Privacy Policy
1. Titolare del trattamento
Il Titolare del trattamento dei dati personali raccolti e gestiti nell'ambito dei servizi erogati è:
VALMON s.r.l.
Via Lungo l'Affrico, 318 – 50137 Firenze (FI) – Italia
Email: info@valmonsrl.it
Sito web: valmonsrl.it
VALMON s.r.l. opera, nella maggior parte dei casi, in qualità di Responsabile del trattamento ai sensi dell'articolo 28 del Regolamento UE 2016/679 (GDPR), trattando i dati personali per conto e secondo le istruzioni documentate dei propri clienti istituzionali — Università, Enti di formazione superiore, Pubbliche Amministrazioni — che rivestono il ruolo di Titolari del trattamento. Ogni rapporto con i clienti è disciplinato da un apposito Accordo sul trattamento dei dati (DPA) conforme all'art. 28 GDPR.
2. Responsabile della protezione dei dati (DPO)
In conformità a quanto previsto dall'articolo 37 del GDPR e dall'ISO 27018:2019, VALMON s.r.l. ha nominato un Responsabile della Protezione dei Dati (Data Protection Officer – DPO) esterno e indipendente, privo di qualsiasi conflitto di interessi con la struttura societaria.
Il DPO supervisiona la conformità al GDPR e alle normative applicabili in materia di protezione dei dati, fornisce consulenza interna, funge da punto di contatto con l'Autorità Garante per la protezione dei dati personali e supporta la gestione delle richieste degli interessati. La sua indipendenza è garantita dalla natura esterna dell'incarico, in linea con i requisiti dell'ISO 27018:2019.
Per contattare il DPO: dpo@valmonsrl.it
3. Finalità e base giuridica del trattamento
VALMON s.r.l. tratta i dati personali esclusivamente per finalità determinate, esplicite e legittime. Per ciascuna finalità è identificata una specifica base giuridica ai sensi dell'articolo 6 del GDPR:
3.1 Erogazione dei servizi SaaS
Il trattamento è necessario per l'esecuzione del contratto di servizio stipulato con l'ente cliente e per il corretto funzionamento delle piattaforme digitali in uso. VALMON tratta i dati degli utenti finali esclusivamente su istruzione documentata del cliente istituzionale, che ne rimane il Titolare del trattamento.
Base giuridica: Art. 6(1)(b) GDPR – esecuzione di un contratto.
3.2 Adempimento di obblighi legali
Alcuni trattamenti sono necessari per adempiere a obblighi normativi applicabili a VALMON, tra cui la conservazione della documentazione fiscale e contrattuale, la tenuta dei registri previsti dal GDPR e la risposta a richieste di Autorità competenti.
Base giuridica: Art. 6(1)(c) GDPR – adempimento di un obbligo legale.
3.3 Comunicazioni di servizio e supporto tecnico
VALMON utilizza i dati di contatto degli utenti autorizzati per inviare notifiche tecniche legate al funzionamento della piattaforma (manutenzioni, aggiornamenti, incidenti), per rispondere alle richieste di assistenza e per garantire la continuità operativa del servizio.
Base giuridica: Art. 6(1)(b) GDPR – esecuzione del contratto; Art. 6(1)(f) GDPR – interesse legittimo.
3.4 Analisi statistica aggregata e miglioramento del servizio
I dati di utilizzo della piattaforma vengono elaborati in forma aggregata e anonima per migliorare le funzionalità offerte, ottimizzare l'esperienza utente e individuare eventuali criticità tecniche. Nessun trattamento finalizzato alla profilazione individuale viene effettuato.
Base giuridica: Art. 6(1)(f) GDPR – interesse legittimo di VALMON.
3.5 Sicurezza informatica e prevenzione degli accessi non autorizzati
VALMON tratta dati tecnici di sistema per rilevare, prevenire e rispondere a tentativi di accesso non autorizzato, attacchi informatici, anomalie di sicurezza e violazioni dei dati. Questo trattamento è parte integrante del Sistema di Gestione della Sicurezza delle Informazioni (ISMS) certificato ISO 27001:2022.
Base giuridica: Art. 6(1)(f) GDPR – interesse legittimo; Art. 6(1)(c) GDPR – obblighi di sicurezza normativi.
4. Categorie di dati trattati
Le categorie di dati personali trattati da VALMON variano in funzione della piattaforma utilizzata dall'ente cliente e delle configurazioni adottate. Di seguito sono indicate le categorie comuni a tutti i servizi e quelle la cui raccolta è determinata dalla specifica natura della piattaforma e dalle istruzioni del cliente istituzionale.
4.1 Dati comuni a tutte le piattaforme
- Dati identificativi: nome, cognome, codice utente o identificativo assegnato dall'ente
- Dati di contatto istituzionale: indirizzo email istituzionale, recapiti forniti dall'ente per la gestione del servizio
- Credenziali di accesso: username e password in forma cifrata (mai in chiaro), token di sessione, log di autenticazione
- Dati di utilizzo della piattaforma: log di accesso, operazioni effettuate, timestamp, dati tecnici del dispositivo utilizzato
- Dati di comunicazione: contenuto delle richieste di supporto tecnico e delle comunicazioni con il team VALMON
4.2 Dati specifici per servizio
Ulteriori categorie di dati personali possono essere trattate in funzione della specifica piattaforma in uso. Tali dati sono sempre determinati dal cliente istituzionale (Titolare del trattamento) e disciplinati nel contratto di servizio e nel relativo DPA. Le categorie aggiuntive applicabili a ciascun servizio sono descritte nella documentazione contrattuale specifica.
4.3 Dati particolari (categorie speciali)
VALMON non raccoglie né tratta dati appartenenti alle categorie speciali di cui all'articolo 9 del GDPR (dati sulla salute, origine etnica, opinioni politiche, dati biometrici, ecc.) se non su esplicita istruzione documentata del cliente istituzionale, previa verifica della base giuridica applicabile e adozione delle misure di garanzia previste dalla normativa.
5. Modalità del trattamento e misure di sicurezza
Il trattamento dei dati avviene con strumenti elettronici, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione, limitazione della conservazione e integrità di cui all'articolo 5 del GDPR.
VALMON adotta un insieme articolato di misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, in conformità ai requisiti dell'ISO 27001:2022, ISO 27017:2015 e ISO 27018:2019:
- Crittografia in transito: tutte le comunicazioni tra client e server avvengono tramite protocolli cifrati con certificati aggiornati
- Crittografia a riposo: i dati sensibili archiviati sono protetti da cifratura a livello di database e storage
- Isolamento multi-tenant: ogni cliente dispone di un proprio spazio dati segregato logicamente, garantendo che nessun tenant possa accedere ai dati di un altro
- Controllo degli accessi: autenticazione federata, gestione dei ruoli (RBAC), principio del minimo privilegio applicato a tutti gli utenti e collaboratori
- Monitoraggio e rilevamento delle minacce: sistema SIEM attivo su server dedicato per la raccolta, correlazione e analisi in tempo reale dei log di sicurezza, con alerting automatico per anomalie
- Backup e disaster recovery: backup automatici giornalieri con policy di retention definita, archiviati su infrastruttura separata dalla produzione. RTO e RPO definiti contrattualmente
- Protezione perimetrale: firewall configurato su tutti i sistemi di produzione con policy restrittive e blocco automatico delle sorgenti malevole
- Sicurezza del ciclo di sviluppo: analisi statica del codice, code review sistematica e versionamento di tutto il software prima di ogni rilascio in produzione
- Formazione e consapevolezza: il personale e i collaboratori autorizzati operano sulla base di procedure di sicurezza documentate nell'ambito del Sistema di Gestione Integrato
6. Destinatari e responsabili del trattamento
I dati personali trattati da VALMON non vengono diffusi a soggetti terzi se non nei casi strettamente necessari per l'erogazione dei servizi contrattuali. In particolare, possono accedere ai dati:
- Personale e collaboratori autorizzati di VALMON: operano sulla base di specifiche istruzioni e sono vincolati da obblighi di riservatezza. L'accesso è limitato ai soli dati necessari per le proprie mansioni (principio del need-to-know)
- Provider di infrastruttura cloud: nominato Responsabile del trattamento ai sensi dell'art. 28 GDPR, gestisce l'infrastruttura fisica e virtuale su cui risiedono le applicazioni. I data center sono ubicati in territorio italiano ed europeo
- Fornitori di servizi di backup: nominati Responsabili del trattamento, forniscono i servizi di backup e ripristino dei dati in conformità alle istruzioni di VALMON
- Consulenti tecnici esterni: nominati sub-responsabili del trattamento ove necessario, operano su specifico incarico contrattuale con obblighi di riservatezza e sicurezza equivalenti a quelli imposti a VALMON
- Ente cliente (Titolare del trattamento): accede ai propri dati tramite la piattaforma, esclusivamente nelle modalità e con le credenziali assegnate
I dati non vengono trasferiti a paesi terzi al di fuori dell'Unione Europea o dello Spazio Economico Europeo. Qualora in futuro si rendesse necessario un trasferimento extra-UE, esso avverrà esclusivamente nel rispetto degli articoli 44-49 del GDPR, attraverso meccanismi di garanzia adeguati.
7. Periodo di conservazione dei dati
VALMON conserva i dati personali per il periodo strettamente necessario al raggiungimento delle finalità per cui sono stati raccolti, nel rispetto del principio di limitazione della conservazione (art. 5(1)(e) GDPR). I criteri adottati per determinare i periodi di conservazione sono:
- Durante la vigenza del contratto: tutti i dati necessari all'erogazione del servizio sono conservati per l'intera durata del rapporto contrattuale con l'ente cliente
- Dopo la scadenza o risoluzione del contratto: i dati rimangono disponibili in sola lettura per un periodo minimo di 3 anni dalla cessazione del servizio, per consentire all'ente la consultazione storica e l'eventuale migrazione
- Obblighi legali e normativi: alcune categorie di dati possono essere soggette a periodi di conservazione imposti dalla normativa vigente (es. documentazione fiscale, documentazione contrattuale)
- Log di sicurezza: i log tecnici e di sicurezza sono conservati secondo le policy definite nel ISMS, per il periodo necessario alle attività di monitoraggio e alla gestione degli incidenti
Alla scadenza dei periodi di conservazione applicabili, i dati vengono eliminati in modo sicuro e irreversibile mediante procedure documentate, oppure anonimizzati qualora sia necessario mantenerli per finalità statistiche. Su richiesta dell'ente cliente, VALMON fornisce un export completo dei dati in formato strutturato prima della cancellazione definitiva.
8. Diritti degli interessati
Ogni persona fisica i cui dati sono trattati può esercitare, nei limiti e alle condizioni previsti dal GDPR, i seguenti diritti:
- Diritto di accesso (art. 15 GDPR): ottenere conferma che sia in corso un trattamento di dati che la riguardano e, in tal caso, accedere ai dati e alle informazioni relative al trattamento
- Diritto di rettifica (art. 16 GDPR): ottenere la correzione di dati inesatti o l'integrazione di dati incompleti
- Diritto alla cancellazione (art. 17 GDPR): ottenere la cancellazione dei propri dati personali, salvo che sussistano obblighi legali di conservazione o altri motivi legittimi prevalenti
- Diritto di limitazione del trattamento (art. 18 GDPR): ottenere la limitazione del trattamento dei propri dati in determinati casi previsti dalla norma
- Diritto alla portabilità dei dati (art. 20 GDPR): ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare, ove tecnicamente fattibile
- Diritto di opposizione (art. 21 GDPR): opporsi al trattamento dei propri dati effettuato sulla base dell'interesse legittimo, salvo che sussistano motivi cogenti prevalenti
- Diritto di proporre reclamo (art. 77 GDPR): presentare reclamo all'Autorità Garante per la protezione dei dati personali
Poiché VALMON opera prevalentemente come Responsabile del trattamento, le richieste degli interessati relative ai dati trattati per conto degli enti clienti devono essere indirizzate in prima istanza all'ente stesso (Titolare del trattamento). VALMON garantisce la collaborazione necessaria per dar seguito a tali richieste nei tempi previsti dalla normativa (di norma entro 30 giorni dalla ricezione).
Per esercitare i propri diritti: dpo@valmonsrl.it
9. Decisioni automatizzate e profilazione
VALMON non adotta processi decisionali basati unicamente sul trattamento automatizzato dei dati personali che producano effetti giuridici sugli interessati o che li riguardino in modo significativo, ai sensi dell'articolo 22 del GDPR. Non vengono effettuate attività di profilazione degli utenti finali finalizzate a valutarne aspetti personali, preferenze, comportamenti o interessi. Le funzionalità di analisi statistica eventualmente offerte dalle piattaforme operano esclusivamente su dati aggregati e anonimi.
10. Cookie e tecnologie di tracciamento
Le piattaforme SaaS di VALMON utilizzano esclusivamente cookie tecnici e di sessione strettamente necessari al funzionamento del servizio (autenticazione, mantenimento della sessione, preferenze di navigazione). Non vengono installati cookie di profilazione, cookie di terze parti a fini pubblicitari né tecnologie di tracciamento comportamentale. Per informazioni dettagliate consultare la Cookie Policy.
11. Modifiche alla presente Privacy Policy
VALMON si riserva il diritto di aggiornare la presente Privacy Policy in qualsiasi momento, in particolare a fronte di modifiche normative, aggiornamenti tecnologici o variazioni nelle modalità di trattamento dei dati. Le modifiche sostanziali saranno comunicate agli enti clienti con congruo anticipo. La versione aggiornata sarà sempre disponibile sul sito aziendale con indicazione della data di ultima revisione.
12. Contatti e reclami
Per qualsiasi domanda, richiesta di informazioni o esercizio dei diritti:
DPO – Data Protection Officer di VALMON s.r.l.
Email: dpo@valmonsrl.it
VALMON s.r.l.
Via Lungo l'Affrico, 318 – 50137 Firenze (FI)
Email: info@valmonsrl.it
Gli interessati che ritengano che il trattamento dei propri dati avvenga in violazione del GDPR hanno il diritto di proporre reclamo all'Autorità Garante per la protezione dei dati personali:
Piazza Venezia, 11 – 00187 Roma | www.garanteprivacy.it