Privacy Policy

Questa informativa descrive come IlFaldone(di seguito "il Servizio") tratta i dati personali degli utenti e dei loro collaboratori, in conformità al Regolamento UE 2016/679 ("GDPR") e al D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.

1. Titolare del trattamento

SMART FAMILY HOTEL S.R.L.
P.IVA 03575940139
Sede legale: Via Giacomo Scalini 70, 22034 Brunate (CO), Italia
Email: aprealessandro@gmail.com

Fase pre-commerciale: il Servizio è attualmente in uso interno presso il Titolare come prodotto in sviluppo. Prima della commercializzazione verrà costituita società dedicata e aggiornata l'intestazione.

2. Dati trattati

Il Servizio tratta le seguenti categorie di dati:

• Dati identificativi degli utenti: indirizzo email utilizzato per l'accesso via magic link.
• Dati dei collaboratori/dipendenti dell'azienda cliente: nome, cognome, ruolo, struttura di appartenenza, email aziendale, telefono, data di assunzione, tipologia di contratto.
• Documenti caricati: attestati di formazione (HACCP, antincendio, primo soccorso, formazione lavoratori, RSPP, RLS, ecc.), certificati di idoneità sanitaria, DVR, manuali HACCP e relativi metadati estratti automaticamente.
• Categorie particolari (art. 9 GDPR): limitatamente a certificati di idoneità sanitaria al lavoro, trattati esclusivamente per obbligo di legge (art. 9.2.b GDPR) e con misure di sicurezza rafforzate.
• Log tecnici: interazioni con l'intelligenza artificiale (timestamp, modello, consumo token, costi), necessarie per audit e contabilità interna.

3. Finalità e base giuridica

• Adempimento obblighi di legge in materia di sicurezza sul lavoro (D.Lgs 81/08) e igiene alimentare (Reg. CE 852/2004) — base giuridica: art. 6.1.c GDPR (obbligo legale).
• Gestione del rapporto di lavoro e organizzazione della formazione — base giuridica: art. 6.1.b GDPR (esecuzione contratto) e art. 9.2.b GDPR per i dati sanitari.
• Erogazione del Servizio e miglioramento del prodotto su aggregato anonimizzato — base giuridica: art. 6.1.f GDPR (legittimo interesse).

4. Modalità del trattamento

Il trattamento avviene con strumenti elettronici, con misure tecniche e organizzative adeguate a garantire riservatezza, integrità e disponibilità dei dati.

• Cifratura dei dati a riposo (AES-256) e in transito (TLS 1.3).
• Autenticazione tramite magic link email, senza password memorizzate.
• Isolamento multi-tenant a livello di database (Row-Level Security).
• Log di audit per le operazioni rilevanti.
• Accesso ristretto al personale autorizzato del Titolare.

5. Responsabili del trattamento (sub-processor)

Il Servizio si avvale dei seguenti fornitori tecnologici, con i quali sono in essere accordi di trattamento (DPA) e clausole contrattuali standard dove applicabili:

• Supabase, Inc. — database, autenticazione, storage file. Server in UE (Francoforte, Germania).
• Vercel, Inc. — hosting applicazione. Server in UE con edge globale.
• Anthropic PBC — servizio di intelligenza artificiale per estrazione dati dai documenti. Con opt-out dall'uso dei dati per addestramento modelli.
• Aruba S.p.A. — registrar del dominio. Server in Italia.

6. Trasferimenti extra-UE

Alcuni fornitori hanno sede negli Stati Uniti (Vercel, Anthropic). I trasferimenti avvengono sulla base di Clausole Contrattuali Standard (SCC)adottate dalla Commissione Europea e, ove applicabile, dell'adesione al Data Privacy Framework UE-USA.

7. Conservazione dei dati

• Dati di formazione e sicurezza: durata del rapporto + 5 anni dopo la cessazione (conforme agli obblighi del D.Lgs 81/08).
• Certificati sanitari: conservati fino al termine del rapporto di lavoro e cancellati salvo diversa prescrizione di legge.
• Log tecnici: 24 mesi.
• Dati dell'utente dopo la cessazione del Servizio: cancellati entro 30 giorni, salvo obblighi di conservazione.

8. Diritti dell'interessato

L'interessato può esercitare in ogni momento i diritti previsti dagli artt. 15-22 GDPR:

• Accesso ai dati e ottenimento di copia
• Rettifica dei dati inesatti
• Cancellazione ("diritto all'oblio")
• Limitazione del trattamento
• Portabilità dei dati in formato strutturato (JSON/CSV)
• Opposizione al trattamento
• Reclamo all'Autorità Garante per la protezione dei dati personali (garanteprivacy.it)

Per esercitare i diritti scrivere a aprealessandro@gmail.com.

9. Aggiornamenti

Ci riserviamo il diritto di aggiornare questa informativa. Le modifiche verranno pubblicate su questa pagina con indicazione della data di ultimo aggiornamento.