Informativa sul trattamento dei dati personali

Ai sensi dell'art. 13 del Reg. UE 2016/679 (GDPR) e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018
Versione 1.0 — 01/03/2026

      Sintesi: 2M SICURLAV DI MONTI MORENO tratta i tuoi dati personali esclusivamente per gestire i corsi di formazione obbligatoria ex D.Lgs. 81/2008. I dati non vengono venduti né ceduti a terzi per finalità commerciali.
    

1. Titolare del trattamento

2M SICURLAV DI MONTI MORENO
Titolare del trattamento ai sensi dell'art. 4 n. 7 GDPR
P.IVA / C.F.: MNTMRN68T15F097F
Indirizzo: Via Fosso Priole 74 - 47021 Bagno di Romagna (FC)
Email: moreno.monti@2msicurlav.it
Telefono: 3358115800

2. Responsabile della Protezione dei Dati (DPO)

Non è stato designato un DPO ai sensi dell'art. 37 GDPR in quanto il trattamento non rientra nelle fattispecie obbligatorie di cui all'art. 37 par. 1 lett. b) e c). Per qualsiasi richiesta in materia di privacy contattare direttamente il Titolare all'indirizzo indicato al punto 1.

3. Dati trattati e finalità

Categoria di dati	Finalità	Base giuridica (art. 6 GDPR)	Conservazione
Dati anagrafici: nome, cognome, codice fiscale, data di nascita	Gestione iscrizioni e rilascio attestati di formazione ex D.Lgs. 81/2008	Art. 6.1.c Obbligo legale	10 anni dalla data del corso (obbligo documentale D.Lgs. 81/2008)
Dati di contatto: email, telefono	Comunicazioni relative al corso (conferme, promemoria, annullamenti)	Art. 6.1.b Esecuzione contratto	Per la durata del rapporto e fino a 2 anni successivi
Dati aziendali: ragione sociale, referente, RSPP	Gestione rapporto con l'azienda mandante della formazione	Art. 6.1.b Esecuzione contratto	Per la durata del rapporto e fino a 10 anni successivi
Dati di autenticazione: email, hash password	Accesso sicuro alla piattaforma (solo utenti admin/referenti)	Art. 6.1.f Legittimo interesse	Per la durata dell'account; eliminati entro 30 gg dalla disattivazione
Log di audit: operazioni su dati, timestamp, utente	Sicurezza informatica, tracciabilità delle operazioni, prevenzione frodi	Art. 6.1.f Legittimo interesse	12 mesi
Attestati: URL PDF, numero attestato, date	Archiviazione attestati di formazione e verifica conformità	Art. 6.1.c Obbligo legale	10 anni dalla data di emissione

4. Dati non trattati

La piattaforma non tratta categorie particolari di dati ai sensi dell'art. 9 GDPR (dati sulla salute, origine etnica, opinioni politiche, dati biometrici, ecc.), né dati relativi a condanne penali ex art. 10 GDPR.

5. Modalità del trattamento e misure di sicurezza

I dati sono trattati mediante sistemi informatici con le seguenti misure di sicurezza tecniche e organizzative adottate ai sensi dell'art. 32 GDPR:

Autenticazione con password (minimo 16 caratteri, complessità elevata) e sessioni JWT con scadenza automatica
Database PostgreSQL con Row Level Security (RLS) — accesso ai dati limitato al solo utente autorizzato
Trasmissione dati cifrata mediante protocollo TLS 1.2/1.3 (HTTPS)
Log di audit immutabili per tracciabilità di tutte le operazioni sui dati
Hosting su infrastruttura Netlify (CDN) e Supabase (PostgreSQL) con data center in area UE
Backup automatici del database

6. Destinatari e responsabili del trattamento

I dati possono essere comunicati, nella misura strettamente necessaria, alle seguenti categorie di soggetti designati Responsabili del Trattamento ex art. 28 GDPR:

Supabase Inc. — fornitore database e autenticazione (Data Processing Agreement sottoscritto; server in UE)
Netlify Inc. — hosting e funzioni serverless (Data Processing Agreement sottoscritto)
Brevo SAS (ex Sendinblue) — invio email transazionali (sede UE, conformità GDPR)

I dati non vengono trasferiti a paesi terzi extra-SEE senza adeguate garanzie ex artt. 44-49 GDPR. I fornitori sopra indicati adottano Clausole Contrattuali Standard (SCC) approvate dalla Commissione UE.

7. Diritti dell'interessato

Ai sensi degli artt. 15-22 GDPR, l'interessato ha diritto di:

Accesso (art. 15): ottenere conferma del trattamento e copia dei dati
Rettifica (art. 16): correggere dati inesatti o incompleti
Cancellazione (art. 17): ottenere la cancellazione ("diritto all'oblio"), salvo obblighi di conservazione legale
Limitazione (art. 18): limitare il trattamento in determinati casi
Portabilità (art. 20): ricevere i dati in formato strutturato e leggibile da macchina
Opposizione (art. 21): opporsi al trattamento basato su legittimo interesse
Revoca del consenso: ove il trattamento sia basato sul consenso, revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento precedente

Per esercitare i diritti inviare richiesta scritta al Titolare (vedi punto 1). Il Titolare risponde entro 30 giorni dalla ricezione (art. 12 par. 3 GDPR), prorogabili a 90 giorni per richieste complesse con comunicazione motivata.

8. Diritto di reclamo

L'interessato ha diritto di proporre reclamo al Garante per la Protezione dei Dati Personali (Autorità di controllo italiana ex art. 77 GDPR):

Garante per la Protezione dei Dati Personali
Piazza Venezia 11 — 00187 Roma
Tel. +39 06 69677 1
www.garanteprivacy.it

9. Cookie e dati di navigazione

La piattaforma utilizza esclusivamente cookie tecnici di sessione necessari al funzionamento dell'autenticazione (Supabase Auth JWT). Non vengono utilizzati cookie di profilazione, cookie analytics di terze parti, né pixel di tracciamento. Non è pertanto necessario il banner cookie ai sensi del Provv. Garante 10/06/2021.

10. Aggiornamenti dell'informativa

La presente informativa può essere aggiornata in caso di modifiche normative o tecnologiche. La versione vigente è sempre consultabile alla presente URL. Modifiche sostanziali saranno comunicate agli utenti registrati via email con almeno 30 giorni di preavviso.

11. Normativa di riferimento

Regolamento (UE) 2016/679 del 27 aprile 2016 (GDPR)
D.Lgs. 30 giugno 2003, n. 196 (Codice Privacy) come modificato dal D.Lgs. 10 agosto 2018, n. 101
D.Lgs. 9 aprile 2008, n. 81 (T.U. Sicurezza sul Lavoro) — obbligo formazione lavoratori
Provvedimento Garante Privacy 10 giugno 2021 (Linee guida cookie)
Linee Guida EDPB n. 05/2020 sul consenso