Torna al Login

Data Processing Agreement (DPA)

Accordo sul Trattamento dei Dati Personali ai sensi dell'Art. 28 del Regolamento UE 2016/679 (GDPR)

Ultimo aggiornamento: 06/03/2026 | Versione 1.0

1. Premessa

Il presente Data Processing Agreement (DPA) costituisce parte integrante dei Termini e Condizioni del servizio Gestionale Sicurezza Lavoro fornito da Hestia Properties Srl.

✓ Conformità Art. 28 GDPR:

Questo accordo è stato redatto in conformità all'articolo 28 del Regolamento (UE) 2016/679 (GDPR) che disciplina i rapporti tra Titolare e Responsabile del trattamento dei dati personali.

Registrandoti e utilizzando il Servizio, accetti esplicitamente il presente DPA e riconosci che:

  • Tu (Utente) sei il Titolare del Trattamento per i dati delle tue aziende clienti e dei loro dipendenti
  • Hestia Properties Srl è il Responsabile del Trattamento che tratta dati per tuo conto
  • Il trattamento avviene esclusivamente secondo le tue istruzioni documentate e nel rispetto del GDPR

2. Definizioni

Ai fini del presente accordo:

  • "Titolare del Trattamento" o "Titolare": l'utente abbonato (consulente, RSPP, società di consulenza) che determina finalità e mezzi del trattamento dei dati personali delle proprie aziende clienti
  • "Responsabile del Trattamento" o "Responsabile": Hestia Properties Srl, P.IVA 10649831210, che tratta dati personali per conto del Titolare
  • "Dati Personali": qualsiasi informazione riguardante persone fisiche identificate o identificabili trattate tramite il Servizio, inclusi:
    • Dati anagrafici dipendenti (nome, cognome, codice fiscale)
    • Dati di contatto (email, telefono)
    • Documenti identità (carta d'identità, patente)
    • Dati relativi alla salute (certificati medici, idoneità sanitaria)
    • Dati biometrici (foto profilo, geolocalizzazione marcature)
  • "Interessato": la persona fisica cui si riferiscono i dati personali (dipendenti, referenti aziende clienti)
  • "Trattamento": qualsiasi operazione applicata ai dati personali (raccolta, registrazione, conservazione, consultazione, elaborazione, comunicazione, cancellazione)
  • "Violazione dei Dati Personali" o "Data Breach": violazione di sicurezza che comporta distruzione, perdita, modifica, divulgazione non autorizzata o accesso non autorizzato ai dati
  • "GDPR": Regolamento (UE) 2016/679 del Parlamento Europeo
  • "Servizio": la piattaforma Gestionale Sicurezza Lavoro accessibile all'indirizzo www.gestionale-sicurezza.cloud

3. Ruoli e Responsabilità

3.1 Il Titolare del Trattamento (TU)

Quando utilizzi il Gestionale per gestire i dati delle tue aziende clienti e dei loro dipendenti, SEI TU il Titolare del Trattamento e hai le seguenti responsabilità:

  • ✓ Determinare finalità e mezzi del trattamento dei dati
  • ✓ Garantire di avere base giuridica legittima per il trattamento (es: contratto con aziende clienti)
  • ✓ Informare gli interessati (dipendenti) del trattamento tramite adeguate informative privacy
  • ✓ Ottenere consensi necessari (ove richiesto)
  • ✓ Gestire richieste di esercizio diritti degli interessati (accesso, rettifica, cancellazione)
  • ✓ Valutare necessità di DPIA (Data Protection Impact Assessment) per trattamenti ad alto rischio
  • ✓ Rispettare normativa sicurezza lavoro (D.Lgs. 81/2008)
  • ✓ Dare istruzioni documentate al Responsabile sul trattamento

⚠️ Importante:

Hestia Properties Srl NON decide cosa fare con i dati delle tue aziende clienti. Agisce solo su tue istruzioni come Responsabile del Trattamento. Sei tu responsabile della liceità del trattamento.

3.2 Il Responsabile del Trattamento (NOI)

Hestia Properties Srl, in qualità di Responsabile, tratta i dati personali esclusivamente:

  • Su istruzione documentata del Titolare (te)
  • Per le finalità strettamente necessarie all'erogazione del Servizio
  • Nel rispetto delle misure di sicurezza previste dal GDPR
  • Garantendo riservatezza, integrità e disponibilità dei dati

3.3 Sub-Titolarità (Art. 26 GDPR)

Per i tuoi dati personali di utente abbonato (username, email, dati fatturazione), Hestia Properties Srl agisce come Titolare Autonomo, come descritto nell'Informativa Privacy.

4. Oggetto del Trattamento

Il Responsabile tratta per conto del Titolare le seguenti categorie di dati personali:

4.1 Dati Comuni

  • Dati anagrafici: nome, cognome, codice fiscale
  • Dati di contatto: email, telefono
  • Dati lavorativi: ruolo, sede di lavoro, azienda di appartenenza
  • Documenti amministrativi: contratti, dichiarazioni privacy

4.2 Categorie Particolari di Dati (Art. 9 GDPR)

⚠️ Dati Sensibili - Attenzione!

Il Servizio tratta dati relativi alla salute:

  • Certificati di idoneità sanitaria
  • Certificati medici per assenze
  • Visite mediche periodiche (sorveglianza sanitaria)
  • Referti sanitari (se caricati)

Base giuridica: Art. 9, par. 2, lett. b) e h) GDPR - Obblighi in materia di sicurezza sul lavoro (D.Lgs. 81/2008)

4.3 Dati Biometrici (se abilitati)

  • Foto profilo dipendenti
  • Coordinate GPS marcature presenze (se funzione attivata)

4.4 Categorie di Interessati

Gli interessati i cui dati sono trattati sono:

  • Dipendenti delle aziende clienti del Titolare
  • Referenti aziendali delle aziende clienti
  • RSPP, medici competenti, formatori (se registrati come utenti portale)

5. Natura e Finalità del Trattamento

5.1 Natura del Trattamento

Il trattamento consiste nelle seguenti operazioni:

  • Raccolta: caricamento dati e documenti da parte del Titolare
  • Registrazione/Archiviazione: memorizzazione su database MySQL e storage server
  • Conservazione: mantenimento dati per periodo necessario
  • Consultazione: accesso dati da parte del Titolare e utenti portale clienti autorizzati
  • Elaborazione: generazione report, calcolo scadenze, invio alert
  • Comunicazione: accesso controllato tramite portale clienti
  • Cancellazione: eliminazione definitiva dati su richiesta o alla cessazione

5.2 Finalità del Trattamento

Il Responsabile tratta i dati personali esclusivamente per le seguenti finalità:

  1. Fornire il servizio di gestionale cloud per sicurezza lavoro
  2. Archiviare documenti obbligatori sicurezza (D.Lgs. 81/2008)
  3. Monitorare scadenze e inviare alert automatici
  4. Permettere accesso controllato aziende clienti tramite portale dedicato
  5. Generare report e statistiche per il Titolare
  6. Garantire sicurezza, backup e disaster recovery
  7. Fornire supporto tecnico su richiesta del Titolare

Importante: Il Responsabile NON utilizza i dati per:

  • ❌ Finalità proprie diverse dal servizio contrattuale
  • ❌ Profilazione, marketing o pubblicità
  • ❌ Cessione o vendita a terzi
  • ❌ Trattamenti non autorizzati dal Titolare

5.3 Durata del Trattamento

Il trattamento ha inizio con la registrazione del Titolare e termina con:

  • Cessazione abbonamento
  • Richiesta di cancellazione dati da parte del Titolare
  • Termine periodo di conservazione previsto (30 giorni post-cessazione per export dati)

6. Obblighi del Responsabile del Trattamento

Il Responsabile si impegna a:

6.1 Trattare i Dati Solo su Istruzione

  • ✓ Trattare i dati personali solo su istruzione documentata del Titolare
  • ✓ Informare immediatamente il Titolare se riceve istruzioni che violano il GDPR
  • ✓ Non comunicare i dati a terzi senza autorizzazione scritta

6.2 Garantire Riservatezza

  • ✓ Assicurare che le persone autorizzate al trattamento siano vincolate da obbligo di riservatezza
  • ✓ Formare il personale su GDPR e sicurezza informatica
  • ✓ Limitare accesso ai dati solo al personale che ne ha effettiva necessità

6.3 Implementare Misure di Sicurezza

(vedi sezione 7 per dettagli)

6.4 Assistere il Titolare

  • ✓ Assistere il Titolare nel garantire diritti degli interessati (accesso, rettifica, cancellazione, ecc.)
  • ✓ Assistere nella gestione Data Breach e notifiche al Garante
  • ✓ Fornire informazioni necessarie per audit e ispezioni
  • ✓ Cooperare con valutazioni d'impatto privacy (DPIA) se richiesto

6.5 Nominare Sub-Responsabili

Il Responsabile può nominare sub-responsabili solo con autorizzazione del Titolare (vedi sezione 8)

6.6 Restituire o Cancellare Dati

  • ✓ Alla cessazione: permettere export completo dati entro 30 giorni
  • ✓ Dopo 30 giorni: cancellazione definitiva e irreversibile di tutti i dati
  • ✓ Fornire certificato di avvenuta cancellazione su richiesta

7. Misure di Sicurezza (Art. 32 GDPR)

Il Responsabile adotta le seguenti misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio:

7.1 Misure Tecniche

Crittografia

  • HTTPS/TLS 1.3 per tutte le comunicazioni
  • Password utenti criptate con bcrypt (non reversibile)
  • Backup criptati con AES-256
  • Crittografia database a riposo (encryption at rest)

Controllo Accessi

  • Autenticazione a due fattori per admin di sistema
  • Accesso ai dati su base "need to know"
  • Tracciamento accessi tramite log centralizzati
  • Timeout sessione automatico (30 minuti inattività)

Infrastruttura

  • Server ubicati in Italia (data center Aruba - Arezzo)
  • Firewall perimetrale con regole restrittive
  • Segregazione rete tra ambienti (prod/test/dev)
  • IDS/IPS per rilevamento intrusioni

Backup e Recovery

  • Backup giornalieri automatici (retention 30 giorni)
  • Test ripristino trimestrali
  • RTO (Recovery Time Objective): 24 ore
  • RPO (Recovery Point Objective): 24 ore

Sicurezza Applicativa

  • Protezione SQL Injection (prepared statements)
  • Protezione XSS (output escaping)
  • Token CSRF per tutte le operazioni critiche
  • Validazione input lato server

Aggiornamenti

  • Patch di sicurezza applicate entro 72 ore
  • Aggiornamenti OS e software regolari
  • Scansione vulnerabilità mensile
  • Penetration test annuale

7.2 Misure Organizzative

  • ✓ Politiche di sicurezza documentate e revisionate annualmente
  • ✓ Formazione obbligatoria personale su GDPR (annuale)
  • ✓ Clausole di riservatezza nei contratti dipendenti/collaboratori
  • ✓ Registro trattamenti aggiornato (Art. 30 GDPR)
  • ✓ Procedure gestione Data Breach documentate
  • ✓ Incident response plan testato
  • ✓ Business Continuity Plan (BCP) e Disaster Recovery Plan (DRP)

7.3 Monitoraggio e Audit

  • ✓ Log di accesso conservati 12 mesi (Provv. Garante 467/2018)
  • ✓ Monitoraggio real-time attività sospette
  • ✓ Audit di sicurezza interni trimestrali
  • ✓ Audit esterni annuali (se richiesto dal Titolare)

8. Sub-Responsabili del Trattamento

Il Responsabile può avvalersi di altri fornitori (sub-responsabili) per specifici servizi tecnici. Tutti i sub-responsabili sono vincolati da obblighi equivalenti a quelli del presente DPA.

8.1 Sub-Responsabili Attuali

Accettando il presente DPA, autorizzi i seguenti sub-responsabili:

Sub-Responsabile Servizio Fornito Ubicazione Garanzie
Aruba S.p.A.
P.IVA: 01573850516		 Hosting server e database
Infrastruttura cloud		 Italia (Arezzo)
UE		 DPA firmato
Certificazioni ISO 27001, 27017, 27018
Stripe Inc. Elaborazione pagamenti
(solo dati fatturazione, NON dati dipendenti)		 USA Clausole contrattuali standard UE
Certificazione PCI-DSS Level 1

Nota importante: I dati sensibili (certificati medici, documenti dipendenti) sono archiviati esclusivamente su server Aruba in Italia. Stripe tratta solo dati di pagamento dell'utente abbonato.

8.2 Nuovi Sub-Responsabili

In caso di nomina di nuovi sub-responsabili:

  1. Il Responsabile informerà il Titolare via email con 30 giorni di anticipo
  2. Verrà indicato: nome, servizio fornito, ubicazione, garanzie GDPR
  3. Il Titolare può opporsi entro 30 giorni, motivando l'opposizione
  4. In caso di opposizione legittima, il Responsabile cercherà alternative o permetterà recesso senza penali

8.3 Responsabilità Sub-Responsabili

Il Responsabile resta pienamente responsabile verso il Titolare per l'operato dei sub-responsabili. In caso di inadempienza del sub-responsabile, il Responsabile risponde direttamente al Titolare.

9. Assistenza per Diritti degli Interessati

Il Responsabile assiste il Titolare nel garantire l'esercizio dei diritti degli interessati (Art. 15-22 GDPR):

9.1 Procedura

  1. Richiesta interessato: l'interessato (dipendente) contatta il Titolare (te) per esercitare un diritto
  2. Valutazione Titolare: il Titolare valuta la legittimità della richiesta
  3. Istruzione al Responsabile: il Titolare, se necessario, chiede assistenza al Responsabile
  4. Assistenza Responsabile: il Responsabile fornisce supporto tecnico per evadere la richiesta

9.2 Diritti Supportati

Diritto Come il Responsabile Assiste Tempo Risposta
Accesso (Art. 15) Export dati interessato in formato CSV/PDF 5 giorni lavorativi
Rettifica (Art. 16) Il Titolare modifica direttamente dal gestionale Immediato
Cancellazione (Art. 17) Funzione "Elimina dipendente" (cancellazione definitiva) Immediato
Limitazione (Art. 18) Funzione "Disattiva account" (blocco accessi, dati non cancellati) Immediato
Portabilità (Art. 20) Export dati in formato strutturato JSON/CSV 5 giorni lavorativi
Opposizione (Art. 21) Valutazione legittimità da parte del Titolare N/A

⚠️ Responsabilità del Titolare:

Il Responsabile fornisce solo supporto tecnico. È TUA responsabilità (Titolare) valutare la legittimità delle richieste e rispondere entro 30 giorni agli interessati.

10. Violazioni dei Dati Personali (Data Breach)

In caso di violazione dei dati personali (Art. 33-34 GDPR), il Responsabile segue questa procedura:

10.1 Notifica al Titolare

Il Responsabile notifica il Titolare senza ingiustificato ritardo e comunque entro 24 ore dalla scoperta della violazione.

Contenuto notifica:

  • Natura della violazione (accesso non autorizzato, perdita dati, ransomware, etc.)
  • Categorie e numero approssimativo di interessati coinvolti
  • Categorie e numero approssimativo di registrazioni di dati coinvolti
  • Probabili conseguenze della violazione
  • Misure adottate o proposte per porre rimedio
  • Punto di contatto per ulteriori informazioni

10.2 Responsabilità Notifica Garante

È responsabilità del Titolare (non del Responsabile) decidere se notificare la violazione al Garante Privacy entro 72 ore e/o agli interessati, sulla base di:

  • Gravità della violazione
  • Rischio per diritti e libertà degli interessati
  • Misure di mitigazione adottate

Il Responsabile assiste il Titolare fornendo:

  • ✓ Documentazione tecnica della violazione
  • ✓ Analisi impatto e misure correttive
  • ✓ Supporto nella compilazione notifica al Garante

10.3 Registro Violazioni

Il Responsabile mantiene un registro di tutte le violazioni dei dati personali, includendo:

  • Fatti relativi alla violazione
  • Effetti e provvedimenti adottati
  • Data e ora scoperta
  • Data e ora notifica al Titolare

Il registro è disponibile per audit e ispezioni del Garante.

11. Audit e Ispezioni

Il Titolare ha diritto di verificare la conformità del Responsabile al presente DPA e al GDPR.

11.1 Modalità Audit

Il Titolare può:

  • Richiedere documentazione: policy di sicurezza, certificazioni, registro trattamenti, risultati penetration test
  • Effettuare audit remoto: questionario di conformità, video-call con responsabili tecnici
  • Effettuare audit on-site: ispezione fisica data center (previo accordo con Aruba) e uffici Hestia Properties Srl
  • Nominare revisore indipendente: audit da parte di terzi vincolati da NDA

11.2 Preavviso e Costi

  • Preavviso: minimo 30 giorni (salvo urgenze per Data Breach)
  • Costi audit remoto: gratuito (massimo 1 volta/anno)
  • Costi audit on-site: a carico del Titolare (inclusi costi accesso data center)
  • Costi revisore terzo: a carico del Titolare

11.3 Obbligo Cooperazione

Il Responsabile si impegna a:

  • ✓ Cooperare pienamente e tempestivamente con audit e ispezioni
  • ✓ Fornire tutta la documentazione richiesta
  • ✓ Permettere accesso ai locali e ai sistemi (nei limiti della sicurezza)
  • ✓ Rispondere a questionari e richieste di chiarimenti

11.4 Non Conformità

In caso di rilevazione di non conformità gravi:

  1. Il Responsabile predispone piano di remediation entro 15 giorni
  2. Implementa le correzioni entro tempistiche concordate
  3. Fornisce evidenza di avvenuta correzione
  4. In caso di mancata correzione: il Titolare può risolvere il contratto senza penali

12. Conservazione e Cancellazione Dati

12.1 Periodo di Conservazione

I dati personali sono conservati per:

  • Durata abbonamento: per tutta la durata del contratto con il Titolare
  • Post-cessazione: 30 giorni per permettere export dati da parte del Titolare
  • Backup: ulteriori 30 giorni nei backup automatici (poi sovrascritti)

12.2 Restituzione Dati

Alla cessazione del rapporto contrattuale:

  1. Giorno 0 (cessazione): accesso gestionale disabilitato
  2. Giorni 1-30: periodo di grazia per export dati completo
    • Funzione "Esporta tutto" disponibile
    • Formati disponibili: JSON, CSV, PDF (documenti)
    • Include dati + metadati + documenti caricati
  3. Giorno 31: cancellazione definitiva e irreversibile da database produzione
  4. Giorno 60: sovrascrizione completa backup

⚠️ Importante: Dopo 30 giorni dalla cessazione, nessun recupero dati sarà possibile. È TUA responsabilità (Titolare) effettuare export entro questo termine.

12.3 Cancellazione su Richiesta

Il Titolare può richiedere cancellazione anticipata:

  • Modalità: email a privacy@gestionale-sicurezza.cloud o dall'area riservata
  • Esecuzione: entro 5 giorni lavorativi
  • Certificato: su richiesta, certificato di avvenuta cancellazione con dettaglio operazioni effettuate

12.4 Metodi di Cancellazione

La cancellazione viene effettuata tramite:

  • Database: DELETE irreversibile da tabelle (no soft-delete)
  • File storage: sovrascrittura multipla (metodo DOD 5220.22-M)
  • Backup: sovrascrizione completa entro 60 giorni
  • Log: anonimizzazione identificativi utente

Nessun dato sarà conservato salvo obblighi di legge per fatture (10 anni) che NON contengono dati sensibili dipendenti.

13. Durata e Cessazione del DPA

13.1 Durata

Il presente DPA entra in vigore al momento della registrazione dell'utente abbonato e resta efficace per tutta la durata del contratto di servizio.

13.2 Cessazione

Il DPA cessa automaticamente con:

  • Risoluzione contratto (recesso utente o disdetta)
  • Cessazione servizio da parte del Responsabile
  • Scadenza abbonamento senza rinnovo

13.3 Effetti della Cessazione

Alla cessazione del DPA:

  1. Cessano tutti i trattamenti di dati personali da parte del Responsabile
  2. Si attiva procedura restituzione/cancellazione dati (sezione 12)
  3. Restano valide clausole su: riservatezza, limitazione responsabilità, cancellazione dati

13.4 Sopravvivenza Clausole

Anche dopo la cessazione, restano efficaci:

  • Obblighi di riservatezza (illimitatamente)
  • Obblighi di cancellazione dati
  • Limitazioni di responsabilità
  • Legge applicabile e foro competente

14. Contatti

Per domande, richieste o comunicazioni relative al presente DPA:

Responsabile del Trattamento

Hestia Properties Srl

Viale Certosa, 218 - 20156 Milano (MI)

P.IVA: 10649831210

Email: privacy@gestionale-sicurezza.cloud

PEC: hestiapropertiessrl@pec.it

Data Protection Officer

Email: dpo@gestionale-sicurezza.cloud

Per richieste tecniche su GDPR, audit, Data Breach

Supporto Tecnico

Email: supporto@gestionale-sicurezza.cloud

Per assistenza su export dati, cancellazioni, problemi tecnici

Modifiche al DPA

Eventuali modifiche al DPA saranno comunicate con almeno 30 giorni di preavviso via email. L'uso continuato del Servizio dopo l'entrata in vigore delle modifiche costituisce accettazione.

Cronologia versioni:

  • Versione 1.0 - 06/03/2026 - Prima pubblicazione