Informativa sulla Privacy
Ai sensi degli Artt. 13 e 14 del Regolamento UE 2016/679 (GDPR)
Ultimo aggiornamento: Aprile 2026 — Versione 2.0
1. Titolare del Trattamento
Il Titolare del trattamento dei dati personali è l'Ente Comunale che ha sottoscritto il contratto di licenza SaaS con Sentinel Security Suite (“Piattaforma”). Sentinel Security Suite opera in qualità di Responsabile del trattamentoai sensi dell'Art. 28 del Regolamento UE 2016/679, sulla base di un apposito Data Processing Agreement (DPA) stipulato con ciascun Ente.
Contatti del Responsabile del Trattamento
- Denominazione: Sentinel Security Suite
- Email: privacy@sentinel-pl.it
- PEC: sentinel-pl@pec.it
Per la nomina del Data Protection Officer (DPO)dell'Ente Titolare, si prega di consultare il Registro dei Trattamenti dell'Ente stesso, pubblicato ai sensi dell'Art. 37 GDPR.
2. Categorie di Dati Personali Trattati
Dati Identificativi
- •Nome e cognome del personale
- •Matricola amministrativa
- •Qualifica e grado funzionale
- •Indirizzo email istituzionale (opzionale)
- •Numero di telefono di servizio (opzionale)
- •Data di nascita e data di assunzione
Dati di Servizio
- •Turni di lavoro assegnati e orari di servizio
- •Tipo di servizio svolto (es. pattuglia stradale, viabilità scuole)
- •Appartenenza a squadre/sezioni operative
- •Scambi turno richiesti e approvati
- •Straordinari e ore lavorate
Dati di Assenza
- •Ferie, permessi retribuiti, congedi (solo tipo e durata, senza diagnosi)
- •Permessi L.104/92 (solo il diritto, non la patologia)
- •Congedi parentali e formativi
- •Saldi residui annuali per tipologia
Dati di Geolocalizzazione (GPS)
Trattamento particolare- •Coordinate GPS al momento della timbratura (clock-in/clock-out), solo se la funzionalità è attivata dall'Ente
- •Coordinate GPS in caso di attivazione volontaria dell'SOS Emergenza da parte dell'agente operatore
- •I dati GPS NON sono raccolti in modalità continuativa e NON costituiscono tracciamento in tempo reale
Dati Tecnici
- •Indirizzo IP (per finalità di sicurezza e rate limiting)
- •User-agent del browser
- •Timestamp di accesso e operazioni (audit log)
Dati NON trattati
La Piattaforma non raccoglie: dati sanitari, diagnosi mediche, orientamento politico, religioso o sessuale, dati biometrici, dati giudiziari. Le assenze per malattia sono registrate solo come codice “MALATTIA” senza alcun riferimento alla patologia.
3. Finalità e Base Giuridica del Trattamento
| Finalità | Base Giuridica (Art. 6 GDPR) | Conservazione |
|---|---|---|
| Gestione turni di lavoro e organizzazione del servizio | Art. 6(1)(e) — Esecuzione compito di interesse pubblico | 5 anni dalla data |
| Generazione Ordini di Servizio (OdS) | Art. 6(1)(c) — Obbligo legale (D.Lgs. 267/2000) | 10 anni (obbligo archivistico) |
| Timbrature GPS e verifica presenza in servizio | Art. 6(1)(e) — Interesse pubblico + informativa ex Art. 4 L. 300/1970 | 6 mesi |
| SOS Emergenze e geolocalizzazione operativa | Art. 6(1)(d) — Interesse vitale + Art. 6(1)(e) | 6 mesi |
| Gestione assenze, ferie, permessi | Art. 6(1)(b) — Esecuzione rapporto contrattuale di lavoro | 5 anni |
| Export dati per la Ragioneria (buste paga) | Art. 6(1)(c) — Obbligo legale (normativa fiscale) | 10 anni |
| Audit log e tracciabilità operazioni | Art. 6(1)(f) — Legittimo interesse (sicurezza informatica) | 12 mesi |
| Notifiche push e comunicazioni via Telegram | Art. 6(1)(e) — Interesse pubblico (comunicazione operativa) | 6 mesi |
4. Destinatari e Trasferimenti dei Dati
I dati personali possono essere comunicati a:
- Sub-responsabili del trattamento, elencati e contrattualizzati con DPA:
- Supabase Inc. — Database PostgreSQL (hosting: AWS EU-Central-1, Francoforte, Germania). DPA: supabase.com/privacy
- Vercel Inc. — Hosting applicazione web (Edge Network con PoP in EU). DPA: vercel.com/legal/dpa
- Telegram FZ-LLC — Solo per le notifiche operative, se attivate dall'Ente (nessun dato personale trasferito oltre il messaggio di notifica)
- Personale autorizzato dell'Ente con ruolo di Amministratore, nei limiti delle proprie abilitazioni
⚠️ Trasferimenti extra-UE
I server database sono localizzati nell'Unione Europea (AWS Frankfurt, DE). Vercel potrebbe processare richieste HTTP tramite edge nodes extra-UE: in tal caso, i trasferimenti sono coperti dalle Standard Contractual Clauses (SCC) ai sensi dell'Art. 46(2)(c) GDPR e dal Data Privacy Framework UE-USA. Nessun dato viene venduto o condiviso con terze parti per finalità di marketing o profilazione.
5. Diritti dell'Interessato
In qualità di interessato, ogni operatore ha diritto di esercitare i seguenti diritti rivolgendosi al Titolare del Trattamento(l'Ente Comunale) o al Responsabile (Sentinel):
Diritto di Accesso
Art. 15Ottenere conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, ottenere copia dei dati.
Diritto di Rettifica
Art. 16Ottenere la rettifica dei dati personali inesatti o l'integrazione dei dati incompleti.
Diritto alla Cancellazione
Art. 17Ottenere la cancellazione dei dati personali, salvo obblighi di legge che ne impongano la conservazione.
Diritto di Limitazione
Art. 18Ottenere la limitazione del trattamento in caso di contestazione sulla esattezza dei dati.
Diritto alla Portabilità
Art. 20Ricevere i dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico (es. CSV).
Diritto di Opposizione
Art. 21Opporsi al trattamento dei dati per motivi legittimi, salvo prevalenti interessi pubblici.
📧 Come esercitare i diritti
Inviare una richiesta scritta a privacy@sentinel-pl.ito contattare il DPO dell'Ente di appartenenza. La richiesta sarà evasa entro 30 giorni dalla ricezione. In caso di mancato riscontro, è possibile proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it).
6. Conservazione e Cancellazione dei Dati
I dati personali sono conservati per il tempo strettamente necessario alle finalità sopra descritte, secondo la seguente politica di retention:
- Timbrature GPS e dati di geolocalizzazione: 6 mesi (cancellazione automatica mensile)
- Notifiche e comunicazioni operative: 6 mesi
- Audit log operativi: 12 mesi
- Turni di servizio, assenze e dati organizzativi: 5 anni (obbligo documentale PA)
- Ordini di Servizio firmati digitalmente: 10 anni (obbligo archivistico)
- Dati contrattuali dell'Ente (Tenant): conservati per tutta la durata del contratto + 10 anni
La cancellazione automatica è gestita tramite un processo di data retentionschedulato che opera il primo giorno di ogni mese. In caso di cessazione del rapporto contrattuale, l'Ente può richiedere l'esportazione completa dei propri dati in formato strutturato (CSV/XLSX) e la successiva cancellazione dal sistema.
7. Misure di Sicurezza
Sentinel Security Suite implementa le seguenti misure tecniche e organizzative a protezione dei dati personali:
Crittografia
TLS 1.3 per tutti i dati in transito. Crittografia AES-256 per i dati at rest nel database.
Autenticazione
Password con hashing bcrypt (costo computazionale 10), JWT firmati con chiave crittografica a 256 bit.
Autorizzazione
Isolamento multi-tenant rigoroso. Controllo accessi basato su ruoli (RBAC) con permessi granulari.
Rate Limiting
Protezione anti brute-force su login e API critiche. Blocco automatico dopo 5 tentativi falliti.
Audit Trail
Registrazione immutabile di tutte le operazioni amministrative con timestamp, autore e dettagli.
Backup
Backup automatici giornalieri del database con retention di 30 giorni. Point-in-time recovery disponibile.
8. Cookie e Tecnologie di Tracciamento
La Piattaforma utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento:
- Cookie di sessione (next-auth.session-token): necessario per mantenere l'autenticazione dell'utente. Scade alla chiusura della sessione o dopo 30 giorni.
- Cookie CSRF (next-auth.csrf-token): necessario per la protezione contro attacchi Cross-Site Request Forgery.
Non vengono utilizzati cookie di profilazione, analytics di terze parti, o tecnologie di tracciamento pubblicitario. Pertanto, ai sensi delle Linee Guida del Garante Privacy sui cookie (10 giugno 2021), non è necessario il consenso preventivo per i cookie tecnici.
Modifiche alla presente informativa
Il Responsabile del Trattamento si riserva il diritto di modificare, aggiornare o integrare la presente informativa in qualsiasi momento. Le modifiche saranno comunicate mediante pubblicazione sulla Piattaforma. Si raccomanda di consultare periodicamente questa pagina. L'utilizzo continuato della Piattaforma dopo la pubblicazione delle modifiche costituisce accettazione delle stesse.