Informativa Privacy
La presente informativa è resa ai sensi degli articoli 13 e 14 del Regolamento UE 2016/679 (“GDPR”) e del D.lgs. 196/2003 e s.m.i. (“Codice Privacy”) agli utenti che visitano il sito e/o utilizzano la piattaforma Valyo (di seguito anche “Piattaforma” o “Servizio”).
1. Titolare del trattamento
Il Titolare del trattamento dei dati è:
- Denominazione: Nextgen HR S.r.l.
- Sede legale: Viale Thomas Alva Edison 110, 20099 Sesto San Giovanni (MI)
- P.IVA / C.F.: IT14095140969
- REA: MI-2761216
- PEC: [email protected]
- Email: [email protected]
(di seguito, “Titolare” o “Valyo”).
2. Punto di contatto per la privacy
Per qualunque richiesta relativa al trattamento dei dati personali e all’esercizio dei diritti di cui ai successivi paragrafi, l’interessato può rivolgersi a:
Al momento il Titolare non ha nominato un Responsabile della Protezione dei Dati (DPO), non ricorrendo le condizioni di obbligatorietà ex art. 37 GDPR.
3. Categorie di interessati
L’informativa si rivolge a tre categorie di interessati:
- Visitatori del sito pubblico (homepage, pagine informative, form di contatto).
- Utenti registrati della Piattaforma (amministratori, consulenti, utenti aziendali, dipendenti che accedono come utenti finali).
- Dipendenti delle Aziende Clienti i cui dati sono caricati nella Piattaforma dai rispettivi datori di lavoro. Per questa categoria Valyo agisce come Responsabile del trattamento ai sensi dell’art. 28 GDPR per conto dell’Azienda Cliente, che resta il Titolare. Il trattamento è disciplinato dall’apposito Accordo sul trattamento dei dati (DPA) allegato ai Termini di Servizio. Le richieste di esercizio dei diritti vanno indirizzate al proprio datore di lavoro; Valyo presterà la necessaria assistenza al Titolare.
4. Categorie di dati trattati
4.1 Dati dei visitatori del sito
- Dati di navigazione (indirizzo IP, user-agent, pagine visitate, timestamp).
- Dati di contatto forniti volontariamente compilando il form di contatto (nome, email, contenuto del messaggio).
4.2 Dati degli utenti registrati della Piattaforma
- Dati identificativi e di contatto: email, nome, cognome, codice fiscale (ove richiesto), eventuale identificativo esterno per integrazioni SSO.
- Credenziali: password (memorizzata esclusivamente in forma di hash crittografico, mai in chiaro).
- Dati di profilo applicativo: ruolo assegnato (RBAC), aziende/holding/studi di consulenza associati, eventuali API key emesse.
- Dati di accesso e audit: log di login (data, esito, IP), log di sessione di impersonation amministrativa, log di richieste effettuate tramite API key (endpoint, metodo, IP, status code).
- Dati tecnici: indirizzo IP, user-agent, identificativo del tenant (sottodominio).
4.3 Dati dei dipendenti delle Aziende Clienti
Sono trattati per conto dell’Azienda Cliente. Per la descrizione completa si rinvia al DPA. In sintesi: anagrafica (nome, cognome, codice fiscale, data di nascita, sesso, email, provincia di residenza, qualifica) e dati contrattuali/retributivi (RAL, bonus, welfare, benefit, CCNL, contratto, qualifica, job title, provincia di lavoro, matricola).
4.4 Categorie particolari di dati (art. 9 GDPR)
La Piattaforma non tratta categorie particolari di dati ex art. 9 GDPR (origine, opinioni politiche, convinzioni religiose, dati genetici, biometrici, sulla salute, sulla vita o orientamento sessuale, appartenenza sindacale individuale). Il CCNL applicato è il contratto collettivo applicato dal datore di lavoro e non rivela appartenenza sindacale del singolo dipendente.
5. Finalità e base giuridica del trattamento
| # | Finalità | Base giuridica |
|---|---|---|
| a | Fornitura del Servizio: registrazione, autenticazione, accesso a funzionalità della Piattaforma | Esecuzione del contratto ex art. 6.1.b GDPR |
| b | Gestione amministrativa, fatturazione e adempimenti contabili/fiscali | Obbligo di legge ex art. 6.1.c GDPR |
| c | Sicurezza informatica, prevenzione frodi, gestione incidenti, log applicativi e di audit | Legittimo interesse ex art. 6.1.f GDPR — interesse del Titolare a proteggere il Servizio e gli utenti |
| d | Analisi statistiche aggregate dell’utilizzo della Piattaforma (Google Analytics 4) | Consenso ex art. 6.1.a GDPR (raccolto via cookie banner) |
| e | Risposta a richieste di contatto pervenute tramite form pubblico | Esecuzione di misure precontrattuali / legittimo interesse ex art. 6.1.f GDPR |
| f | Comunicazioni commerciali e marketing diretto | Consenso esplicito ex art. 6.1.a GDPR — al momento non utilizzato |
Il conferimento dei dati per le finalità (a), (b), (c) è necessario per usufruire del Servizio: in caso di mancato conferimento non sarà possibile registrare un account o erogare la Piattaforma. Il conferimento per le finalità (d), (e), (f) è facoltativo.
6. Modalità di trattamento
I dati sono trattati con strumenti elettronici. Le misure di sicurezza tecniche e organizzative includono:
- Cifratura in transito: comunicazioni protette con TLS 1.2 o superiore.
- Cifratura a riposo: dischi cifrati a livello di provider hosting.
- Isolamento multi-tenant: separazione logica dei dati di ciascun cliente a livello di schema PostgreSQL.
- Controllo accessi (RBAC): ruoli e permessi granulari, principio del minimo privilegio.
- Audit log: registrazione di accessi, modifiche significative e operazioni di impersonation amministrativa.
- Hashing password: archiviazione delle password con algoritmi crittografici di hashing.
- Cookie di autenticazione: sessioni protette tramite cookie
httpOnlycon scadenza. - Rate limiting e timeout per mitigare attacchi automatizzati.
- Backup periodici conservati nello stesso provider e nella stessa area geografica del database principale.
7. Periodi di conservazione
| Tipologia di dato | Periodo di conservazione |
|---|---|
| Account utente piattaforma | Per la durata del rapporto contrattuale + 24 mesi dalla cessazione, salvo obblighi di legge superiori |
| Log di autenticazione (login attempts) | 24 mesi |
| Log di impersonation amministrativa | 24 mesi |
| Log di richieste API key | 24 mesi |
| Log applicativi di errore (server_errors) | 24 mesi |
| Cookie tecnici di sessione | Durata della sessione di navigazione |
| Cookie analitici (Google Analytics 4) | Vedi Cookie Policy |
| Dati di contatto (form pubblico) | 24 mesi dalla risposta, salvo conversione in cliente |
| Dati di fatturazione e contabilità | 10 anni ex art. 2220 c.c. |
| Dati dei dipendenti delle Aziende Clienti | Determinato dall’Azienda Cliente (Titolare) — vedi DPA |
8. Destinatari dei dati
I dati sono accessibili al personale autorizzato del Titolare, espressamente designato e formato.
I dati possono essere trattati da Responsabili del trattamento esterni (sub-responsabili / fornitori), nominati ex art. 28 GDPR:
| Fornitore | Servizio | Sede del trattamento | Trasferimenti extra-UE |
|---|---|---|---|
| Hetzner Online GmbH | Hosting server, database, backup | Germania (UE) | No |
| Hostinger International Ltd. | Invio email transazionali (SMTP) | Lituania / Cipro (UE) | No |
| Google Ireland Limited | Analisi statistiche aggregate (Google Analytics 4) | Irlanda (UE), con possibile trasferimento USA | Sì — vedi paragrafo 9 |
I dati non sono diffusi né ceduti a terzi per finalità di marketing. Possono essere comunicati ad autorità giudiziarie, amministrative o di vigilanza esclusivamente in adempimento a obblighi di legge o a richieste legittime.
9. Trasferimenti di dati extra-UE
L’infrastruttura tecnica della Piattaforma (database, applicativi, backup, email transazionali) è ospitata interamente nell’Unione Europea.
Un trasferimento di dati personali verso gli Stati Uniti avviene esclusivamente in relazione al servizio Google Analytics 4, fornito da Google Ireland Limited con possibile trasferimento delle informazioni negli Stati Uniti d’America. Il trasferimento è garantito da:
- adesione di Google LLC al EU-U.S. Data Privacy Framework (decisione di adeguatezza Commissione UE del 10 luglio 2023);
- Clausole Contrattuali Tipo (SCC) sottoscritte tra Google e l’utente del Servizio.
L’attivazione di Google Analytics 4 avviene previo consenso prestato dall’interessato attraverso il cookie banner. In assenza di consenso, i tag di tracciamento non vengono caricati.
10. Diritti dell’interessato
In qualunque momento l’interessato può esercitare i seguenti diritti previsti dagli articoli 15-22 GDPR:
- Accesso ai propri dati (art. 15).
- Rettifica dei dati inesatti (art. 16).
- Cancellazione dei dati nei casi previsti (art. 17).
- Limitazione del trattamento (art. 18).
- Portabilità dei dati in formato strutturato (art. 20).
- Opposizione al trattamento basato su legittimo interesse (art. 21).
- Revoca del consenso in qualunque momento, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca (art. 7.3).
- Reclamo all’Autorità di controllo: Garante per la Protezione dei Dati Personali, Piazza Venezia 11, 00187 Roma — www.garanteprivacy.it.
I diritti possono essere esercitati scrivendo a [email protected]. Il Titolare risponderà entro 30 giorni dalla ricezione della richiesta, prorogabili in caso di richieste particolarmente complesse.
Per i dati dei dipendenti delle Aziende Clienti, le richieste vanno rivolte al rispettivo datore di lavoro (Titolare); Valyo, in qualità di Responsabile, presterà la necessaria assistenza.
11. Modifiche all’informativa
Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento, dandone informazione agli interessati attraverso la pubblicazione della versione aggiornata sulla Piattaforma. Per modifiche sostanziali sarà inviata comunicazione via email agli utenti registrati. Sarà sempre indicata la data di ultimo aggiornamento.