Quadro di trattamento dati e sicurezza

La presente pagina riassume la ripartizione dei principali ruoli privacy e le misure tecnico-organizzative generalmente associate a QHSE. Qualora UESE tratti dati personali per conto del cliente su istruzioni documentate, la presente sezione opera come sintesi pubblica e va integrata, ove necessario, da separato Data Processing Agreement ai sensi dell’art. 28 GDPR.

1. Ripartizione dei ruoli

• UESE opera quale titolare autonomo per gestione del sito, lead, onboarding, fatturazione, conformità legale, prevenzione frodi, sicurezza piattaforma e propria amministrazione aziendale.
• UESE può operare quale responsabile del trattamento quando ospita, conserva, organizza o rende disponibili dati del cliente nel workspace SaaS su istruzioni documentate del cliente.
• Il cliente resta titolare per i dati personali che decide di caricare o trattare tramite la piattaforma relativamente ai propri dipendenti, fornitori, clienti, lead o altri interessati.

2. Oggetto, durata e natura del trattamento

Il trattamento può comprendere raccolta, registrazione, consultazione, strutturazione, conservazione, adattamento, estrazione, allineamento, trasmissione, limitazione, cancellazione e distruzione dei dati, nei limiti necessari all’erogazione del servizio sottoscritto, al supporto tecnico, ai controlli di sicurezza, ai backup e alle correlate attività amministrative. La durata coincide ordinariamente con la vigenza del contratto, oltre ai tempi di conservazione imposti dalla legge, dalla sicurezza o da documentati obblighi post-cessazione.

3. Categorie di dati e interessati

In funzione del caso d’uso del cliente, i dati trattati possono riguardare utenti aziendali, dipendenti, collaboratori, consulenti, fornitori, clienti, prospect, visitatori e altri soggetti presenti in registrazioni, ticket, librerie evidenze o documenti generati. Le categorie possono includere dati comuni, recapiti business, identificativi, metadati d’uso, dati attinenti alla compliance e, solo se intenzionalmente caricati dal cliente e assistiti da adeguata base giuridica, categorie particolari o giudiziarie soggette a tutele più rigorose.

4. Misure di sicurezza

Le misure sono calibrate tenendo conto dello stato dell’arte, dei costi di attuazione, della natura, oggetto, contesto e finalità del trattamento, nonché del rischio per i diritti e le libertà degli interessati, in linea con gli artt. 24, 25, 28 e 32 GDPR. Nessun servizio connesso a internet può essere qualificato come assolutamente immune dal rischio; pertanto le parti cooperano nell’adozione di controlli proporzionati e in tempestive escalation di incidente.

5. Sub-responsabili e terzi

UESE può avvalersi di sub-responsabili tecnici per servizi di hosting, posta, infrastruttura, supporto, sicurezza, pagamento e manutenzione, assicurando l’adozione di vincoli contrattuali sostanzialmente coerenti con la normativa data protection. Le informazioni aggiornate possono essere rese disponibili tramite documentazione contrattuale, comunicazioni di servizio o canali di supporto.

6. Assistenza, incidenti e richieste degli interessati

Quando UESE opera quale responsabile, presta ragionevole cooperazione per supportare il cliente nella gestione di richieste degli interessati, incidenti di sicurezza, valutazione di data breach e rapporti con l’autorità di controllo, tenendo conto della natura del trattamento e delle informazioni disponibili a UESE. Ogni violazione di dati personali con rilievo legale sarà gestita secondo procedure interne di escalation e normativa applicabile.

7. Gestione a fine servizio

Al termine del rapporto contrattuale, i dati del cliente possono essere restituiti, resi disponibili per export, cancellati, anonimizzati o conservati per il tempo strettamente necessario ove imposto da legge, esigenze di sicurezza, obblighi contabili o tutela nel contenzioso. Eventuali servizi specifici di export, migrazione o retention estesa possono richiedere accordo separato.