Informativa obbligatoria ex art. 13 GDPR. La presente informativa descrive come HORCE raccoglie, utilizza e protegge i dati personali. La piattaforma opera in contesto B2B. I dati di lavoratori e appaltatori caricati dagli Utenti, nonché i dati inseriti dagli Utenti in fase di compilazione dei format e template documentali (DUVRI, POS, PSC, RAMS), sono trattati su loro istruzione, rimanendo gli Utenti titolari autonomi del trattamento.
1 Titolare del Trattamento
Mirko Glorioso
Titolare e gestore del servizio HORCE — Hub of Registered Contractors & Employees
Email: privacy@horce.app | Sede: Italia
Per qualsiasi questione relativa al trattamento dei dati personali è possibile contattare il Titolare all'indirizzo sopra indicato. Il Titolare risponde entro 30 giorni dalla ricezione.
2 Dati Personali Raccolti
2.1 — Dati forniti direttamente dall'Utente
- Dati di registrazione: nome, cognome, email, username, password (hash bcrypt — mai in chiaro).
- Dati di fatturazione: ragione sociale, P.IVA, indirizzo, coordinate di addebito (gestiti esclusivamente da Stripe — HORCE non accede ai dati della carta).
- Contenuti caricati: documenti PDF (DURC, CCIAA, idoneità lavoratori, ecc.) con dati personali di terzi. L'Utente è titolare autonomo di tali dati; HORCE li tratta come Responsabile ex art. 28 GDPR.
- Dati inseriti nei Format Documentali: nominativi, qualifiche e ruoli (es. RSPP, CSE, datori di lavoro, lavoratori, preposti) inseriti dall'Utente in fase di compilazione dei template DUVRI, POS, PSC, RAMS e analoghi. Tali dati sono trattati esclusivamente per generare il documento finale e archiviarlo nello spazio di lavoro dell'Utente; il Fornitore non vi accede a fini diversi dall'erogazione tecnica del Servizio.
2.2 — Dati raccolti automaticamente
- Log di accesso: IP, user agent, timestamp, operazioni eseguite — per finalità di sicurezza e audit.
- Dati di sessione: session token (cookie HttpOnly, Secure, SameSite=Lax).
- Analytics aggregati: contatori aziende/lavoratori/documenti per Piano — nessun dato identificativo.
2.3 — Dati NON raccolti
HORCE non raccoglie dati biometrici, di geolocalizzazione, sanitari degli Utenti, né effettua profilazione automatizzata ex art. 22 GDPR.
3 Finalità e Basi Giuridiche
| Finalità | Base giuridica (art. 6 GDPR) | Obbligatorietà |
|---|
| Gestione account ed erogazione Servizio | Lett. b) — esecuzione contratto | Obbligatoria |
| Fatturazione e adempimenti fiscali | Lett. c) — obbligo legale (D.P.R. 633/72) | Obbligatoria per legge |
| Sicurezza informatica e prevenzione frodi | Lett. f) — legittimo interesse | Non configurabile |
| Comunicazioni di servizio | Lett. b) — esecuzione contratto | Obbligatoria |
| Marketing diretto / newsletter | Lett. a) — consenso esplicito | Facoltativa |
| Miglioramento Servizio (dati aggregati) | Lett. f) — legittimo interesse | Nessun dato identificativo |
Trattamento dati di terzi. Per i dati di lavoratori/appaltatori caricati dall'Utente, HORCE agisce come
Responsabile del Trattamento ex art. 28 GDPR. Le condizioni sono nel DPA disponibile a
privacy@horce.app.
4 Periodo di Conservazione
| Categoria | Periodo | Fonte normativa |
|---|
| Dati account (email, nome, hash password) | Durata contratto + 30 gg dopo cancellazione | Necessità contrattuale |
| Documenti e dati caricati | Durata contratto + 30 gg per esportazione | Art. 6(1)(b) GDPR |
| Fatture e dati di fatturazione | 10 anni dalla data emissione | Art. 2220 c.c.; art. 39 D.P.R. 633/1972 |
| Log di accesso e audit trail | 5 anni | Legittimo interesse sicurezza |
| Consenso marketing | Fino a revoca + 2 anni (prova) | Art. 7 GDPR; Linee guida WP29 |
Decorsi i termini, i dati sono cancellati o anonimizzati in modo irreversibile.
5 Destinatari e Trasferimenti
5.1 — Sub-responsabili (fornitori di servizi)
| Fornitore | Servizio | Paese | Garanzie |
|---|
| Stripe, Inc. / Stripe Payments Europe | Elaborazione pagamenti | USA / IE | SCC ex art. 46 GDPR; PCI-DSS L1 |
| Provider hosting VPS | Infrastruttura cloud | UE (preferibile) | DPA; ISO 27001 |
| Provider email transazionale | Notifiche e fatture | UE / USA (SCC) | DPA; SCC |
5.2 — Trasferimenti extra-UE
Effettuati solo in presenza di: decisione di adeguatezza ex art. 45 GDPR; SCC ex art. 46(2)(c) GDPR; o altre garanzie appropriate.
5.3 — Esclusioni
I dati non sono venduti, ceduti o comunicati a terzi per marketing di terzi, né usati per profilazione esterna.
6 Diritti degli Interessati
Ai sensi degli artt. 15–22 GDPR l'interessato ha diritto di:
- Accesso (art. 15): ottenere conferma del trattamento e copia dei dati.
- Rettifica (art. 16): correggere dati inesatti o incompleti.
- Cancellazione / diritto all'oblio (art. 17): nei limiti degli obblighi di conservazione legale.
- Limitazione (art. 18): limitare il trattamento nelle condizioni previste.
- Portabilità (art. 20): ricevere i dati in formato strutturato e machine-readable.
- Opposizione (art. 21): opporsi al trattamento su legittimo interesse, incluso marketing diretto.
- Non decisioni automatizzate (art. 22): HORCE non adotta decisioni automatizzate con effetti giuridici.
Richieste a privacy@horce.app — risposta entro 30 giorni (prorogabili a 90 per complessità). Esercizio gratuito.
Diritto di reclamo. L'interessato può presentare reclamo al
Garante per la protezione dei dati personali (
garanteprivacy.it), Piazza Venezia 11, Roma.
7 Misure di Sicurezza (art. 32 GDPR)
- Trasmissione cifrata: HTTPS con TLS 1.2+.
- Password hashing: bcrypt con fattore di costo adeguato.
- Isolamento multi-tenant: separazione logica rigorosa — nessuna contaminazione di dati tra organizzazioni.
- Sessioni sicure: token HttpOnly, Secure, SameSite=Lax; logout forzato per inattività.
- Audit trail: log completo di tutte le operazioni critiche.
- Backup periodici con verifica di integrità.
- Principio del minimo privilegio: accesso ai dati limitato agli utenti autorizzati per il proprio scope.
Data Breach
In caso di violazione che comporti rischi per diritti e libertà degli interessati: notifica al Garante entro 72 ore (art. 33 GDPR) e comunicazione agli interessati se il rischio è elevato (art. 34 GDPR).
8 Cookie e Tecnologie di Tracciamento
8.1 — Cookie tecnici (strettamente necessari)
| Cookie | Finalità | Durata | Attributi |
|---|
session | Autenticazione e stato sessione Flask | Sessione (chiusura browser) | HttpOnly, Secure, SameSite=Lax |
8.2 — Cookie di terze parti
Durante il pagamento, Stripe può impostare cookie propri per finalità antifrode. Vedi privacy policy Stripe.
8.3 — Cookie analitici e di marketing
HORCE attualmente non utilizza cookie analitici (es. Google Analytics) né di profilazione di terze parti. Qualora introdotti, sarà richiesto consenso esplicito.
Non è richiesto il banner cookie per i soli cookie tecnici, ai sensi del Provvedimento del Garante del 10 giugno 2021 e delle Linee guida EDPB.