Informativa Privacy

ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (GDPR)

Sito www.zuccatobiotech.it

La società ZUCCATO HC S.r.l., con sede in Via della Consortia n. 2 – 37127 Verona (VR), C.F. e P.IVA 01725500233 (di seguito, per brevità, “ZUCCATO HC” o il “Titolare”), riconosce l’importanza della protezione dei dati personali e considera la sua tutela uno degli obiettivi principali della propria attività.

La presente Informativa è resa con riferimento al sito www.zuccatobiotech.it (di seguito, il “Sito”), riferito a Zuccato Biotech, divisione di medicina rigenerativa di ZUCCATO HC S.r.l. Si precisa sin d’ora che Zuccato Biotech non costituisce soggetto giuridico autonomo ma rappresenta un’articolazione organizzativa interna di ZUCCATO HC, dedicata al settore della medicina rigenerativa e dei relativi dispositivi medici. Ogni riferimento a “Zuccato Biotech” contenuto nella presente Informativa o nel Sito deve quindi intendersi come riferito a ZUCCATO HC S.r.l., unica entità giuridica titolare del trattamento.

Prima di comunicare qualsiasi dato personale, ZUCCATO HC invita a leggere con attenzione la presente Informativa (di seguito, anche “Privacy Policy”), in quanto contiene informazioni rilevanti sulla tutela dei dati personali e sulle misure di sicurezza adottate per garantirne la riservatezza, nel pieno rispetto del Regolamento (UE) 2016/679 (di seguito, “GDPR” o “Normativa Applicabile”), del D.Lgs. 30 giugno 2003 n. 196 come modificato dal D.Lgs. 10 agosto 2018 n. 101 (“Codice Privacy”) e dei provvedimenti dell’Autorità Garante per la protezione dei dati personali.

La presente Privacy Policy si applica esclusivamente al Sito e non agli altri siti web eventualmente consultati dall’utente tramite link esterni, ai quali si applicano le rispettive informative. Essa deve considerarsi resa, ai sensi dell’art. 13 GDPR, a tutti i soggetti che accedono al Sito e con esso interagiscono.

ZUCCATO HC ha altresì ritenuto di conformarsi a quanto previsto nella Raccomandazione n. 2/2001 relativa ai requisiti minimi per la raccolta di dati on-line nell’Unione Europea, adottata il 17 maggio 2001 dal Gruppo di Lavoro Articolo 29, nonché alle Linee guida del Comitato Europeo per la protezione dei dati (EDPB) in materia di consenso, trasparenza e cookie.

ZUCCATO HC informa che il trattamento dei dati personali sarà improntato ai principi di liceità, correttezza, trasparenza, limitazione delle finalità e della conservazione, minimizzazione, esattezza, integrità e riservatezza, in conformità alle disposizioni della Normativa Applicabile.

1. Titolare del trattamento e Responsabile della protezione dei dati (DPO)

Il Titolare del trattamento dei dati personali raccolti tramite il Sito è:

  • ZUCCATO HC S.r.l., con sede legale in Via della Consortia n. 2 – 37127 Verona (VR), Italia – C.F. e P.IVA 01725500233 – e-mail: privacy@zuccatohc.it – PEC: pec@pec.zuccatohc.it.

In ogni momento è possibile rivolgersi al Titolare per ricevere informazioni in merito al trattamento dei propri dati personali, esercitare i diritti riconosciuti dalla Normativa Applicabile o segnalare eventuali problematiche.

Il Titolare ha nominato un Responsabile della Protezione dei Dati (Data Protection Officer – DPO) nella persona dell’Avv. Enrico Sinigaglia, reperibile all’indirizzo e-mail dedicato: dpo@zuccatohc.it. Al DPO può essere rivolta qualsiasi richiesta o segnalazione relativa al trattamento dei dati personali, ivi compreso l’esercizio dei diritti di cui agli artt. 15-22 GDPR.

2. Categorie di dati personali oggetto di trattamento

Per “Dato Personale” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile, con particolare riferimento a identificativi quali il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Tramite il Sito ZUCCATO HC può raccogliere le seguenti categorie di dati personali:

2.1. Dati di navigazione

I sistemi informatici e le procedure software preposti al funzionamento del Sito acquisiscono, nel corso del loro normale esercizio, alcuni dati la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet. Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni e associazioni con dati detenuti da terzi, permettere di identificare gli utenti.

In tale categoria rientrano gli indirizzi IP o i nomi a dominio dei dispositivi utilizzati per connettersi al Sito, gli indirizzi in notazione URI/URL delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (esito positivo, errore, etc.) e altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente.

Questi dati sono utilizzati al solo fine di ricavare informazioni statistiche anonime sull’uso del Sito, controllarne il corretto funzionamento, garantire la sicurezza dei sistemi e accertare eventuali responsabilità in ipotesi di reati informatici ai danni del Sito o di terzi. I dati di navigazione sono conservati per il tempo strettamente necessario al perseguimento delle predette finalità e, di norma, non oltre 7 giorni, fatte salve eventuali esigenze di accertamento di reati da parte dell’Autorità Giudiziaria.

2.2. Dati forniti volontariamente dall’utente

Attraverso il Sito l’utente ha la possibilità di fornire volontariamente dati personali quali, a titolo esemplificativo, nome, cognome, qualifica professionale, struttura di appartenenza, indirizzo e-mail, numero di telefono e qualsiasi altra informazione contenuta nelle comunicazioni inviate tramite il form “Contattaci” o tramite e-mail diretta agli indirizzi pubblicati sul Sito (in particolare info@zuccatobiotech.it).

ZUCCATO HC tratterà tali dati nel rispetto della Normativa Applicabile, assumendo che gli stessi siano riferiti all’utente o a terzi soggetti che lo abbiano espressamente autorizzato a conferirli sulla base di un’idonea base giuridica. Rispetto a tali ipotesi, l’utente si pone come autonomo titolare del trattamento dei dati di terzi, assumendosi tutti gli obblighi e le responsabilità di legge, e conferisce sin d’ora a ZUCCATO HC la più ampia manleva rispetto a ogni contestazione, pretesa o richiesta di risarcimento del danno proveniente da terzi i cui dati personali siano stati trattati per il tramite del Sito in violazione della Normativa Applicabile.

Si invita espressamente l’utente a non comunicare, attraverso il Sito o i canali di contatto, dati appartenenti alle categorie particolari di cui all’art. 9 GDPR (in particolare dati relativi alla salute) ovvero dati identificativi di pazienti, salvo quanto strettamente indispensabile per le finalità di vigilanza sui dispositivi medici di cui al successivo paragrafo 2.4. In caso di trasmissione di simili dati, la responsabilità della relativa liceità del conferimento (incluse le eventuali basi giuridiche e gli adempimenti informativi verso l’interessato) resterà in capo all’utente mittente.

2.3. Dati raccolti tramite cookie e tecnologie affini

Il Sito utilizza cookie e tecnologie affini. Le informazioni di dettaglio relative alle tipologie di cookie utilizzati, alle relative finalità, ai tempi di conservazione e alle modalità per esprimere, modificare o revocare il consenso sono fornite nella specifica Cookie Policy, a cui si rinvia integralmente e che costituisce parte integrante della presente Informativa.

2.4. Dati relativi alla vigilanza sui dispositivi medici

In ragione dell’attività esercitata da ZUCCATO HC nel settore dei dispositivi medici e in particolare della medicina rigenerativa (a titolo esemplificativo: PBMNC High Q Cell®, ADSC Lipo-Stem®, RGTA Cacipliq20®, GLASS AktiBone®), il Titolare può ricevere — anche tramite il Sito o gli indirizzi di contatto in esso pubblicati — segnalazioni di incidenti, incidenti gravi, reclami o azioni correttive di sicurezza ai sensi del Regolamento (UE) 2017/745 (MDR), provenienti da operatori sanitari, strutture sanitarie o altri operatori economici.

Tali segnalazioni possono comportare il trattamento di dati personali del segnalante (es. nominativo, qualifica, contatti, struttura di appartenenza) e, in taluni casi, di dati relativi alla salute riferiti a pazienti coinvolti nell’incidente. Tale trattamento è effettuato in adempimento di obblighi di legge previsti dal MDR e dalla normativa nazionale di settore (D.Lgs. 5 agosto 2022 n. 137 e D.Lgs. 24 febbraio 1997 n. 46, per quanto applicabile) e trova base giuridica negli artt. 6, par. 1, lett. c), e — per quanto attiene ai dati relativi alla salute — 9, par. 2, lett. i), GDPR (motivi di interesse pubblico nel settore della sanità pubblica, ivi compresa la garanzia di parametri elevati di qualità e sicurezza dei dispositivi medici).

I dati raccolti nell’ambito delle attività di vigilanza possono essere comunicati, in ottemperanza agli obblighi di legge, alle autorità competenti (Ministero della Salute, autorità sanitarie nazionali, EUDAMED) e al fabbricante del dispositivo coinvolto, nei limiti strettamente necessari.

3. Finalità, basi giuridiche e periodo di conservazione

I dati personali raccolti tramite il Sito saranno trattati da ZUCCATO HC per le finalità di seguito indicate, sulla base delle corrispondenti basi giuridiche e per i periodi di conservazione di seguito riportati:

  1. a) dare esecuzione a un contratto di cui l’utente è parte ovvero a misure precontrattuali adottate su sua richiesta (a titolo esemplificativo: gestione di richieste di contatto, informazione o preventivo formulate tramite il form “Contattaci” o tramite e-mail diretta);
  2. b) consentire l’eventuale accesso ad aree riservate del Sito, in esecuzione di obblighi contrattuali o precontrattuali;

per le finalità sub a) e b) la base giuridica è individuata nell’art. 6, par. 1, lett. b), GDPR e i dati saranno conservati fino al riscontro della richiesta; in caso di prosecuzione del rapporto contrattuale, per un periodo non superiore a 10 anni dalla conclusione del contratto, salvi eventuali termini di prescrizione più lunghi previsti dalla legge;

  1. c) eseguire ricerche e analisi statistiche su dati aggregati o anonimi, senza possibilità di identificare l’utente, volte a misurare il funzionamento del Sito, il traffico, l’usabilità e l’interesse degli utenti;

tale attività non comporta trattamento di dati personali;

  1. d) garantire la sicurezza del Sito, prevenire abusi, frodi e incidenti informatici, tutelare l’integrità dei sistemi e delle reti;
  2. e) accertare, esercitare o difendere un diritto in sede giudiziaria, amministrativa o stragiudiziale, ovvero ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni;

per le finalità sub d) ed e) la base giuridica è individuata nel legittimo interesse del Titolare ai sensi dell’art. 6, par. 1, lett. f), GDPR (rispettivamente, tutela della sicurezza del Sito e dei sistemi informatici; tutela dei propri diritti in sede giudiziaria). I dati saranno conservati per un periodo non superiore a 10 anni dall’ultima interazione, ovvero per il maggior termine necessario alla definizione di eventuali contenziosi e al decorso dei termini di prescrizione;

  1. f) adempiere a obblighi di legge cui ZUCCATO HC è soggetta, ivi compresi gli obblighi di natura fiscale, contabile, amministrativa, in materia di vigilanza sui dispositivi medici e antiriciclaggio;

per tale finalità la base giuridica è individuata nell’art. 6, par. 1, lett. c), GDPR e i dati saranno conservati per i termini previsti dalle singole normative, di norma 10 anni, elevati ad almeno 15 anni per la documentazione di vigilanza relativa ai dispositivi medici (ex art. 10, par. 8, MDR);

  1. g) gestire segnalazioni di incidenti, reclami e azioni correttive di sicurezza in materia di dispositivi medici, secondo quanto descritto al precedente paragrafo 2.4;

per tale finalità la base giuridica è individuata nell’art. 6, par. 1, lett. c), GDPR e, per eventuali dati relativi alla salute, nell’art. 9, par. 2, lett. i), GDPR;

  1. h) installare cookie e tecnologie affini diversi da quelli tecnici (cookie analitici non anonimizzati, di profilazione, di terze parti) ove l’utente abbia espresso il proprio consenso tramite l’apposito banner;

per tale finalità la base giuridica è individuata nel consenso dell’interessato ai sensi dell’art. 6, par. 1, lett. a), GDPR e dell’art. 122 del D.Lgs. 196/2003, come integrato dalle Linee guida cookie del Garante del 10 giugno 2021. Il consenso è revocabile in qualunque momento secondo le modalità indicate nella Cookie Policy.

Si riporta di seguito un prospetto riassuntivo delle finalità del trattamento:

Finalità Base giuridica (GDPR) Natura del conferimento Periodo di conservazione
(a) Riscontro a richieste di contatto, informazione, preventivo o supporto tecnico-commerciale (form “Contattaci”, e-mail, telefono) Art. 6, par. 1, lett. b) – esecuzione di misure precontrattuali e/o di un contratto Facoltativo; il mancato conferimento impedisce il riscontro Fino al riscontro; in caso di prosecuzione del rapporto, fino a 10 anni dalla conclusione del contratto
(b) Adempimento di obblighi di legge (fiscali, contabili, in materia di vigilanza sui dispositivi medici, antiriciclaggio, etc.) Art. 6, par. 1, lett. c) – obbligo legale Obbligatorio quando previsto dalla legge Termini previsti dalle singole normative (di norma 10 anni; per documentazione di vigilanza, fino a 15 anni ex art. 10, par. 8, MDR)
(c) Vigilanza sui dispositivi medici: gestione di segnalazioni di incidenti, reclami, azioni correttive di sicurezza (FSCA) Art. 6, par. 1, lett. c) – obbligo legale (Reg. UE 2017/745); Art. 9, par. 2, lett. i) per eventuali dati relativi alla salute Obbligatorio ai fini della segnalazione Almeno 15 anni dalla cessazione della distribuzione del dispositivo
(d) Sicurezza del Sito, prevenzione di abusi, frodi e incidenti informatici, integrità dei sistemi Art. 6, par. 1, lett. f) – legittimo interesse alla sicurezza dei sistemi e alla tutela del patrimonio aziendale Necessario per la fruizione del Sito Log di sicurezza: massimo 12 mesi; altri dati: fino a 10 anni dall’ultima interazione
(e) Esercizio o difesa di un diritto in sede giudiziaria, amministrativa o stragiudiziale Art. 6, par. 1, lett. f) – legittimo interesse alla tutela dei propri diritti Necessario in caso di contenzioso Per la durata del contenzioso e fino al decorso dei termini di prescrizione
(f) Analisi statistiche aggregate e anonime sull’uso del Sito Trattamento non di dati personali (dati anonimi)
(g) Installazione di cookie e tecnologie affini diversi da quelli tecnici Art. 6, par. 1, lett. a) – consenso (art. 122 D.Lgs. 196/2003 e Linee guida Garante 10.6.2021) Facoltativo, revocabile in ogni momento Durata indicata nella Cookie Policy

Il conferimento dei dati personali per le finalità sopra elencate è facoltativo, ma l’eventuale mancato conferimento potrebbe rendere impossibile riscontrare le richieste dell’utente o adempiere a obblighi legali a cui ZUCCATO HC è soggetta. Per le finalità basate sul consenso, il rifiuto di prestarlo non comporta alcuna conseguenza pregiudizievole se non l’impossibilità per ZUCCATO HC di perseguire la specifica finalità.

4. Modalità del trattamento e misure di sicurezza

Il trattamento dei dati personali è effettuato mediante strumenti manuali, informatici e telematici, con logiche strettamente correlate alle finalità indicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi, in conformità ai principi di cui agli artt. 5 e 32 GDPR.

ZUCCATO HC adotta misure tecniche e organizzative adeguate — tenuto conto dello stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà degli interessati — al fine di garantire un livello di sicurezza adeguato, ivi compresi, a titolo esemplificativo: cifratura dei dati in transito, controllo degli accessi mediante credenziali individuali, sistemi di backup e di disaster recovery, segregazione degli ambienti, formazione del personale autorizzato, registrazione degli accessi e procedure di gestione degli incidenti di sicurezza (data breach) ai sensi degli artt. 33 e 34 GDPR.

ZUCCATO HC, in qualità di operatore economico ai sensi del Regolamento (UE) 2017/745 e — ove applicabile — quale soggetto rilevante ai sensi della Direttiva (UE) 2022/2555 (NIS 2) e del relativo D.Lgs. 4 settembre 2024 n. 138, attua altresì le misure di gestione del rischio cyber proporzionate, sotto la vigilanza dell’Agenzia per la Cybersicurezza Nazionale (ACN) per quanto di rispettiva competenza.

I dati sono trattati esclusivamente da personale autorizzato, debitamente istruito ai sensi degli artt. 29 GDPR e 2-quaterdecies del Codice Privacy, e da soggetti esterni nominati responsabili del trattamento ai sensi dell’art. 28 GDPR.

ZUCCATO HC dichiara di non effettuare, tramite il Sito, processi decisionali automatizzati — ivi inclusa la profilazione — che producano effetti giuridici sull’interessato o che incidano significativamente sulla sua persona ai sensi dell’art. 22 GDPR.

5. Destinatari dei dati personali

I dati personali potranno essere comunicati, per le finalità di cui al paragrafo 3 e nel rispetto dei principi di necessità e proporzionalità, ai seguenti destinatari o categorie di destinatari:

  • fornitori di servizi necessari all’erogazione e al funzionamento del Sito (a titolo esemplificativo: provider di hosting, servizi cloud, servizi di posta elettronica, manutenzione informatica, sviluppo software, analisi tecnica del Sito), nominati responsabili del trattamento ai sensi dell’art. 28 GDPR;
  • soggetti che svolgono attività professionali per conto del Titolare (a titolo esemplificativo: consulenti del lavoro, commercialisti, avvocati, società di revisione, consulenti privacy), in qualità di autonomi titolari ovvero di responsabili del trattamento;
  • fabbricanti dei dispositivi medici distribuiti (a titolo esemplificativo: OTR3, Noraker, Quantix, Biopsybell e altri partner industriali) ovvero altri operatori economici della catena distributiva, nei limiti strettamente necessari all’adempimento di obblighi contrattuali o di legge, in particolare in materia di vigilanza sui dispositivi medici;
  • persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del Titolare (dipendenti e collaboratori), debitamente istruite e tenute alla riservatezza;
  • autorità pubbliche e organi di controllo (a titolo esemplificativo: Ministero della Salute, Agenzia Italiana del Farmaco, Agenzia per la Cybersicurezza Nazionale, Garante per la protezione dei dati personali, autorità giudiziarie, organismi notificati) quando la comunicazione sia richiesta dalla Normativa Applicabile o disposta dall’autorità competente nell’esercizio delle proprie funzioni.

I dati personali non saranno diffusi, se non nei casi espressamente previsti dalla legge. L’elenco aggiornato dei responsabili del trattamento è disponibile presso il Titolare, scrivendo all’indirizzo privacy@zuccatohc.it o dpo@zuccatohc.it.

6. Trasferimenti di dati personali al di fuori dello Spazio Economico Europeo

Alcuni dei dati personali trattati potrebbero essere trasferiti a destinatari situati in Paesi al di fuori dello Spazio Economico Europeo (SEE), in particolare in ragione dell’utilizzo di servizi cloud, di posta elettronica o di analisi tecnica forniti da operatori internazionali.

In tali ipotesi, ZUCCATO HC assicura che il trasferimento avvenga nel rispetto degli artt. 44 e ss. GDPR e, in particolare, sulla base di una delle seguenti condizioni:

  • decisione di adeguatezza adottata dalla Commissione europea ai sensi dell’art. 45 GDPR;
  • clausole contrattuali tipo (Standard Contractual Clauses – SCC) adottate dalla Commissione europea ai sensi dell’art. 46, par. 2, lett. c), GDPR, integrate — laddove necessario all’esito di una Transfer Impact Assessment (TIA) — da misure supplementari (tecniche, contrattuali e organizzative) idonee a garantire un livello di protezione sostanzialmente equivalente a quello assicurato all’interno dell’Unione, in conformità alla giurisprudenza Schrems II (CGUE, C-311/18) e alle Raccomandazioni 01/2020 dell’EDPB;
  • norme vincolanti d’impresa (Binding Corporate Rules – BCR) ai sensi dell’art. 47 GDPR;
  • EU-U.S. Data Privacy Framework per i trasferimenti verso operatori statunitensi certificati;
  • altre garanzie adeguate o deroghe specifiche previste dagli artt. 46-49 GDPR.

L’utente può richiedere copia delle garanzie adottate per il trasferimento dei propri dati al di fuori del SEE scrivendo a privacy@zuccatohc.it o dpo@zuccatohc.it.

7. Diritti dell’interessato

Ai sensi degli artt. 15-22 GDPR, l’interessato ha il diritto di:

  • accedere ai propri dati personali e ottenerne copia (art. 15);
  • ottenere la rettifica dei dati inesatti o l’integrazione di quelli incompleti (art. 16);
  • ottenere la cancellazione (“diritto all’oblio”) dei propri dati nei casi previsti dalla legge (art. 17);
  • ottenere la limitazione del trattamento (art. 18);
  • ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli ad altro titolare (diritto alla portabilità, art. 20);
  • opporsi al trattamento fondato sul legittimo interesse del Titolare, per motivi connessi alla propria situazione particolare (art. 21);
  • non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici o incida significativamente sulla sua persona (art. 22);
  • revocare il consenso prestato in ogni momento, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca (art. 7, par. 3).

Le richieste di esercizio dei diritti possono essere rivolte, in forma libera e gratuita, al Titolare all’indirizzo privacy@zuccatohc.it ovvero al Responsabile della Protezione dei Dati all’indirizzo dpo@zuccatohc.it. Il Titolare fornirà riscontro senza ingiustificato ritardo e, comunque, entro un mese dal ricevimento della richiesta, eventualmente prorogabile di ulteriori due mesi in considerazione della complessità e del numero delle richieste, ai sensi dell’art. 12, par. 3, GDPR.

L’interessato ha altresì il diritto di proporre reclamo al Garante per la protezione dei dati personali (Piazza Venezia n. 11 – 00187 Roma – www.garanteprivacy.it), nonché di rivolgersi all’autorità giudiziaria competente, qualora ritenga che il trattamento dei propri dati personali sia avvenuto in violazione della Normativa Applicabile.

8. Modifiche alla presente Informativa

ZUCCATO HC si riserva il diritto di apportare modifiche alla presente Informativa in qualsiasi momento, dandone evidenza tramite pubblicazione sul Sito. Si invita pertanto l’utente a consultare regolarmente la presente pagina, prendendo come riferimento la data di ultimo aggiornamento riportata in calce. Eventuali modifiche sostanziali che incidano significativamente sui trattamenti in corso saranno portate all’attenzione degli interessati con modalità adeguate.

9. Contatti

Per ogni chiarimento, richiesta di informazioni o esercizio dei diritti di cui agli artt. 15-22 GDPR, è possibile rivolgersi a:

  • Titolare del trattamento: ZUCCATO HC S.r.l. – Via della Consortia n. 2 – 37127 Verona (VR) – e-mail privacy@zuccatohc.it – PEC pec@pec.zuccatohc.it;
  • Data Protection Officer (DPO): Avv. Enrico Sinigaglia – e-mail dpo@zuccatohc.it.

Ultimo aggiornamento: maggio 2026