Privacy policy
Informativa sul trattamento dei dati personali
ai sensi degli art. 13 e 14 del Regolamento UE n. 2016/679 (GDPR).
1. Titolare del trattamento
FABLAB srl
società del gruppo CompuGroup Medical SE & Co. KGaA
Sede legale: Foro Buonaparte 70, 20121 Milano (MI) – Italia
P.IVA/C.F.: 08319770965
Email: info.fablab.it@cgm.com
PEC: fab-lab@pec.it
Telefono: +39 02 84269400 | +39 040 3220845
2. I nostri interlocutori e tipologie di dati raccolti
fablab si rivolge esclusivamente a professionisti del settore healthcare, farmaceutico e cosmetico:
- Decision makers di aziende farmaceutiche e cosmetiche
- Medici e professionisti sanitari
- Farmacisti e responsabili di farmacia
- Marketing manager e professionisti del settore healthcare
2.1 Dati che raccogliamo
Dati professionali:
- Nome e cognome
- Email professionale/aziendale
- Numero di telefono professionale
- Azienda/Struttura di appartenenza
- Ruolo professionale e specializzazione
- Partita IVA (se applicabile)
Dati di navigazione:
- Indirizzo IP (anonimizzato)
- Tipo di browser e sistema operativo
- Pagine visitate e tempo di permanenza
- Provenienza della visita (referrer)
3. Base giuridica del trattamento
Trattiamo i suoi dati sulla base di:
- Esecuzione contrattuale (art. 6.1.b GDPR): per fornire i servizi richiesti
- Consenso (art. 6.1.a GDPR): per newsletter e comunicazioni marketing
- Legittimo interesse (art. 6.1.f GDPR): per sicurezza informatica e miglioramento servizi
- Obbligo legale (art. 6.1.c GDPR): per adempimenti fiscali e amministrativi
4. Finalità del trattamento
4.1 Per clienti aziende farmaceutiche/cosmetiche
- Invio newsletter e comunicazioni specializzate
- Gestione contratti pubblicitari e spazi media
- Fornitura report e analytics
- Comunicazioni commerciali su nuove opportunità
- Fatturazione e adempimenti amministrativi
4.2 Per professionisti sanitari
- Invio newsletter e comunicazioni specializzate
- Inviti a webinar ed eventi formativi
- Opportunità di partecipazione a ricerche retribuite
- Accesso a contenuti educational
4.3 Per tutti gli utenti
- Invio newsletter
- Gestione richieste di contatto
- Miglioramento dell’esperienza sul sito
- Sicurezza e prevenzione frodi
- Adempimenti legali e fiscali
4.4 Creazione pubblici personalizzati
Utilizziamo i dati di contatto professionali per:
- Creare liste di remarketing su LinkedIn e Google Ads
- Generare pubblici simili (lookalike) per raggiungere professionisti analoghi
- Escludere clienti esistenti da campagne di acquisizione
- Personalizzare messaggi pubblicitari per settore/ruolo
Queste attività sono basate su legittimo interesse per migliorare la pertinenza delle nostre comunicazioni commerciali. Puoi opporti in qualsiasi momento scrivendo a info.fablab.it@cgm.com.
5. Modalità di raccolta dati
5.1 Tramite il nostro sito web
Raccogliamo dati quando:
- Compila form di contatto o richiesta informazioni
- Si iscrive alla newsletter
- Scarica materiali o risorse
- Partecipa a webinar
I form sono gestiti tramite Evalanche (Germania), sistema di marketing automation certificato ISO 27001.
5.2 Tramite LinkedIn
Utilizziamo LinkedIn Lead Generation Forms per raccogliere contatti professionali interessati ai nostri servizi. In questo processo:
- LinkedIn agisce come titolare autonomo per la raccolta iniziale
- I dati vengono scaricati manualmente con frequenza settimanale
- Trasferiamo i dati in Evalanche solo dopo verifica del consenso
- LinkedIn conserva i lead per 90 giorni
Per dettagli sul trattamento dati di LinkedIn: https://it.linkedin.com/legal/privacy/eu
5.2.1 Retargeting e Remarketing
Utilizziamo tecnologie di retargeting per mostrarti contenuti pertinenti:
LinkedIn Matched Audiences
- Carichiamo liste di contatti professionali (email hash crittografate)
- Creiamo pubblici simili per raggiungere professionisti con caratteristiche analoghe
- Base giuridica: Legittimo interesse per contatti esistenti, consenso per prospect
- Opt-out: linkedin.com/psettings/advertising
Google Ads Remarketing
- Global Site Tag traccia le visite al nostro sito
- Mostriamo annunci pertinenti su rete Google
- Durata cookie remarketing: 540 giorni
- Opt-out: google.com/settings/ads
I dati caricati sono sempre crittografati con l’algoritmo SHA-256 in formato esadecimale (HEX) e le piattaforme non hanno accesso ai dati originali, solo agli hash per il matching.
5.2.2 LinkedIn Insight Tag e Enhanced Matching
L’Insight Tag di LinkedIn è un codice JavaScript che traccia le visite e le conversioni:
Dati raccolti dal Tag:
- Metadati: IP (anonimizzato), timestamp, eventi pagina
- URL visitati, referrer, User Agent
- Cookie: li_fat_id (30 giorni), UserMatchHistory (30 giorni)
- ID univoco browser LinkedIn
Enhanced Matching (opzionale):
- Email professionali (hash SHA-256 lato client)
- Matching con profili LinkedIn esistenti
- Maggiore accuratezza conversioni
- Dati illeggibili se non già presenti in LinkedIn
Cookie utilizzati:
- _linkedin_* (funzionali)
- li_sugr (3 mesi) – cross-domain tracking
- bcookie (2 anni) – browser ID
- lidc (24 ore) – data center routing
Finalità:
- Retargeting visitatori sito web
- Creazione pubblici simili
- Tracciamento conversioni
- Analytics aggregati audience
- Ottimizzazione campagne
Base giuridica:
- Consenso esplicito cookie marketing (art. 6.1.a GDPR)
- Per analisi aggregate: legittimo interesse
Configurazione privacy:
- GDPR compliance mode disponibile
- Messaggio consenso personalizzabile
- Rispetto segnali Do Not Track
5.3 Tramite Google Ads
5.3.1 Google Ads Lead Forms
Utilizziamo i moduli di acquisizione lead nativi di Google Ads che appaiono direttamente in:
- Risultati di ricerca
- YouTube ads
- Gmail ads
- Display Network
- Altri canali di Google
Funzionamento:
- Form precompilati con dati dell’account Google dell’utente
- Invio diretto senza lasciare la pagina di ricerca
- Download manuale o automatico tramite webhook/API
Dati raccolti:
- Nome e cognome
- Email professionale
- Numero di telefono aziendale
- Azienda di appartenenza
- Eventuali campi custom (ruolo, specializzazione)
Garanzie privacy:
- Google agisce come responsabile del trattamento
- Dati crittografati in transito e a riposo
- Conservazione lead per 30 giorni su Google Ads
- Trasferimento in Evalanche solo dopo verifica consenso
Base giuridica:
- Consenso esplicito nell’invio del form (art. 6.1.a GDPR)
- Informativa privacy visibile nel form stesso
5.3.2 Google Ads Conversion API (Enhanced Conversions)
Utilizziamo Enhanced Conversions di Google Ads per migliorare l’accuratezza del tracciamento conversioni attraverso l’invio server-to-server di dati crittografati:
Dati trattati (sempre hash SHA-256):
- Email professionale
- Numero di telefono aziendale
- Nome e cognome
- Indirizzo aziendale (solo città, CAP, paese – mai hash)
Caratteristiche tecniche:
- Timing: Dati inviati entro 24 ore dalla conversione
- Crittografia: SHA-256 obbligatorio prima dell’invio
- Modalità di invio: Server-to-server (più sicuro del pixel)
- Google Consent Mode v2: Implementato per conformità GDPR
Base giuridica:
- Consenso esplicito (art. 6.1.a GDPR) tramite banner cookie
- Per clienti esistenti: possibile legittimo interesse previa valutazione
Garanzie privacy:
- Dati aggregati nei report (mai individuali)
- Certificazione ISO 27001 per sistemi Google
- Accesso limitato con controlli rigorosi
- No condivisione con altri inserzionisti
5.4 Tramite contratti e attività commerciali
Procedura post-firma contratto: Dopo la sottoscrizione di un contratto commerciale:
- Inviamo documentazione di kick-off ai referenti indicati
- Includiamo link a form dedicato per:
- Confermare i dati di contatto per gestione progetto
- Richiedere consensi separati per marketing (facoltativi)
- I dati vengono registrati in Evalanche con tag specifico “Cliente-[Azienda]”
- Manteniamo separazione tra comunicazioni contrattuali (sempre legittime) e marketing (solo con consenso)
Import/Export SAP-Evalanche: I dati commerciali possono essere sincronizzati tra i sistemi solo per clienti con consenso marketing esplicito o per comunicazioni di servizio.
6. Destinatari dei dati
I suoi dati possono essere comunicati a:
6.1 Categorie di destinatari
- Dipendenti autorizzati di Fablab
- Società del gruppo CompuGroup Medical SE & Co. KGaA
- Fornitori di servizi IT e hosting
- Consulenti legali e commercialisti
- Autorità pubbliche (su richiesta legittima)
6.2 Responsabili del trattamento
- Evalanche GmbH (Germania) – Marketing automation
- CompuGroup Medical SE & Co. KGaA (Germania) – Servizi IT e hosting
- LinkedIn Corporation (USA) – Lead generation e conversioni
- Google LLC (USA) – Lead generation e conversioni
- Altri fornitori di servizi, sempre con accordi GDPR
6.3 Piattaforme pubblicitarie
I dati (in forma crittografata/hash) possono essere condivisi con:
- Google Ireland Limited – Per Google Ads e pubblici personalizzati
- LinkedIn Ireland – Per campagne Matched Audiences
Questi trasferimenti avvengono con appropriate garanzie (SCC, certificazioni).
6.4 Tracciamento conversioni e performance
Per misurare l’efficacia delle nostre campagne e migliorare i servizi:
Conversioni tracciate:
- Form di contatto compilati
- Download materiali
- Iscrizioni newsletter
- Partecipazioni webinar
- Richieste demo
- Contratti firmati (offline conversion)
- Lead form Google Ads compilati
- Lead form LinkedIn compilati
Tecnologie utilizzate:
- LinkedIn Conversion Tracking (Insight Tag)
- Google Ads Conversion Tracking (gtag.js)
- Server-side tracking per conversioni sensibili
- Enhanced Conversions con dati hash
- Google Ads Lead Form Extensions
- LinkedIn Lead Gen Forms
Garanzie privacy:
- Nessun dato sensibile nelle conversioni
- Hash SHA-256 per dati identificativi
- Aggregazione dati per report
- No profilazione comportamentale invasiva
7. Trasferimenti di dati extra-UE
7.1 Infrastruttura principale
Il nostro server principale è ospitato in Germania presso l’infrastruttura del gruppo CGM garantendo che i dati rimangano in UE con i massimi standard di protezione.
7.2 Trasferimenti verso USA
Alcuni servizi comportano trasferimenti negli Stati Uniti:
Video YouTube/Vimeo: Solo con suo consenso esplicito prima della riproduzione
Google LLC (per Google Ads):
- Entità ricevente: Primariamente Google Ireland Limited (UE)
- Trasferimenti secondari: USA per alcuni servizi
- Garanzie:
- Clausole Contrattuali Standard (SCC) 2021
- Misure supplementari (crittografia, pseudonimizzazione)
- Processor Terms di Google
- Valutazione impatto: Disponibile su richiesta
- Privacy policy: https://policies.google.com/privacy?hl=en-US#europeanrequirements
LinkedIn Corporation:
- Entità ricevente: LinkedIn Ireland Unlimited Company
- Trasferimenti secondari: USA per elaborazione
- Garanzie:
- SCC 2021 + Data Processing Agreement
- Certificazioni ISO 27001, 27018
- Binding Corporate Rules per gruppo Microsoft
- Privacy policy: https://it.linkedin.com/legal/privacy/eu
Tutti i trasferimenti sono protetti da garanzie appropriate secondo il Capo V del GDPR.
8. Tempi di conservazione
Tipo di dato | Periodo di conservazione |
---|---|
Dati contrattuali | 10 anni dalla conclusione (obbligo fiscale) |
Dati di fatturazione | 10 anni dall’emissione |
Lead marketing attivi | Fino a revoca consenso |
Lead marketing inattivi | 24 mesi dall’ultima interazione |
Lead senza consenso marketing | 6 mesi dal primo contatto |
Newsletter | Fino a disiscrizione + 30 giorni |
Log di sicurezza | 6 mesi |
Cookie analytics | 13 mesi |
Cookie remarketing | 540 giorni |
Liste remarketing Google | 540 giorni dall’aggiunta (configurabile) |
Liste remarketing LinkedIn | 180 giorni dall’aggiunta |
Dati conversioni Google | 90 giorni |
Dati conversioni LinkedIn | 90 giorni |
Customer Match data | Fino a rimozione manuale o revoca consenso |
Lead Google Ads Forms | 30 giorni su Google + conservazione standard |
Lead LinkedIn Forms | 90 giorni su LinkedIn + conservazione standard |
9. Cookie e tecnologie di tracciamento
9.1 Gestione cookie
Utilizziamo Complianz GDPR/CCPA Cookie Consent per gestire i consensi in modo conforme.
Categorie di cookie utilizzati:
- Funzionali (sempre attivi): Necessari per il funzionamento del sito
- Preferenze: Memorizzano le sue scelte
- Statistiche: Ci aiutano a migliorare il sito
- Marketing: Per mostrarle contenuti pertinenti
9.2 Analytics privacy-friendly
Utilizziamo Matomo Analytics self-hosted sui server protetti del gruppo CGM in Germania:
- IP anonimizzati (ultimi 2 byte)
- Nessun trasferimento a terze parti
- Rispetto del Do Not Track
- Opt-out disponibile: https://matomo.prd.cgm.punkt.hosting/index.php?module=CoreAdminHome&action=optOut&language=it
9.3 LinkedIn Insight Tag
- Funzionalità: Retargeting, analytics, conversioni
- Dati raccolti: URL visitati, referrer, IP (anonimizzato), User Agent
- Cookie: li_fat_id (30 giorni), UserMatchHistory (30 giorni)
- Attivazione: Solo dopo consenso marketing
Per il retargeting professionale, previo consenso:
- Dati crittografati e anonimizzati entro 7 giorni
- Cancellazione automatica entro 90 giorni
- Finalità: Tracciamento conversioni e remarketing
- Dati a LinkedIn Ireland Unlimited Company (UE) con possibile trasferimento USA, vedi https://it.linkedin.com/legal/privacy/eu
- Gestione preferenze: linkedin.com/psettings/advertising
9.4 Google Global Site Tag (gtag.js)
- Funzionalità: Tracciamento conversioni, remarketing, ottimizzazione bid
- Implementazione: Global Site Tag (gtag.js)
- Server-side tracking: Per conversioni sensibili (contratti)
- Enhanced Conversions: Email/telefono hash per match rate migliore
- Attivazione: Solo dopo consenso marketing
Per campagne Google Ads e remarketing:
- Cookie utilizzati: _gcl_au, _gcl_aw, _gcl_dc
- Durata: 90 giorni
- Finalità: Tracciamento conversioni e remarketing
- Dati a Google Ireland Limited (UE) con possibile trasferimento USA, vedi https://policies.google.com/privacy?hl=en-US#europeanrequirements
Il tag si attiva solo dopo il consenso marketing nel banner cookie.
9.5 Google Consent Mode v2
Implementiamo Google Consent Mode v2 per garantire conformità GDPR:
Impostazioni di consenso:
ad_storage
: Controllo cookie pubblicitarianalytics_storage
: Controllo cookie analyticsad_user_data
: Consenso invio dati utente per advertisingad_personalization
: Consenso personalizzazione annunci
Funzionamento:
- Tag si adattano automaticamente al consenso utente
- Modellazione conversioni anche senza cookie (con consenso)
- Segnali di consenso verificabili inviati a Google
- Rispetto delle scelte utente in tempo reale
Implementazione:
- CMP certificato Google (Complianz)
- Default: Tutti i consensi negati fino a scelta utente
- Granularità: Consensi separati per finalità diverse
Per dettagli completi consulti la nostra Cookie Policy
10. Progetto Osservatorio Fablab
10.1 Descrizione
L’Osservatorio conduce ricerche di mercato nel settore healthcare coinvolgendo medici e farmacisti verificati.
10.2 Garanzie privacy
- Anonimizzazione totale: Nessun dato personale nelle risposte
- Separazione dati: Email per voucher gestite separatamente
- Aggregazione: Solo statistiche aggregate nei report
- Volontarietà: Partecipazione sempre facoltativa
10.3 Gestione voucher
- Valore: 10-50€ (buoni Amazon)
- Email richiesta solo per invio voucher
- Dato cancellato dopo erogazione
- Anti-abuso: Max 1 voucher per indagine
11. I suoi diritti
11.1 Quali diritti ha
Secondo gli artt. 15-22 del GDPR, lei ha diritto di:
- Accesso: Ottenere conferma e copia dei suoi dati
- Rettifica: Correggere dati inesatti o incompleti
- Cancellazione (oblio): Richiedere la cancellazione
- Limitazione: Limitare il trattamento in casi specifici
- Portabilità: Ricevere i dati in formato strutturato
- Opposizione: Opporsi al trattamento per marketing
- Revoca consenso: Ritirare il consenso in qualsiasi momento
11.2 Come esercitare i suoi diritti
Via email: info.fablab.it@cgm.com
Via PEC: fab-lab@pec.it
Oggetto: “Esercizio diritti GDPR – [Diritto richiesto]”
Cosa includere:
- Tipo di diritto che vuole esercitare
- Descrizione specifica della richiesta
- Copia documento d’identità (per verifica)
Tempi di risposta:
- Conferma ricezione: entro 48 ore
- Risposta completa: entro 30 giorni
- Possibile proroga: +60 giorni per richieste complesse (con notifica)
11.3 Diritti specifici per tracking avanzato
Per Enhanced Conversions Google:
- Richiesta cancellazione da Customer Match
- Verifica quali dati sono stati caricati
- Opt-out da modellazione conversioni
- Rimozione da liste lead forms
Per LinkedIn Enhanced Matching:
- Disattivazione matching email
- Rimozione da tutti i segmenti
- Cancellazione dati Insight Tag
- Rimozione da liste lead generation
Come esercitare questi diritti:
Email: info.fablab.it@cgm.com
Risposta garantita in 72 ore
11.4 Opt-out semplificato
Per il marketing: Click su “Disiscriviti” in ogni email
Per i cookie: Gestisci preferenze nel banner cookie
Per LinkedIn Ads: linkedin.com/psettings/advertising
Per Google Ads: google.com/settings/ads
Per pubblici personalizzati: info.fablab.it@cgm.com con oggetto “Rimozione da liste advertising”
Per disattivare il retargeting:
LinkedIn Ads:
- Diretto: linkedin.com/psettings/advertising
- Do Not Track: linkedin.com/psettings/enhanced-advertising
Google Ads:
- Account Google: myaccount.google.com/data-and-privacy
- Senza account: google.com/settings/ads
- YourAdChoices: youradchoices.com
Disattivazione globale:
- Your Online Choices EU: youronlinechoices.eu
- Network Advertising Initiative: optout.networkadvertising.org
A livello browser:
- Attivare “Do Not Track”
- Usare modalità incognito/privata
- Bloccare cookie di terze parti
11.5 Diritto di reclamo
Se ritiene che il trattamento violi il GDPR, può presentare reclamo a:
Garante per la protezione dei dati personali
Piazza Venezia 11, 00187 Roma
Email: protocollo@gpdp.it
PEC: protocollo@pec.gpdp.it
Tel: 06.696771
12. Responsabile della protezione dei dati (DPO)
Il nostro Data Protection Officer è contattabile all’indirizzo:
CompuGroup Medical Italia srl, via Adriano Olivetti 10, 70056 Molfetta BA
Email: dpo.it@cgm.com
Privacy policy: https://www.cgm.com/ita_it/system/privacy-policy.html
13. Sicurezza dei dati
Implementiamo misure tecniche e organizzative appropriate:
- Crittografia dei dati in transito e a riposo
- Firewall enterprise e sistemi di protezione
- Accesso limitato al personale autorizzato
- Backup regolari e disaster recovery
- Formazione privacy per tutto il personale
- Audit periodici di sicurezza
13.1 Valutazione d’Impatto sulla Protezione dei Dati (DPIA)
Abbiamo condotto una DPIA per le attività di remarketing avanzato:
Attività valutate:
- Google Ads Enhanced Conversions
- LinkedIn Insight Tag con Enhanced Matching
- Creazione pubblici personalizzati
- Conversioni offline
- Google Ads Lead Forms
- LinkedIn Lead Generation Forms
Rischi identificati e mitigazioni:
- Profilazione: Limitata a dati professionali B2B
- Trasferimenti USA: SCC + misure supplementari
- Re-identificazione: Hash irreversibile SHA-256
- Accesso non autorizzato: Crittografia + access control
Conclusione DPIA: Rischio residuo accettabile con misure implementate.
Disponibile su richiesta: info.fablab.it@cgm.com
14. Governance e principi etici
fablab srl, in quanto parte del gruppo CompuGroup Medical, aderisce al Codice Etico di Gruppo che garantisce:
- Trattamento equo e non discriminatorio di tutti gli stakeholder
- Riservatezza delle informazioni aziendali e personali
- Integrità e trasparenza in tutte le operazioni
- Conformità a leggi e regolamenti in tutte le giurisdizioni
Il Codice Etico completo è disponibile a questo indirizzo: https://www.fab-lab.it/dl/cgm-code-of-ethics.pdf
Questi principi si applicano anche al trattamento dei dati personali, rafforzando gli obblighi GDPR con gli standard etici del gruppo CGM.
15. Minori
Il nostro sito e i servizi sono destinati esclusivamente a professionisti. Non raccogliamo consapevolmente dati di minori di 18 anni. Se veniamo a conoscenza di aver raccolto dati di minori, provvederemo alla cancellazione immediata.
16. Data breach
In caso di violazione dei dati personali:
- Notifica al Garante entro 72 ore (se applicabile)
- Comunicazione diretta agli interessati se alto rischio
- Documentazione completa dell’incidente
- Misure correttive immediate
Procedura segnalazioni: info.fablab.it@cgm.com
17. Modifiche alla privacy policy
Questa policy può essere aggiornata periodicamente.
- Le modifiche saranno pubblicate su questa pagina
- Per cambiamenti sostanziali: notifica via email
- Versioni precedenti disponibili su richiesta
18. Progetti e iniziative
WordPress e gestione contenuti
Il nostro sito utilizza WordPress con hosting su server proprietari del gruppo CGM in Germania. I dati di accesso sono limitati al personale tecnico autorizzato.
Webinar ed eventi
Per l’organizzazione di webinar, i dati necessari (nome, email) sono trattati solo per la gestione dell’evento e, previo consenso, per comunicazioni su eventi futuri simili.
19. Definizioni chiave
- Dato personale: Qualsiasi informazione relativa a persona fisica identificata o identificabile
- Trattamento: Qualsiasi operazione sui dati personali
- Titolare: Chi determina finalità e mezzi del trattamento
- Responsabile: Chi tratta dati per conto del titolare
- Interessato: La persona fisica cui si riferiscono i dati
20. Contatti
Per qualsiasi domanda su questa policy o sul trattamento dei suoi dati:
Email privacy: info.fablab.it@cgm.com
Email marketing opt-out: info.fablab.it@cgm.com
DPO: dpo.it@cgm.com
Telefono: +39-040-3220845 (sede operativa) o +39-02-84269400 (sede legale)
Sede legale: Foro Buonaparte 70, 20121 Milano
Ultimo aggiornamento: 11 Giugno 2025 – Versione 2.0
Fablab srl si impegna a proteggere la privacy dei professionisti del settore healthcare. Questa policy riflette il nostro impegno per la trasparenza e la conformità al GDPR.