ForgiaLean si impegna a proteggere la privacy dei propri utenti. Questa Privacy Policy descrive come raccogliamo, utilizziamo, divulghiamo e proteggiamo le informazioni personali in conformità con il GDPR (Reg. UE 2016/679) e il Codice in materia di protezione dei dati personali (D.Lgs. 196/2003 e successive modifiche).
1. Titolare del Trattamento
Il Titolare del Trattamento dei dati personali è ForgiaLean di Lica Marian Dutu, P.IVA 04336611209, con sede legale in Via Mezzo Ponente 520 Int. 02, 40014 Crevalcore (BO).
Contatti: info@forgialean.it
2. Dati Raccolti
Raccogliamo diverse tipologie di dati personali per fornire e migliorare il nostro servizio:
- Dati di registrazione: nome, cognome, indirizzo email, numero di telefono, password, ragione sociale dell'azienda, partita IVA, indirizzo della sede legale, dati del cantiere (nome, indirizzo).
- Dati di utilizzo: informazioni su come il servizio viene utilizzato, inclusi accessi, funzionalità utilizzate, tempi di sessione.
- Dati di pagamento: informazioni relative ai pagamenti tramite Stripe (non memorizziamo direttamente i dati della carta di credito, ma solo i token di transazione).
- Dati di marketing: preferenze di comunicazione, interazioni con le nostre campagne marketing (tramite Brevo).
- Dati operativi DL 159/2025: presenze QR, scadenze documentali (DURC, DVR, visite mediche, patente crediti, DURF), foto operai per badge digitale, foto cantiere, registro near miss e infortuni.
3. Base Giuridica del Trattamento
Il trattamento dei dati personali è basato sulle seguenti basi giuridiche, come previsto dall'Art. 6 del GDPR:
- Esecuzione di un contratto: per fornire i servizi richiesti (registrazione, accesso alla piattaforma, gestione del cantiere).
- Obbligo legale: per adempiere agli obblighi di legge, in particolare quelli derivanti dal D.L. 159/2025 relativo al Badge Digitale nei cantieri.
- Consenso: per l'invio di comunicazioni di marketing diretto, laddove richiesto e fornito esplicitamente dall'utente.
- Legittimo interesse: per migliorare i nostri servizi, prevenire frodi e garantire la sicurezza della piattaforma.
4. Finalità del Trattamento
I dati raccolti sono utilizzati per:
- Fornire e gestire il servizio ForgiaLean;
- Gestire la registrazione dell'account e l'accesso alla piattaforma;
- Elaborare pagamenti e transazioni;
- Comunicare con l'utente riguardo al servizio, aggiornamenti e offerte;
- Garantire la conformità con il D.L. 159/2025 e altre normative vigenti;
- Migliorare e personalizzare l'esperienza utente;
- Analizzare l'utilizzo del servizio per scopi statistici e di sviluppo;
- Prevenire attività fraudolente o non autorizzate.
5. Modalità del Trattamento e Sicurezza
Il trattamento dei dati avviene con strumenti elettronici e cartacei, adottando misure di sicurezza tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio, in conformità con l'Art. 32 del GDPR:
- Crittografia dei dati (TLS 1.3 in transito; hashing bcrypt con salt per le password);
- Autenticazione JWT con expiry e rate limiting sul login;
- Multi-tenant con isolamento completo per company_id;
- Backup automatico giornaliero crittografato;
- Hash SHA-256 su ogni record presenza (conformità DL 159/2025);
- Monitoraggio costante della sicurezza della piattaforma e audit log.
6. Condivisione dei Dati e Sub-Responsabili
I dati personali possono essere condivisi esclusivamente con i seguenti fornitori, nominati Responsabili del Trattamento e vincolati da accordi contrattuali (DPA) che garantiscono la protezione dei dati:
- Render Services Inc. — hosting backend e database PostgreSQL, region Frankfurt (UE);
- Brevo SA — email transazionali e marketing, sede UE (Francia);
- Stripe Payments Europe Ltd — elaborazione pagamenti, sede UE (Irlanda);
- Cloudflare Inc. — CDN, DNS e hosting landing;
- Cloudinary Ltd. — storage e ottimizzazione immagini;
- Anthropic PBC — funzionalità AI (auditor sicurezza, analisi foto, assistente), zero data retention e zero training su dati API;
- SignWell Inc. — firma elettronica contratti.
I dati personali possono inoltre essere comunicati alle Autorità Legali laddove richiesto dalla legge o per rispondere a procedimenti legali validi.
Per il dettaglio completo dei sub-responsabili, delle sedi del trattamento e delle garanzie applicabili, si rinvia al Data Processing Agreement.
7. Trasferimento Dati Extra-UE
Il database con tutti i dati personali della Piattaforma è ospitato in region Frankfurt (UE). Qualora alcuni sub-responsabili comportino trasferimenti al di fuori dell'Unione Europea (in particolare Anthropic, SignWell, Cloudinary e Cloudflare), tali trasferimenti avvengono in conformità con il GDPR, adottando adeguate garanzie:
- Clausole Contrattuali Standard (SCCs) ai sensi dell'art. 46.2.c GDPR e Decisione UE 2021/914;
- Misure tecniche supplementari (cifratura, pseudonimizzazione, minimizzazione);
- Decisioni di adeguatezza ove disponibili.
8. Diritti dell'Interessato
In qualità di interessato, l'utente ha i seguenti diritti ai sensi del GDPR:
Per esercitare questi diritti, l'utente può contattarci all'indirizzo info@forgialean.it.
9. Conservazione dei Dati
I dati personali sono conservati per il tempo strettamente necessario al raggiungimento delle finalità per cui sono stati raccolti, o per adempiere agli obblighi legali. I dati relativi al D.L. 159/2025 saranno conservati per il periodo richiesto dalla normativa specifica.
10. Modifiche a questa Privacy Policy
Ci riserviamo il diritto di aggiornare questa Privacy Policy in qualsiasi momento. Le modifiche saranno pubblicate su questa pagina con la data dell'ultimo aggiornamento. Si consiglia di consultare periodicamente questa pagina per eventuali modifiche.
Riferimenti normativi
- [1] Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 — Regolamento Generale sulla Protezione dei Dati (GDPR).
- [2] Decreto Legge 159/2025 — Misure urgenti per la tutela della salute e della sicurezza sui luoghi di lavoro e in materia di protezione civile, convertito in Legge 198/2025.
- [3] D.Lgs. 196/2003 e successive modifiche — Codice in materia di protezione dei dati personali.