Informativa Privacy

Trattamento dei dati personali — Reg. UE 2016/679 (GDPR) art. 13

Ultimo aggiornamento: 2026-05-30

1. Titolare del trattamento

Il Titolare del trattamento è RESTAURI GENERALI VENEZIANI S.R.L., con sede in Sestiere Santa Croce 505, 30135 Venezia (VE), P.IVA e C.F. 04340200270, REA VE - 403071, PEC rgvpec@legalmail.it.

Contatto privacy: rgvpec@legalmail.it

2. Responsabile del trattamento (fornitore software)

Il software RGV Rapportini è fornito da Erik Pieran (impresa individuale), con sede in Via Bruno Mion 100, 30038 Spinea (VE), P.IVA 04915430278, C.F. PRNRKE95D05F241T, REA VE - 463627, che opera come Responsabile del trattamento ex art. 28 GDPR sulla base di apposito accordo (Data Processing Agreement) sottoscritto col Titolare.

Contatto: PEC erikpieran@pec.it — vedi anche le Note legali.

3. Dati personali trattati

Il sistema tratta i seguenti dati relativi ai capocantieri e ai dipendenti:

  • Dati identificativi: nome, cognome, eventuale email/telefono
  • Dati di lavoro: ore lavorate, cantieri assegnati, presenze giornaliere, materiali utilizzati
  • Credenziali di accesso: PIN numerico (memorizzato cifrato con bcrypt) o email+password per ruoli amministrativi
  • Foto dei rapportini cartacei: immagini caricate dal capocantiere che possono contenere firme, calligrafia e annotazioni operative. Non vengono volontariamente raccolti dati sanitari o particolari ex art. 9 GDPR; il capocantiere è invitato a non annotare informazioni sanitarie sui rapportini.
  • Log di accesso: data, ora, IP, utente, operazione eseguita (per audit e sicurezza)

4. Finalità e base giuridica del trattamento

  • Esecuzione del rapporto di lavoro (art. 6.1.b GDPR + art. 88 GDPR): registrazione presenze, ore, attività
  • Obblighi di legge (art. 6.1.c GDPR): conservazione documenti ex D.Lgs 81/2008 (sicurezza lavoro), normativa fiscale e contabile
  • Legittimo interesse del Titolare (art. 6.1.f GDPR): organizzazione operativa, fatturazione clienti, monitoraggio produttività aggregata, antifrode

5. Categorie di destinatari

I dati possono essere comunicati a:

  • Personale autorizzato del Titolare (amministrazione, segreteria, ruoli direzionali)
  • Consulenti del lavoro e commercialisti del Titolare (per buste paga e adempimenti fiscali)
  • Erik Pieran (impresa individuale) — Responsabile del trattamento ex art. 28 GDPR
  • Sub-fornitori tecnici nominati come Sub-responsabili:
    • Google LLC (Gemini Vision API — analisi OCR delle foto), sede negli USA, coperto dal Data Privacy Framework UE-USA (decisione di adeguatezza UE del 10/07/2023)
    • Microsoft Ireland Operations Ltd. (OneDrive del Titolare, account M365 del Titolare)
    • Hostinger International Ltd. (hosting del server in datacenter UE)
  • Autorità competenti in caso di obbligo di legge (Garante Privacy, INL/ASL, Autorità giudiziaria)

I dati non sono comunicati a soggetti per finalità di marketing o profilazione commerciale.

6. Trasferimento dati extra-UE

Alcuni sub-fornitori (Google) hanno sede negli Stati Uniti. Il trasferimento è coperto da:

  • Decisione di adeguatezza UE-USA "Data Privacy Framework" (10/07/2023)
  • Standard Contractual Clauses (SCC) come misura di salvaguardia aggiuntiva

7. Periodo di conservazione

I dati sono conservati per il tempo strettamente necessario:

  • Rapportini e foto: 5 anni dalla data di registrazione (obbligo D.Lgs 81/08)
  • Dati contabili rilevanti: 10 anni ex art. 2220 c.c.
  • Credenziali di accesso (PIN, password): fino alla cessazione del rapporto + 30 giorni
  • Log di accesso amministratori di sistema: 6 mesi (Provv. Garante 27/11/2008)

Al termine, i dati sono cancellati in modo sicuro o anonimizzati. I backup cifrati seguono il medesimo ciclo di retention.

8. Diritti dell'interessato (artt. 15-22 GDPR)

In qualsiasi momento puoi esercitare i seguenti diritti, scrivendo al Titolare:

  • Accesso (art. 15): ottenere conferma del trattamento e copia dei tuoi dati
  • Rettifica (art. 16): correggere dati inesatti
  • Cancellazione / oblio (art. 17): chiedere la cancellazione dei tuoi dati, salvo obblighi di legge
  • Limitazione (art. 18): chiedere la sospensione del trattamento
  • Portabilità (art. 20): ricevere i tuoi dati in formato strutturato (CSV/JSON)
  • Opposizione (art. 21): opporti al trattamento basato su legittimo interesse
  • Reclamo: rivolgerti al Garante per la protezione dei dati personali (www.garanteprivacy.it)

9. Misure di sicurezza

Il sistema applica le seguenti misure tecniche e organizzative ex art. 32 GDPR:

  • Connessioni cifrate TLS (HTTPS) con certificati Let's Encrypt
  • Password e PIN memorizzati con hash bcrypt (irreversibili)
  • Sessioni utente con JWT scadenza 12h, cookie HttpOnly + Secure + SameSite Lax
  • Backup giornalieri cifrati con GPG (chiave asimmetrica) su NAS off-site del Fornitore, riservato
  • Rate limiting sui tentativi di login
  • Log degli accessi amministrativi conservati 6 mesi
  • Aggiornamenti di sicurezza periodici del software
  • Procedura di notifica data breach al Titolare entro 24 ore dalla scoperta

10. Modifiche all'informativa

Questa informativa può essere aggiornata. Le modifiche sostanziali saranno notificate agli interessati tramite il sistema o tramite il datore di lavoro.