Torna al Login

Informativa Privacy

Informativa sul trattamento dei dati personali ai sensi degli artt. 13-14 del Regolamento UE 2016/679 (GDPR)

Ultimo aggiornamento: 06/03/2026 | Versione 1.0

1. Titolare del Trattamento

Hestia Properties Srl

Sede Legale: Viale Certosa, 218 - 20156 Milano (MI)

P.IVA: 10649831210

Email: privacy@gestionale-sicurezza.cloud

PEC: hestiapropertiessrl@pec.it

Il Titolare del trattamento è il soggetto che determina finalità e mezzi del trattamento dei dati personali raccolti attraverso la piattaforma Gestionale Sicurezza Lavoro disponibile all'indirizzo www.gestionale-sicurezza.cloud.

Data Protection Officer (DPO)

Per questioni relative alla privacy e alla protezione dei dati, puoi contattare il nostro Data Protection Officer:

DPO

Email: dpo@gestionale-sicurezza.cloud

2. Dati Personali Trattati

La piattaforma tratta tre categorie di dati, a seconda del ruolo dell'utente:

2.1 Dati degli Utenti Abbonati (Titolari del Trattamento Autonomi)

Quando ti registri come utente abbonato (consulente, RSPP, società di consulenza sulla sicurezza), raccogliamo:

  • Dati identificativi: username (email), password (criptata con algoritmo bcrypt)
  • Dati aziendali: ragione sociale, partita IVA, indirizzo sede legale, CAP, città, provincia, codice SDI
  • Dati di contatto: numero di telefono, indirizzo email
  • Dati di fatturazione: gestiti tramite Stripe Inc. (non archiviamo direttamente dati di carte di credito)
  • Dati tecnici: indirizzo IP, data/ora accessi, tipo di browser, sistema operativo
  • Dati di utilizzo: piano sottoscritto (demo/standard/premium), data registrazione, ultimo accesso, stato abbonamento

2.2 Dati delle Aziende Clienti (trattati per tuo conto)

Quando inserisci le tue aziende clienti nel gestionale, agisci come Titolare del Trattamento e noi come Responsabile (art. 28 GDPR):

  • Dati identificativi azienda: ragione sociale, partita IVA, codice SDI
  • Dati di contatto: indirizzo sede, telefono, cellulare, email, PEC, referente aziendale
  • Sedi operative: nome sede, tipo (principale/secondaria), indirizzo, contatti referente

2.3 Dati dei Dipendenti (trattati per tuo conto)

Quando inserisci i dipendenti delle aziende clienti:

  • Dati anagrafici: nome, cognome, codice fiscale
  • Dati di contatto: email, telefono
  • Dati lavorativi: ruolo, sede di lavoro, azienda di appartenenza
  • Documenti di sicurezza e formazione:
    • Documenti identificativi (carta d'identità, codice fiscale, patente)
    • Contratti di lavoro e dichiarazioni privacy
    • Certificati medici e idoneità sanitaria (dati relativi alla salute - Art. 9 GDPR)
    • Attestati di formazione (sicurezza generale, primo soccorso, antincendio, PES/PAV)
    • Sorveglianza sanitaria

2.4 Dati Utenti Portale Clienti

Quando le aziende clienti accedono al portale dedicato per visualizzare i propri documenti:

  • Credenziali accesso: username (email), password criptata
  • Dati anagrafici: nome, cognome
  • Dati tecnici: IP accesso, data/ora, browser utilizzato

⚠️ Importante - Categorie Particolari di Dati (Art. 9 GDPR):

Il gestionale tratta dati relativi alla salute (certificati medici, idoneità sanitaria, sorveglianza sanitaria). Questo trattamento è lecito ai sensi dell'art. 9, par. 2, lett. b) e h) GDPR (obblighi in materia di sicurezza sul lavoro - D.Lgs. 81/2008).

3. Finalità del Trattamento

I tuoi dati personali sono trattati per le seguenti finalità:

3.1 Finalità Contrattuali (Utenti Abbonati)

  • Registrazione e gestione account utente
  • Erogazione del servizio di gestionale cloud
  • Gestione abbonamenti e pagamenti tramite Stripe
  • Assistenza tecnica e supporto clienti
  • Comunicazioni relative al servizio (scadenze, manutenzioni, aggiornamenti)

3.2 Finalità di Conformità Legale

  • Adempimento obblighi fiscali e contabili
  • Gestione controversie legali
  • Rispetto normativa sicurezza lavoro (D.Lgs. 81/2008)
  • Conservazione documenti per termini di legge

3.3 Finalità di Sicurezza

  • Prevenzione frodi e accessi non autorizzati
  • Backup e disaster recovery
  • Log di accesso per audit e sicurezza informatica

3.4 Finalità Contrattuali (Aziende Clienti e Dipendenti)

  • Gestione archivio documentale sicurezza sul lavoro
  • Monitoraggio scadenze documenti obbligatori
  • Generazione alert e notifiche scadenze
  • Accesso controllato al portale per visualizzazione documenti

4. Base Giuridica del Trattamento

Il trattamento dei tuoi dati si basa su:

Finalità Base Giuridica (GDPR)
Erogazione servizio gestionale Art. 6, par. 1, lett. b) - Esecuzione contratto
Gestione pagamenti e fatturazione Art. 6, par. 1, lett. b) - Esecuzione contratto
Art. 6, par. 1, lett. c) - Obbligo di legge
Trattamento dati salute (certificati medici) Art. 9, par. 2, lett. b) e h) - Obblighi sicurezza lavoro (D.Lgs. 81/2008)
Conservazione documenti fiscali Art. 6, par. 1, lett. c) - Obbligo di legge
Sicurezza informatica e log accessi Art. 6, par. 1, lett. f) - Legittimo interesse del Titolare
Marketing (solo con consenso esplicito) Art. 6, par. 1, lett. a) - Consenso

5. Periodo di Conservazione dei Dati

I dati personali sono conservati per il tempo strettamente necessario:

Tipologia Dati Periodo di Conservazione
Dati account utente attivo Per tutta la durata dell'abbonamento
Dati fatturazione e pagamenti 10 anni dalla cessazione (obbligo fiscale)
Documenti sicurezza lavoro 10 anni dalla cessazione rapporto di lavoro (D.Lgs. 81/2008)
Certificati medici e idoneità sanitaria 10 anni dalla cessazione (art. 25, c. 1, lett. e) D.Lgs. 81/2008)
Log di accesso e sicurezza 12 mesi (Provv. Garante 467/2018)
Backup 30 giorni (poi cancellazione automatica)
Dati account cancellato Cancellazione immediata (salvo obblighi di legge)

Cancellazione automatica:

Alla scadenza dei termini di conservazione, i dati vengono automaticamente e irreversibilmente cancellati dai nostri sistemi, inclusi i backup.

6. Destinatari e Categorie di Destinatari

I tuoi dati possono essere comunicati a:

6.1 Responsabili del Trattamento (Art. 28 GDPR)

  • Aruba S.p.A. - Hosting server e database (data center in Italia - UE)
  • Stripe Inc. - Gestione pagamenti (con clausole contrattuali standard UE)
  • Provider Email - Invio comunicazioni di servizio

6.2 Soggetti Autorizzati al Trattamento

  • Personale tecnico di Hestia Properties Srl (amministratori di sistema, sviluppatori)
  • Personale amministrativo per gestione contratti e fatturazione
  • Consulenti esterni (solo per finalità specifiche e vincolati da NDA)

6.3 Altri Destinatari

  • Autorità Giudiziarie e di Polizia: su richiesta e nei limiti di legge
  • Agenzia delle Entrate: per obblighi fiscali
  • Ispettorato del Lavoro: in caso di ispezioni (documenti sicurezza lavoro)

✓ Nessuna vendita o cessione dati a terzi per marketing

I tuoi dati NON vengono mai venduti, ceduti o comunicati a terzi per finalità commerciali o pubblicitarie.

7. Trasferimento Dati Extra-UE

I dati sono conservati esclusivamente in server ubicati in Italia (data center Aruba - Arezzo).

Stripe (USA)

Per la gestione dei pagamenti utilizziamo Stripe Inc. (USA), che garantisce:

  • ✓ Clausole Contrattuali Standard approvate dalla Commissione UE
  • ✓ Certificazione PCI-DSS Level 1 (massimo livello sicurezza pagamenti)
  • ✓ Conformità GDPR e normativa europea

Maggiori informazioni: stripe.com/privacy

Nota importante: Hestia Properties Srl NON trasferisce né archivia dati sensibili dei dipendenti (certificati medici, documenti identità) al di fuori dell'Unione Europea.

8. Diritti dell'Interessato

Ai sensi degli articoli 15-22 del GDPR, hai diritto di:

Accesso (Art. 15)

Ottenere conferma dell'esistenza di tuoi dati personali e riceverne copia

Rettifica (Art. 16)

Correggere dati inesatti o integrare dati incompleti

Cancellazione (Art. 17)

Richiedere la cancellazione dei tuoi dati (salvo obblighi di legge)

Limitazione (Art. 18)

Limitare il trattamento in casi specifici previsti dalla legge

Portabilità (Art. 20)

Ricevere i tuoi dati in formato strutturato e trasmetterli ad altro titolare

Opposizione (Art. 21)

Opporti al trattamento per motivi legittimi o per marketing

Come Esercitare i Tuoi Diritti

Puoi esercitare i tuoi diritti in qualsiasi momento:

Ti risponderemo entro 30 giorni dalla richiesta (prorogabili di ulteriori 60 giorni per complessità).

Reclamo al Garante Privacy

Hai diritto di proporre reclamo all'Autorità di controllo:

Garante per la Protezione dei Dati Personali

Piazza Venezia, 11 - 00187 Roma

Tel: +39 06.696771

Email: garante@gpdp.it

PEC: protocollo@pec.gpdp.it

Web: www.garanteprivacy.it

9. Sicurezza dei Dati

Adottiamo misure tecniche e organizzative adeguate per proteggere i tuoi dati:

Misure Tecniche

  • Crittografia: HTTPS/TLS per tutte le comunicazioni
  • Password: criptate con algoritmo bcrypt (non reversibile)
  • Firewall: protezione perimetrale avanzata
  • Backup: giornalieri con crittografia AES-256
  • Database: accesso autenticato e tracciato
  • Sessioni: token CSRF e timeout automatico
  • Antivirus/Antimalware: scansione continua

Misure Organizzative

  • ✓ Formazione continua del personale su GDPR e sicurezza informatica
  • ✓ Accesso ai dati su base "need to know" (solo se necessario)
  • ✓ Registro trattamenti aggiornato (Art. 30 GDPR)
  • ✓ Audit periodici di sicurezza
  • ✓ Procedure di gestione Data Breach (Art. 33-34 GDPR)

Data Breach

In caso di violazione dei dati personali, notificheremo:

  • Garante Privacy entro 72 ore (se rischio per diritti e libertà)
  • Interessati senza ritardo (se rischio elevato)

10. Modifiche alla Privacy Policy

Questa informativa può essere modificata per:

  • Aggiornamenti normativi (es. nuove leggi o decisioni del Garante)
  • Modifiche ai servizi offerti
  • Nuovi fornitori o partner tecnologici
  • Miglioramenti delle misure di sicurezza

In caso di modifiche sostanziali, ti informeremo tramite:

  • ✓ Email all'indirizzo registrato
  • ✓ Notifica al primo accesso successivo
  • ✓ Pubblicazione della nuova versione su questa pagina

La versione aggiornata sarà disponibile all'indirizzo: www.gestionale-sicurezza.cloud/legal/privacy.php

Cronologia versioni:

  • Versione 1.0 - 06/03/2026 - Prima pubblicazione

11. Contatti

Per domande, chiarimenti o esercizio dei tuoi diritti, contattaci:

Titolare del Trattamento

Hestia Properties Srl

Viale Certosa, 218 - 20156 Milano (MI)

P.IVA: 10649831210

Email: privacy@gestionale-sicurezza.cloud

PEC: hestiapropertiessrl@pec.it

Data Protection Officer

Email: dpo@gestionale-sicurezza.cloud

Per richieste specifiche su protezione dati e GDPR