INFORMATIVA IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI ASSISTENTE VIRTUALE “CHATBOT” e “CANALE WHATSAPP”

Ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (GDPR)

La Cassa Nazionale di Previdenza e Assistenza a favore dei Dottori Commercialisti (di seguito, “CNPADC” o “Titolare”) intende fornire le informazioni di cui all’art. 13 del Regolamento (UE) 2016/679 (anche detto GDPR o Regolamento Generale per la Protezione dei Dati personali), in merito ai dati personali trattati tramite l’Assistente Virtuale "chatbot" presente nel sito internet istituzionale al fine di dare un supporto informativo più strutturato all’utente.

Chatbot è un servizio di messaggistica automatica (di seguito anche “Chatbot” o anche il “Servizio”) accessibile tramite:

• L’apposita chat di messaggistica istantanea presente sul sito web www.cnpadc.it.

• Il canale di messaggistica istantanea Whatsapp attraverso l’utilizzo dell’applicazione di Meta Inc.

Si precisa fin da ora che l’utente ha sempre la possibilità di contattare CNPADC tramite i canali di comunicazione istituzionali.

1. Titolare del trattamento e Responsabile della Protezione dei Dati

Titolare del trattamento dei dati personali è la Cassa Nazionale di Previdenza e Assistenza a favore dei Dottori Commercialisti (di seguito, “CNPADC” “CDC” o “Titolare”) con sede legale in Roma, 00198 Via Mantova n. 1, (C.F. 80021670585) Il Titolare può essere contattato ai seguenti recapiti: pec: servizio.supporto@pec.cnpadc.it.
Al fine di meglio tutelare gli Interessati, nonché in ossequio al dettato normativo, il Titolare ha nominato un proprio DPO, Data Protection Officer (o RPD, Responsabile della protezione dei dati personali), contattabile al seguente recapito: dpo@cnpadc.it.

2. Dati e/o informazioni trattate

Il servizio chatbot della CDC è stato sviluppato per offrire all’utente supporto e informazioni generali sulla Cassa Dottori Commercialisti. La priorità è garantire un’esperienza utile senza la necessità di identificazione personale, fatta salva la specificità del canale di accesso. Indipendentemente dal canale scelto per l'interazione, il motore del Chatbot e la logica di erogazione delle informazioni sono i medesimi, garantendo coerenza nel servizio e nelle risposte fornite.
CDC raccoglie e tratta esclusivamente i dati personali che l’utente sceglie di fornire direttamente e volontariamente durante le interazioni con l'assistente virtuale. 
La raccolta è limitata a quanto strettamente funzionale all'erogazione del servizio e al suo miglioramento, con alcune distinzioni basate sul canale di accesso:

Accesso tramite WhatsApp

• Interazione con il Chatbot via WhatsApp: il sistema riceve il numero telefonico. Questo dato è essenziale esclusivamente per la gestione della sessione di chat all'interno della piattaforma WhatsApp e per consentire la comunicazione bidirezionale.

Accesso tramite il Chatbot sul Sito Istituzionale:

• L'interazione con il Chatbot direttamente dal sito web della CDC non comporta la raccolta del numero telefonico o di altri identificativi diretti dell'utente, a meno che l’utente non decida volontariamente di fornirli all'interno della conversazione.

Essendo il Servizio concepito per funzionare senza identificare l’utente, i soli dati personali raccolti e trattati da CDC, come già precisato, sono forniti direttamente dall’utente nell’ambito dell’utilizzo e conversazione con l’assistente Virtuale/Chatbot (sia integrato su Whatsapp sia direttamente sul sito) e sono i seguenti (a titolo esemplificativo):

• l numero telefonico (solo se l'utente accede al servizio tramite WhatsApp). Tale dato è utilizzato per garantire lo svolgimento della conversazione e, come specificato al punto 6, non viene associato a nessuna persona fisica determinata, salvo che lo stesso utente conferisce volontariamente dati anagrafici (es. nome e cognome) associati a tale numero.
• Input di conversazione: le interazioni dirette dell'utente con il Chatbot (le domande digitate e le opzioni selezionate), le quali sono essenziali per il funzionamento del servizio e per comprendere le richieste. Si sottolinea che, essendo il servizio per ricevere “informazioni generali" sulla CDC, non è richiesto l'inserimento di dati personali sensibili o specifici dell'utente.
• Dati tecnici di interazione: Informazioni relative al funzionamento tecnico ed al miglioramento del servizio di Chatbot integrato, come la lingua utilizzata per la conversazione e le opzioni/input selezionati tra quelle disponibili.

L’utente è fortemente invitato a non condividere dati personali ulteriori rispetto a quelli sopra indicati (come, ad esempio, esplicitare il suo nome e cognome, C.F, etc..), soprattutto appartenenti a categorie particolari (es. sanitari, religiosi, ecc.). Eventuali dati personali inseriti durante l’interazione con il Chatbot (testi e/o note vocali) saranno unicamente visualizzati e temporaneamente processati per fornire la risposta richiesta. Non saranno conservati, né utilizzati per ulteriori finalità o per creare uno storico dell’utente nei sitemi della CDC. Non sono utilizzati cookie di profilazione o altri strumenti di tracciamento per identificare o profilare l’utente, ma solamente cookie tecnici per il funzionamento del Chatbot. 

2.1. Dati di Navigazione

I sistemi informatici e le procedure software utilizzate per il normale funzionamento della rete raccolgono automaticamente alcuni dati personali. Questi dati sono essenziali per l'uso dei protocolli di comunicazione Internet. I suddetti dati sono raccolti a seguito dell’inizio della navigazione a prescindere all’attivazione del chatbot reso disponibile al Titolare.

2.2. Dati Raccolti Automaticamente dal Chatbot

Quando un utente interagisce con Chatbot, vengono raccolti automaticamente dati necessari per il funzionamento del sistema e per fornire risposte adeguate alle richieste. Questi dati sono prevalentemente di natura tecnica e funzionale e non identificano direttamente l’utente. Esempi includono: i cookie tecnici del servizio attivato dall’utente e l'ID sessione, generato all'inizio della conversazione con Chatbot  (vedere Informativa Cookie).
Pur essendo dati tecnici, la CDC li gestisce con la massima attenzione alla privacy, evitando l’associazione a persone fisiche determinate.

2.3. Dati Forniti Volontariamente

Se l'utente decide di fornire volontariamente dati personali (ad esempio, nome, cognome, indirizzo e-mail o numero di telefono) durante l'interazione con Chatbot, tali dati verranno trattati in conformità con i principi indicati nella presente informativa, esclusivamente per la fornitura del servizio richiesto tramite il Chatbot.

3. Finalità e Basi giuridiche del trattamento

3.1. Finalità

Il Titolare utilizza i dati forniti tramite il chatbot per le seguenti finalità:

1. Fornire risposte strutturate alle richieste inviate, ad esempio per ottenere informazioni generali sulle procedure per ottenere informazioni dalla Cassa.
2. Eseguire analisi statistiche aggregate sul funzionamento del chatbot per adottare eventuali miglioramenti o implementazioni del servizio e per censire le richieste più frequenti degli utenti.
3. Previsione o necessità di tutela dei propri diritti in sede stragiudiziale e giudiziale.

3.2. Base giuridica

Il trattamento dei dati è finalizzato a consentire all'utente di utilizzare Chatbot, come richiesto (art. 6 par. 1 lett. f) del GDPR), e a offrire ulteriori funzionalità al sito istituzionale, con l'obiettivo di fornire riscontri agli iscritti riguardo alle attività istituzionali della Cassa, che svolge un compito di interesse pubblico (art. 6, par. 1, lett. e) del GDPR). Inoltre, il Titolare può giustificare il trattamento dei dati anche per la protezione dei propri diritti, in conformità con l'art. 6 par. 1 lett. f) del GDPR.

4. Soggetti Autorizzati e destinatari dei dati

All’interno di CDC possono venire a conoscenza dei dati personali forniti dall’utente esclusivamente i soggetti incaricati/autorizzati del trattamento dal Titolare e autorizzati a compiere le operazioni di trattamento sulle attività suddette.
Inoltre, i dati potranno essere trattati dai fornitori di cui CDC si avvale per fornire il Servizio, i quali saranno nominati responsabili del trattamento ai sensi dell’art. 28 del GDPR.
Per le comunicazioni inviate su WhatsApp, Meta Inc., fornitore della piattaforma di messaggistica istantanea, opera come autonomo titolare del trattamento per quanto riguarda i dati relativi all’account utente (es. nome e immagine profilo) e alle policy di utilizzo dell’app (si rinvia alle policy del gestore di tale piattaforma di messaggistica istantanea).
I messaggi sono ricevuti tramite il servizio WhatsApp di Meta che li protegge con protocollo di crittografia. L’Utente mantiene il pieno controllo delle conversazioni e può interrompere e/o bloccare la chat in qualsiasi momento.
CDC, in tale contesto, non ha accesso ai dati nominativi del profilo WhatsApp dell’utente, ma riceve solo i contenuti pertinenti all’interazione e i messaggi trasmessi dall’Utente sui sistemi impiegati, nonché il numero telefonico, come specificato al punto 2.I dati personali trattati saranno conosciuti esclusivamente da personale di CDC espressamente autorizzato al trattamento, in base a specifici profili di autorizzazione.
CDC si avvale inoltre di fornitori esterni, nominati responsabili del trattamento ai sensi dell’art. 28 del GDPR, coinvolti nel trattamento in relazione allo sviluppo e manutenzione del sistema, per la gestione del sistema del canale WhatsApp Business, nonché per i servizi cloud computing utilizzati nell’ambito del Servizio. Infine, i dati potranno essere comunicati ad autorità pubbliche competenti, in adempimento ad obblighi di legge.

5. Trasferimento dati verso un Paese terzo e/o un’organizzazione internazionale

Il Titolare del trattamento esegue il trattamento dei dati all'interno dell'Unione Europea. Nello specifico, le informazioni fornite sono memorizzate presso la sede legale.
I dati personali sono trattati mediante strumenti informatici e telematici, nel rispetto della normativa vigente in materia di protezione dei dati personali e secondo logiche coerenti con le finalità sopra descritte, adottando misure adeguate a garantire la riservatezza, la sicurezza e l’integrità dei dati. Il sistema è implementato su un’infrastruttura localizzata all’interno dello Spazio Economico Europeo (SEE), senza trasferimento dei dati verso Paesi terzi. 

6. Periodo di conservazione dei dati

Le interazioni che l’utente ha con il nostro Chatbot, ad eccezione del numero telefonico per il canale WhatsApp, vengono trattate dalla CDC in modo effimero e volatile.
Ciò significa che, una volta elaborata la richiesta e fornita la risposta, CDC non registra il numero di telefono, non memorizza alcun contenuto delle tue conversazioni (messaggi testuali, comandi vocali), né i dati personali eventualmente inseriti all'interno di tali contenuti o i dati tecnici di interazione (come la lingua o le opzioni selezionate) nei propri archivi, database o sistemi di conservazione persistente.
I dati relativi ai contenuti delle conversazioni sono utilizzati unicamente per il tempo strettamente necessario a comprendere e rispondere al quesito/quesiti posto/i, senza alcuna forma di archiviazione successiva da parte della CDC.
È di fondamentale importanza sottolineare che, sebbene la CDC non conservi i contenuti delle conversazioni, l'utilizzo della piattaforma di messaggistica WhatsApp (Meta Platforms Inc.) implica che le conversazioni siano trattate e conservate sui server di WhatsApp, secondo le proprie politiche sulla privacy e i termini di servizio.
Pertanto, invitiamo a consultare l'informativa sulla privacy di WhatsApp per tutti i dettagli relativi alla loro gestione e conservazione dei dati.

7. Natura del conferimento dei dati e conseguenze dell’eventuale mancato conferimento

L'uso di Chatbot non richiede all'utente di fornire dati personali. Tuttavia, l'utente potrebbe decidere di condividere volontariamente i propri dati personali durante l'interazione con Chatbot, e tale condivisione è completamente opzionale.

8. Fonte dei dati

I dati sono reperiti automaticamente a seguito dell’interazione dell’interessato o volontariamente forniti dallo stesso.

9. I suoi Diritti

Il Regolamento (UE) 2016/679 le riconosce, in qualità di Interessato, diversi diritti, che può esercitare contattando il Titolare ai recapiti di cui al punto 1 della presente informativa. Tra i diritti esercitabili, purché ne ricorrano i presupposti di volta in volta previsti dalla normativa (artt. 15 e ss. GDPR) vi sono:

• il diritto di conoscere se la CNPADC ha in corso trattamenti di dati personali che la riguardano e, in tal caso, di avere accesso ai dati oggetto del trattamento e a tutte le informazioni a questo relative; il diritto alla rettifica dei dati personali inesatti che la riguardano e/o all’integrazione di quelli incompleti; il diritto alla cancellazione dei dati personali che la riguardano; il diritto alla limitazione del trattamento; il diritto di opporsi al trattamento; il diritto alla portabilità dei dati personali che la riguardano.

In ogni caso, lei ha anche il diritto di presentare un formale Reclamo all’Autorità garante per la protezione dei dati personali, secondo le modalità che può reperire sul sito ufficiale dell’Autorità garante https://www.garanteprivacy.it.

10. Inesistenza di un processo decisionale automatizzato

CNPADC non adotta alcun processo decisionale automatizzato, compresa la profilazione di cui all’art. 22, paragrafi 1 e 4, GDPR.