Privacy Policy

1. Titolare del trattamento

Il titolare del trattamento dei dati personali degli utenti della piattaforma è Giorgio Melis, P.IVA 04072040928, con sede in Via Wagner 7, 09045 Quartu Sant'Elena (CA) — di seguito "il Titolare".

Indirizzo email di contatto per la privacy: assistenza@haccpsemplificato.cloud

2. Dati raccolti e finalità del trattamento

2.1 Dati di registrazione e account

Per creare e gestire l'account raccogliamo: nome, indirizzo email e password (conservata in forma cifrata e irreversibile con algoritmo di hashing one-way con salt, standard del settore). Senza questi dati non è possibile erogare il Servizio.

Base giuridica: esecuzione del contratto (art. 6, par. 1, lett. b GDPR). Conservazione: per tutta la durata del contratto e fino a 60 giorni dalla chiusura dell'account.

2.2 Dati di fatturazione

Per l'emissione di documenti fiscali raccogliamo: nome o ragione sociale, indirizzo, Codice Fiscale / P.IVA, codice SDI, indirizzo PEC.

Base giuridica: obbligo legale (art. 6, par. 1, lett. c GDPR). Conservazione: 10 anni ai sensi degli obblighi fiscali e contabili.

2.3 Dati operativi HACCP

Nell'ambito dell'utilizzo della piattaforma l'utente inserisce autonomamente dati relativi alla propria attività: rilevazioni di temperatura, registri pulizie, anomalie, dati dei fornitori, registri tracciabilità. Questi dati sono di proprietà esclusiva dell'utente e vengono trattati esclusivamente per erogare il Servizio.

Base giuridica: esecuzione del contratto (art. 6, par. 1, lett. b GDPR). Conservazione: per tutta la durata del contratto. Alla cessazione, i dati operativi sono conservati per un periodo tecnico di 60 giorni per consentire l'export da parte dell'utente, dopodiché sono eliminati definitivamente. La determinazione dei periodi di conservazione obbligatori dei registri HACCP (ai sensi del Reg. CE 852/2004 e normativa nazionale applicabile) è responsabilità esclusiva dell'utente quale Titolare del trattamento: il Servizio è uno strumento operativo e non garantisce la conformità ai requisiti di conservazione documentale previsti dalla legge. Si raccomanda all'utente di provvedere autonomamente all'archiviazione dei registri obbligatori.

2.4 Dati di dipendenti e responsabili — titolarità dell'utente

La piattaforma consente di inserire informazioni sui responsabili HACCP e sul personale: nome, ruolo, fotografia, attestati di formazione, dati sulle visite mediche (idoneità sanitaria). Tali dati sono inseriti direttamente dall'utente titolare dell'attività.

Relativamente ai dati dei propri dipendenti e collaboratori, l'utente agisce in qualità di autonomo titolare del trattamento ai sensi dell'art. 4, n. 7 GDPR. Il Titolare (Giorgio Melis) tratta tali dati esclusivamente come responsabile del trattamento ai sensi dell'art. 28 GDPR, su istruzione dell'utente e nell'ambito strettamente necessario all'erogazione del Servizio.

L'utente è il solo responsabile di aver acquisito la base giuridica idonea (consenso informato, contratto di lavoro, obbligo legale) prima di inserire dati personali di terzi nella piattaforma, nonché di aver adempiuto agli obblighi informativi verso i propri dipendenti ai sensi degli artt. 13–14 GDPR.

L'Accordo sul trattamento dei dati ai sensi dell'art. 28 GDPR (DPA — Data Processing Agreement) è integralmente incorporato nei Termini di Utilizzo (sezione 16) e viene accettato dall'utente al momento della registrazione, contestualmente all'accettazione dei Termini. Gli utenti che necessitano di un DPA separato firmato (ad esempio per esigenze di compliance interna, richieste di audit o procedure di vendor assessment) possono richiederne uno inviando apposita richiesta scritta a assistenza@haccpsemplificato.cloud. Il DPA separato avrà valore integrativo rispetto ai Termini e non ne modificherà le disposizioni vigenti.

Base giuridica (trattamento da parte del Titolare come responsabile): esecuzione del contratto di servizio e adempimento delle istruzioni documentate impartite dall'utente titolare del trattamento (art. 6, par. 1, lett. b GDPR; art. 28 GDPR).

2.5 Dati di idoneità sanitaria — categoria speciale

La piattaforma consente di registrare i dati relativi alle visite mediche di idoneità sanitaria del personale (medico competente, data visita, esito, documento allegato). Tali dati rientrano nella categoria dei dati relativi alla salute ai sensi dell'art. 9 GDPR e sono trattati dal Titolare esclusivamente come responsabile del trattamento, su istruzione dell'utente.

Base giuridica per l'inserimento da parte dell'utente: obbligo legale derivante dalla normativa in materia di sicurezza sul lavoro (D.Lgs. 81/2008, art. 41) e igiene alimentare (Reg. CE 852/2004), che impone la sorveglianza sanitaria del personale a contatto con alimenti (art. 9, par. 2, lett. b GDPR). L'utente è il solo responsabile di aver acquisito la base giuridica idonea prima di inserire tali dati e di aver adempiuto agli obblighi informativi verso i propri dipendenti ai sensi degli artt. 13–14 GDPR.

2.6 Dati di navigazione, log tecnici e audit log

I sistemi informatici acquisiscono automaticamente indirizzi IP e informazioni tecniche (browser, sistema operativo, orario di accesso) necessari al funzionamento del servizio, a fini di sicurezza, prevenzione di abusi e diagnostica. Tali dati non sono utilizzati per la profilazione degli utenti.

La piattaforma mantiene inoltre un registro delle operazioni (audit log) che traccia le principali azioni compiute nell'account (inserimento, modifica, eliminazione di registri, accessi, generazione report). Per ogni evento vengono registrati: identificativo e nome dell'utente, tipologia dell'azione, modulo e risorsa coinvolta, indirizzo IP, user agent del browser, data e ora, esito (successo/errore). Tali dati sono utilizzati esclusivamente per sicurezza, conformità normativa e supporto tecnico; non sono mai impiegati per profilazione commerciale.

Base giuridica: legittimo interesse (art. 6, par. 1, lett. f GDPR) — tutela della sicurezza del servizio e degli utenti. Conservazione log tecnici: massimo 12 mesi, salvo necessità di conservazione prolungata per indagini su incidenti di sicurezza. Conservazione audit log: 24 mesi dalla generazione del singolo evento.

2.7 Messaggi di supporto tecnico

Tramite la sezione "Supporto" della piattaforma l'utente può aprire ticket di assistenza e inviare messaggi al team del Titolare. I messaggi inviati (oggetto, testo, data) vengono conservati nel database del Servizio per consentire il prosieguo della conversazione e tenere traccia delle soluzioni adottate.

Base giuridica: esecuzione del contratto (art. 6, par. 1, lett. b GDPR). Conservazione: per tutta la durata del contratto e fino a 60 giorni dalla chiusura dell'account.

2.8 Comunicazioni email

L'indirizzo email è utilizzato per l'invio di comunicazioni di servizio (verifica account, reset password, notifiche tecniche, comunicazioni relative all'abbonamento). Le email di marketing sono inviate solo previo consenso esplicito.

Base giuridica per comunicazioni di servizio: esecuzione del contratto. Base giuridica per marketing: consenso (art. 6, par. 1, lett. a GDPR), revocabile in qualsiasi momento.

3. Modalità di conservazione e sicurezza

I dati sono conservati su server dedicati situati nell'Unione Europea. Vengono adottate misure tecniche e organizzative adeguate al rischio, tra cui: cifratura delle password con algoritmo di hashing one-way con salt standard del settore, connessioni cifrate HTTPS/TLS, database isolato per ciascun cliente, cifratura simmetrica autenticata standard dei token OAuth, controllo degli accessi basato su sistema di autenticazione sicuro.

Per garantire la continuità operativa, il Titolare effettua backup giornalieri automatici. I dati sono cifrati prima del trasferimento verso i sistemi di archiviazione ridondanti, e protetti anche a riposo mediante cifratura simmetrica autenticata (AES-256-GCM). I backup sono conservati nell'Unione Europea o in paesi che garantiscono un livello di protezione adeguato ai sensi degli artt. 44–49 GDPR.

Nonostante le misure adottate, nessun sistema di trasmissione o archiviazione elettronica è sicuro al 100%. Il Titolare non può garantire la sicurezza assoluta dei dati. In caso di violazione dei dati personali (data breach) rilevante ai sensi dell'art. 33 GDPR:

• Nella propria veste di Responsabile del trattamento per i dati HACCP operativi, Giorgio Melis notificherà il cliente-Titolare senza ingiustificato ritardo e comunque in tempo utile a consentire a quest'ultimo di adempiere all'obbligo di notifica al Garante entro 72 ore dall'accertamento (art. 33 GDPR). La notifica al Garante in tale ipotesi spetta al cliente quale Titolare del trattamento.
• Per i dati di cui Giorgio Melis è Titolare autonomo (account, fatturazione, log tecnici), provvederà direttamente alla notifica al Garante entro 72 ore e, ove richiesto dall'art. 34 GDPR, agli interessati.

4. Comunicazione a terzi e trasferimenti internazionali

I dati possono essere comunicati alle seguenti categorie di soggetti terzi, che agiscono come responsabili del trattamento o come titolari autonomi:

• Stripe Inc. (USA) — gestore del pagamento e dell'abbonamento. Stripe agisce come titolare autonomo per i dati di pagamento. Il trasferimento verso gli USA avviene sulla base delle Clausole Contrattuali Standard adottate dalla Commissione Europea. Informativa: stripe.com/it/privacy
• OpenAI, L.L.C. (USA) — utilizzata per generare suggerimenti automatici in risposta alle anomalie registrate e per il riconoscimento ottico di documenti (DDT, olio esausto). Le funzionalità AI sono opzionali: la loro disattivazione non pregiudica l'utilizzo del Servizio. I dati inviati ad OpenAI sono minimizzati (solo le informazioni strettamente necessarie all'elaborazione) e, ove tecnicamente possibile, pseudonimizzati. Vengono sistematicamente evitati identificativi diretti (nome, cognome, dati anagrafici) quando non necessari all'elaborazione richiesta. Prima dell'invio, i testi sono sottoposti a rimozione automatica dei principali identificatori strutturati (email, codice fiscale, P.IVA, numeri di telefono). Il trasferimento verso gli USA avviene sulla base delle Clausole Contrattuali Standard. OpenAI, in qualità di responsabile del trattamento, si impegna contrattualmente a non utilizzare i dati API per addestrare i propri modelli. Informativa: openai.com/policies/privacy-policy
• Google LLC (USA) — su esplicita richiesta e autorizzazione dell'utente, i report PDF possono essere caricati sul proprio Google Drive personale tramite autenticazione OAuth2 (scope limitato a drive.file). Inoltre, il Titolare utilizza Google Drive per i backup automatici giornalieri dell'infrastruttura del Servizio. Il trasferimento verso gli USA avviene sulla base delle Clausole Contrattuali Standard. Informativa: policies.google.com/privacy
• Hostinger International Ltd. (EU) — fornitore del servizio SMTP utilizzato per l'invio delle email transazionali (verifica account, reset password, notifiche di servizio). Agisce come responsabile del trattamento. Il trattamento avviene all'interno dell'Unione Europea. Informativa: hostinger.it/privacy-policy
• Provider di hosting (Unione Europea) — provider del server (VPS) dove sono ospitati i dati operativi e i database dei clienti. Agisce come responsabile del trattamento. Nessun trasferimento extra-UE.

I dati non vengono venduti, ceduti o comunicati a terzi per finalità di marketing o profilazione senza esplicito consenso dell'interessato.

5. Processi decisionali automatizzati

Il Servizio utilizza l'intelligenza artificiale per generare suggerimenti relativi alle azioni correttive e preventive in risposta ad anomalie, e per l'estrazione automatica di dati da documenti (DDT, olio esausto). Tali processi hanno carattere puramente assistenziale e non producono decisioni automatizzate con effetti giuridici o significativi sull'interessato ai sensi dell'art. 22 GDPR: il risultato dell'elaborazione è sempre sottoposto alla valutazione e alla decisione finale dell'utente.

6. Diritti dell'interessato

Ai sensi degli artt. 15–22 GDPR, ogni persona fisica i cui dati sono trattati ha il diritto di:

• accesso — ottenere conferma del trattamento e copia dei propri dati (art. 15);
• rettifica — correggere dati inesatti o incompleti (art. 16);
• cancellazione — ottenere l'eliminazione dei propri dati («diritto all'oblio»), salvo obblighi legali di conservazione (art. 17);
• limitazione del trattamento — in caso di contestazione sull'esattezza o sulla liceità (art. 18);
• portabilità — ricevere i dati in formato strutturato e leggibile da macchina (art. 20);
• opposizione — opporsi al trattamento basato sul legittimo interesse (art. 21);
• revoca del consenso — revocare in qualsiasi momento il consenso prestato, senza pregiudizio per la liceità del trattamento precedente (art. 7, par. 3).

Per esercitare tali diritti inviare una richiesta a assistenza@haccpsemplificato.cloud. Le richieste sono evase entro 30 giorni (prorogabili a 90 giorni in caso di particolare complessità, previa comunicazione).

Si ricorda che i dipendenti e collaboratori i cui dati sono stati inseriti nella piattaforma dall'utente titolare dell'attività devono rivolgere le proprie istanze direttamente a quest'ultimo, quale titolare del trattamento nei loro confronti.

In caso di mancata risposta o risposta insoddisfacente, è possibile proporre reclamo al Garante per la protezione dei dati personali: www.garanteprivacy.it.

7. Cookie

Il sito utilizza cookie tecnici necessari al funzionamento della sessione autenticata e, previo consenso, cookie analitici e di marketing. Per informazioni dettagliate sull'uso dei cookie consultare la Cookie Policy.

8. Limitazione di responsabilità del provider

Il Servizio è uno strumento digitale di supporto alla gestione operativa HACCP. Giorgio Melis, in qualità di fornitore del Servizio, non è responsabile:

• per la correttezza, completezza, accuratezza o tempestività dei dati inseriti dall'utente nella piattaforma (temperature, registri pulizie, anomalie, documenti di tracciabilità, dati di dipendenti, ecc.);
• per l'adempimento degli obblighi normativi HACCP gravanti sull'utente ai sensi del Reg. CE 852/2004, del D.Lgs. 193/2007 e della normativa nazionale e locale applicabile in materia di igiene e sicurezza alimentare;
• per eventuali sanzioni amministrative, ispezioni o rilievi da parte delle Autorità Sanitarie (ASL, NAS, USMAF, ecc.) derivanti da carenze nella conduzione del sistema HACCP dell'utente o da dati incompleti o errati inseriti nella piattaforma;
• per il mancato rispetto degli obblighi di conservazione documentale imposti dalla normativa applicabile, la cui determinazione e gestione sono responsabilità esclusiva dell'utente quale Titolare del trattamento e operatore del settore alimentare (OSA);
• per danni di qualsiasi natura derivanti dall'uso scorretto del Servizio, dall'omissione di dati rilevanti, o dall'affidamento esclusivo al Servizio in sostituzione di una consulenza HACCP professionale.

9. Modifiche alla presente informativa

Il Titolare si riserva il diritto di modificare la presente informativa in qualsiasi momento per adeguarla a variazioni normative, tecnologiche o operative. In caso di modifiche sostanziali, gli utenti registrati saranno informati via email con ragionevole anticipo. La versione aggiornata è sempre disponibile su questa pagina, con indicazione della data dell'ultimo aggiornamento.