Il presente DPA integra le Condizioni Generali di Contratto ForgiaLean e si applica automaticamente a tutti i Clienti. L'accettazione delle Condizioni Generali costituisce accettazione del DPA.
1. Parti
Il Cliente che sottoscrive le Condizioni Generali di Contratto ForgiaLean.
ForgiaLean di Lica Marian Dutu, P.IVA 04336611209, Via Mezzo Ponente 520 Int. 02, 40014 Crevalcore (BO), info@forgialean.it.
2. Definizioni
Qualsiasi informazione riguardante persona fisica identificata o identificabile (Art. 4 par. 1 GDPR).
Qualsiasi operazione su dati personali (Art. 4 par. 2 GDPR).
Il Cliente che determina finalità e mezzi del trattamento (Art. 4 par. 7 GDPR).
ForgiaLean che tratta i dati per conto del Titolare (Art. 4 par. 8 GDPR).
Le persone fisiche i cui dati sono inseriti nella Piattaforma dal Cliente.
Qualsiasi violazione di sicurezza sui dati personali (Art. 4 par. 12 GDPR).
3. Oggetto e Durata
Il DPA disciplina il trattamento dei dati effettuato da ForgiaLean come Responsabile nell'erogazione dei Servizi. Durata pari al contratto di abbonamento. Alla cessazione si applicano le disposizioni della Sezione 12.
4. Categorie di Dati e Interessati
- Dati identificativi: nome, cognome, codice fiscale — moduli Personale, Badge, Patente Crediti.
- Dati di contatto: email, telefono — Personale, Notifiche.
- Dati lavorativi: qualifica, cantiere, orari presenze — Presenze QR, Scadenzario.
- Dati documentali: scadenza DURC, DVR, visite mediche, patente crediti, DURF — Scadenzario, Patente Crediti.
- Dati near miss e infortuni: descrizione evento, tipo, azione correttiva — Registro Near Miss.
- Immagini: foto operaio per badge, foto cantiere — Badge, AI Auditor.
- Dati tecnici: IP, log accesso, user agent — tutti i moduli.
Interessati
Operai e dipendenti del Cliente, subappaltatori e loro personale, referenti aziendali.
Dati particolari (art. 9 GDPR): la Piattaforma non è progettata per dati sanitari in senso clinico. Dati visite mediche riguardano scadenze amministrative di idoneità, non diagnosi cliniche. Per dati particolari eventualmente inseriti dal Cliente nei campi liberi, il Cliente ne assume piena responsabilità come Titolare.
5. Obblighi del Responsabile (art. 28.3 GDPR)
ForgiaLean si impegna a:
- Trattare i dati solo su istruzioni documentate del Titolare;
- Garantire riservatezza del personale autorizzato;
- Adottare misure di sicurezza (sezione 7);
- Rispettare condizioni sui sub-responsabili (sezione 6);
- Assistere il Titolare per richieste degli interessati (sezione 10);
- Assistere per breach, DPIA, consultazione preventiva;
- Restituire o cancellare dati alla cessazione (sezione 12);
- Mettere a disposizione informazioni per audit (sezione 11).
6. Sub-Responsabili
| Fornitore | Servizio | Sede del trattamento | Garanzie |
|---|---|---|---|
| Render Services Inc. | Hosting backend e DB PostgreSQL | Frankfurt (UE) | Trattamento in UE, ISO 27001 |
| Anthropic PBC | AI Auditor, elaborazione linguaggio naturale | USA | SCCs art. 46.2.c, zero training su dati API, zero data retention |
| Brevo SA | Email transazionali e marketing | UE (Francia) | DPA Brevo, ISO 27001 |
| Stripe Payments Europe Ltd | Pagamenti | UE (Irlanda) / USA | DPA Stripe, PCI DSS Level 1, SCCs |
| Cloudinary Ltd. | Storage e ottimizzazione immagini | USA / UE | DPA Cloudinary, ISO 27001, SCCs |
| Cloudflare Inc. | CDN, DNS, hosting landing | USA / UE (edge network) | DPA Cloudflare, ISO 27001, SCCs |
| SignWell Inc. | Firma elettronica contratti | USA | SCCs art. 46.2.c, DPA SignWell |
Notifica modifiche sub-responsabili: preavviso di 30 giorni. Il Titolare può opporsi entro 15 giorni.
7. Misure di Sicurezza (art. 32 GDPR)
- Cifratura in transito: TLS 1.3 su tutte le connessioni;
- Cifratura password: hashing bcrypt con salt;
- Autenticazione: JWT con expiry, rate limiting login;
- Controllo accessi: multi-tenant con isolamento completo per company_id, RBAC per ruoli, assert_company_access su tutti gli endpoint;
- Backup: automatico giornaliero su Render PostgreSQL;
- Integrità presenze: hash SHA-256 su ogni record presenza (conformità DL 159/2025);
- Monitoraggio: log accessi Render, audit log superadmin;
- Accesso produzione: limitato al solo titolare ForgiaLean.
8. Trasferimenti Internazionali
- Render — DB PostgreSQL: region Frankfurt (UE). Nessun trasferimento extra-UE per i dati core della Piattaforma.
- Brevo: data residency UE ove possibile, SCCs per trasferimenti residuali.
- Anthropic: zero data retention, zero training su dati API, SCCs.
- Cloudinary e Cloudflare: SCCs per trasferimenti extra-UE.
- SignWell: SCCs art. 46.2.c GDPR, Decisione UE 2021/914.
9. Notifica Violazione Dati (art. 33–34 GDPR)
ForgiaLean notifica il Titolare entro 48 ore dalla scoperta con: natura della violazione, categorie e numero approssimativo di interessati coinvolti, probabili conseguenze, misure adottate. Coopera con il Titolare per la notifica al Garante Privacy entro 72 ore. Documenta ogni violazione.
10. Assistenza Diritti Interessati (art. 15–22 GDPR)
| Diritto | Termine risposta |
|---|---|
| Accesso (art. 15) | 5 giorni lavorativi |
| Rettifica (art. 16) | 5 giorni lavorativi |
| Cancellazione (art. 17) | 10 giorni lavorativi |
| Limitazione (art. 18) | 5 giorni lavorativi |
| Portabilità (art. 20) | 10 giorni lavorativi (CSV/JSON) |
| Opposizione (art. 21) | 5 giorni lavorativi |
Richieste via email a info@forgialean.it.
11. Audit (art. 28.3.h GDPR)
- Questionario di sicurezza su richiesta entro 15 giorni lavorativi;
- Audit documentale entro 20 giorni;
- Audit in loco previo accordo scritto con 30 giorni di preavviso, a spese del Titolare.
12. Restituzione e Cancellazione
Su richiesta entro 30 giorni dalla cessazione: restituzione dati in formato CSV/JSON. In assenza di richiesta: cancellazione entro 90 giorni. I backup vengono eliminati nel normale ciclo di rotazione (max 30 giorni). Eccezioni per obblighi di legge (documentazione fiscale). Cancellazione confermata per iscritto.
13. Responsabilità
Art. 82 GDPR. Ciascuna parte risponde per danni da trattamento non conforme nella propria sfera. Il Cliente garantisce le basi giuridiche per il trattamento dei dati del proprio personale.
14. Legge Applicabile
Legge italiana e Regolamento UE 2016/679. Foro: Tribunale di Bologna. Autorità di controllo: Garante Privacy, Piazza Venezia 11, 00187 Roma.
L'accettazione delle Condizioni Generali costituisce accettazione integrale del presente DPA.