Informativa sulla Privacy

Come trattiamo e proteggiamo i tuoi dati personali

Ultimo aggiornamento: 3 gennaio 2026

1. Titolare del Trattamento

Il Titolare del trattamento dei dati personali è:

  • Ragione sociale: [Nome Azienda]
  • Sede legale: [Indirizzo completo]
  • Email: privacy@certifexp.com
  • PEC: [indirizzo PEC se disponibile]
  • DPO (se nominato): [Nome e contatti DPO]

Per qualsiasi richiesta relativa al trattamento dei dati personali, è possibile contattare il Titolare all'indirizzo email sopra indicato.

2. Ruoli e Ambito del Trattamento

CertifExp opera con ruoli differenti a seconda dei dati trattati:

  • Dati dell'account e di fatturazione: CertifExp agisce come Titolare del trattamento.
  • Dati dei dipendenti/attestati caricati dai clienti: il cliente è Titolare del trattamento e CertifExp agisce come Responsabile del trattamento ai sensi dell'Art. 28 GDPR.

I rapporti tra Titolare e Responsabile sono regolati da un accordo di nomina a Responsabile del trattamento (DPA). Per maggiori informazioni, contattare il Titolare.

3. Tipologie di Dati Raccolti

CertifExp raccoglie e tratta le seguenti categorie di dati personali:

  • Dati di registrazione: nome, cognome, indirizzo email, password (memorizzata in forma crittografata)
  • Dati aziendali: nome azienda, numero dipendenti, settore di attività
  • Dati relativi ai certificati: informazioni sui certificati di sicurezza sul lavoro caricati (nome certificato, data di scadenza, nome dipendente associato)
  • Dati dei dipendenti: dati identificativi e professionali (es. nome, cognome, codice fiscale, mansione), necessari alla gestione delle scadenze
  • Dati particolari (Art. 9 GDPR): ove presenti, dati relativi a idoneità e visite mediche. Tali dati sono trattati per conto dei clienti e solo nella misura necessaria alle finalità del servizio
  • Documenti: file PDF o immagini dei certificati caricati dagli utenti
  • Dati di utilizzo: log di accesso, indirizzo IP, informazioni sul browser e dispositivo utilizzato
  • Dati di comunicazione: email inviate e ricevute tramite il sistema di notifiche

4. Finalità del Trattamento

I dati personali sono trattati per le seguenti finalità:

  • Erogazione del servizio: gestione dell'account utente, archiviazione e monitoraggio dei certificati di sicurezza, invio di notifiche sulle scadenze
  • Comunicazioni di servizio: invio di email relative all'account, alle scadenze dei certificati, e ad aggiornamenti importanti del servizio
  • Sicurezza: prevenzione di accessi non autorizzati, rilevamento di attività fraudolente, protezione dei dati
  • Miglioramento del servizio: analisi dell'utilizzo della piattaforma per migliorare funzionalità e user experience
  • Obblighi legali: adempimento di obblighi previsti da leggi, regolamenti e normative applicabili

5. Base Giuridica del Trattamento

Il trattamento dei dati personali si basa sulle seguenti basi giuridiche previste dal GDPR (Regolamento UE 2016/679):

  • Esecuzione del contratto (Art. 6.1.b GDPR): il trattamento è necessario per l'erogazione del servizio richiesto dall'utente
  • Consenso (Art. 6.1.a GDPR): per l'invio di comunicazioni promozionali e newsletter (ove applicabile)
  • Legittimo interesse (Art. 6.1.f GDPR): per la sicurezza della piattaforma e la prevenzione di frodi
  • Obbligo legale (Art. 6.1.c GDPR): per l'adempimento di obblighi previsti dalla legge

Per eventuali dati particolari (Art. 9 GDPR) trattati per conto dei clienti, la base giuridica è individuata dal cliente Titolare del trattamento, in relazione agli obblighi in materia di lavoro, sicurezza e medicina del lavoro o alle altre basi di liceità applicabili.

6. Modalità del Trattamento

Il trattamento avviene con strumenti elettronici e procedure idonee a garantire la sicurezza e la riservatezza dei dati. Il conferimento dei dati contrassegnati come necessari è obbligatorio per l'erogazione del servizio; l'eventuale mancato conferimento può comportare l'impossibilità di utilizzare la piattaforma.

Il conferimento di dati facoltativi (es. comunicazioni promozionali) è libero e non pregiudica l'utilizzo delle funzionalità principali.

7. Minori

Il servizio è rivolto a utenti maggiorenni. Non raccogliamo consapevolmente dati di minori di 16 anni. Qualora venissimo a conoscenza di dati di minori, procederemo alla loro cancellazione nel più breve tempo possibile.

8. Processi Decisionali Automatizzati

Il Titolare non adotta processi decisionali automatizzati che producano effetti giuridici o incidano in modo significativo sugli interessati ai sensi dell'Art. 22 GDPR.

9. Periodo di Conservazione

I dati personali sono conservati per il tempo necessario alle finalità per cui sono stati raccolti:

  • Dati dell'account: per tutta la durata dell'account attivo, più 5 anni dalla cancellazione per obblighi fiscali e contabili
  • Certificati e documenti: per tutta la durata dell'account attivo, più 5 anni dalla cancellazione
  • Log di accesso: 12 mesi dalla registrazione
  • Dati di comunicazione: 24 mesi dall'invio

Al termine del periodo di conservazione, i dati saranno cancellati o anonimizzati in modo irreversibile.

10. Diritti dell'Interessato

In conformità al GDPR, l'utente ha diritto di:

  • Accesso (Art. 15 GDPR): ottenere conferma che sia o meno in corso un trattamento di dati personali e, in tal caso, ottenere l'accesso ai dati e alle informazioni sul trattamento
  • Rettifica (Art. 16 GDPR): ottenere la rettifica dei dati personali inesatti e l'integrazione dei dati incompleti
  • Cancellazione (Art. 17 GDPR): ottenere la cancellazione dei dati personali (diritto all'oblio) quando ricorrono i presupposti previsti dalla normativa
  • Limitazione (Art. 18 GDPR): ottenere la limitazione del trattamento quando ricorrono i presupposti previsti dalla normativa
  • Portabilità (Art. 20 GDPR): ricevere i dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad un altro titolare
  • Opposizione (Art. 21 GDPR): opporsi al trattamento dei dati personali per motivi connessi alla propria situazione particolare
  • Revoca del consenso: revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca

Per esercitare i propri diritti, l'utente può inviare una richiesta all'indirizzo email: privacy@certifexp.com

Il Titolare risponderà alla richiesta entro 30 giorni dalla ricezione.

11. Misure di Sicurezza

CertifExp adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, distruzione o divulgazione:

  • Crittografia: le password sono memorizzate utilizzando algoritmi di hashing sicuri (bcrypt). Le comunicazioni avvengono tramite protocollo HTTPS
  • Infrastruttura AWS: i dati sono ospitati su server Amazon Web Services (AWS) in regioni europee, con elevati standard di sicurezza fisica e logica
  • Backup: backup automatici giornalieri dei dati con conservazione per 30 giorni
  • Controllo accessi: accesso ai dati limitato al personale autorizzato tramite autenticazione multi-fattore
  • Monitoraggio: log di accesso e monitoraggio continuo per rilevare attività anomale
  • Isolamento multi-tenant: i dati di ogni azienda sono logicamente isolati e non accessibili da altri utenti

12. Trasferimenti di Dati Extra-UE

I dati personali sono ospitati su server AWS situati in regioni europee (EU-CENTRAL-1, Francoforte). Amazon Web Services è conforme al GDPR e fornisce garanzie adeguate per la protezione dei dati personali.

In caso di trasferimenti di dati verso paesi extra-UE, CertifExp adotterà le garanzie appropriate previste dal GDPR (clausole contrattuali standard, decisioni di adeguatezza della Commissione Europea).

13. Comunicazione e Diffusione dei Dati

I dati personali possono essere comunicati a:

  • Fornitori di servizi: Amazon Web Services (hosting), servizi di email (Amazon SES), fornitori di servizi di pagamento (se applicabile)
  • Sub-responsabili del trattamento: soggetti che supportano l'erogazione del servizio e trattano dati per conto di CertifExp, nominati con accordi conformi all'Art. 28 GDPR
  • Autorità competenti: in caso di richieste legittime da parte di autorità giudiziarie o di polizia

I dati personali non saranno diffusi pubblicamente né venduti a terze parti per finalità commerciali.

14. Diritto di Reclamo

L'utente ha il diritto di proporre reclamo all'Autorità di controllo competente (Garante per la Protezione dei Dati Personali) qualora ritenga che il trattamento dei propri dati personali violi il GDPR.

Garante per la Protezione dei Dati Personali
Piazza Venezia, 11 - 00187 Roma
Tel: +39 06 696771
Email: garante@gpdp.it
PEC: protocollo@pec.gpdp.it
Sito web: www.garanteprivacy.it

15. Cookie e Tecnologie Simili

Per informazioni sull'utilizzo dei cookie, consultare la nostra Informativa cookie.

16. Modifiche all'Informativa

CertifExp si riserva il diritto di modificare o aggiornare la presente Informativa sulla Privacy in qualsiasi momento. Le modifiche saranno pubblicate su questa pagina con indicazione della data di ultimo aggiornamento.

In caso di modifiche sostanziali, gli utenti saranno informati tramite email o notifica all'interno della piattaforma.

17. Contatti

Per qualsiasi domanda o richiesta relativa alla presente Informativa sulla Privacy o al trattamento dei dati personali, è possibile contattare:

Email: privacy@certifexp.com
Indirizzo: [Indirizzo completo]