INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
(ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 – GDPR)
In Sintesi – I Punti Chiave del Trattamento
Cosa facciamo? Forniamo la piattaforma Navisafe per lo scambio di documenti di sicurezza.
Chi è il Titolare? Navigo è Titolare per i dati di registrazione. Il Cantiere/Fornitore è Titolare per i documenti caricati.
Qual è il ruolo di Navigo? Per i documenti caricati, Navigo agisce come Responsabile del Trattamento su istruzioni del Cantiere/Fornitore.
Perché trattiamo i dati? Per erogare il servizio, adempiere a obblighi di legge e garantire la sicurezza della piattaforma.
Dove sono i dati? Su server sicuri all’interno dell’Unione Europea (Milano, con replica in Irlanda).
Per quanto tempo? Per la durata del contratto e per i successivi obblighi di legge (10 anni). I log di sistema per 180 giorni.
Con chi li condividiamo? Con i Cantieri (su richiesta del Fornitore) e con i nostri fornitori tecnici (es. AWS).
1. Titolare del Trattamento
NA.VI.GO. SCARL con sede legale in Viareggio (LU), Cap 55049, Via Coppino n. 116, numero di iscrizione al Registro delle imprese della Camera di Commercio TOSCANA NORD-OVEST 02077140461, numero P.IVA e codice fiscale 02077140461, R.E.A. LU – 194941, indirizzo PEC: navigo@pec.it
Il Titolare può essere contattato al seguente indirizzo e-mail: privacy@navigotoscana.it.
2. Responsabile della Protezione dei Dati (DPO)
Il Titolare ha altresì designato un DPO – Data Protection Officer, domiciliato per la carica presso il Titolare e altresì reperibile scrivendo a dpo@navigotoscana.it.
3. Tipologie di Dati Trattati e Finalità del Trattamento
Navigo tratta le seguenti categorie di dati personali per le finalità indicate:
A) Dati forniti volontariamente dall’utente (personale del Cantiere o del Fornitore):
– Dati: Nome, cognome, email, numero di telefono, ruolo aziendale.
– Finalità:
1. Erogazione del servizio: Gestire la registrazione, l’autenticazione, l’assistenza e l’adempimento degli obblighi contrattuali. La base giuridica è l’esecuzione di un contratto (art. 6.1.b GDPR).
2. Obblighi di legge: Adempiere a obblighi fiscali e contabili. La base giuridica è l’adempimento di un obbligo legale (art. 6.1.c GDPR).
3. Marketing diretto (soft spam): Inviare comunicazioni relative a servizi analoghi a quelli acquistati, salvo opposizione. La base giuridica è il legittimo interesse del Titolare (art. 6.1.f GDPR).
B) Dati personali contenuti nei documenti caricati sulla Piattaforma (es. dati di dipendenti e collaboratori del Fornitore):
– Dati: Dati anagrafici, codici fiscali, dati contrattuali (es. UNILAV), dati relativi a formazione e idoneità professionale (es. attestati), fotografie, permessi di soggiorno.
– Finalità — Funzionamento della Piattaforma: Consentire al Fornitore di archiviare e condividere tali dati con i Cantieri per finalità di verifica della conformità in materia di sicurezza sul lavoro e appalti.
– Ruoli Privacy: In relazione a questi dati, Navigo opera come Responsabile del Trattamento per conto del Fornitore o del Cantiere, che agiscono in qualità di Titolari del Trattamento. Il trattamento è disciplinato da un apposito Accordo (DPA) ai sensi dell’art. 28 GDPR.
Si precisa che l’elenco dei documenti e dei dati personali richiesti ai Fornitori e ai loro dipendenti (come, a titolo esemplificativo, DURC, visure, UNILAV, attestati) è determinato in via esclusiva e sotto la propria responsabilità da ciascun Cantiere, in qualità di Titolare del Trattamento.
Navigo, agendo come mero fornitore di infrastruttura tecnologica e Responsabile del Trattamento, non definisce né influenza la tipologia di dati richiesti, limitandosi a fornire gli strumenti per la loro raccolta, archiviazione e condivisione secondo le istruzioni del Cantiere.
Per i dati trattati come Responsabile del Trattamento ai sensi dell’art. 28 GDPR, Navigo agisce esclusivamente su istruzioni documentate dei Titolari (Cantiere o Fornitore), non assumendo alcuna responsabilità circa la liceità, correttezza e pertinenza dei dati inseriti dagli utenti sulla piattaforma, né circa le finalità perseguite dai Titolari stessi.
Si ribadisce che il Cantiere o il Fornitore, in qualità di Titolare del Trattamento dei dati personali contenuti nei documenti caricati, è l’unico soggetto responsabile di:
a) Fornire una idonea informativa privacy ai propri dipendenti e collaboratori (gli “interessati”) ai sensi dell’art. 13 GDPR.
b) Garantire la sussistenza di un’adeguata base giuridica che legittimi il trattamento e la comunicazione di tali dati a Navigo e la loro condivisione tramite la Piattaforma.
Navigo non effettua alcuna verifica sulla liceità del trattamento operato dai Titolari e agisce unicamente come Responsabile del Trattamento secondo le loro istruzioni.
La base giuridica per il trattamento dei dati personali da parte di Navigo, in qualità di Titolare, è rappresentata dall’esecuzione del contratto (art. 6.1.b GDPR), dall’adempimento di obblighi di legge (art. 6.1.c GDPR) e, per le finalità di marketing diretto, dal legittimo interesse di Navigo (art. 6.1.f GDPR), fermo restando il diritto di opposizione dell’interessato.
I dati personali trattati da Navigo possono essere raccolti direttamente presso l’interessato o, in taluni casi, essere conferiti da terzi (es. il Cantiere o il Fornitore che carica dati relativi ai propri dipendenti o collaboratori). In tali casi, la fonte dei dati è il soggetto che ha effettuato il caricamento sulla piattaforma.
La piattaforma può utilizzare algoritmi di Intelligenza Artificiale e sistemi automatizzati per il riconoscimento e la classificazione dei documenti caricati dagli utenti, al fine di agevolare l’instradamento e la verifica della documentazione. Tali processi non comportano decisioni automatizzate che producano effetti giuridici sull’interessato ai sensi dell’art. 22 GDPR, ma possono incidere sull’operatività della piattaforma (es. abilitazione o sospensione dell’accesso in base alla presenza di documenti richiesti). Si ribadisce che tali strumenti hanno una funzione di mero supporto e non sostituiscono la verifica e la validazione umana, che rimane esclusiva responsabilità dell’utente (Cantiere o Fornitore). Navigo non potrà essere ritenuta responsabile per eventuali errori, omissioni o classificazioni errate prodotte da tali sistemi automatizzati.
I sistemi informatici e le procedure software preposte al funzionamento della Piattaforma acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet.
– Dati: In questa categoria di dati rientrano gli indirizzi IP, i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente.
– Finalità — Funzionamento e Sicurezza: Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull’uso della Piattaforma, per controllarne il corretto funzionamento e per identificare anomalie e/o abusi. La base giuridica è il legittimo interesse del Titolare (art. 6.1.f GDPR) a garantire la sicurezza e l’efficienza della Piattaforma.
– Cookie: Per il trattamento dei dati tramite cookie, si rimanda all’apposita Cookie Policy disponibile sulla Piattaforma.
La Piattaforma non è destinata alla raccolta intenzionale di dati personali relativi a persone di età inferiore ai 16 anni. È fatto espresso divieto agli utenti (Cantieri e Fornitori) di caricare sulla Piattaforma dati relativi a minori di 16 anni, se non previa acquisizione di un valido consenso da parte di chi esercita la responsabilità genitoriale, secondo quanto previsto dall’art. 8 GDPR. L’utente che carica tali dati si assume la piena ed esclusiva responsabilità di aver adempiuto a tali obblighi, manlevando integralmente Navigo da qualsiasi conseguenza.
4. Natura del Conferimento dei Dati
Il conferimento dei dati per le finalità 1 e 2 è obbligatorio. Il mancato conferimento impedisce l’erogazione del servizio. Il conferimento per la finalità 3 è facoltativo e l’interessato può opporsi in qualsiasi momento.
5. Modalità del Trattamento e Periodo di Conservazione
I dati sono trattati con strumenti informatici e telematici, adottando misure di sicurezza adeguate.
– I dati per le finalità 1 e 2 saranno conservati per tutta la durata del rapporto contrattuale e, dopo la cessazione, per 10 anni per obblighi di legge.
– I dati per la finalità 3 saranno conservati fino all’esercizio del diritto di opposizione.
– I dati trattati in qualità di Responsabile del Trattamento (descritti nella sezione 3.B) saranno conservati per i tempi definiti dai Titolari (Fornitore/Cantiere) e cancellati secondo le loro istruzioni, come previsto nel DPA.
Navigo adotta misure di sicurezza tecniche e organizzative adeguate, tra cui:
– separazione degli ambienti di produzione e test;
– controllo degli accessi tramite policy IAM a privilegi minimi;
– crittografia dei dati in transito e a riposo;
– versioning e backup automatici dei dati;
– logging degli accessi e delle operazioni;
– replica geografica dei dati per garantire la resilienza;
– firewall applicativi e hardening dei sistemi server.
Un estratto delle misure di sicurezza può essere richiesto dall’interessato scrivendo a privacy@navigotoscana.it.
Per i dati trattati come Responsabile, Navigo si impegna a cancellare i dati personali su istruzione del Titolare e, comunque, entro 30 giorni dalla cessazione del rapporto contrattuale, salvo diversi obblighi di legge.
Per i dati trattati come Titolare, Navigo conserverà i dati per 10 anni dalla cessazione del rapporto contrattuale, salvo obblighi di legge diversi.
I dati di navigazione e i log di accesso ai sistemi saranno conservati per un periodo massimo di 180 giorni per finalità di sicurezza e accertamento di eventuali reati informatici, salvo diverse disposizioni di legge o richieste dell’autorità giudiziaria.
6. Destinatari dei Dati
I dati potranno essere comunicati a:
– Personale di Navigo autorizzato al trattamento.
– Fornitori di servizi tecnici (es. hosting provider, fornitori di servizi cloud come AWS), nominati Responsabili del Trattamento.
– Cantieri, per i dati condivisi dal Fornitore attraverso la Piattaforma.
– Altri Fornitori se richiesto.
– Autorità pubbliche, ove richiesto dalla legge.
7. Trasferimento dei Dati all’Estero
I dati personali possono essere trattati da fornitori di servizi cloud (es. Amazon Web Services), nominati Responsabili/Sub-responsabili del trattamento ai sensi dell’art. 28 GDPR.
Navigo si avvale di fornitori terzi (sub-responsabili) per l’erogazione di alcuni servizi necessari al funzionamento della Piattaforma. L’elenco aggiornato dei sub-responsabili, con l’indicazione delle rispettive sedi e dei servizi forniti, è disponibile al seguente link: [www.navisafe.it/sub-processors] o può essere richiesto all’indirizzo email del DPO. Il principale fornitore di infrastruttura cloud è Amazon Web Services (AWS) EMEA SARL, con data center ubicati nell’Unione Europea.
Allo stato attuale, tutti i dati personali sono conservati e trattati all’interno dello Spazio Economico Europeo. Qualora Navigo intendesse avvalersi di sub-responsabili situati al di fuori dello SEE, aggiornerà la presente informativa e l’elenco dei sub-processori, garantendo che il trasferimento avvenga nel rispetto del Capo V del GDPR.
Eventuali trasferimenti di dati personali verso paesi extra-SEE avverranno esclusivamente in presenza di una decisione di adeguatezza della Commissione Europea o sulla base di Clausole Contrattuali Standard approvate dalla Commissione.
Navigo non potrà essere ritenuta responsabile per eventuali danni derivanti da accessi non autorizzati, perdita, alterazione o divulgazione di dati personali, se ciò non è direttamente imputabile a dolo o colpa grave di Navigo, e in ogni caso nei limiti previsti dalla normativa applicabile.
8. Diritti dell’Interessato
L’interessato ha il diritto di chiedere a Navigo l’accesso ai propri dati, la rettifica, la cancellazione, la limitazione del trattamento, di opporsi al trattamento e il diritto alla portabilità dei dati.
Per i dati trattati da Navigo in qualità di Responsabile (descritti nella sezione 3.B), tali diritti dovranno essere esercitati nei confronti del rispettivo Titolare (Fornitore o Cantiere).
Le richieste relative ai dati di cui Navigo è Titolare (sezioni 3.A e 3.C) possono essere inviate a privacy@navigotoscana.it. Navigo si riserva il diritto di richiedere informazioni supplementari per confermare l’identità del richiedente.
Per i dati di cui alla sezione 3.B, per i quali Navigo agisce come Responsabile, l’interessato dovrà rivolgere le proprie richieste direttamente al rispettivo Titolare del Trattamento (il Cantiere o l’Impresa Fornitrice per cui lavora). Qualora una richiesta venga erroneamente indirizzata a Navigo, quest’ultima si limiterà a trasmetterla al Titolare competente, senza alcun obbligo di verificare l’identità del richiedente o la fondatezza della richiesta. La gestione della richiesta rimane onere esclusivo del Titolare.
È inoltre possibile proporre reclamo al Garante per la Protezione dei Dati Personali.
Navigo si riserva il diritto di aggiornare la presente informativa in qualsiasi momento. Le modifiche saranno comunicate tramite pubblicazione sulla piattaforma e/o via email agli utenti registrati. L’utilizzo continuato della piattaforma dopo la comunicazione delle modifiche costituisce accettazione delle stesse.
9. Link a Siti di Terze Parti
La Piattaforma potrebbe contenere link a siti web o risorse di terze parti. La presente informativa non si applica a tali siti e Navigo non è responsabile delle loro pratiche in materia di privacy. Si consiglia di consultare le informative privacy di tali soggetti terzi prima di fornire loro qualsiasi dato personale.
10. Gestione delle Violazioni dei Dati (Data Breach)
In caso di violazione dei dati personali, Navigo, in qualità di Responsabile del Trattamento, si impegna a:
a) Notificare la violazione al Titolare del Trattamento competente (Cantiere o Fornitore) senza ingiustificato ritardo, in conformità con quanto previsto dall’art. 33 GDPR.
b) Fornire al Titolare tutte le informazioni necessarie per consentirgli di adempiere ai propri obblighi, inclusa l’eventuale notifica all’Autorità di controllo e la comunicazione agli interessati.
c) Adottare immediatamente le misure tecniche necessarie per contenere la violazione e mitigarne gli effetti negativi, avvalendosi delle procedure di sicurezza e ripristino implementate (es. failover, recupero da backup).
11. Tolleranza
L’eventuale tolleranza da parte di Navigo verso comportamenti posti in essere in violazione di quanto previsto dalla presente informativa non costituisce rinuncia ai diritti che le derivano dalle disposizioni violate, né al diritto di esigere l’esatto adempimento di tutti i termini e le condizioni qui previste.
12. Prevalenza
In caso di contrasto tra la presente informativa e altre informative eventualmente fornite in forma cartacea o su altri supporti, prevarrà la versione pubblicata sulla piattaforma Navisafe.