C
Gestionale PINKO
← Torna al login
GDPR — Regolamento UE 2016/679

Informativa sul trattamento dei dati personali

Ai sensi degli artt. 13-14 del Regolamento UE 2016/679 · Ultimo aggiornamento: 10 aprile 2026

Informativa ai dipendenti

La presente informativa descrive come il Titolare del trattamento raccoglie, utilizza e protegge i dati personali dei dipendenti che accedono al sistema gestionale. La invitiamo a leggere attentamente questo documento prima di utilizzare la piattaforma.

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali è:

Ragione socialeEMME SUPERMERCATI SRL
Sede legaleVia Fontana dell'Oste 78/B — 00034 Colleferro (RM)
P.IVA02992880605
Telefono0775 211218 / 06 97235179
Rappresentante legaleSilvia Manciocco, legale rappresentante
Riferimento normativoArt. 13 GDPR — Reg. UE 2016/679
Autorità di controlloGarante per la protezione dei dati personali — www.garanteprivacy.it

2. Categorie di dati personali trattati

Nell'ambito della gestione del rapporto di lavoro, il Titolare tratta le seguenti categorie di dati:

CategoriaDatiSensibilità
Dati anagraficiNome, cognome, codice fiscale, telefono, indirizzo e-mailAlta
Dati contrattualiOre settimanali, disponibilità oraria, reparto, data assunzioneMedia
Dati di presenzaTimbrature (clock-in/out), sessioni di presenza, eventuali anomalieAlta
Turni lavorativiTurni programmati, turni effettuati, scambi turnoMedia
Ferie e permessiRichieste di ferie, permessi, note di testoAlta
Dati sanitari ★Tipo di assenza (malattia, infortunio, maternità, paternità, congedo parentale, visita medica), note medicheMolto alta (Art. 9)
Dati economiciCedolini in formato PDFMolto alta
Log di sistemaAzioni critiche eseguite dal personale (audit trail anonimizzato)Bassa

★ I dati sanitari sono considerati "categorie particolari di dati" ai sensi dell'art. 9 GDPR e sono soggetti a misure di sicurezza rafforzate, inclusa la cifratura applicativa.

3. Finalità e base giuridica del trattamento

Art. 6(1)(b) — Contratto

Gestione del rapporto di lavoro

Pianificazione turni, registrazione presenze, gestione ferie/permessi, comunicazioni operative. Il trattamento è necessario per l'esecuzione del contratto di lavoro.

Art. 6(1)(c) — Obbligo legale

Adempimenti fiscali e previdenziali

Conservazione cedolini (10 anni, art. 2220 c.c.), elaborazione stipendi, comunicazioni agli enti previdenziali e fiscali.

Art. 6(1)(f) — Interesse legittimo

Sicurezza informatica e audit

Mantenimento di un registro delle operazioni critiche (audit log) per garantire l'integrità del sistema e prevenire accessi non autorizzati.

Art. 9(2)(b) — Diritto del lavoro

Gestione assenze per motivi di salute

Registrazione di assenze per malattia, infortunio, maternità, paternità e congedi parentali, necessaria per l'adempimento degli obblighi di legge in materia di lavoro e previdenza sociale.

Reg. UE 910/2014 (eIDAS) — Art. 25

Firma elettronica semplice dei cedolini (FES)

Per la firma elettronica dei cedolini vengono registrati: indirizzo IP (in forma cifrata con AES-256), data/ora della firma, user agent del browser e consenso esplicito dell'utente. Questi dati sono necessari per garantire valore legale alla firma secondo il Regolamento eIDAS e sono conservati come evidenza documentale per 10 anni (art. 2220 c.c.). L'IP viene utilizzato esclusivamente come prova di identificazione della firma, non per finalità di sorveglianza.

4. Periodo di conservazione

I dati sono conservati per il tempo strettamente necessario alle finalità per cui sono stati raccolti, nel rispetto dei termini di legge:

CategoriaPeriodoBase normativa
Cedolini10 anniArt. 2220 c.c.
Turni lavorativi7 anniD.Lgs. 81/2015 + GDPR
Timbrature e presenze5 anniGDPR Art. 5(1)(e)
Dati assenze (inclusi sanitari)5 anniDiritto del lavoro + GDPR
Log di audit5 anniBest practice sicurezza
Dati anagrafici (dipendenti cessati)Fino a esercizio diritto all'oblioGDPR Art. 17

5. Destinatari e trasferimenti

I dati personali non sono ceduti a terzi a scopo commerciale. Possono essere comunicati, nei limiti strettamente necessari, a:

  • Studio Santia (commercialista / consulente del lavoro) — per elaborazione cedolini e adempimenti fiscali, in qualità di titolare autonomo del trattamento per la fase di calcolo retribuzioni
  • Enti previdenziali e fiscali (INPS, Agenzia delle Entrate) — per obbligo di legge
  • Autorità giudiziarie e di vigilanza — su richiesta motivata nei casi previsti dalla legge

Trasferimenti extra-UE: l'infrastruttura applicativa principale (server e database) è ospitata in server con sede nell'Unione Europea (Germania). Alcuni sub-responsabili hanno sede negli Stati Uniti e trattano dati sulla base di Standard Contractual Clauses (SCC) approvate dalla Commissione Europea:

  • Resend (Plus Five Five Inc., USA) — invio notifiche email, protetto da DPA con SCC
  • Cloudflare R2 (Cloudflare Inc., USA) — storage backup database cifrato, protetto da DPA con SCC

6. Misure di sicurezza

Il Titolare adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio, ai sensi dell'art. 32 GDPR:

  • Cifratura AES-256-GCM dei dati sanitari a riposo (note mediche sulle assenze)
  • Autenticazione con password cifrate tramite bcrypt (10 round)
  • Sessioni con scadenza automatica entro 12 ore
  • Accesso ai file sensibili (cedolini) esclusivamente tramite API autenticata
  • Controllo degli accessi basato sul ruolo (RBAC): manager e dipendente
  • Log delle operazioni critiche (audit trail) con conservazione di 5 anni
  • Header di sicurezza HTTP: CSP, HSTS, X-Frame-Options, X-Content-Type-Options
  • Rate limiting sugli endpoint di autenticazione

7. Diritti dell'interessato

In qualità di dipendente (interessato), ha il diritto di esercitare in qualsiasi momento i seguenti diritti nei confronti del Titolare del trattamento:

Art. 15

Diritto di accesso

Ottenere conferma che sia o meno in corso un trattamento dei Suoi dati e, in caso affermativo, accedere ai dati stessi.

Art. 16

Diritto di rettifica

Ottenere la rettifica dei dati personali inesatti o l'integrazione dei dati incompleti.

Art. 17

Diritto all'oblio

Ottenere la cancellazione dei dati personali che La riguardano, nei casi previsti dalla legge (es. cessazione del rapporto di lavoro).

Art. 18

Diritto di limitazione

Ottenere la limitazione del trattamento dei dati in determinati casi (es. contestazione dell'esattezza dei dati).

Art. 20

Portabilità dei dati

Ricevere i dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico.

Art. 21

Diritto di opposizione

Opporsi al trattamento dei dati personali fondato sull'interesse legittimo del Titolare.

Come esercitare i diritti

Per esercitare qualsiasi diritto elencato, è possibile inviare una richiesta scritta al Titolare del trattamento tramite i recapiti comunicati all'atto dell'assunzione. Il Titolare risponderà entro 30 giorni dalla ricezione della richiesta (art. 12 GDPR).

8. Diritto di reclamo

Fermo restando ogni altro ricorso amministrativo o giurisdizionale, l'interessato ha il diritto di proporre reclamo all'autorità di controllo competente ai sensi dell'art. 77 GDPR.

Garante per la protezione dei dati personali

Piazza Venezia, 11 — 00187 Roma

Sito web: www.garanteprivacy.it

E-mail: garante@gpdp.it

PEC: protocollo@pec.gpdp.it

9. Aggiornamenti dell'informativa

Il Titolare si riserva di aggiornare la presente informativa in caso di modifiche normative o tecniche rilevanti. Le modifiche saranno comunicate tramite il sistema gestionale o per iscritto. La versione più aggiornata è sempre disponibile a questa pagina.

Versione: 2.1 · Data: 10 aprile 2026 · Redatta ai sensi degli artt. 13-14 del Reg. UE 2016/679