Informativa sulla privacy di Thrive

Ultimo aggiornamento: 2 luglio 2025

Ti diamo il benvenuto

Ti diamo il benvenuto a Thrive Global Holdings, Inc. ("Thrive Global", "Thrive", "noi" o "nostro"). Thrive offre soluzioni di cambiamento del comportamento, scientificamente provate, con l'obiettivo di migliorare il benessere psicologico, emotivo e fisico. Il nostro sito web ("Sito"), l'applicazione mobile ("App") e le integrazioni con piattaforme di terze parti (come Slack o Microsoft Teams) consentono agli utenti ("tu", "tuoi" o "Utenti") di accedere a strumenti, risorse e contenuti personalizzati, come micro-azioni, questionari, esperienze educative e funzionalità di supporto al comportamento, che aiutano a costruire abitudini sostenibili e a migliorare il benessere generale. I servizi forniti attraverso il Sito, l'App e le relative esperienze digitali sono denominati collettivamente come "Servizio/i".

Per fornire e migliorare questi Servizi, possiamo raccogliere ed elaborare vari tipi di informazioni, tra cui i dati di identificazione personale (PII), i dati di coinvolgimento (come il modo in cui l'utente interagisce con i contenuti e le funzionalità), le informazioni comportamentali, le informazioni relative alla salute e altre categorie di dati sensibili come definiti dalle leggi applicabili. Lo facciamo in conformità con le basi giuridiche pertinenti e otteniamo il tuo consenso laddove necessario.

Thrive si impegna a proteggere la tua privacy e a gestire i tuoi dati in modo responsabile. Osserviamo i principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, e adottiamo le misure tecniche e organizzative adeguate a garantire la sicurezza dei dati personali. Le nostre pratiche in materia di dati sono ideate per rispettare le normative sulla privacy applicabili, inclusi HIPAA, GDPR, CCPA/CPRA e altre disposizioni regionali che possono essere applicate a seconda della tua posizione geografica e della natura della tua interazione con i nostri Servizi.

Accesso rapido: esercita i tuoi diritti sulla privacy su https://preferences.thriveglobal.com/privacy o consulta le Informazioni di contatto qui sotto.

Scopo della presente Informativa sulla privacy

La presente Informativa sulla privacy spiega quali dati personali raccogliamo attraverso i Servizi, come trattiamo e condividiamo tali dati, e le scelte dell'utente in merito alle nostre pratiche sui dati. La presente Informativa sulla privacy fa parte del nostro Accordo sui termini e le condizioni, disponibile al link https://www.thriveglobal.com/terms.

Gli utenti di diverse regioni possono essere soggetti a differenti standard di protezione dei dati, anche in base all'Accordo sul trattamento dei dati (DPA) stipulato dal loro datore di lavoro con Thrive Global. Il presente documento include sezioni dedicate allo Spazio Economico Europeo (SEE), al Regno Unito (UK), alla Svizzera e ai consumatori della California, nonché ai relativi diritti in materia di privacy.

Modifiche all'Informativa sulla privacy

La presente Informativa sulla privacy potrà essere aggiornata con l'evolversi dei Servizi. Le modifiche sostanziali saranno notificate via e-mail 30 giorni prima della loro entrata in vigore. Gli aggiornamenti minori saranno pubblicati con le nuove date di "Ultimo aggiornamento". L'uso continuato dei Servizi implica l'accettazione della presente Informativa.

Quadro di conformità giuridica

Garantiamo la conformità con le leggi sulla privacy applicabili, tra cui il GDPR, il CCPA/CPRA, le leggi statali sulla privacy e altri requisiti giurisdizionali. Il nostro programma di conformità comprende regolari revisioni legali, valutazioni dei controlli e aggiornamenti delle pratiche sulla privacy in base all'evoluzione delle leggi. Collaboriamo con consulenti legali per garantire che le nostre pratiche siano conformi agli standard normativi vigenti.

Governance della privacy

Il nostro programma di tutela della privacy comprende responsabili designati a garantire la conformità alla tutela della privacy, la formazione del personale e la risposta agli incidenti. Conduciamo regolarmente corsi di formazione in materia di privacy per il nostro personale e manteniamo misure di responsabilità per garantire il costante rispetto degli obblighi sulla privacy e sulla protezione dei dati personali.

Principi di protezione dei dati

Raccogliamo, usiamo e trattiamo le informazioni personali solo per scopi legittimi, in linea con le nostre operazioni commerciali e i nostri obblighi legali. Indichiamo chiaramente le finalità della raccolta al momento o prima della raccolta stessa, limitiamo la raccolta ai dati necessari e applichiamo i principi di minimizzazione dei dati. Esaminiamo regolarmente i nostri processi di trattamento dei dati per identificare e rimuovere quelli che non sono più necessari e implementiamo misure tecniche e organizzative per proteggere la tua privacy.

Diritti di accesso principali

Ci impegniamo a garantire agli utenti un accesso adeguato alle proprie informazioni personali. Su richiesta, forniremo l'accesso ai tuoi dati personali in modo tempestivo, previa verifica dell'identità e dei requisiti legali applicabili. L'accesso ai dati può essere negato in circostanze limitate, come quando richiesto dalla legge o quando l'accesso potrebbe ledere la privacy altrui.

Valutazioni dell'impatto sulla privacy

Effettuiamo valutazioni dell'impatto sulla privacy per identificare e ridurre i rischi per le informazioni personali. Queste analizzano le nostre attività di trattamento dei dati, inclusi nuovi progetti, sistemi o tecnologie, al fine di garantire la conformità alle normative sulla privacy e ai requisiti di sicurezza. Laddove vengono identificati dei rischi, mettiamo in atto misure di salvaguardia adeguate per proteggere i tuoi dati e la tua privacy.

Dettagli sulla limitazione della raccolta di dati

Limitiamo la raccolta di informazioni personali a quanto necessario per le finalità indicate. Raccogliamo solo dati adeguati, pertinenti e direttamente legati agli scopi legittimi delineati nella presente informativa. La raccolta dei dati avviene in modo lecito e trasparente, con un'adeguata informativa e consenso, quando richiesto dalla legge applicabile.

Base giuridica del trattamento

I dati personali vengono trattati in base alle seguenti basi giuridiche, come previsto dalle leggi sulla privacy:

• Consenso: nei casi in cui tu abbia fornito un consenso libero, specifico, informato per attività di trattamento quali comunicazioni di marketing o raccolta opzionale di dati.
• Esecuzione del contratto: trattamento necessario per adempiere al contratto dei Servizi con te o per adottare misure su tua richiesta prima della conclusione del contratto.
• Obbligo legale: trattamento necessario per ottemperare a leggi, regolamenti o procedimenti legali.
• Legittimi interessi: trattamento necessario per i nostri legittimi interessi commerciali, come la sicurezza, la prevenzione delle frodi e il miglioramento del servizio, laddove tali interessi non prevalgano sui diritti alla privacy dell'utente.

Informazioni che raccogliamo

Utenti dell'app

• Informazioni sull'account: nome, indirizzo e-mail e altri dati di contatto
• Informazioni sul profilo: foto del profilo, biografia, informazioni sul paese e informazioni demografiche
• Informazioni sull'interazione con l'App: le tue risposte e interazioni con i questionari sul benessere, i webinar e le attività di formazione
• Informazioni su salute e attività: dati relativi al riposo, al movimento, alla frequenza cardiaca e ad altri aspetti del benessere, inclusi indicatori fisici, comportamentali o emotivi, raccolti solo se decidi di fornirli direttamente o tramite un dispositivo indossabile connesso.
• Comunicazioni: messaggi con noi o all'interno dell'App, comprese le richieste di assistenza e le funzionalità social.
• Nota sugli utenti minorenni (13-15 anni): se i Servizi sono resi disponibili a dipendenti o familiari di età compresa tra i 13 e i 15 anni tramite un programma sponsorizzato o autorizzato dal datore di lavoro, Thrive tratta le loro informazioni personali solo con il consenso verificato di un genitore o tutore, oppure tramite il consenso fornito dall'organizzazione sponsor, in conformità con le leggi applicabili a tutela della privacy dei minori. Tali accessi ai dati sono disciplinati dalle disposizioni specifiche contenute nella sezione sulla tutela della Protezione della privacy dei minori della presente Informativa.

Utenti del sito

• Dati personali forniti dall'utente: informazioni inserite durante la registrazione al sito (e-mail/password) o inviate elettronicamente tramite moduli, richieste di contatto, registrazioni a eventi o iscrizioni via e-mail, che in genere includono nome, dati di contatto, informazioni sull'azienda e numero di telefono.

Dati raccolti automaticamente

• Dati di accesso: indirizzo IP, tipo e impostazioni del browser, data/ora delle richieste e modelli di interazione.
• Cookie: informazioni provenienti da cookie e altre tecnologie (vedi sezione "Cookie").
• Informazioni sul dispositivo: tipo di dispositivo, sistema operativo, impostazioni, identificatori unici e informazioni di rete.
• Informazioni sull'utilizzo: contenuti visualizzati, funzionalità utilizzate, azioni compiute, interazioni dell'utente e durata dell'utilizzo.

Avviso di classificazione normativa

La piattaforma Thrive è concepita come una soluzione di benessere generale che aiuta gli utenti a sviluppare abitudini sane e a migliorare degli aspetti della loro vita. Pur potendo trattare informazioni relative alla salute se decidi di fornirle, i nostri Servizi:

• Non sono destinati a diagnosticare, trattare o prevenire alcuna condizione medica, né a sostituire la consulenza di un professionista medico qualificato. In caso di dubbi riguardo alla tua salute fisica o mentale, ti invitiamo a consultare un operatore sanitario qualificato.
• Non costituiscono dispositivi medici ai sensi delle normative FDA.
• Forniscono indicazioni generali sul benessere, e non raccomandazioni cliniche sulla salute.
• Possono essere offerti tramite programmi di benessere aziendale soggetti alle normative EEOC.
• Quando i nostri Servizi sono forniti attraverso programmi di benessere aziendali, rispettiamo tutte le normative applicabili, inclusi HIPAA (quando operiamo come Business Associate), ADA, GINA e i requisiti EEOC relativi ai programmi di benessere.

Come utilizziamo le informazioni

Principi di limitazione d'uso

L'uso delle informazioni personali è limitato rigorosamente agli scopi autorizzati, definiti al momento della loro raccolta. L'utilizzo dei dati resta conforme alle finalità e alle basi giuridiche originariamente previste per la raccolta. Non trattiamo le informazioni personali per finalità incompatibili con quelle per le quali sono state originariamente raccolte senza aver ottenuto il consenso appropriato o aver stabilito una nuova base giuridica.

Interessi commerciali legittimi

Miglioramento del servizio:

• Rispondere alle richieste di informazioni e soddisfare le richieste di servizio.
• Personalizzare i servizi in base ai modi di utilizzo e alle preferenze.
• Inviare informazioni amministrative riguardanti i Servizi, i termini e le modifiche alle politiche.
• Fornire, mantenere e migliorare i contenuti e le funzionalità.

Ricerca e gestione dei dati:

• Condurre ricerche e fornire informazioni aggregate e anonimizzate sull'utilizzo.
• Conservare dati essenziali per evitare trattamenti indesiderati dopo le richieste di cancellazione.

Sicurezza e conformità legale:

• Prevenire frodi, attività criminali e l'uso improprio dei servizi.
• Garantire la sicurezza dei sistemi IT e rispettare gli obblighi di legge.
• Rispondere a richieste legittime e far rispettare i nostri Termini e Condizioni
• Proteggere le nostre operazioni, i nostri diritti e la sicurezza degli utenti.

Sistemi di intelligenza artificiale impiegati

Utilizziamo l'intelligenza artificiale (IA) e le tecnologie di machine learning (ML) per migliorare i nostri Servizi, classificati come:

Sistemi di intelligenza artificiale a rischio limitato (si applicano obblighi di trasparenza):

• Sistemi di generazione di contenuti: intelligenza artificiale che crea contenuti e raccomandazioni personalizzate per il benessere.
• Motori di raccomandazione: algoritmi di ML che suggeriscono micro-azioni e funzionalità.
• Chatbot e assistenti virtuali: strumenti di supporto basati sull'intelligenza artificiale.

Sistemi di intelligenza artificiale a rischio minimo:

• Rilevamento di frodi: intelligenza artificiale che identifica attività sospette e minacce alla sicurezza informatica.
• Ottimizzazione del sistema: ML che migliora le prestazioni dell'app e l'esperienza dell'utente.
• Elaborazione analitica: intelligenza artificiale che genera approfondimenti sull'utilizzo anonimizzati.

Conformità alla legge UE sull'intelligenza artificiale

• Misure di trasparenza: comunicazioni chiare e adeguate notifiche quando l'intelligenza artificiale è coinvolta nella tua esperienza.
• Supervisione umana: tutti i sistemi di intelligenza artificiale operano sotto una supervisione umana significativa, con personale qualificato che monitora le prestazioni e con la possibilità per gli utenti di richiedere l'intervento umano.
• Accuratezza e robustezza: misure appropriate garantiscono l'affidabilità dell'intelligenza artificiale, inclusa la validazione delle prestazioni, il monitoraggio di errori e bias, e il miglioramento continuo.
• Gestione del rischio: valutazione del rischio e processi di mitigazione, comprese le valutazioni dei sistemi, la documentazione delle capacità e la risposta agli incidenti.

Governance dei dati per la formazione sull'intelligenza artificiale

• Dati per la formazione: utilizziamo dati anonimi e aggregati degli utenti nel rispetto della privacy e della sicurezza.
• Modelli di terze parti: non trattiamo i tuoi dati personali per sviluppare modelli di intelligenza artificiale esterni senza un esplicito consenso.
• Qualità dei dati: implementiamo misure che assicurano l'accuratezza dei dati per la formazione, la rappresentatività e l'attenuazione dei pregiudizi.

Diritti e controlli sull'intelligenza artificiale

• Diritti all'informazione: richiedere dettagli sui sistemi di intelligenza artificiale che ti riguardano in modo significativo, comprendere la logica delle decisioni automatizzate e accedere alle informazioni sui dati di addestramento.
• Diritti di controllo: rinunciare alla personalizzazione basata sull'intelligenza artificiale, richiedere una revisione umana e contestare contenuti generati dall'intelligenza artificiale.

Marketing

Potremmo contattarti per informarti su contenuti, servizi o prodotti che riteniamo possano interessarti. Laddove richiesto dalla legge (ad esempio per gli utenti dell'UE), invieremo informazioni di marketing solo con il tuo consenso.

Opzioni di esclusione: segui le istruzioni per la cancellazione nelle e-mail, aggiorna le impostazioni utente o contattaci.

Le comunicazioni relative al servizio necessarie per la sua fornitura non sono condizionate dalle preferenze di esclusione per il marketing.

Aggiornamento delle informazioni

Forniamo un accesso adeguato alle informazioni personali su richiesta, previa verifica dell'identità e dei requisiti legali. Manteniamo misure adeguate per l'accuratezza e la qualità dei dati. Se ritieni che le informazioni siano inesatte, contattaci per richiedere correzioni.

Per esercitare i diritti alla privacy: visita il sito https://preferences.thriveglobal.com/privacy o consulta le Informazioni di contatto.

Risoluzione dei reclami

Prendiamo sul serio i reclami riguardanti le nostre pratiche sulla privacy. In caso di dubbi su come gestiamo i tuoi dati personali, contattaci utilizzando le informazioni nella sezione Informazioni di contatto. Eseguiremo un'indagine tempestiva, confermeremo la ricezione entro sette giorni lavorativi e cercheremo di risolvere eventuali problemi entro 30 giorni. L'utente può anche avere il diritto di presentare un reclamo a un'autorità di controllo.

Diritti di partecipazione e di tutela

Rispettiamo il tuo diritto di partecipare alle decisioni riguardanti le tue informazioni personali. Puoi richiedere l'accesso, la correzione o la cancellazione dei tuoi dati, nel rispetto delle leggi vigenti e previa verifica della tua identità. Risponderemo alle richieste entro tempi ragionevoli e forniremo rimedi o spiegazioni secondo quanto previsto dalla legge. Hai il diritto di contestare le nostre decisioni di trattamento dei dati e di chiedere un risarcimento attraverso i canali appropriati.

Informativa sulla privacy dei dati (IPD)

Partecipiamo volontariamente e aderiamo alla normativa UE-USA. Informativa sulla privacy dei dati, estensione del Regno Unito e Svizzera-Stati Uniti. Informativa sulla privacy dei dati. Siamo soggetti alla vigilanza della FTC e rimaniamo responsabili per i trattamenti effettuati da fornitori o servizi che non rispettano i principi del DPF.

Risoluzione delle controversie: Contattaci prima per eventuali reclami relativi al DPF. I reclami non risolti vengono deferiti a JAMS per una risoluzione alternativa delle controversie, senza alcun costo per l'utente.

Dati di utilizzo e programmi di Thrive Global

Ricaviamo informazioni dall'utilizzo dei tuoi Servizi e possiamo creare dati aggregati/anonimi per analisi operative, relazioni finanziarie, funzioni di revisione e altri scopi commerciali. Quando elaboriamo i dati provenienti dai programmi di benessere aziendali, ci assicuriamo che tutti i report aggregati mantengano standard di de-identificazione appropriati per evitare la re-identificazione individuale.

Per i programmi Thrive (webinar, eventi, sfide), la partecipazione ci concede il diritto di utilizzare i contenuti inviati per scopi aziendali legittimi. La partecipazione indica l'accettazione di questi termini.

Condivisione e divulgazione delle informazioni

Condivisione per scopi commerciali legittimi

Partner commerciali e fornitori di servizi: condividiamo i dati con terze parti per l'hosting, le comunicazioni via e-mail, l'assistenza clienti e i dati analitici (ad esempio, Google Analytics, Google Cloud, Microsoft Azure). Tutti i fornitori rispettano rigorosi standard di privacy attraverso accordi scritti.

Trasferimenti di azienda: i dati personali possono essere trasferiti in occasione di fusioni, acquisizioni o cessioni aziendali.

Requisiti legali: possiamo divulgare i dati per adempiere a obblighi di legge, proteggere diritti/proprietà o garantire la sicurezza pubblica.

Condivisione delle informazioni su tua indicazione

Potremmo condividere i dati quando autorizzi l'accesso a terzi o decidi di condividere rapporti di coinvolgimento con clienti aziendali. Puoi condividere volontariamente informazioni con altri utenti attraverso le funzionalità della community dell'app.

Regolamento generale sulla protezione dei dati (GDPR), GDPR del Regno Unito e Legge svizzera sulla protezione dei dati

Ambito di applicazione e trasferimenti dei dati

Questa sezione si applica agli utenti dell'Area Economica Europea (EEA), del Regno Unito e della Svizzera. Quando accedi ai nostri Servizi, i dati personali vengono trasmessi ai nostri server statunitensi con le opportune garanzie, tra cui le clausole contrattuali standard, le certificazioni dell'Informativa sulla Privacy dei Dati e le misure di sicurezza tecnico-organizzative.

Ruoli di responsabile e incaricato del trattamento dei dati

Responsabile del trattamento dei dati: quando fornisci dati personali attraverso la nostra piattaforma, determiniamo le finalità del trattamento nel rispetto delle leggi applicabili, compresa l'esecuzione di valutazioni dell'impatto sulla protezione dei dati, ove richiesto.

Responsabile del trattamento dei dati: quando trattiamo i dati per clienti aziendali, agiamo secondo le loro istruzioni in base agli obblighi di trattamento applicabili.

I tuoi diritti ai sensi del GDPR

• Diritto di accesso: ottenere la conferma del trattamento dei dati e ricevere copia dei tuoi dati personali.
• Diritto di rettifica: richiedere la correzione di dati personali inesatti o incompleti.
• Diritto alla cancellazione: richiedere la cancellazione dei dati personali in presenza di determinate circostanze.
• Diritto di limitazione del trattamento: richiedere di limitare l'utilizzo dei dati personali.
• Diritto alla portabilità dei dati: ricevere i dati in un formato strutturato e leggibile da dispositivo.
• Diritto di opposizione: opporsi in qualsiasi momento al trattamento dei dati personali da parte nostra.
• Diritto di revocare il consenso: ritirare in qualsiasi momento il consenso precedentemente espresso.
• Diritti relativi al processo decisionale automatizzato: non essere soggetti a decisioni basate esclusivamente su un trattamento automatizzato.
• Diritto di presentare un reclamo: presentare un reclamo presso l'autorità locale per la protezione dei dati.

Procedure di richiesta di accesso

Forniamo un accesso adeguato alle informazioni personali su richiesta, previa verifica dell'identità e dei requisiti legali applicabili. Per richiedere l'accesso, contattaci utilizzando le informazioni riportate nella sezione Informazioni di contatto. L'accesso ai dati può essere negato in circostanze limitate, come quando richiesto dalla legge o quando l'accesso potrebbe ledere la privacy altrui. Risponderemo entro i termini previsti e forniremo spiegazioni per eventuali rifiuti.

Procedure per l'esercizio dei diritti degli interessati

• Elaborazione della richiesta: manteniamo procedure standardizzate per la gestione delle richieste di diritti alla privacy, tra cui la verifica dell'identità, la convalida della richiesta, la valutazione delle eccezioni e il coordinamento delle risposte tra le unità aziendali.
• Tempi di risposta: le richieste standard ricevono risposte entro 30 giorni, con possibili proroghe di 60 giorni per le richieste complesse. Eventuali ritardi saranno notificati con le dovute motivazioni.
• Requisiti di verifica: la verifica dell'identità comprende la conferma via e-mail, l'autenticazione dell'account o una documentazione aggiuntiva per le richieste ad alto rischio, al fine di evitare accessi fraudolenti.

Trasferimenti internazionali dei dati

Implementiamo garanzie adeguate, tra cui clausole contrattuali standard, decisioni di adeguatezza e misure supplementari come richiesto dall'articolo 46 del GDPR. Per i trasferimenti verso Paesi privi di decisioni di adeguatezza, conduciamo valutazioni d'impatto sui trasferimenti e adottiamo ulteriori misure tecniche e organizzative, inclusi l'uso di crittografia avanzata, controlli di accesso e protezioni contrattuali, per garantire una protezione adeguata.

Conservazione dei dati

Conserviamo i dati personali solo per il tempo necessario ai fini della raccolta, della conformità legale o della risoluzione delle controversie. I dati vengono eliminati in modo sicuro attraverso la cancellazione o l'anonimizzazione secondo gli standard del settore. I periodi di conservazione sono documentati e rivisti annualmente.

Accuratezza e qualità dei dati

Ci impegniamo a mantenere l'accuratezza, la completezza e la pertinenza delle informazioni personali in nostro possesso. Mettiamo in atto misure adeguate per garantire la qualità dei dati, compreso l'aggiornamento della documentazione quando vengono identificate inesattezze. Se ritieni che le tue informazioni personali siano inesatte o incomplete, contattaci per le correzioni utilizzando le informazioni nella sezione Informazioni di contatto.

Limitazioni d'utilizzo

Utilizziamo le informazioni personali solo per gli scopi specificati al momento della raccolta e per scopi compatibili. Non utilizziamo i tuoi dati per finalità non correlate senza aver ottenuto il consenso appropriato o aver stabilito una nuova base giuridica. Le nostre attività di trattamento sono documentate e riviste regolarmente per garantire la congruenza costante con le finalità dichiarate.

Trattamento delle Informazioni Sanitarie Protette (PHI) e conformità alla HIPAA

Possiamo trattare le informazioni sanitarie protette ("PHI") in conformità con la HIPAA. Le PHI comprendono dati sanitari come l'anamnesi, i dati biometrici e le informazioni sull'attività sanitaria raccolte attraverso i programmi di benessere sponsorizzati dal datore di lavoro o quando l'utente sceglie esplicitamente di fornire tali informazioni. L'elaborazione è strettamente limitata al supporto dei nostri Servizi in base ad adeguate misure di salvaguardia, e i dati personali sono condivisi solo con parti autorizzate in base ad accordi di collaborazione.

Periodi di conservazione dei dati

• Registri di informazioni sanitarie protette (PHI) e informazioni sanitarie protette elettroniche (ePHI): conservazione minima di 6 anni come previsto dalla HIPAA § 164.316(b)(2)(i), con requisiti specifici statali che disciplinano periodi più lunghi quando applicabili.
• Registri di controllo PHI: conservazione minima di 6 anni per tutti i sistemi contenenti o che elaborano ePHI, inclusi i registri di accesso, i record di modifica e i registri degli eventi di sicurezza.
• Documentazione HIPAA: conservazione di 6 anni per tutta la documentazione relativa alla conformità HIPAA, inclusi politiche, procedure, valutazioni del rischio, registri di formazione e rapporti sugli incidenti.

Conservazione generale dei dati:

• Dati dell'account: periodo di attività più 90 giorni dopo la cancellazione per motivi di sicurezza.
• Dati di monitoraggio del benessere: fino alla risoluzione del contratto e per altri 90 giorni successivi.
• Preferenze di marketing: fino alla rinuncia, oltre a eventuali periodi previsti dalla legge.
• Comunicazioni di supporto: 1 anno per contribuire a migliorare i nostri servizi.
• Registri di sicurezza (non-PHI): 1 anno per la protezione del sistema e la risposta agli incidenti.
• Documenti aziendali: 7 anni come richiesto dalla normativa finanziaria e fiscale.

Procedure di blocco legale: la conservazione dei dati può essere estesa oltre i termini inizialmente previsti per finalità legali, indagini o questioni normative. Questi vincoli legali prevalgono sulle tempistiche standard di cancellazione fino a quando il nostro team legale non ne autorizza la rimozione.

Sub-processori

Di seguito è riportato l'elenco completo dei sub-processori e dei processori di terze parti, ognuno dei quali è vincolato a rigorosi requisiti di privacy e sicurezza tramite accordi scritti. Tale elenco viene aggiornato regolarmente. Puoi iscriverti alla nostra mailing list per ricevere notifiche quando avvengono delle modifiche.

Tutti i servizi:

• Coda* - Coinvolgimento degli utenti e gestione dei progetti - 888 Villa St, Floor 4, Mountain View, CA 94041
• Datagrail - Automazione della privacy - 164 Townsend Street, Suite 12, San Francisco, CA 94107 US
• Fivetran - Pipeline ETL dei dati - 405 14th St floor 11, Oakland, CA 94612 US
• Piattaforma cloud di Google - Data Warehouse - 1600 Amphitheatre Pkwy Mountain View, CA 94043 US
• Google Workspace* - Creazione di contenuti - 1600 Amphitheatre Pkwy Mountain View, CA 94043 US
• HubSpot - E-mail Marketing - 25 First Street, 2nd Floor Cambridge, MA 02141
• Looker - Analisi di dati - 101 Church Street, 4th Floor, Santa Cruz, CA 95060 US
• Microsoft Azure - Fornitore di hosting cloud - One Microsoft Way, Redmond, WA 980527 USA
• Rethink Autism* - Fornitore di assistenza peri neurodivergenti - 49 West 27th Street, New York, NY 10001
• Salesforce - Gestione delle relazioni con i clienti - The Landmark @ One Market, Suite 300 San Francisco, CA 94105 US
• Segment - Analisi degli utenti - 100 California Street, Suite 700 San Francisco, CA 94111 USA
• Typeform* - Piattaforma per sondaggi - Calle de Pallars 108 (Aticco), 08018 - Barcellona (Spagna)
• Zapier* - Automazione del flusso di lavoro - 548 Market St. #62411, San Francisco, CA 94104
• Zendesk - Software per il servizio clienti - 450 Park Ave S, New York, NY 10016

Sub-processori solo per il sito:

• Webflow - Host di siti web di marketing - 398 11th Street, 2nd Floor, San Francisco, CA 94103

Sub-processori solo per le applicazioni:

• Amazon Web Services* - SFTP - 410 Terry Avenue North, Seattle, WA 98109 US
• Datadog - Piattaforma di monitoraggio dell'infrastruttura e della sicurezza - 620 8th Avenue, Floor 45, New York, NY 10018
• HumanAPI* - Integrazione di dispositivi indossabili - 951 Mariners Island Blvd., Suite 300
• Qualtrics - Piattaforma per sondaggi - 333 W River Park Dr, Provo, UT 84604, USA
• Mailgun Transactional Email - 112 E Pecan Street, San Antonio, TX 78205 US

*Può non essere applicabile a tutti gli utenti

Requisiti di privacy per appaltatori e processori

Tutti gli appaltatori e processori del trattamento dei dati rispettano standard rigorosi attraverso accordi scritti che impongono l'adesione al GDPR, al CCPA e all'HIPAA, misure di sicurezza adeguate, notifiche di violazione entro 72 ore, controlli regolari e restituzione/distruzione dei dati in caso di cessazione.

Segnalazione di incidenti relativi alla privacy

Manteniamo meccanismi di segnalazione trasparenti per documentare e affrontare gli incidenti, le richieste di informazioni e le attività di conformità relative alla privacy. Rivediamo regolarmente le nostre pratiche sulla privacy e riferiamo alle parti interessate pertinenti, inclusi gli enti regolatori, come richiesto dalla legge. In caso di violazione dei dati, informeremo tempestivamente le persone e le autorità interessate, in conformità agli obblighi di legge applicabili.

Informativa sulla privacy in California

Do Not Track e CCPA (California Consumer Privacy Act)

Non rispondiamo ai segnali "Do Not Track". Non vendiamo informazioni personali a fronte di un corrispettivo monetario, ma la definizione ampia di "vendita" prevista dalla legge della California richiede la divulgazione della condivisione di dati raccolti tramite cookie con fornitori terzi.

Diritti dei consumatori della California

Diritti all'informazione: categorie e fonti di informazioni personali raccolte, finalità di trattamento, categorie di condivisione da parte di terzi e finalità di divulgazione aziendale.

Diritti di controllo: esclusione dalla "vendita" dei dati, richiesta di cancellazione (salvo eccezioni) e non discriminazione per l'esercizio dei diritti.

Come esercitare i tuoi diritti: visita il sito https://preferences.thriveglobal.com/privacy o consulta le Informazioni di contatto.

Protezione della privacy dei minori

I servizi di Thrive sono destinati all'uso da parte di persone di età pari o superiore a 16 anni, nell'ambito di programmi offerti dal datore di lavoro. Non raccogliamo consapevolmente informazioni personali da bambini di età inferiore ai 16 anni senza il consenso appropriato di un genitore, tutore o di un dipendente autorizzato dell'organizzazione partecipante. Qualora dovessimo venire a conoscenza della raccolta di dati personali da un minore senza il dovuto consenso, provvederemo a cancellare tali informazioni tempestivamente e adotteremo misure per prevenire future raccolte. Per gli utenti di età inferiore ai 18 anni, l'accesso ai Servizi può richiedere il consenso di un genitore o tutore, in conformità con le leggi applicabili, come il COPPA (Children's Online Privacy Protection Act), il CCPA/CPRA e il GDPR. Thrive non promuove direttamente i propri Servizi ai minori e non consente l'autoregistrazione da parte di minorenni. Se ritieni che siano state raccolte informazioni su un minore in violazione di questa sezione, contattaci immediatamente all'indirizzo privacy@thriveglobal.com.

Programma di conformità alla HIPAA

Conformità normativa alla HIPAA

• Conformità alle norme sulla privacy: manteniamo la conformità ai requisiti della HIPAA Privacy Rule, inclusi i diritti degli individui, gli standard di minimizzazione delle informazioni, l'informativa sulle pratiche di privacy e le misure di sicurezza amministrative, fisiche e tecniche.
• Conformità alle norme di sicurezza: applichiamo le specifiche di implementazione obbligatorie e facoltative previste dalla HIPAA Security Rule, con decisioni documentate riguardo alle specifiche facoltative basate su valutazioni del rischio e sulle capacità dell'organizzazione.
• Applicazione e sanzioni: riconosciamo l'autorità di applicazione della HIPAA da parte dell'Ufficio per i Diritti Civili del Dipartimento della Salute e dei Servizi Umani e manteniamo programmi di conformità per prevenire violazioni che potrebbero comportare sanzioni pecuniarie civili o procedimenti penali.
• Conformità alla legge statale: ci conformiamo alle leggi statali applicabili in materia di privacy e sicurezza, che possono offrire protezioni aggiuntive per le informazioni sanitarie oltre ai requisiti della HIPAA.

Responsabile della privacy e Responsabile della sicurezza

Responsabile della privacy: Responsabile dello sviluppo, dell'implementazione e del mantenimento delle politiche e procedure sulla privacy, della formazione sulla privacy, dell'indagine sulle segnalazioni e della garanzia di conformità ai requisiti della HIPAA Privacy Rule.

Responsabile della sicurezza: responsabile dello sviluppo, dell'implementazione e del mantenimento delle politiche e procedure di sicurezza, della formazione sulla sicurezza, della gestione dei controlli di accesso e della garanzia di conformità ai requisiti della HIPAA Security Rule.

Gestione dei collaboratori

Accordi di collaborazione: tutti i partner commerciali, gli appaltatori e i subappaltatori che trattano i dati personali per nostro conto devono sottoscrivere accordi di collaborazione che includono:

• Utilizzi e divulgazioni consentiti delle PHI
• Misure di protezione per prevenire l'uso o la divulgazione non autorizzati
• Requisiti di notifica in caso di violazione
• Restituzione o distruzione delle PHI alla cessazione del contratto
• Monitoraggio della conformità e diritti di audit

Supervisione dei subappaltatori: i business associate devono ottenere la nostra approvazione prima di coinvolgere subappaltatori e garantire l'esecuzione appropriata dell'accordo di business associate (BAA) con tutti i subappaltatori che gestiscono informazioni sanitarie protette (PHI).

Valutazione del rischio HIPAA e monitoraggio della conformità

Valutazioni annuali del rischio: conduciamo valutazioni del rischio annuali per identificare vulnerabilità, valutare le misure di sicurezza attuali e determinare ulteriori interventi necessari per la protezione delle informazioni sanitarie elettroniche protette (ePHI).

Formazione del personale: tutti i membri del personale ricevono formazione sulla privacy e sicurezza HIPAA al momento dell'assunzione e annualmente in seguito, con formazione specifica in base al ruolo per il personale con responsabilità di accesso alle PHI.

Monitoraggio della conformità: Manteniamo un monitoraggio continuo della conformità attraverso:

• Revisione regolare dei registri di audit e monitoraggio degli accessi
• Revisioni trimestrali del controllo degli accessi e convalida dei privilegi
• Revisione e aggiornamento annuale di politiche e procedure
• Tracciabilità degli incidenti e gestione delle azioni correttive

Standard del minimo necessario: limitiamo l'uso, la divulgazione e le richieste di informazioni sanitarie protette (PHI) al minimo necessario per raggiungere lo scopo previsto, salvo nei casi di divulgazione all'interessato o quando specificamente autorizzati.

Diritti individuali nell'ambito della HIPAA: Hai il diritto di:

• Accedere e ottenere copie delle tue PHI
• Richiedere modifiche a PHI inesatte o incomplete
• Richiedere limitazioni sull'uso o la divulgazione delle PHI
• Richiedere comunicazioni confidenziali
• Ricevere un rendiconto delle divulgazioni delle PHI
• Presentare reclami riguardo alla gestione delle PHI

Misure di sicurezza HIPAA

Misure di protezione amministrative:

• Responsabile designato per la sicurezza HIPAA incaricato della sicurezza delle informazioni sanitarie protette elettroniche (ePHI).
• Procedure di formazione del personale e gestione degli accessi
• Gestione degli accessi alle informazioni basata sul principio del minimo necessario
• Procedure per la gestione degli incidenti di sicurezza e pianificazione delle contingenze
• Valutazioni periodiche della sicurezza e dei rischi

Misure di protezione fisica:

• Controlli di accesso alle strutture per limitare l'accesso fisico ai sistemi contenenti ePHI.
• Controlli sui dispositivi e sui supporti per la creazione, ricezione e conservazione di ePHI.
• Procedure di smaltimento sicure per dispositivi e supporti contenenti ePHI.

Misure di protezione tecniche:

• Identificazione univoca degli utenti e procedure di disconnessione automatica.
• Crittografia di ePHI a riposo (AES-256) e in transito (TLS 1.2+).
• Controlli di audit per tracciare l'accesso e le modifiche alle ePHI
• Controlli di integrità che impediscono modifiche non autorizzate delle ePHI.
• Sicurezza nella trasmissione delle comunicazioni contenenti ePHI.

Sicurezza

Revisioniamo e aggiorniamo regolarmente le nostre pratiche di sicurezza per far fronte alle minacce in evoluzione e alle aspettative normative. Sebbene adottiamo misure rigorose per proteggere le tue informazioni, nessuna trasmissione via Internet o e-mail è completamente sicura. Consigliamo di agire con cautela nel condividere informazioni sensibili via e-mail o altri canali di comunicazione aperti. Thrive non può garantire le azioni degli altri utenti con cui scegli di condividere informazioni e non siamo responsabili per eventuali elusioni delle impostazioni di privacy o delle funzionalità di sicurezza all'interno dei Servizi. Per ulteriori informazioni sulla postura e sulla certificazione di sicurezza di Thrive, consulta il sito https://thriveglobal.com/security.

Cookie

Utilizziamo cookie e altre tecnologie per gestire i Servizi, migliorare l'esperienza utente e raccogliere dati sull'utilizzo.

Tipi di cookie

Cookie necessari (sempre attivi):

• HubSpot: preferenze sulla privacy (__hs_do_not_track, __hs_cookie_cat_pref)
• Cloudflare: protezione della sicurezza (_cfuvid)

Cookie di funzionalità (facoltativi):

• Spotify: preferenze musicali (sp_landing, sp_t)

Cookie analitici (facoltativi):

• HubSpot: tracciamento d'uso (hubspotutk, __hstc, __hssrc, __hssc)
• Thrive Global: tracciamento dell'interazione (ajs_anonymous_id)
• Google Analytics: analisi del traffico (_gat_gtag_UA_87667366_5, _ga_C4ZNYJBEB7, _ga_0S15647RW6, _ga, _gid)
• Rippling: monitoraggio della prestazione (__cf_bm)
• YouTube: analisi video (YSC)
• Motore WordPress: test di funzionalità (wordpress_test_cookie)

Cookie pubblicitari (facoltativi):

• YouTube: personalizzazione degli annunci (VISITOR_INFO1_LIVE)

Le tue scelte

La maggior parte dei browser consente di controllare i cookie attraverso le impostazioni. La limitazione dei cookie può influire sulla funzionalità del sito. Il controllo della localizzazione dei dispositivi mobili può essere limitato.

Link ad altri siti web

I Servizi possono contenere link a siti di terzi non controllati da noi. La condivisione di informazioni con i Siti di Terze Parti è regolata dalle loro politiche sulla privacy, non dalle nostre. Non intendiamo implicare alcun avallo dei siti collegati.

Informazioni di contatto

Team per la Privacy

• E-mail: privacy@thriveglobal.com
• Portale sulla Privacy: https://preferences.thriveglobal.com/privacy
• Telefono: 1-888-700-8474

Responsabile della protezione dei dati

• E-mail: dpo@thriveglobal.com

Team per la Sicurezza

• E-mail: security@thriveglobal.com

Indirizzo postale

Thrive Global Holdings, Inc.
599 Broadway, 6th Floor
New York, NY 10012

Tel: 1-888-700-8474

Residenti UE/Regno Unito/Svizzera (DataRep)

• Modulo online: www.dpr.eu.com/thriveglobal
• E-mail: thriveglobal@datarep.com
• Irlanda: DataRep, Phoenix House, Monahan Road, Cork, T12 H1XY, Irlanda
• Islanda: DataRep, Laugavegur 13, 101 Reykjavik, Islanda

---

© 2025 Thrive Global Holdings, Inc. Tutti i diritti riservati.