Informativa sulla Privacy
Informativa sul trattamento dei dati personali
di Plank Italy S.p.a. società benefit
Piattaforma digitale e applicazioni mobili
Ultimo aggiornamento: 27 marzo 2026
La presente informativa descrive le modalità con cui Plank Italy S.p.a. società benefit (“Plank”, “la Società” o “noi”) raccoglie, utilizza e protegge i dati personali trattati nell'ambito della fornitura della piattaforma digitale Plank, delle applicazioni mobili e dei servizi tecnologici correlati (congiuntamente, i “Servizi”).
Plank sviluppa e gestisce una piattaforma software destinata principalmente a clienti business, quali operatori energetici e altre organizzazioni che utilizzano la piattaforma per gestire i propri servizi e le relazioni con i propri utenti o clienti. L'utilizzo della piattaforma può avvenire tramite interfacce web o tramite applicazioni mobili distribuite sugli store digitali.
La presente informativa è pubblicata sulla piattaforma ed è presentata agli utenti al momento del primo accesso o della registrazione. Essa è accessibile in qualsiasi momento dalla sezione “Privacy – Documenti Legali” del portale e delle applicazioni mobili.
La presente informativa è volta a fornire agli utenti informazioni chiare e trasparenti circa il trattamento dei dati personali effettuato da Plank in qualità di titolare autonomo del trattamento, in conformità al Regolamento (UE) 2016/679 (“GDPR”) e alla normativa applicabile in materia di protezione dei dati personali.
1. Titolare del trattamento
Il titolare del trattamento è Plank Italy S.p.a. società benefit, con sede legale in Sestiere Santa Croce 466/B, 30135 Venezia (Italia), C.F. e P.IVA 04545400279.
Per qualsiasi richiesta o informazione relativa al trattamento dei dati personali è possibile contattare la Società ai seguenti recapiti:
- Email: gdpr@plank.global
- Posta: Plank Italy S.p.a. – Responsabile della Protezione dei Dati – Sestiere Santa Croce 466/B, 30135 Venezia (VE)
2. Responsabile della Protezione dei Dati (DPO)
Plank Italy S.p.a. ha designato un Responsabile della Protezione dei Dati (Data Protection Officer – DPO) ai sensi dell'art. 37 del GDPR, tenuto conto della natura, dell'ampiezza e delle finalità dei trattamenti effettuati in qualità di responsabile del trattamento per conto di molteplici clienti business su larga scala.
Il DPO può essere contattato ai seguenti recapiti:
- Email: dpo@plank.global (msavoldi@plank.global)
- Posta: Plank Italy S.p.a. – Data Protection Officer – Sestiere Santa Croce 466/B, 30135 Venezia (VE)
Il DPO opera in modo indipendente e può essere contattato direttamente dagli interessati per qualsiasi questione relativa al trattamento dei propri dati personali e all'esercizio dei propri diritti.
3. Ruolo di Plank nell'ambito dei Servizi
La presente informativa disciplina esclusivamente i trattamenti effettuati da Plank in qualità di titolare autonomo del trattamento, vale a dire i trattamenti che Plank effettua per proprie finalità nell'ambito della gestione tecnica e della sicurezza della piattaforma. Essa si rivolge agli utenti professionali che accedono alla piattaforma per conto dei clienti business di Plank.
Trattamenti in qualità di Titolare Autonomo. Plank agisce in qualità di titolare autonomo per le attività strettamente connesse alla gestione tecnica e alla sicurezza della piattaforma, quali l'autenticazione degli utenti, la gestione delle sessioni, il monitoraggio tecnico dell'infrastruttura, la gestione dei log di sicurezza, la prevenzione di accessi non autorizzati o abusi e la manutenzione tecnica dei servizi.
Trattamenti in qualità di Responsabile del Trattamento. Separatamente da quanto sopra, Plank agisce in qualità di responsabile del trattamento ai sensi dell'art. 28 GDPR quando tratta dati personali per conto dei propri clienti business, i quali agiscono quali titolari del trattamento per i dati relativi ai propri utenti o clienti finali. Per tali trattamenti, il cliente business è il soggetto responsabile dell'adempimento degli obblighi informativi nei confronti dei propri utenti finali.
Gli utenti che interagiscono con i servizi erogati da un cliente Plank tramite la piattaforma sono pertanto invitati a consultare anche l'informativa privacy del cliente stesso, che disciplina il trattamento dei dati personali effettuato nell'ambito dei servizi da esso erogati.
4. Tipologie di dati personali trattati
Nel corso della fornitura dei Servizi, Plank può trattare, in qualità di titolare autonomo, le seguenti categorie di dati personali relativi agli utenti professionali che accedono alla piattaforma per conto dei clienti business:
- Dati di identificazione e autenticazione: identificativi di account, credenziali di accesso e dati di sessione necessari per consentire l'accesso sicuro alla piattaforma.
- Dati del profilo professionale: nome, cognome, indirizzo email professionale, organizzazione di appartenenza, ruolo o funzione aziendale.
- Dati operativi e di servizio: informazioni relative alla gestione di richieste di assistenza, comunicazioni operative, documenti o allegati caricati dagli utenti o altri contenuti necessari per il funzionamento delle funzionalità della piattaforma.
- Dati tecnici e diagnostici: indirizzo IP, tipo di dispositivo, sistema operativo, versione dell'applicazione, identificativi di sessione, log tecnici e dati diagnostici necessari per il monitoraggio e il corretto funzionamento dei sistemi.
- Dati relativi all'utilizzo dell'applicazione mobile: in caso di utilizzo delle applicazioni mobili, alcune funzionalità possono richiedere l'accesso alla fotocamera, alla libreria fotografica o ai file locali, al solo fine di consentire l'utilizzo delle relative funzionalità.
Dati biometrici
Qualora l'applicazione consenta l'utilizzo di sistemi biometrici del dispositivo (es. riconoscimento del volto o impronta digitale) per facilitare l'accesso alla sessione utente, tali meccanismi sono gestiti esclusivamente dal sistema operativo del dispositivo. Plank non memorizza, non raccoglie e non tratta template biometrici.
I dati biometrici costituiscono categorie particolari di dati ai sensi dell'art. 9 GDPR. Poiché il loro trattamento avviene interamente nel dispositivo dell'utente tramite le API del sistema operativo, e Plank non ha accesso a tali dati, la base giuridica applicabile è il consenso esplicito dell'utente espresso tramite le impostazioni del proprio dispositivo (art. 9(2)(a) GDPR).
Dati relativi ai clienti finali dei clienti business
Nell'ambito dell'utilizzo della piattaforma da parte dei clienti business, possono essere trattati anche dati personali relativi ai clienti finali di tali clienti. In tali casi il cliente business agisce quale titolare del trattamento ai sensi dell'art. 4(7) GDPR, mentre Plank opera quale responsabile del trattamento ai sensi dell'art. 28 GDPR, limitatamente alla fornitura della piattaforma e dei servizi tecnologici connessi.
5. Finalità e basi giuridiche del trattamento
I dati personali di cui Plank è titolare autonomo del trattamento sono trattati per le seguenti finalità e in base alle seguenti basi giuridiche:
5.1 Autenticazione e accesso alla piattaforma
Finalità: consentire l'autenticazione degli utenti, la gestione delle sessioni di accesso e l'utilizzo delle funzionalità della piattaforma.
Base giuridica: esecuzione del contratto di fornitura dei Servizi stipulato tra Plank e il cliente business, nell'ambito del quale gli utenti professionali sono abilitati ad accedere alla piattaforma (art. 6(1)(b) GDPR).
Conferimento dati: obbligatorio ai fini dell'accesso alla piattaforma. In assenza di tali dati non è possibile utilizzare i Servizi.
5.2 Gestione tecnica, sicurezza e prevenzione degli abusi
Finalità: gestione tecnica della piattaforma, manutenzione, monitoraggio dei sistemi, individuazione di anomalie o vulnerabilità, prevenzione di incidenti informatici, prevenzione di accessi non autorizzati o abusi, difesa dei diritti della Società in caso di utilizzi abusivi o non conformi, audit di sicurezza.
Base giuridica: legittimo interesse di Plank ai sensi dell'art. 6(1)(f) GDPR, consistente nel garantire la sicurezza, l'integrità e l'affidabilità dei propri servizi digitali, proteggere i dati dei propri clienti e utenti da accessi non autorizzati, frodi o abusi, e assicurare la continuità operativa della piattaforma. Plank ha effettuato un bilanciamento tra i propri interessi legittimi e i diritti e le libertà fondamentali degli interessati, ritenendo che tali interessi non siano prevalentemente pregiudizievoli per gli interessati, in quanto i dati trattati per tali finalità sono dati tecnici di sistema e non dati sensibili o di contenuto.
Conferimento dati: il trattamento è necessario per il funzionamento tecnico della piattaforma e non è soggetto a scelta da parte dell'utente. L'utente ha comunque diritto di opporsi ai sensi dell'art. 21 GDPR (cfr. Sezione 10).
5.3 Adempimento di obblighi legali
Finalità: adempiere a obblighi di legge o rispondere a richieste provenienti da autorità competenti, qualora tali obblighi derivino dalla normativa applicabile.
Base giuridica: adempimento di un obbligo legale al quale è soggetto il titolare del trattamento (art. 6(1)(c) GDPR).
Conferimento dati: obbligatorio in quanto imposto dalla legge. Il mancato conferimento può comportare l'impossibilità per Plank di adempiere ai propri obblighi normativi.
5.4 Analisi statistiche aggregate
Finalità: in forma aggregata e non identificabile, alcune informazioni relative all'utilizzo della piattaforma possono essere utilizzate per analisi statistiche e per migliorare le prestazioni, la sicurezza e la qualità dei Servizi offerti.
Base giuridica: legittimo interesse di Plank a migliorare la qualità e le prestazioni dei propri servizi (art. 6(1)(f) GDPR). Poiché i dati sono elaborati in forma esclusivamente aggregata e anonima, l'impatto su diritti e libertà degli interessati è trascurabile.
Plank non utilizza i dati raccolti attraverso la piattaforma per finalità di pubblicità comportamentale o profilazione commerciale.
6. Processi decisionali automatizzati e profilazione
Plank non effettua processi decisionali automatizzati, ivi inclusa la profilazione, che producano effetti giuridici o che incidano in modo analogo significativamente sugli interessati ai sensi dell'art. 22 GDPR.
I sistemi di monitoraggio automatizzato della piattaforma (es. rilevamento di anomalie di accesso) sono utilizzati esclusivamente a fini di sicurezza tecnica e non producono decisioni individuali automatizzate con effetti sugli interessati. Qualsiasi decisione che possa incidere sugli utenti viene adottata con l'intervento umano.
Qualora in futuro vengano introdotti processi decisionali automatizzati rilevanti ai sensi dell'art. 22 GDPR, la presente informativa sarà aggiornata di conseguenza e agli interessati sarà fornita l'informativa integrativa prevista dalla normativa applicabile.
7. Comunicazione dei dati personali
Nell'ambito delle finalità sopra descritte, i dati personali possono essere resi accessibili o comunicati ai seguenti soggetti:
- Personale autorizzato di Plank, che opera sulla base di specifiche istruzioni e nel rispetto degli obblighi di riservatezza.
- Fornitori di servizi tecnici (sub-responsabili del trattamento ai sensi dell'art. 28 GDPR), quali fornitori di infrastrutture cloud, servizi di hosting, strumenti di monitoraggio e logging, servizi di supporto tecnico. Tali soggetti operano sulla base di specifici accordi contrattuali che disciplinano le istruzioni di trattamento, le misure di sicurezza applicabili e le modalità di gestione dei dati personali.
- Clienti business di Plank, i quali possono accedere ai dati personali degli utenti nell'ambito del rapporto contrattuale con gli utenti stessi.
- Soggetti pubblici o autorità competenti, quando ciò sia richiesto dalla legge o da provvedimenti delle autorità.
Plank non vende né cede dati personali a terzi per finalità commerciali.
8. Trasferimenti internazionali di dati
Alcuni fornitori di servizi tecnici utilizzati per l'erogazione della piattaforma hanno sede o trattano dati al di fuori dello Spazio Economico Europeo (SEE), in particolare negli Stati Uniti d'America. I trasferimenti di dati personali verso Paesi terzi avvengono nel rispetto delle garanzie previste dalla normativa applicabile, in particolare mediante:
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea con Decisione di esecuzione (UE) 2021/914 del 4 giugno 2021;
- Eventuali decisioni di adeguatezza adottate dalla Commissione Europea in relazione a specifici Paesi terzi.
Su richiesta, Plank può fornire agli interessati copia delle garanzie adottate per i trasferimenti internazionali. Le richieste possono essere inviate all'indirizzo gdpr@plank.global.
9. Conservazione dei dati
I dati personali sono conservati per il periodo di tempo necessario a conseguire le finalità per cui sono stati raccolti e per adempiere agli obblighi contrattuali e normativi applicabili. I periodi specifici di conservazione per ciascuna categoria di dati sono i seguenti:
| Categoria di dati | Periodo | Criterio |
|---|---|---|
| Dati di account e profilo professionale | Durata del rapporto + 12 mesi | Necessario per la gestione del contratto e la risoluzione di eventuali contestazioni. |
| Log tecnici di accesso e autenticazione | 12 mesi | Proporzionato alle esigenze di sicurezza informatica e rilevamento anomalie. |
| Log di sicurezza e audit trail | 24 mesi | Necessario per indagini su incidenti di sicurezza e audit di conformità. |
| Dati operativi e documenti caricati | Durata del contratto con il cliente business + 30 giorni | Necessario per la fornitura del servizio; cancellati al termine del rapporto. |
Al termine del periodo di conservazione, i dati personali sono cancellati o resi anonimi in modo irreversibile.
10. Sicurezza dei dati
Plank adotta misure tecniche e organizzative adeguate a garantire la protezione dei dati personali trattati attraverso la piattaforma. Tali misure includono, tra l'altro, sistemi di controllo degli accessi, protezione delle comunicazioni, monitoraggio dei sistemi, gestione delle autorizzazioni basata sui ruoli e procedure di backup e continuità operativa.
Pur adottando misure tecniche e organizzative adeguate alla natura dei dati trattati e ai rischi connessi, Plank non può garantire che nessun sistema informatico o trasmissione di dati attraverso Internet sia completamente esente da rischi. La Società adotta pertanto procedure di monitoraggio e aggiornamento continuo delle proprie misure di sicurezza al fine di ridurre i rischi di accessi non autorizzati, perdita o divulgazione dei dati.
11. Diritti degli interessati
Gli interessati possono esercitare i seguenti diritti previsti dalla normativa in materia di protezione dei dati personali:
- Diritto di accesso (art. 15 GDPR): ottenere conferma che sia o meno in corso un trattamento di dati personali che li riguarda e, in tal caso, accedere ai dati e alle informazioni relative al trattamento.
- Diritto di rettifica (art. 16 GDPR): ottenere la rettifica dei dati personali inesatti o il completamento di quelli incompleti.
- Diritto alla cancellazione (art. 17 GDPR): ottenere la cancellazione dei dati personali nei casi previsti dalla legge (“diritto all'oblio”).
- Diritto di limitazione del trattamento (art. 18 GDPR): ottenere la limitazione del trattamento nei casi previsti dalla legge.
- Diritto alla portabilità dei dati (art. 20 GDPR): ricevere i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare del trattamento, nei casi in cui il trattamento sia basato sul contratto o sul consenso e sia effettuato con mezzi automatizzati.
- Diritto di opposizione (art. 21 GDPR): opporsi in qualsiasi momento, per motivi connessi alla propria situazione particolare, al trattamento dei propri dati personali basato sul legittimo interesse del titolare (art. 6(1)(f) GDPR). In particolare, gli interessati possono opporsi ai trattamenti descritti nelle Sezioni 5.2 e 5.4. Il titolare si riserva il diritto di non accogliere l'opposizione qualora esistano motivi legittimi cogenti che prevalgono sugli interessi, i diritti e le libertà dell'interessato, o per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
Revoca del consenso
Nei casi in cui il trattamento si basi sul consenso dell'interessato (in particolare per l'utilizzo di sistemi biometrici del dispositivo tramite le impostazioni dello stesso), l'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento, senza pregiudizio per la liceità del trattamento basata sul consenso prima della revoca. La revoca del consenso relativa ai sistemi biometrici può essere effettuata direttamente dalle impostazioni del dispositivo.
Per revocare eventuali consensi prestati nell'ambito dell'utilizzo della piattaforma, è possibile contattare Plank all'indirizzo gdpr@plank.global.
Modalità di esercizio dei diritti e tempi di risposta
Le richieste di esercizio dei diritti possono essere inviate a Plank all'indirizzo gdpr@plank.global o per posta a Plank Italy S.p.a., Sestiere Santa Croce 466/B, 30135 Venezia (VE).
Plank risponde alle richieste entro un mese dal loro ricevimento. In caso di richieste particolarmente complesse o numerose, tale termine può essere prorogato di ulteriori due mesi, previa comunicazione all'interessato entro il primo mese dall'avvio delle motivazioni della proroga (art. 12(3) GDPR).
Qualora Plank tratti dati personali per conto di un cliente business che agisce come titolare del trattamento, le richieste potranno essere indirizzate anche a tale cliente oppure trasmesse da Plank al titolare competente.
12. Obbligatorietà del conferimento dei dati
Per alcune finalità, il conferimento dei dati è necessario e le conseguenze del mancato conferimento sono le seguenti:
| Finalità | Natura del conferimento | Conseguenze del mancato conferimento |
|---|---|---|
| Autenticazione e accesso alla piattaforma | Contrattuale | Impossibilità di accedere alla piattaforma e ai Servizi. |
| Gestione tecnica e sicurezza dei sistemi | Necessario per l'esecuzione del contratto / Legittimo interesse | Il trattamento è insito nel funzionamento tecnico della piattaforma; non fornire tali dati implicherebbe non poter utilizzare i Servizi. |
| Adempimento obblighi legali | Obbligo di legge | Impossibilità per Plank di adempiere ai propri obblighi normativi. |
| Analisi statistiche aggregate | Legittimo interesse | Nessuna conseguenza diretta sull'utente. |
13. Diritto di reclamo
Gli interessati hanno il diritto di proporre reclamo all'autorità di controllo competente in materia di protezione dei dati personali o ad altra autorità di controllo competente qualora ritengano che il trattamento dei dati personali violi la normativa applicabile.
Garante per la Protezione dei Dati Personali (Italia):
- Indirizzo: Piazza Venezia 11, 00187 Roma
- Telefono: +39 06 69677 1
- Email: garante@gpdp.it
- Sito web: www.gpdp.it
In alternativa, l'interessato può rivolgersi all'autorità di controllo dello Stato membro dell'Unione Europea in cui risiede abitualmente, lavora o in cui si ritiene si sia verificata la violazione.
14. Modifiche alla presente informativa
La presente informativa può essere aggiornata periodicamente per riflettere eventuali modifiche dei Servizi, evoluzioni normative o cambiamenti nelle modalità di trattamento dei dati personali. La versione aggiornata sarà pubblicata sulla piattaforma e indicherà la data dell'ultimo aggiornamento e il numero di versione.
Qualora le modifiche risultino rilevanti ai sensi dell'art. 13 GDPR, Plank provvederà a darne comunicazione agli utenti con almeno 30 giorni di preavviso, attraverso notifica nell'applicazione o tramite email all'indirizzo associato all'account. La continuazione nell'utilizzo dei Servizi dopo tale periodo costituisce presa d'atto delle modifiche apportate.
Le versioni precedenti dell'informativa sono conservate dalla Società ai fini dell'accountability prevista dall'art. 5(2) GDPR e sono disponibili su richiesta.