Informativa sul Trattamento dei Dati Personali per gli Utenti della Piattaforma Radigest
(ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 - GDPR)
Premessa sui Ruoli GDPR
La presente informativa descrive le modalità di trattamento dei dati personali degli utenti che utilizzano la piattaforma software Radigest (di seguito "Piattaforma"), fornita da ARS s.r.l..
È fondamentale comprendere la distinzione dei ruoli ai sensi del GDPR:
- Titolare del Trattamento (Data Controller): È l'organizzazione (es. Istituto Sanitario, Azienda, Studio Professionale) che ha sottoscritto un contratto con noi per l'utilizzo della Piattaforma e che inserisce i dati dei propri lavoratori e delle proprie attività. Il Titolare è il soggetto che determina le finalità e i mezzi del trattamento dei dati personali.
- Responsabile del Trattamento (Data Processor): È ARS s.r.l., con sede in Via Alda Merini, 12, 00128 Roma, P.IVA IT10635151003, email registro@quantumservice.cc, che fornisce la Piattaforma e tratta i dati personali inseriti dal Titolare per conto e su istruzione dello stesso, sulla base di uno specifico accordo di nomina a Responsabile del Trattamento (Data Processing Agreement - DPA) ai sensi dell'art. 28 del GDPR.
La presente informativa si riferisce esclusivamente ai dati trattati da ARS s.r.l. in qualità di Responsabile del Trattamento.
1. Dati Oggetto del Trattamento
ARS s.r.l. tratta le seguenti categorie di dati personali, inseriti e gestiti dagli utenti autorizzati dal Titolare del Trattamento:
-
Dati di Accesso e Utilizzo della Piattaforma:
- Username (associato all'utente autorizzato).
- Log tecnici di accesso (indirizzo IP, data/ora, user agent), conservati per finalità di sicurezza e per un periodo di tempo limitato (Vedi Art. 5 per i tempi di conservazione).
-
Dati relativi ai Lavoratori Esposti (gestiti per conto del Titolare):
- Dati anagrafici e identificativi (nome, cognome, codice fiscale, data di nascita, età, indirizzi).
- Dati Particolari (Alto Rischio): Dati relativi alla Sorveglianza Fisica e Dosimetrica (dosi assorbite, dosi equivalenti ed efficaci, classificazioni, storico occupazionale), trattati ai fini della tutela della salute sul luogo di lavoro.
-
Dati relativi all'organizzazione del Titolare:
- Informazioni su istituti, sedi, reparti, macchine, sorgenti, attività e Registro di Radioprotezione.
Tutti i dati sono archiviati su database separati per cliente e protetti con misure di cifratura.
2. Finalità e Base Giuridica del Trattamento
ARS s.r.l. tratta i suddetti dati per le seguenti finalità:
-
Erogazione del servizio software e Adempimento Legale: Consentire l'accesso e l'utilizzo della Piattaforma per l'adempimento degli obblighi legali del Titolare in materia di tutela della salute e sicurezza sul lavoro (D.Lgs. 101/2020 e s.m.i.).
Base Giuridica (Dati Comuni): Esecuzione di un contratto (art. 6, par. 1, lett. b GDPR) e Obbligo Legale (art. 6, par. 1, lett. c GDPR).
Base Giuridica (Dati Particolari, Art. 9): Il trattamento è necessario per adempiere gli obblighi ed esercitare i diritti specifici del Titolare in materia di diritto del lavoro e della sicurezza sociale e protezione, nel rispetto della normativa (Art. 9, par. 2, lett. b GDPR).
-
Sicurezza e Manutenzione: Garantire la sicurezza della Piattaforma, prevenire accessi non autorizzati e diagnosticare problemi tecnici (es. monitoraggio del traffico e dei log).
Base Giuridica: Legittimo interesse del Responsabile del Trattamento a proteggere i propri sistemi e i dati trattati (art. 6, par. 1, lett. f GDPR).
3. Modalità di Trattamento e Misure di Sicurezza
Il trattamento è effettuato con strumenti informatici e telematici. ARS s.r.l. adotta misure di sicurezza tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, in conformità con l'art. 32 del GDPR. Tali misure includono, tra le altre:
- Crittografia dei dati sensibili a riposo (at-rest) all'interno del database.
- Comunicazioni cifrate tramite protocollo HTTPS/TLS (Certbot).
- Protezione del server tramite Firewall UFW configurato per l'accesso alle sole porte necessarie.
- Hardening del server web e utilizzo di accessi limitati per le connessioni al database.
- Architettura di database isolata e gestione granulare dei permessi.
4. Comunicazione e Diffusione dei Dati (Sub-Responsabili)
I dati personali trattati non saranno diffusi. Potranno essere comunicati per l'erogazione del servizio ai seguenti soggetti:
- Sub-Responsabile per l'Hosting (Fornitore Cloud): I dati sono ospitati su un Server Virtuale (VPS) fornito da Hetzner Online GmbH, ubicato nel datacenter nbg1-dc3, Nuremberg, Germany, UE. Hetzner agisce in qualità di Sub-Responsabile del Trattamento e garantisce l'adozione delle misure di sicurezza fisiche e infrastrutturali necessarie. Un DPA (Accordo sul Trattamento dei Dati) è stato stipulato tra ARS s.r.l. e Hetzner.
- Destinatari per l'Obbligo Legale: Dati sono resi disponibili, su autorizzazione del Titolare, a soggetti legalmente autorizzati (Esperti di Radioprotezione, Medici Autorizzati) per la Sorveglianza Professionale e Sanitaria.
5. Periodo di Conservazione
I dati sono conservati per tutta la durata del contratto di servizio con il Titolare del Trattamento. La cancellazione o restituzione dei dati avviene su istruzione del Titolare, secondo i termini definiti nell'Accordo sul Trattamento dei Dati e nel rispetto degli obblighi di conservazione a lungo termine previsti dalla normativa di settore (D.Lgs. 101/2020).
I log di sicurezza sono conservati per un periodo massimo di 10 anni, salvo diverse disposizioni di legge.
6. Diritti degli Interessati
Gli interessati (i lavoratori i cui dati sono inseriti nella Piattaforma) devono esercitare i propri diritti (accesso, rettifica, cancellazione, etc., artt. 15-22 GDPR) rivolgendosi direttamente al Titolare del Trattamento (il proprio datore di lavoro), che è il soggetto legalmente responsabile di fornire riscontro. ARS s.r.l., in qualità di Responsabile, fornirà al Titolare tutto il supporto necessario per adempiere a tali richieste.
7. Contatti
Per qualsiasi domanda relativa al trattamento dei dati effettuato da ARS s.r.l. in qualità di Responsabile del Trattamento, è possibile contattarci all'indirizzo: registro@quantumservice.cc.