Logo

it
Ho già un account
Accedi al tuo account per continuare
Accedi

Data Processing Agreement (DPA)

Accordo per il Trattamento dei Dati Personali ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (“GDPR”)

Il presente Accordo per il Trattamento dei Dati Personali (“DPA” o “Accordo”) disciplina il trattamento dei dati personali effettuato nell’ambito dell’utilizzo della piattaforma SaaS Badge8108, sviluppata e gestita da AI Engineering.

Il presente DPA costituisce parte integrante delle Condizioni di Utilizzo della piattaforma e si applica a tutti i trattamenti di dati personali effettuati dal Fornitore per conto del Cliente ai sensi dell’art. 28 GDPR.

 

1. Parti dell’Accordo

Titolare del trattamento (“Cliente”)

La persona giuridica, impresa, ente, organizzazione o professionista che utilizza la piattaforma Badge8108 e determina finalità e mezzi del trattamento dei dati personali effettuato tramite il servizio.

Responsabile del trattamento (“Fornitore”)

AI Engineering Srl
Via Arturo Garofano 94
81031 Aversa (CE) – Italia
Email: info@ai-engineering.it

AI Engineering Srl opera quale Responsabile del trattamento ai sensi dell’art. 28 GDPR limitatamente alle attività necessarie all’erogazione tecnica della piattaforma Badge8108.

 

2. Oggetto dell’Accordo

Il presente Accordo disciplina le modalità con cui il Fornitore tratta dati personali per conto del Cliente nell’ambito dell’erogazione dei servizi offerti tramite la piattaforma Badge8108.

Il trattamento è effettuato esclusivamente per consentire:

  • l’erogazione della piattaforma SaaS;
  • la gestione tecnica e sistemistica del servizio;
  • l’hosting e la conservazione dei dati;
  • la sicurezza applicativa e infrastrutturale;
  • l’assistenza tecnica;
  • la manutenzione correttiva ed evolutiva;
  • il monitoraggio tecnico;
  • la prevenzione di utilizzi illeciti o abusivi;
  • la continuità operativa e il disaster recovery.

 

3. Natura e Finalità del Trattamento

Il Fornitore tratta i dati personali esclusivamente secondo le istruzioni documentate del Cliente e nei limiti necessari all’esecuzione dei servizi richiesti.

La piattaforma consente la gestione di processi organizzativi, documentali e operativi connessi, a titolo esemplificativo, a:

  • gestione lavoratori e imprese;
  • gestione badge digitali;
  • controllo accessi;
  • gestione cantieri e sedi operative;
  • onboarding di lavoratori e aziende esterne;
  • gestione formazione e attestati;
  • gestione qualifiche, abilitazioni e certificazioni;
  • gestione documentale sicurezza;
  • gestione sorveglianza sanitaria e idoneità;
  • gestione patente a crediti;
  • audit, verifiche e visite ispettive;
  • gestione segnalazioni operative;
  • gestione incidenti e near miss;
  • notifiche, alert e scadenze.

La piattaforma costituisce esclusivamente uno strumento tecnologico di supporto e non sostituisce gli obblighi di legge o le responsabilità previste dalla normativa vigente in capo al Cliente o ai soggetti da esso autorizzati.

 

4. Tipologie di Dati Trattati

Nell’ambito dell’erogazione del servizio possono essere trattati:

  • dati identificativi e anagrafici;
  • dati di contatto;
  • dati lavorativi e professionali;
  • dati relativi a formazione, qualifiche e abilitazioni;
  • dati relativi alla sicurezza sul lavoro;
  • dati relativi a imprese, subappaltatori e aziende ospitate;
  • dati relativi a cantieri, sedi operative e accessi;
  • dati relativi a timbrature e presenza;
  • dati contenuti nei documenti caricati dal Cliente;
  • dati relativi a audit, verifiche e segnalazioni;
  • log tecnici e operativi.

Qualora il Cliente utilizzi la piattaforma per trattare dati appartenenti a categorie particolari ai sensi dell’art. 9 GDPR, inclusi dati relativi alla sorveglianza sanitaria o all’idoneità lavorativa, il Cliente garantisce di essere pienamente legittimato al relativo trattamento e di aver adottato tutti gli adempimenti richiesti dalla normativa applicabile.

 

5. Categorie di Interessati

I dati trattati possono riferirsi a:

  • lavoratori;
  • dipendenti;
  • collaboratori;
  • consulenti;
  • referenti aziendali;
  • tecnici;
  • operatori di cantiere;
  • imprese appaltatrici e subappaltatrici;
  • aziende ospitate;
  • utenti autorizzati dal Cliente;
  • soggetti coinvolti nelle attività operative gestite tramite la piattaforma.

 

6. Obblighi del Fornitore

Il Fornitore si impegna a:

  • trattare i dati esclusivamente su istruzione del Cliente;
  • garantire la riservatezza del personale autorizzato;
  • adottare adeguate misure tecniche e organizzative;
  • assistere il Cliente nei limiti previsti dal GDPR;
  • notificare eventuali violazioni dei dati personali senza ingiustificato ritardo;
  • garantire che le persone autorizzate al trattamento siano vincolate da obblighi di riservatezza;
  • non utilizzare i dati per finalità proprie o diverse dall’erogazione del servizio.

 

7. Obblighi del Cliente

Il Cliente resta l’unico responsabile:

  • della liceità del trattamento dei dati personali;
  • della correttezza dei dati inseriti;
  • della validità e aggiornamento dei documenti caricati;
  • della gestione delle autorizzazioni e delle deleghe;
  • dell’individuazione dei soggetti autorizzati all’accesso;
  • del rispetto degli obblighi normativi applicabili;
  • della gestione delle informative e degli eventuali consensi richiesti dalla legge.

Il Cliente garantisce che i dati personali caricati nella piattaforma siano trattati in conformità al GDPR e alla normativa vigente.

 

8. Misure Tecniche e Organizzative

Il Fornitore adotta misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR, finalizzate a garantire un livello di sicurezza adeguato al rischio.

Tali misure comprendono, a titolo esemplificativo:

  • utilizzo di connessioni cifrate HTTPS/TLS;
  • sistemi di autenticazione e autorizzazione;
  • gestione dei ruoli e permessi utenti;
  • segregazione logica degli accessi;
  • logging tecnico e audit trail;
  • backup periodici;
  • monitoraggio infrastrutturale;
  • sistemi di protezione contro accessi non autorizzati;
  • sistemi di continuità operativa e disaster recovery;
  • aggiornamenti di sicurezza dell’infrastruttura applicativa.

 

9. Logging e Tracciabilità

La piattaforma può registrare log tecnici e operativi relativi agli accessi, alle modifiche documentali, alle operazioni effettuate dagli utenti e alle attività svolte all’interno del sistema.

Tali registrazioni possono essere utilizzate per:

  • garantire sicurezza e continuità operativa;
  • prevenire utilizzi illeciti o abusivi;
  • gestire incidenti di sicurezza;
  • verificare attività amministrative e operative;
  • tutelare il Cliente, gli utenti autorizzati e il Fornitore.

 

10. Sub-Responsabili del Trattamento

Il Cliente autorizza il Fornitore a ricorrere a sub-responsabili del trattamento per specifiche attività tecniche connesse all’erogazione del servizio.

Tra i principali fornitori utilizzati possono rientrare:

Il Fornitore si impegna a selezionare sub-responsabili che offrano garanzie adeguate in materia di protezione dei dati personali.

 

11. Trasferimenti Extra UE

Qualora alcuni servizi integrati comportino trasferimenti di dati verso Paesi extra UE, tali trasferimenti avverranno nel rispetto degli artt. 44 e seguenti del GDPR mediante l’adozione delle garanzie previste dalla normativa applicabile, incluse Clausole Contrattuali Standard ove necessarie.

 

12. Assistenza al Cliente

Il Fornitore, tenendo conto della natura del trattamento e delle informazioni disponibili, assisterà il Cliente nella gestione di:

  • richieste di esercizio dei diritti degli interessati;
  • valutazioni di impatto privacy (DPIA);
  • richieste dell’Autorità Garante;
  • gestione di violazioni dei dati personali;
  • obblighi previsti dagli artt. 32–36 GDPR.

L’assistenza straordinaria o eccedente le normali attività di supporto potrà essere soggetta a costi aggiuntivi.

 

13. Audit e Verifiche

Il Cliente può richiedere informazioni ragionevoli sulle misure di sicurezza adottate dal Fornitore.

Eventuali audit diretti dovranno:

  • essere previamente concordati;
  • non compromettere la sicurezza della piattaforma;
  • non interferire con altri clienti del servizio;
  • rispettare obblighi di riservatezza;
  • essere limitati agli aspetti pertinenti ai servizi utilizzati dal Cliente.

Audit invasivi, penetration test o verifiche infrastrutturali dirette potranno essere soggetti a limitazioni tecniche e organizzative.

 

14. Conservazione, Accesso ed Esportazione dei Dati

Per tutta la durata dell’abbonamento attivo, il Cliente mantiene pieno accesso ai dati, ai documenti e agli allegati presenti nella piattaforma tramite le funzionalità rese disponibili dal servizio.

Durante il periodo di validità del contratto, il Cliente e gli utenti autorizzati possono consultare, scaricare ed esportare autonomamente documenti, allegati e dati gestionali nei limiti delle funzionalità previste dal piano sottoscritto.

Gli allegati e i documenti caricati nella piattaforma restano normalmente disponibili tramite download diretto da parte degli utenti autorizzati senza necessità di intervento del Fornitore.

Il Cliente è responsabile della verifica, conservazione e del salvataggio dei propri dati e documenti prima della cessazione o mancato rinnovo del servizio.

In caso di scadenza, cessazione o mancato rinnovo dell’abbonamento:

  • l’accesso alla piattaforma viene disabilitato;
  • il Cliente e gli utenti autorizzati non possono più accedere alle funzionalità del servizio;
  • i dati, i documenti e gli allegati presenti nella piattaforma non saranno più accessibili tramite l’interfaccia applicativa.

Il Cliente è pertanto responsabile di effettuare, prima della scadenza del servizio, tutte le attività necessarie al download, salvataggio ed esportazione dei propri dati e documenti tramite le funzionalità rese disponibili dalla piattaforma.

Successivamente alla cessazione del servizio, il Fornitore non è tenuto a garantire l’accesso operativo alla piattaforma né la disponibilità permanente dei dati.

Eventuali richieste straordinarie di recupero, esportazione o migrazione dati successive alla cessazione del servizio potranno essere valutate esclusivamente a discrezione del Fornitore, compatibilmente con le esigenze tecniche e organizzative, e potranno essere soggette a costi aggiuntivi.

Il Fornitore non garantisce:

  • la conservazione illimitata dei dati successivamente alla cessazione del servizio;
  • esportazioni personalizzate o massive successive alla chiusura dell’account;
  • la consegna di dump completi del database;
  • attività manuali di ricostruzione archivi;
  • compatibilità con software o piattaforme terze.

Le copie di backup e disaster recovery sono realizzate esclusivamente per finalità di sicurezza e continuità operativa e non costituiscono modalità ordinaria di archiviazione o consegna dei dati al Cliente.

 

15. Proprietà dei Dati

Tutti i dati personali trattati tramite la piattaforma restano di esclusiva titolarità del Cliente.

Il Fornitore non acquisisce alcun diritto sui dati trattati salvo quanto strettamente necessario all’erogazione tecnica del servizio.

 

16. Violazioni dei Dati Personali (Data Breach)

In caso di violazione dei dati personali che possa comportare un rischio per i diritti e le libertà degli interessati, il Fornitore informerà il Cliente senza ingiustificato ritardo compatibilmente con le informazioni tecnicamente disponibili al momento della rilevazione dell’evento., fornendo le informazioni disponibili necessarie per consentire al Cliente di adempiere agli obblighi previsti dagli artt. 33 e 34 GDPR.

 

17. Limitazione di Responsabilità

Il Fornitore risponde esclusivamente nei limiti previsti dalla normativa applicabile e dal rapporto contrattuale in essere con il Cliente.

Il Fornitore non è responsabile per:

  • dati errati o caricati impropriamente dal Cliente;
  • trattamenti effettuati dal Cliente in violazione di legge;
  • autorizzazioni impropriamente concesse dal Cliente;
  • utilizzi illeciti della piattaforma da parte degli utenti autorizzati dal Cliente;
  • perdita di dati derivante da condotte imputabili al Cliente;
  • mancato salvataggio o esportazione dei dati prima della cessazione del servizio.

In nessun caso il Fornitore potrà essere ritenuto responsabile per danni indiretti, perdita di profitto, perdita di opportunità commerciali, perdita reputazionale, sanzioni o conseguenze derivanti dall’utilizzo improprio della piattaforma o da inadempimenti normativi imputabili al Cliente.

Alcune funzionalità della piattaforma dipendono da servizi e infrastrutture forniti da terze parti. Il Fornitore non risponde di eventuali indisponibilità, malfunzionamenti o limitazioni imputabili a tali soggetti.

 

18. Durata dell’Accordo

Il presente DPA resta efficace per tutta la durata dell’utilizzo della piattaforma Badge8108 da parte del Cliente e cesserà automaticamente alla cessazione del rapporto contrattuale, salvo eventuali obblighi di legge ulteriori.

 

19. Legge Applicabile e Foro Competente

Il presente Accordo è regolato dalla legge italiana.

Salvo diversa disposizione inderogabile di legge, ogni controversia relativa al presente DPA sarà devoluta alla competenza esclusiva del Foro di Napoli Nord.

 

20. Contatti

Per richieste relative al trattamento dei dati personali:

AI Engineering Srl
Via Arturo Garofano 94
81031 Aversa (CE) – Italia

Email: info@ai-engineering.it

 

 

Informativa Privacy Condizioni di Utilizzo Data Processing Agreement (DPA) Informativa Cookies