Register S.p.A. con sede legale in viale della Giovine Italia 17, Firenze, CAP 50122 (di seguito “Titolare” o “Register”) si impegna costantemente per tutelare la privacy dei suoi utenti. Questo documento le permetterà di conoscere la nostra politica sulla privacy, al fine di comprendere come le sue informazioni personali vengono gestite nell’ambito dell’attività di registrazione e gestione dei nomi a dominio.
Secondo le norme del Regolamento (UE) 2016/679 (“Regolamento”) e del D. Lgs. 196/2003 e successive modifiche (“Codice Privacy”), i trattamenti effettuati da Register saranno improntati ai principi di liceità, correttezza, trasparenza, limitazione delle finalità e della conservazione, minimizzazione dei dati, esattezza, integrità e riservatezza.

La struttura di Register è dotata di un Responsabile per la protezione dei dati (Data Protection Officer o “DPO”). Il DPO è a disposizione per qualunque informazione inerente al trattamento dei dati personali eseguito da Register. È possibile contattare il DPO scrivendo a dpo(chiocciola)register.it.

1. Ruoli e responsabilità nel trattamento dei dati di registrazione dei nomi a dominio

Il nome a dominio (spesso chiamato semplicemente “dominio”) è un nome associato a un indirizzo IP su Internet.

Un dominio è composto di più parti, una delle quali è l’estensione, detta anche dominio di primo livello o top-level domain (“TLD”), ovvero la parte del dominio che segue il punto.

La classificazione dei TLD comprende due tipologie:
• TLD generici (generic top-level domain o “gTLD”): ad esempio .com, .org, .info, .biz ecc., che hanno una diffusione internazionale;
• TLD nazionali (country code top-level domain o “ccTLD”): sono i domini riferiti a una nazione. Ad esempio, il ccTLD per l’Italia è .it.

Nel processo di registrazione di un nome a dominio vengono coinvolti tre diversi soggetti: Registry, Registrar e Registrant.
Con il termine “Registry” ci si riferisce ad un organismo nazionale o internazionale responsabile di stabilire regole e procedure dell’assegnazione dei nomi a dominio, della gestione dei registri e dei nameserver primari dei vari TLD.
Ad esempio, in Italia, il ccTLD .it è mantenuto dal NIC.it o Registro.it, che rappresenta la Registry per l’estensione .it e fa capo alla divisione “Istituto di Informatica e Telematica” del CNR di Pisa.
L’elenco completo delle Registry e delle relative policies può essere consultato a questo link: https://www.iana.org/domains/root/db nonché sul sito di Register al seguente link https://www.register.it/company/legal/policy-tld-e-gtld/.

Con il termine “Registrar” si identifica una organizzazione autorizzata dalla Registry ad effettuare operazioni sui domini del TLD per il quale ha un accreditamento. È possibile verificare il Registrar di un nome a dominio gTLD accedendo al servizio di ICANN disponibile su questa pagina: https://lookup.icann.org/>https://lookup.icann.org/. Per verificare il Registrar di un dominio ccTLD, è possibile individuare alla pagina https://www.iana.org/domains/root/db l’indirizzo web della relativa Registry di interesse, sul quale troverà il servizio di ricerca whois/RDAP della singola Registry.
Infine, il “Registrant” è la persona fisica o giuridica che registra un nome a dominio.
Nella pratica, per la registrazione di un nome a dominio, il Registrant presenterà la sua richiesta al Registrar che, a sua volta, inoltrerà la richiesta alla Registry di riferimento affinché valuti se vi siano le condizioni per la registrazione. Nel caso in cui la valutazione abbia esito positivo, il nome a dominio verrà registrato e intestato al Registrant che ne diventerà assegnatario e potrà vantarne i diritti secondo la normativa applicabile e per i tempi indicati dal contratto di servizio sottoscritto.
A seguito della registrazione di un nome a dominio con estensione gTLD, i Dati Personali relativi all’assegnatario del nome a dominio in questione di regola verranno pubblicati, e dunque diffusi, all’interno del database pubblico WHOIS/RDAP e sono consultabili sul Registration data lookup tool (https://lookup.icann.org/en) reso disponibile da ICANN per i nomi a dominio con estensione gTLD.

I nomi a dominio con estensione ccTLD potrebbero essere pubblicati sui database WHOIS gestiti dalle Registry rilevanti, in base alle policy di ciascuna Registry.

Register si qualifica tipicamente come Titolare del trattamento per quanto riguarda il trattamento dei dati relativi alla registrazione e gestione dei nomi a dominio. Il ruolo privacy di Register in qualità di Registrar è tuttavia deciso – volta per volta – dalla Registry competente per il gTLD o ccTLD di cui si richiede la registrazione. Ad esempio, per il ccTLD .it, la Registry competente (NIC.it/Registro.it) riveste il ruolo di autonomo titolare del trattamento e qualifica Register quale responsabile del trattamento, in base alle disposizioni non-negoziabili del contratto, qui liberamente consultabile online, che Register è tenuto a stipulare con la suddetta Authority. Ciò significa che per quanto riguarda le attività di trattamento connesse alla gestione delle estensioni .it (e di tutte le altre estensioni per cui la Registry competente inquadra Register quale responsabile del trattamento), le informazioni relative al trattamento e le richieste di esercizio dei diritti degli interessati (cfr. sezione 8 di questa Informativa) devono essere rivolte alla Registry volta per volta competente per l’estensione che si è inteso registrare.

Inoltre, nel caso in cui, al fine della registrazione di un nome a dominio, sia altresì richiesto di fornire Dati Personali ulteriori relativi a terze parti (quali, a titolo esemplificativo e non esaustivo, i dati di contatto del responsabile amministrativo – c.d. “Admin-C” – e tecnico – c.d. “Tech-C” – di un determinato nome a dominio), Register agisce tipicamente in qualità di responsabile del trattamento con riferimento a tali Dati Personali. In tale ipotesi, lei si pone come autonomo titolare del trattamento, assumendosi tutti gli obblighi e le responsabilità di legge. In tal senso, lei conferisce sul punto la più ampia manleva rispetto ad ogni contestazione, pretesa, richiesta di risarcimento del danno da trattamento, ecc. che dovesse pervenire a Register da tali terze parti i cui dati siano stati trattati in violazione delle norme sulla tutela dei Dati Personali applicabili. In ogni caso, qualora lei fornisca Dati Personali di terzi nell’ambito della registrazione di un nome a dominio, garantisce fin da ora – assumendosene ogni connessa responsabilità – che tale particolare ipotesi di trattamento si fonda su un'idonea base giuridica ai sensi dell'art. 6 o 49(c) del Regolamento che legittima il trattamento dei dati in questione.

2. I dati personali oggetto di trattamento

Per quanto concerne i trattamenti di Dati Personali effettuati nell'ambito del servizio di registrazione di nomi a dominio, si precisa che Register porrà in essere solo i trattamenti strettamente necessari per erogare il servizio e per la fatturazione e gestione contabile del nome a dominio, salvo ulteriori trattamenti sulla base di un’idonea base giuridica ai sensi dell'art. 6 del Regolamento (ad esempio il suo consenso).
I dati raccolti da Register nell'ambito della richiesta di registrazione di nomi a dominio sono solo quelli strettamente necessari all'erogazione del servizio, conferiti dall’interessato stesso in fase di registrazione del nome a dominio, ed elencati nell'Ordine di Servizio disponibile a questo indirizzo: https://www.register.it/company/legal/ods-registrazione-nomi-dominio.html.
In alcuni specifici casi, potremmo richiedere copia del documento di identità laddove ci vengano richieste operazioni particolarmente delicate, quali richieste di cancellazione di nome a dominio o richieste di cambio assegnatario.
Il conferimento di tali dati è di per sé facoltativo; tuttavia, in mancanza di tale conferimento Register non potrà erogare il servizio richiesto.

3. Finalità del trattamento

I trattamenti effettuati da Register sono improntati ai principi di correttezza, liceità, trasparenza e di tutela della riservatezza dell’interessato.

Le informazioni e i dati da lei forniti sono utilizzati esclusivamente:
• per finalità di registrazione e gestione del nome a dominio, che comporta la verifica dei dati forniti per la registrazione, la fatturazione e gestione contabile del nome a dominio, l’assistenza e il supporto nella gestione, operazioni accessorie quali ad esempio richieste di cancellazione, trasferimento o cambio owner, nonché la comunicazione di informazioni importanti sul rinnovo del dominio (“Fornitura del Servizio”);
• per finalità di sicurezza e prevenzione di condotte fraudolente (“Contrasto ad Abusi e Frodi”);
• per assolvere agli obblighi di legge, in particolare quelli derivanti dalla normativa vigente in ambito di registrazione di nomi a dominio (“Compliance”);
• per comunicare i dati necessari alla registrazione a soggetti terzi autonomi titolari del trattamento, quali ad esempio le Registry volta per volta competenti per l’estensione che si intende registrare (“Comunicazione dei dati a terzi autonomi titolari”);
• per tutelare i diritti di proprietà industriale di terze parti o per verificare segnalazioni di abusi da lei presumibilmente posti in essere a danno di terze parti, ad esempio per tutela dei diritti di proprietà industriale (“Tutela del legittimo interesse di terze parti”).

4. Base giuridica del trattamento e natura del conferimento

Il trattamento per la finalità di Fornitura del Servizio e di Comunicazione dei dati a terzi autonomi titolari si rende necessario al fine di dare esecuzione al contratto di servizi intercorrente tra lei e Register, ai sensi dell’art. 6(1)(b) del Regolamento. Il conferimento di tali dati è di per sé facoltativo; tuttavia, in mancanza di tale conferimento, Register non potrà erogare il servizio richiesto.

Il trattamento per la finalità di Contrasto ad Abusi e Frodi si basa sul legittimo interesse di Register a prevenire frodi e truffe poste in essere a suo danno o a danno dei propri clienti, ai sensi dell’art. 6(1)(f) del Regolamento e sulla base del Considerando 47 del Regolamento.

Il trattamento per finalità di Tutela del legittimo interesse di terze parti si basa sul legittimo interesse di tali terze parti a tutelare i propri diritti, come ad esempio diritti di proprietà industriale, o nel caso di abusi da lei presumibilmente posti in essere in danno di tali terze parti. Tale attività di trattamento risulta legittima ai sensi dell’art. 6(1)(f) del Regolamento.

Il trattamento per la finalità di Compliance risulta legittimo ai sensi dell’art. 6(1)(c) del Regolamento. Una volta conferiti i dati personali, il trattamento può essere invero necessario per adempiere ad obblighi di legge a cui Register è soggetta. Non è possibile opporsi a questo trattamento, trattandosi di un trattamento derivante da obblighi di legge.

5. Destinatari dei dati personali

I Dati Personali dell'intestatario del nome a dominio (nonché di terze parti quali Admin-C e Tech-C, laddove di volta in volta richiesto per la registrazione dello specifico nome a dominio dalla Registry di riferimento), per finalità strettamente legate all'erogazione del servizio, potranno essere comunicati a soggetti terzi che agiscono come autonomi titolari del trattamento.
In particolare, i dati saranno comunicati alle Registry nazionali ed estere cui Register è tenuto a trasmettere la documentazione tecnica ed amministrativa prevista dalla normativa di settore, nonché ad eventuali ulteriori soggetti accreditati per la registrazione di nomi a dominio con riferimento ad estensioni per le quali Register sia priva di accreditamento. Questi ultimi soggetti agiscono tipicamente in qualità di responsabili del trattamento per conto di Register.

La condivisione dei dati con i soggetti terzi autonomi titolari è necessaria per la Fornitura del Servizio e trova la sua base giuridica nell'art. 6(1)(b) del Regolamento.
Le Registry tratteranno i dati dei Registrant per mantenere aggiornato il registro dei nomi a dominio e per assicurare conformità con le rilevanti leggi e policy applicabili. La invitiamo a consultare volta per volta le informative privacy rilasciate dalla Registry competente.
Register potrebbe essere tenuta a comunicare i suoi dati personali alla Internet Corporation for Assigned Names and Numbers (di seguito, "ICANN"), al fine di rispettare le politiche e procedure di ICANN.
ICANN richiede inoltre a Register, in qualità di Registrar, di depositare in garanzia presso un Escrow Agent accreditato copia dei dati necessari per la gestione dei nomi a dominio. Register si avvale per questo servizio della società NCC Group Software Resilience (NA) LLC (di seguito, “NCC”), con sede negli Stati Uniti, designata da ICANN.

Si precisa che, per le estensioni gTLD, e in alcuni casi anche per estensioni ccTLD laddove permesso o imposto dalla Registry competente, Register potrebbe essere tenuto a comunicare i suoi dati a terzi per la finalità di Contrasto ad Abusi e Frodi , sulla base dell’art. 4 delle Temporary Specification for gTLD Registration Data di ICANN, consultabili a questo link https://www.icann.org/resources/pages/gtld-registration-data-specs-en/#4 o, per i ccTLD, sulla base delle policy volta per volta imposte dalla Registry competente.

Register potrebbe inoltre comunicare a terze parti i dati personali relativi a un nome a dominio sulla base di un loro proprio legittimo interesse, dietro loro espressa e circostanziata richiesta, per finalità di tutela dei propri diritti (inclusi i diritti di proprietà industriale), per finalità di Tutela del legittimo interesse di terze parti.

6. Trasferimento dei dati personali

I Dati Personali dell'intestatario del nome a dominio (nonché di terze parti quali Admin-C e Tech-C, laddove di volta in volta richiesto per la registrazione dello specifico nome a dominio dalla Registry di riferimento), per finalità strettamente legate all'erogazione del servizio, potranno essere comunicati a soggetti terzi che agiscono come autonomi titolari del trattamento.
In particolare, i dati saranno comunicati alle Registry nazionali ed estere cui Register è tenuto a trasmettere la documentazione tecnica ed amministrativa prevista dalla normativa di settore, nonché ad eventuali ulteriori soggetti accreditati per la registrazione di nomi a dominio con riferimento ad estensioni per le quali Register sia priva di accreditamento. Questi ultimi soggetti agiscono tipicamente in qualità di responsabili del trattamento per conto di Register.

La condivisione dei dati con i soggetti terzi autonomi titolari è necessaria per la Fornitura del Servizio e trova la sua base giuridica nell'art. 6(1)(b) del Regolamento.
Le Registry tratteranno i dati dei Registrant per mantenere aggiornato il registro dei nomi a dominio e per assicurare conformità con le rilevanti leggi e policy applicabili. La invitiamo a consultare volta per volta le informative privacy rilasciate dalla Registry competente.
Register potrebbe essere tenuta a comunicare i suoi dati personali alla Internet Corporation for Assigned Names and Numbers (di seguito, "ICANN"), al fine di rispettare le politiche e procedure di ICANN.
ICANN richiede inoltre a Register, in qualità di Registrar, di depositare in garanzia presso un Escrow Agent accreditato copia dei dati necessari per la gestione dei nomi a dominio. Register si avvale per questo servizio della società NCC Group Software Resilience (NA) LLC (di seguito, “NCC”), con sede negli Stati Uniti, designata da ICANN.

Si precisa che, per le estensioni gTLD, e in alcuni casi anche per estensioni ccTLD laddove permesso o imposto dalla Registry competente, Register potrebbe essere tenuto a comunicare i suoi dati a terzi per la finalità di Contrasto ad Abusi e Frodi , sulla base dell’art. 4 delle Temporary Specification for gTLD Registration Data di ICANN, consultabili a questo link https://www.icann.org/resources/pages/gtld-registration-data-specs-en/#4 o, per i ccTLD, sulla base delle policy volta per volta imposte dalla Registry competente.

Register potrebbe inoltre comunicare a terze parti i dati personali relativi a un nome a dominio sulla base di un loro proprio legittimo interesse, dietro loro espressa e circostanziata richiesta, per finalità di tutela dei propri diritti (inclusi i diritti di proprietà industriale), per finalità di Tutela del legittimo interesse di terze parti.

7. Conservazione dei dati

I Dati Personali trattati per le finalità di Fornitura del Servizio e di Comunicazione dei dati a terzi autonomi titolari saranno conservati per il tempo strettamente necessario a raggiungere le indicate finalità. Inoltre, trattandosi di trattamenti svolti per la fornitura del servizio di registrazione e gestione di nomi a dominio, Register tratterà i Dati Personali fino al tempo permesso dalla normativa italiana a tutela dei propri interessi (Art. 2946 c.c. e ss.). In particolare, conserverà i dati necessari a dimostrare di avere correttamente adempiuto ai propri obblighi contrattuali per la durata che la normativa prevede, in generale, per la prescrizione dell’azione per inadempimento contrattuale.

Per le finalità di Compliance, i Dati Personali saranno invece conservati fino al tempo previsto dallo specifico obbligo o norma di legge applicabile.

Per le finalità di Contrasto ad Abusi e Frodi e di Tutela del legittimo interesse di terze parti i Dati Personali saranno conservati per il tempo necessario a Register per essere in grado di prevenire e combattere condotte fraudolente e di tutelare l’interesse legittimo di terze parti, ovvero per 10 anni.

Maggiori informazioni in merito ai periodi di conservazione dei Dati Personali e ai criteri utilizzati per determinare tali periodi possono essere richieste scrivendo al Titolare o al DPO.

8. Diritti degli interessati

Fermi restando gli obblighi o le facoltà di conservazione dei Dati Personali descritti al paragrafo 6, lei ha il diritto di chiedere a Register, in qualunque momento, l'accesso ai suoi Dati Personali, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento nei casi previsti dall'art. 18 del Regolamento, nonché di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che la riguardano (portabilità), nei casi previsti dall'art. 20 del Regolamento, per le finalità di Fornitura del Servizio.

Lei ha diritto di opporsi al trattamento dei suoi dati personali per la finalità di Contrasto ad Abusi e Frodi, nei casi previsti dall'art. 21 del Regolamento.

Le richieste possono essere effettuate compilando questo form oppure scrivendo a dpo(chiocciola)register.it.

Per esercitare il diritto alla portabilità ed ottenere maggiori informazioni sul suo contenuto, acceda a questo link: https://www.register.it/portabilita-dei-dati/

In ogni caso lei ha sempre diritto di proporre reclamo all'autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell'art. 77 del Regolamento, qualora ritenga che il trattamento dei suoi dati sia contrario alla normativa in vigore, o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).


9. Modifiche

La presente privacy policy è in vigore dal 10/07/2023. Register si riserva di modificarne o semplicemente aggiornarne il contenuto, in parte o completamente, anche a causa di variazioni della normativa applicabile. Qualora le modifiche alla presente informativa riguardino cambiamenti sostanziali nei trattamenti oppure possano avere comunque un impatto rilevante sugli interessati, Register avrà cura di notificarle opportunamente agli interessati.