Informativa sul trattamento dei dati personali

Documento redatto ai sensi degli artt. 12, 13 e 14 del Regolamento (UE) 2016/679 (“GDPR”) e delle Linee guida EDPB. Questo testo illustra in modo chiaro, completo e verificabile le modalità con cui Studio Cravero Consulting (di seguito “Titolare”) tratta i dati personali.

Titolare: Studio Cravero Consulting – Piazza Fiume 6, 07100 Sassari (SS) – Email: info@studiocravero.eu
DPO: Pietro Cravero (cert. ISO 17024) – Email: info@studiocravero.eu

Art. 5

Principi applicati (liceità, correttezza, trasparenza, minimizzazione, limitazione, integrità e riservatezza)

Art. 6

Basi giuridiche: contratto, obbligo legale, legittimo interesse, consenso

Art. 28

Responsabili selezionati con DPA, audit e misure

Art. 32

Misure tecniche/organizzative adeguate (cifratura, controllo accessi, backup, logging)

1. Finalità, basi giuridiche e categorie di dati

Finalità	Base giuridica (art. 6)	Categorie di dati	Durata
Gestione richieste di contatto, preventivi, demo	Contratto/pre-contratto (b)	Identificativi e contatti (nome, email, telefono), contenuto richiesta	24 mesi dall’ultimo contatto utile
Esecuzione servizi Privacy/DPO, redazione documentazione (registro, informative, nomine, DPIA)	Contratto (b)	Dati dei referenti, dati trattamenti aziendali; eventuali particolari ex art. 9 solo se necessari	Durata del rapporto + termini di legge
Amministrazione, contabilità e fatturazione	Obbligo legale (c)	Dati fiscali e di pagamento	Secondo obblighi normativi
Sicurezza ICT, prevenzione abusi/frodi	Legittimo interesse (f)	Log tecnici, IP, user agent	Secondo esigenze di sicurezza
Formazione con attestati e scadenze	Contratto (b)	Presenze, test, attestati	Fino a scadenze e obblighi di prova
Statistiche e contenuti esterni (mappe, calendario, eventuale chat)	Consenso (a)	Cookie/tecnologie simili; dati tecnici	Fino a revoca; comunque 12–24 mesi

2. Principi di trattamento e accountability

Il Titolare applica i principi di protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 25). Ogni trattamento è documentato nel Registro delle attività ex art. 30, con DPIA quando necessario (art. 35). La selezione dei Responsabili (art. 28) avviene con due diligence tecnica, DPA, misure minime e audit periodici.

3. Misure tecniche e organizzative (art. 32)

Cifratura TLS in transito; segregazione ambienti; backup regolari e restore testati;
Controllo accessi, gestione credenziali, MFA, principio del minimo privilegio;
Logging e monitoraggio eventi; hardening; patch management;
Procedure per data breach (artt. 33–34) e piano di risposta agli incidenti;
Formazione periodica e autorizzazioni istruite.

4. Ciclo di vita dei dati (data lifecycle)

Raccolta – attraverso form contatti, contratti, documenti operativi, app.

Utilizzo – erogazione servizi, adempimenti, audit, formazione.

Conservazione – secondo il principio di limitazione e tabelle di retention.

Eliminazione/Anonimizzazione – al termine della necessità o su richiesta, compatibilmente con obblighi di legge.

5. Conservazione (overview visuale)

Contatti

~24 mesi

Rapporti contrattuali

durata rapporto + termini legali

Formazione/attestati

fino a scadenze

Log tecnici

in base alla sicurezza

6. Destinatari e trasferimenti

I dati possono essere trattati da personale autorizzato e da Responsabili esterni (hosting, posta, calendario, strumenti documentali, app di formazione). In caso di trasferimenti extra-SEE si adottano decisioni di adeguatezza, SCC e misure supplementari (Capo V GDPR).

7. Diritti dell’interessato (artt. 15–22 GDPR)

Accesso, rettifica, cancellazione, limitazione, portabilità, opposizione (compreso marketing/profilazione).
Revoca del consenso in qualsiasi momento, senza pregiudizio dei trattamenti già effettuati.
Reclamo al Garante.

8. Informazioni sull’App Privacy

L’app consente caricamento documenti (registro, informative, nomine, DPIA), gestione formazione e calcolo indice di conformità. Base giuridica: contratto (art. 6.1.b) e legittimo interesse per sicurezza (art. 6.1.f). Sono in atto: autorizzazioni granulari, versioning documenti, logging, segregazione clienti.

Pietro Cravero – Data Protection Officer (certificazione ISO 17024)
Studio Cravero Consulting – Piazza Fiume 6, 07100 Sassari (SS) – info@studiocravero.eu
Ultimo aggiornamento: 2025-11-11