Torna alla home

GDPR – Conformità

Ultimo aggiornamento: 11/04/2026

1. Riferimenti Normativi

DueDiLens opera in conformità al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (GDPR), al D.lgs. 196/2003 (Codice Privacy) come modificato dal D.lgs. 101/2018, e alle Linee Guida del Garante per la Protezione dei Dati Personali.

2. Titolare del Trattamento

DueDiLens S.r.l., con sede in Milano, Italia, è il Titolare del trattamento ai sensi dell'art. 4, par. 7, del GDPR. Per contatti relativi alla protezione dei dati: privacy@duedilens.com

3. Responsabile della Protezione dei Dati (DPO)

DueDiLens ha nominato un Responsabile della Protezione dei Dati (Data Protection Officer) raggiungibile all'indirizzo: dpo@duedilens.com

Il DPO è il punto di contatto per gli interessati e per l'Autorità Garante in relazione a qualsiasi questione riguardante il trattamento dei dati personali.

4. Base Giuridica dei Trattamenti

I trattamenti effettuati da DueDiLens si fondano sulle seguenti basi giuridiche (art. 6 GDPR):

  • Art. 6.1.b – Esecuzione contrattuale: trattamento necessario per l'erogazione del servizio di due diligence digitale.
  • Art. 6.1.c – Obbligo legale: adempimenti fiscali, contabili e normativi.
  • Art. 6.1.f – Legittimo interesse: sicurezza della piattaforma, prevenzione di frodi, miglioramento del servizio.
  • Art. 6.1.a – Consenso: comunicazioni di marketing (ove applicabile), previo consenso esplicito e revocabile.

5. Diritti dell'Interessato (Artt. 15-22 GDPR)

Ogni utente può esercitare i seguenti diritti in qualsiasi momento:

  • Diritto di accesso (Art. 15): ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati.
  • Diritto di rettifica (Art. 16): chiedere la correzione di dati inesatti o incompleti.
  • Diritto alla cancellazione (Art. 17): richiedere la cancellazione dei propri dati ("diritto all'oblio").
  • Diritto di limitazione (Art. 18): ottenere la limitazione del trattamento in determinate circostanze.
  • Diritto alla portabilità (Art. 20): ricevere i propri dati in un formato strutturato e di uso comune.
  • Diritto di opposizione (Art. 21): opporsi al trattamento per motivi legati alla propria situazione particolare.
  • Diritto a non essere sottoposto a decisioni automatizzate (Art. 22): non essere soggetto a decisioni basate esclusivamente su trattamenti automatizzati, compresa la profilazione.

Per esercitare i propri diritti, scrivere a: privacy@duedilens.com. La richiesta verrà evasa entro 30 giorni.

6. Trasferimenti Extra-UE

DueDiLens utilizza infrastrutture localizzate all'interno dell'Unione Europea. Qualora si rendesse necessario un trasferimento di dati verso paesi terzi, esso avverrà esclusivamente in presenza di garanzie adeguate ai sensi degli artt. 46-49 del GDPR, quali Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea o decisioni di adeguatezza.

7. Valutazione d'Impatto (DPIA)

DueDiLens effettua Valutazioni d'Impatto sulla Protezione dei Dati (DPIA) ai sensi dell'art. 35 del GDPR per i trattamenti che possono presentare un rischio elevato per i diritti e le libertà degli interessati, in particolare per:

  • Trattamenti su larga scala di documenti aziendali riservati
  • Analisi automatizzate con algoritmi di intelligenza artificiale
  • Scoring e valutazione automatizzata di rischio aziendale

8. Misure di Sicurezza

In conformità all'art. 32 del GDPR, DueDiLens adotta misure tecniche e organizzative adeguate, tra cui:

  • Crittografia AES-256 per i dati a riposo e TLS 1.3 per i dati in transito
  • Autenticazione multi-fattore (MFA/TOTP)
  • Row-Level Security (RLS) per isolamento dei dati multi-tenant
  • Audit log completo di tutte le operazioni
  • Session timeout automatico per inattività
  • Procedure di backup e disaster recovery
  • Formazione periodica del personale sulla protezione dei dati

9. Data Breach

In caso di violazione dei dati personali (data breach), DueDiLens si impegna a:

  • Notificare l'Autorità Garante entro 72 ore dal momento in cui viene a conoscenza della violazione (art. 33 GDPR)
  • Comunicare la violazione agli interessati senza ingiustificato ritardo quando la violazione è suscettibile di presentare un rischio elevato (art. 34 GDPR)
  • Documentare qualsiasi violazione in un apposito registro

10. Reclamo all'Autorità Garante

L'interessato che ritenga che il trattamento dei propri dati personali sia effettuato in violazione del GDPR ha il diritto di proporre reclamo all'Autorità Garante per la Protezione dei Dati Personali: