilizziamo Matomo Analytics self-hosted sui server protetti del gruppo CGM in Germania:

• IP anonimizzati (ultimi 2 byte)
• Nessun trasferimento a terze parti
• Rispetto del Do Not Track
• Opt-out disponibile: https://matomo.prd.cgm.punkt.hosting/index.php?module=CoreAdminHome&action=optOut&language=it

9.3 LinkedIn Insight Tag

• Funzionalità: Retargeting, analytics, conversioni
• Dati raccolti: URL visitati, referrer, IP (anonimizzato), User Agent
• Cookie: li_fat_id (30 giorni), UserMatchHistory (30 giorni)
• Attivazione: Solo dopo consenso marketing

Per il retargeting professionale, previo consenso:

• Dati crittografati e anonimizzati entro 7 giorni
• Cancellazione automatica entro 90 giorni
• Finalità: Tracciamento conversioni e remarketing
• Dati a LinkedIn Ireland Unlimited Company (UE) con possibile trasferimento USA, vedi https://it.linkedin.com/legal/privacy/eu
• Gestione preferenze: linkedin.com/psettings/advertising

9.4 Google Global Site Tag (gtag.js)

• Funzionalità: Tracciamento conversioni, remarketing, ottimizzazione bid
• Implementazione: Global Site Tag (gtag.js)
• Server-side tracking: Per conversioni sensibili (contratti)
• Enhanced Conversions: Email/telefono hash per match rate migliore
• Attivazione: Solo dopo consenso marketing

Per campagne Google Ads e remarketing:

• Cookie utilizzati: _gcl_au, _gcl_aw, _gcl_dc
• Durata: 90 giorni
• Finalità: Tracciamento conversioni e remarketing
• Dati a Google Ireland Limited (UE) con possibile trasferimento USA, vedi https://policies.google.com/privacy?hl=en-US#europeanrequirements

Il tag si attiva solo dopo il consenso marketing nel banner cookie.

9.5 Google Consent Mode v2

Implementiamo Google Consent Mode v2 per garantire conformità GDPR:

Impostazioni di consenso:

• ad_storage: Controllo cookie pubblicitari
• analytics_storage: Controllo cookie analytics
• ad_user_data: Consenso invio dati utente per advertising
• ad_personalization: Consenso personalizzazione annunci

Funzionamento:

• Tag si adattano automaticamente al consenso utente
• Modellazione conversioni anche senza cookie (con consenso)
• Segnali di consenso verificabili inviati a Google
• Rispetto delle scelte utente in tempo reale

Implementazione:

• CMP certificato Google (Complianz)
• Default: Tutti i consensi negati fino a scelta utente
• Granularità: Consensi separati per finalità diverse

Per dettagli completi consulti la nostra Cookie Policy

10. Progetto Osservatorio Fablab

10.1 Descrizione

L’Osservatorio conduce ricerche di mercato nel settore healthcare coinvolgendo medici e farmacisti verificati.

10.2 Garanzie privacy

• Anonimizzazione totale: Nessun dato personale nelle risposte
• Separazione dati: Email per voucher gestite separatamente
• Aggregazione: Solo statistiche aggregate nei report
• Volontarietà: Partecipazione sempre facoltativa

10.3 Gestione voucher

• Valore: 10-50€ (buoni Amazon)
• Email richiesta solo per invio voucher
• Dato cancellato dopo erogazione
• Anti-abuso: Max 1 voucher per indagine

11. I suoi diritti

11.1 Quali diritti ha

Secondo gli artt. 15-22 del GDPR, lei ha diritto di:

• Accesso: Ottenere conferma e copia dei suoi dati
• Rettifica: Correggere dati inesatti o incompleti
• Cancellazione (oblio): Richiedere la cancellazione
• Limitazione: Limitare il trattamento in casi specifici
• Portabilità: Ricevere i dati in formato strutturato
• Opposizione: Opporsi al trattamento per marketing
• Revoca consenso: Ritirare il consenso in qualsiasi momento

11.2 Come esercitare i suoi diritti

Via email: info.fablab.it@cgm.com
Via PEC: fab-lab@pec.it
Oggetto: “Esercizio diritti GDPR – [Diritto richiesto]”

Cosa includere:

1. Tipo di diritto che vuole esercitare
2. Descrizione specifica della richiesta
3. Copia documento d’identità (per verifica)

Tempi di risposta:

• Conferma ricezione: entro 48 ore
• Risposta completa: entro 30 giorni
• Possibile proroga: +60 giorni per richieste complesse (con notifica)

11.3 Diritti specifici per tracking avanzato

Per Enhanced Conversions Google:

• Richiesta cancellazione da Customer Match
• Verifica quali dati sono stati caricati
• Opt-out da modellazione conversioni
• Rimozione da liste lead forms

Per LinkedIn Enhanced Matching:

• Disattivazione matching email
• Rimozione da tutti i segmenti
• Cancellazione dati Insight Tag
• Rimozione da liste lead generation

Come esercitare questi diritti:
Email: info.fablab.it@cgm.com
Risposta garantita in 72 ore

11.4 Opt-out semplificato

Per il marketing: Click su “Disiscriviti” in ogni email
Per i cookie: Gestisci preferenze nel banner cookie
Per LinkedIn Ads: linkedin.com/psettings/advertising
Per Google Ads: google.com/settings/ads
Per pubblici personalizzati: info.fablab.it@cgm.com con oggetto “Rimozione da liste advertising”

Per disattivare il retargeting:

LinkedIn Ads:

• Diretto: linkedin.com/psettings/advertising
• Do Not Track: linkedin.com/psettings/enhanced-advertising

Google Ads:

• Account Google: myaccount.google.com/data-and-privacy
• Senza account: google.com/settings/ads
• YourAdChoices: youradchoices.com

Disattivazione globale:

• Your Online Choices EU: youronlinechoices.eu
• Network Advertising Initiative: optout.networkadvertising.org

A livello browser:

• Attivare “Do Not Track”
• Usare modalità incognito/privata
• Bloccare cookie di terze parti

11.5 Diritto di reclamo

Se ritiene che il trattamento violi il GDPR, può presentare reclamo a:

Garante per la protezione dei dati personali
Piazza Venezia 11, 00187 Roma
Email: protocollo@gpdp.it
PEC: protocollo@pec.gpdp.it
Tel: 06.696771

12. Responsabile della protezione dei dati (DPO)

Il nostro Data Protection Officer è contattabile all’indirizzo:

CompuGroup Medical Italia srl, via Adriano Olivetti 10, 70056 Molfetta BA
Email: dpo.it@cgm.com
Privacy policy: https://www.cgm.com/ita_it/system/privacy-policy.html

13. Sicurezza dei dati

Implementiamo misure tecniche e organizzative appropriate:

• Crittografia dei dati in transito e a riposo
• Firewall enterprise e sistemi di protezione
• Accesso limitato al personale autorizzato
• Backup regolari e disaster recovery
• Formazione privacy per tutto il personale
• Audit periodici di sicurezza

13.1 Valutazione d’Impatto sulla Protezione dei Dati (DPIA)

Abbiamo condotto una DPIA per le attività di remarketing avanzato:

Attività valutate:

• Google Ads Enhanced Conversions
• LinkedIn Insight Tag con Enhanced Matching
• Creazione pubblici personalizzati
• Conversioni offline
• Google Ads Lead Forms
• LinkedIn Lead Generation Forms

Rischi identificati e mitigazioni:

1. Profilazione: Limitata a dati professionali B2B
2. Trasferimenti USA: SCC + misure supplementari
3. Re-identificazione: Hash irreversibile SHA-256
4. Accesso non autorizzato: Crittografia + access control

Conclusione DPIA: Rischio residuo accettabile con misure implementate.
Disponibile su richiesta: info.fablab.it@cgm.com

14. Governance e principi etici

fablab srl, in quanto parte del gruppo CompuGroup Medical, aderisce al Codice Etico di Gruppo che garantisce:

• Trattamento equo e non discriminatorio di tutti gli stakeholder
• Riservatezza delle informazioni aziendali e personali
• Integrità e trasparenza in tutte le operazioni
• Conformità a leggi e regolamenti in tutte le giurisdizioni

Il Codice Etico completo è disponibile a questo indirizzo: https://www.fab-lab.it/dl/cgm-code-of-ethics.pdf

Questi principi si applicano anche al trattamento dei dati personali, rafforzando gli obblighi GDPR con gli standard etici del gruppo CGM.

15. Minori

Il nostro sito e i servizi sono destinati esclusivamente a professionisti. Non raccogliamo consapevolmente dati di minori di 18 anni. Se veniamo a conoscenza di aver raccolto dati di minori, provvederemo alla cancellazione immediata.

16. Data breach

In caso di violazione dei dati personali:

• Notifica al Garante entro 72 ore (se applicabile)
• Comunicazione diretta agli interessati se alto rischio
• Documentazione completa dell’incidente
• Misure correttive immediate

Procedura segnalazioni: info.fablab.it@cgm.com

17. Modifiche alla privacy policy

Questa policy può essere aggiornata periodicamente.

• Le modifiche saranno pubblicate su questa pagina
• Per cambiamenti sostanziali: notifica via email
• Versioni precedenti disponibili su richiesta

18. Progetti e iniziative

WordPress e gestione contenuti

Il nostro sito utilizza WordPress con hosting su server proprietari del gruppo CGM in Germania. I dati di accesso sono limitati al personale tecnico autorizzato.

Webinar ed eventi

Per l’organizzazione di webinar, i dati necessari (nome, email) sono trattati solo per la gestione dell’evento e, previo consenso, per comunicazioni su eventi futuri simili.

19. Definizioni chiave

• Dato personale: Qualsiasi informazione relativa a persona fisica identificata o identificabile
• Trattamento: Qualsiasi operazione sui dati personali
• Titolare: Chi determina finalità e mezzi del trattamento
• Responsabile: Chi tratta dati per conto del titolare
• Interessato: La persona fisica cui si riferiscono i dati

20. Contatti

Per qualsiasi domanda su questa policy o sul trattamento dei suoi dati:

Email privacy: info.fablab.it@cgm.com
Email marketing opt-out: info.fablab.it@cgm.com
DPO: dpo.it@cgm.com
Telefono: +39-040-3220845 (sede operativa) o +39-02-84269400 (sede legale)
Sede legale: Foro Buonaparte 70, 20121 Milano