Consegniamo in tutta Europa
Contattaci per un preventivo
La presente Informativa sulla Privacy è disciplinata dalla legge svedese e i riferimenti ad atti giuridici si riferiscono alla legislazione svedese, salvo diversa indicazione.
1.1 La presente Informativa sulla Privacy descrive come Herbox AB, numero di registrazione aziendale 559320-7037, Sven Hultings Plats 5, 412 58 Göteborg ("Herbox", "noi", "ci"), salvaguarda la protezione dei dati personali in tutte le nostre operazioni.
1.2 Lo scopo è garantire che ogni trattamento sia eseguito in modo lecito, corretto e trasparente in conformità con il GDPR e la legislazione svedese, e costruire fiducia tra clienti, utenti e partner attraverso la trasparenza e la chiarezza riguardo a come raccogliamo, utilizziamo, archiviamo e proteggiamo i dati personali.
1.3 Herbox lavora sistematicamente alla protezione dei dati attraverso valutazioni dei rischi, procedure interne, misure di sicurezza tecniche e formazione. Perseguiamo sempre la minimizzazione dei dati e conserviamo i dati personali solo per il tempo necessario a ciascuna specifica finalità.
| Termini | Definizione |
|---|---|
| Cookie |
Piccoli file di testo memorizzati nel browser per abilitare funzionalità, statistiche e marketing. Gestiti in conformità con la politica separata sui Cookie di Herbox. |
| Dati Personali |
Qualsiasi informazione che direttamente o indirettamente possa identificare una persona fisica, come nome, indirizzo email, indirizzo IP o numero cliente. |
| Trattamento |
Qualsiasi operazione eseguita sui dati personali, come la raccolta, l'archiviazione, l'analisi, la condivisione o la cancellazione, sia manuale che automatizzata. |
| Titolare del Trattamento |
La parte che determina le finalità e i mezzi del trattamento. |
| Responsabile del Trattamento |
Una parte esterna che tratta i dati per conto di Herbox in base a un Accordo sul Trattamento dei Dati (DPA). |
| Base Giuridica |
Una condizione legale ai sensi dell'articolo 6 del GDPR (consenso, contratto, obbligo legale o interesse legittimo). |
| Interesse Legittimo |
Quando Herbox ha un legittimo interesse commerciale, come la comunicazione con i clienti o la sicurezza informatica, che prevale sull'interesse alla privacy. Per il trattamento basato sull'interesse legittimo, Herbox conduce una Valutazione dell'Interesse Legittimo (LIA), che viene documentata e aggiornata secondo necessità. |
| Dati Personali Sensibili |
Categorie particolari di dati (salute, etnia, opinioni politiche, ecc.) sono trattate solo in casi eccezionali. I servizi di Herbox non sono inoltre rivolti ai minori e non raccogliamo consapevolmente dati personali da minori senza il consenso di un tutore legale. |
| Registrato |
L'individuo i cui dati vengono trattati (cliente, utente, dipendente, fornitore, ecc.). |
| SCC / DPF |
Le Clausole Contrattuali Standard (SCC) dell'UE e il Quadro sulla Privacy dei Dati UE-USA (DPF), entrambi meccanismi per garantire la protezione nel contesto dei trasferimenti di dati verso paesi terzi. |
Responsabile della Protezione dei Dati (DPO)
Herbox AB
All'attenzione del: Responsabile della Protezione dei Dati
Email: info@herbox.se
Indirizzo: Sven Hultings Plats 5, 412 58 Göteborg
Puoi contattarci anche come segue:
| Oggetto | Contatto | Commento |
|---|---|---|
| Richieste Generali |
info@herbox.se |
Confermiamo la ricezione entro 2 giorni lavorativi e rispondiamo normalmente entro 30 giorni. |
| Richiesta GDPR |
info@herbox.se |
Potremmo richiedere l'identificazione (BankID o copia di un documento d'identità). |
| Segnalazione Incidente |
info@herbox.se |
Riscontro entro 24 ore. |
| Autorità di Controllo |
Autorità svedese per la protezione della privacy (IMY), Box 8114, 104 20 Stoccolma |
Ulteriori informazioni sono disponibili su www.imy.se |
4.1 Durante la visita al nostro sito web
| Quando e Perché | Dati Personali | Base Giuridica | Periodo di Conservazione |
|---|---|---|---|
| Fornire il Sito Web |
Indirizzo IP, log tecnici |
Interesse legittimo (funzionamento necessario) |
2 mesi |
| Statistiche e Analisi (Microsoft Clarity) |
IP (troncato), eventi, ID cookie |
Consenso (ePrivacy) |
90 giorni |
| Pubblicità e Pixel della Piattaforma |
Email sottoposta ad hashing, ID dispositivo/cookie |
Consenso / Interesse legittimo (clienti) |
Fino a 24 mesi |
4.2 Quando si contattano clienti esistenti e potenziali
| Quando e Perché | Dati Personali | Base Giuridica | Periodo di Conservazione |
|---|---|---|---|
| Relazione con il Cliente e Supporto |
Nome, email, accordo, comunicazione |
Contratto / Interesse legittimo |
Fino a 10 anni (contabilità 7 anni) |
| Marketing ai Clienti |
Dati di contatto, dati di interazione |
Interesse legittimo (opt-out) |
Fino a opt-out o 36 mesi di inattività |
| Marketing ai Prospect |
Dati di contatto, titolo professionale, interazioni |
Consenso (email) / Interesse legittimo |
36 mesi |
4.3 Automazione e Supporto AI
| Quando e Perché | Dati Personali | Base Giuridica | Periodo di Conservazione |
|---|---|---|---|
| Automazione dei Flussi di Lavoro |
Campi minimizzati a seconda di Zapier |
Interesse legittimo |
Archiviazione a breve termine in Zapier |
| Bozze AI per Email (OpenAI) |
Estratti email limitati |
Interesse legittimo |
Solo trattamento, nessuna archiviazione locale persistente |
4.4 In connessione con Reclutamento, Impiego e Amministrazione delle Risorse Umane
| Quando e perché? | Dati personali | Base Giuridica | Periodo di conservazione |
|---|---|---|---|
| Ricezione e Valutazione delle Candidature |
CV, dati di contatto, note |
Interesse legittimo (reclutamento) + consenso per la conservazione prolungata |
24 mesi (più a lungo con consenso) |
| Verifica delle Referenze e Controllo Precedenti |
Dati di contatto delle referenze, note dai colloqui con le referenze, verifica dell'istruzione o |
Consenso (da parte del candidato prima del contatto) + interesse legittimo a garantire un reclutamento accurato |
24 mesi dopo la conclusione del processo di reclutamento (o più a lungo con esplicito |
| Durante l'Impiego e l'Amministrazione HR |
Dati di contatto, stipendio, assenze, dati sulle competenze e informazioni sui parenti prossimi |
Il trattamento è effettuato per adempiere al contratto di lavoro, agli obblighi legali (es. fiscali e diritto del lavoro) e all'interesse legittimo di Herbox nell'amministrare i processi HR. |
Durante l'impiego e successivamente per 2-10 anni a seconda del tipo di dati (es. dati |
4.5 Nell'adempimento degli Obblighi Legali e nella Protezione degli Interessi Legali
| Obbligo Legale | Esempi di Dati Coinvolti | Legge / Regolamento Applicabile | Periodo di conservazione |
|---|---|---|---|
| Contabilità e Registri Contabili |
Fatture clienti e fornitori, dati di pagamento, giustificativi |
Legge sulla Contabilità (1999:1078) |
7 anni dopo la fine dell'esercizio finanziario |
| Prescrizione dei Crediti / Controversie |
Documenti contrattuali, corrispondenza, storico pagamenti |
Legge sulla Prescrizione (1981:130) |
Fino a 10 anni |
| Dichiarazioni Fiscali e Contributive |
Paghe, fatture, pagamenti |
Legge sulla Procedura Fiscale (2011:1244) |
7 anni |
| Azioni Legali e Questioni Regolamentari |
Corrispondenza, materiali di indagine |
GDPR Articolo 17.3(e) (difesa di rivendicazioni legali) |
Fino alla conclusione della questione |
| Documentazione di Impiego |
Contratti di lavoro, registri salariali e pensionistici |
Diritto del Lavoro Svedese |
2-10 anni a seconda del tipo di documento |
Herbox mantiene inoltre un registro di tutte le attività di trattamento in conformità con l'articolo 30 del GDPR, che viene aggiornato dal DPO.
| Responsabile / Destinatario | Categoria | Dati Personali Trattati | Ruolo | Misure di sicurezza specifiche |
|---|---|---|---|---|
| Upsales, Mailchimp |
CRM e marketing |
Nome, email, cronologia comunicazioni, preferenze |
Responsabile del Trattamento |
Crittografia, restrizione accessi, DPA |
| Google Workspace |
Email e Produttività |
Nome, email, documenti, file, metadati |
Responsabile del Trattamento |
Certificazione DPF, MFA, minimizzazione dati |
| Zapier |
Automazione |
Campi dati limitati per integrazione sistemi |
Responsabile del Trattamento |
Crittografia durante il trasferimento, SCC |
| OpenAI |
Analisi AI e Supporto Automatizzato |
Brevi estratti di testo (minimizzati) |
Responsabile del Trattamento |
Certificazione DPF, restrizione contro l'addestramento del modello |
| Google Ads, Microsoft Ads, LinkedIn, Microsoft Clarity ecc. |
Pubblicità e analisi |
Email sottoposta ad hashing, ID cookie, indirizzo IP, dati dispositivo |
Titolari indipendenti |
Gestione consenso tramite GTM, DPF/SCC |
| TeamTailor |
Reclutamento |
Nome, dati di contatto, CV, note colloquio |
Responsabile del Trattamento |
DPA, minimizzazione dati, cancellazione automatica |
| Studio contabile, revisore, partner di spedizione e servizi |
Finanza e consegna |
Nome, indirizzo, dettagli pagamento, registri fatture |
Responsabili / Titolari indipendenti |
Accordi di non divulgazione, comunicazione crittografata, periodi di conservazione previsti dalla legge |
| Area | Tipo di Dati / Trattamento | Misure Tecniche e Organizzative | Periodo di Conservazione / Programma di Cancellazione |
|---|---|---|---|
| Sicurezza Tecnica |
Dati di sistema, log di accesso, backup |
Crittografia in transito e a riposo, controllo accessi basato sui ruoli, autenticazione a più fattori (MFA), registrazione e revisioni periodiche degli accessi |
Log 12 mesi, backup secondo policy IT (max 12 mesi) |
| Sicurezza Organizzativa |
Tutti i dati personali |
Accordi di non divulgazione, formazione continua, processo di risposta agli incidenti, revisione annuale delle procedure |
Continuativamente durante l'impiego / incarico |
| Gestione Incidenti |
Dati inclusi nelle segnalazioni di incidenti |
Processo supervisionato dal DPO, registrazione interna, notifica a IMY entro 72 ore se i diritti degli individui sono a rischio, e informazione agli interessati coinvolti conformemente agli Articoli 33-34 GDPR |
Documentazione conservata per 5 anni dopo la chiusura del caso |
| CRM e Dati Clienti |
Corrispondenza, materiali di indagine |
GDPR Articolo 17.3(e) (difesa di rivendicazioni legali) |
Fino alla conclusione della questione |
| Documentazione di Impiego |
Contratti di lavoro, registri salariali e pensionistici |
Diritto del Lavoro |
2-10 anni a seconda del tipo di documento |
Herbox tratta principalmente i dati personali all'interno dell'UE/SEE. Tuttavia, alcuni fornitori utilizzano infrastrutture o forniscono servizi di supporto negli Stati Uniti. Tutti i trasferimenti vengono eseguiti in conformità con il Capo V del GDPR e a seguito di una Valutazione dell'Impatto sul Trasferimento (TIA).
| Categoria / Fornitore | Tipo di Dati Personali | Trattati Località (Principale) | Meccanismo di Trasferimento |
|---|---|---|---|
| Google Workspace |
Nome, email, documenti, metadati |
USA (certificato DPF) |
Quadro sulla Privacy dei Dati UE-USA (DPF) |
| Microsoft Clarity / Microsoft Ads |
Indirizzo IP (troncato), ID cookie, dati analitici |
USA (certificato DPF) |
Quadro sulla Privacy dei Dati UE-USA (DPF) |
| OpenAI (API/Team) |
Brevi estratti di testo (minimizzati) |
USA (certificato DPF) |
Quadro sulla Privacy dei Dati UE-USA (DPF) |
| Zapier Inc. |
Campi dati limitati per integrazione sistemi |
USA (non certificato DPF) |
Clausole Contrattuali Standard (SCC) + misure supplementari |
| Mailchimp (Intuit Inc.) |
Nome, indirizzo email, dati di interazione |
USA (certificato DPF) |
Quadro sulla Privacy dei Dati UE-USA (DPF) |
| Diritto | Articolo | Significato | Come Esercitare il Tuo Diritto |
|---|---|---|---|
| Accesso |
Art. 15 |
Ottenere una copia dei tuoi dati personali e informazioni sul trattamento. |
Richiesta via info@herbox.se. |
| Rettifica |
Art. 16 |
Correggere dati inaccurati o incompleti. |
Contattaci via email o telefono. |
| Cancellazione ("Diritto all'Oblio") |
Art. 17 |
Cancellazione dei dati quando non sono più necessari o quando il consenso viene |
Email a info@herbox.se. |
| Limitazione |
Art. 18 |
Interrompere temporaneamente il trattamento in caso di disputa sull'accuratezza o liceità. |
Contrassegnare l'email "Limitazione". |
| Portabilità dei Dati |
Art. 20 |
Ricevere i tuoi dati in un formato strutturato o trasferirli a un'altra parte. |
Richiedi esportazione (CSV/JSON). |
| Opposizione |
Art. 21 |
Opporsi al trattamento basato su interesse legittimo o marketing diretto. |
Usa i link di opt-out o contattaci. |
| Revoca del Consenso |
Art. 7.3 |
Revocare il consenso senza influenzare il trattamento effettuato prima della revoca. |
Tramite banner cookie o email. |
| Decisioni Automatizzate |
Art. 22 |
Richiedere una revisione manuale delle decisioni con effetti legali. |
Email a info@herbox.se. |
9.1 Herbox riesamina la presente Informativa sulla Privacy almeno una volta all'anno o secondo necessità, ad esempio se:
a) Entra in vigore una legislazione nuova o modificata,
b) L'attività cambia in modo tale da influenzare il trattamento dei dati personali,
c) Vengono introdotti nuovi sistemi, fornitori o attività di trattamento, o
d) L'Autorità svedese per la protezione della privacy (IMY) o le autorità dell'UE emettono nuove linee guida o decisioni.
9.2 La revisione è condotta dal Responsabile della Protezione dei Dati (DPO) di Herbox in consultazione con la direzione e i proprietari dei sistemi pertinenti. Il DPO è responsabile di identificare la necessità di aggiornamenti, documentare le modifiche e garantire che le nuove versioni siano conformi alla legge applicabile e alla politica interna di sicurezza delle informazioni di Herbox.
9.3 Quando vengono apportate modifiche significative, forniamo avviso:
a) Internamente a tutti i dipendenti via email e/o intranet, e
b) Esternamente a clienti, partner e interessati tramite il nostro sito web (herbox.se) e, ove pertinente, attraverso comunicazione diretta.
9.4 A ogni nuova versione vengono assegnati una data di revisione e una designazione di versione, e la versione precedente viene archiviata in conformità con le procedure di gestione documentale di Herbox.
9.5 La versione corrente è sempre pubblicata su www.herbox.se.
Ultimo aggiornamento: 28 ottobre 2025
