← Torna al login

Informativa Privacy

Resa ai sensi dell'art. 13 del Regolamento UE 2016/679 (GDPR) · Ultimo aggiornamento: 20 maggio 2026

La presente informativa descrive il trattamento dei dati personali dei dipendenti effettuato tramite l'applicazione interna PermessiOK per la gestione delle richieste di permessi, ferie, malattia e altri eventi del rapporto di lavoro.

1. Titolare del trattamento

Il titolare del trattamento dei dati personali è Ovattificio Fortunato Srl:

  • Sede legale: Via dell’Industria, 109 - 84092 Bellizzi (SA) Italy
  • P.IVA: IT02831190653
  • Codice fiscale: IT02831190653
  • Telefono: +39 089 981 146
  • Email per esercizio dei diritti privacy: privacy@ovattificiofortunato.it
  • PEC: DA CONFIGURARE IN IMPOSTAZIONI

Referente interno per la protezione dei dati personali: Pasquale Fortunato.

2. Tipologie di dati trattati

Tramite PermessiOK trattiamo le seguenti categorie di dati personali:

2.1 Dati comuni

  • Dati anagrafici (nome, cognome, data di nascita) e codice fiscale
  • Dati di contatto (email aziendale, numero di telefono)
  • Dati relativi al rapporto di lavoro (matricola/badge, reparto, data di assunzione, ruolo, manager di riferimento)
  • Dati di autenticazione (password e PIN cifrati con algoritmi standard di hashing; non sono mai memorizzati in chiaro)
  • Dati di sicurezza e accesso (indirizzo IP, user agent, data e ora ultimo accesso, tentativi falliti di login)

2.2 Categorie particolari di dati (art. 9 GDPR)

  • Dati relativi allo stato di salute in occasione di richieste di permesso per malattia o ai sensi della L. 104/1992
  • Dati relativi all'appartenenza sindacale quando il dipendente fruisce di permessi sindacali (L. 300/1970)

3. Finalità e basi giuridiche del trattamento

I dati sono trattati esclusivamente per le seguenti finalità connesse all'esecuzione del rapporto di lavoro:

  • Gestione richieste di permessi, ferie e assenze — base giuridica: art. 6, par. 1, lett. b) GDPR (esecuzione del contratto di lavoro) e lett. c) (adempimento di obblighi legali); per le categorie particolari, art. 9, par. 2, lett. b) GDPR (obblighi del datore di lavoro in materia di diritto del lavoro e previdenza sociale), in attuazione del D.Lgs. 196/2003 artt. 88 e 111-bis, del Codice Civile (artt. 2110, 2220) e dei contratti collettivi applicati
  • Adempimenti fiscali, contributivi e amministrativi — base giuridica: art. 6, par. 1, lett. c) GDPR
  • Sicurezza informatica e prevenzione abusi(rate-limit login, audit log delle operazioni amministrative) — base giuridica: art. 6, par. 1, lett. f) GDPR (legittimo interesse del titolare alla sicurezza dell'infrastruttura)
  • Invio notifiche transazionali via email relative allo stato delle richieste — base giuridica: art. 6, par. 1, lett. b) GDPR

Il consenso non è la base giuridica dei trattamenti sopra elencati: i dati sono trattati in esecuzione del contratto di lavoro o in adempimento di obblighi legali. Eventuali trattamenti accessori e facoltativi saranno preceduti da specifica richiesta di consenso.

4. Modalità del trattamento

I dati sono trattati con strumenti elettronici e secondo logiche strettamente correlate alle finalità sopra indicate. Sono adottate misure tecniche e organizzative adeguate (art. 32 GDPR) tra cui: cifratura in transito (HTTPS), hashing delle credenziali, controllo accessi role-based, logging delle operazioni, backup periodici, anonimizzazione dei profili cancellati.

5. Destinatari e categorie di destinatari

I dati potranno essere comunicati a:

  • Personale interno autorizzato al trattamento (funzione HR/personale, amministratori di sistema, responsabili di reparto limitatamente ai dati strettamente necessari) designato per iscritto ai sensi dell'art. 2-quaterdecies del D.Lgs. 196/2003
  • Enti pubblici previdenziali, assistenziali e fiscali (INPS, INAIL, Agenzia delle Entrate) ove richiesto da norme di legge
  • Consulenti del lavoro, commercialisti e legali del titolare per adempimenti professionali, nominati come responsabili del trattamento
  • Fornitori terzi che agiscono come responsabili del trattamento ex art. 28 GDPR (sub-processor), vincolati da contratto, elencati al paragrafo 6

I dati non sono diffusi. Non sono soggetti a decisioni automatizzate, profilazione o decision-making algoritmico con effetti giuridici.

6. Fornitori terzi (sub-processor)

Per l'erogazione del servizio ci avvaliamo dei seguenti fornitori, nominati responsabili del trattamento:

  • Railway Corp.— provider di hosting cloud dell'applicazione e del database. DPA disponibile su railway.com/legal/dpa. Sede primaria del trattamento: Unione Europea (Amsterdam). In caso di trasferimento extra-UE si applicano le Clausole Contrattuali Standard adottate dalla Commissione Europea.
  • Elastic Email Inc. — provider di invio email transazionali (notifiche di stato richiesta). DPA disponibile su elasticemail.com. Trasferimento in Canada coperto dalla decisione di adeguatezza UE 2002/2/CE.

7. Trasferimento extra-UE

I dati possono essere trasferiti al di fuori dell'Unione Europea nei limiti previsti dal capo V del GDPR e sulla base di decisioni di adeguatezza della Commissione Europea o, in mancanza, di Clausole Contrattuali Standard (SCC) integrate nei contratti con i fornitori terzi. L'elenco delle SCC è disponibile su commission.europa.eu.

8. Periodo di conservazione (retention)

  • Dati anagrafici del dipendente: per la durata del rapporto di lavoro e successivamente per il periodo previsto dalle norme civilistiche e fiscali applicabili (10 anni ex art. 2220 c.c. per documenti contabili)
  • Richieste di permesso storiche: 5 anni dalla fine dell'anno di riferimento (art. 2946 c.c.); per finalità contabili/contributive, fino a 10 anni
  • Dati di salute (malattia, L. 104): minimizzati attraverso la generalizzazione delle causali nei record storici dopo 24 mesi
  • Log accessi e audit log: 24 mesi, salvo conservazione superiore necessaria per finalità di accountability o contenzioso
  • Sessioni attive: scadono automaticamente; record purgati entro 30 giorni dalla scadenza
  • Profili cessati: anonimizzati entro 30 giorni dalla cessazione del rapporto, fatta salva la conservazione legalmente dovuta dei dati strettamente contabili

9. Diritti dell'interessato

In qualunque momento il dipendente può esercitare i diritti previsti dagli artt. 15-22 GDPR:

  • Accesso (art. 15) — ottenere conferma del trattamento e copia dei dati
  • Rettifica (art. 16) — correzione di dati inesatti
  • Cancellazione (art. 17) — fatti salvi gli obblighi di legge di conservazione
  • Limitazione (art. 18)
  • Portabilità (art. 20) — ricezione in formato strutturato dei dati forniti, ove applicabile
  • Opposizione (art. 21) — al trattamento basato su legittimo interesse
  • Reclamo all'autorità di controllo (art. 77) — Garante per la Protezione dei Dati Personali (garanteprivacy.it)

Per esercitare i diritti scrivere a privacy@ovattificiofortunato.it. Il titolare risponde entro 30 giorni dalla richiesta (estendibili a 90 in caso di richiesta complessa, con previa notifica).

10. Cookie e tecnologie analoghe

PermessiOK utilizza esclusivamente cookie tecnicidi sessione, strettamente necessari al funzionamento del servizio e quindi esenti da consenso preventivo ai sensi dell'art. 122 del D.Lgs. 196/2003 e della Direttiva ePrivacy 2002/58/CE. Per il dettaglio si rinvia alla Cookie Policy.

11. Natura del conferimento dei dati

Il conferimento dei dati richiesti dall'applicazione è necessarioper la gestione del rapporto di lavoro e per l'esercizio dei diritti del lavoratore (permessi, ferie, malattia, L. 104, permessi sindacali). Il mancato conferimento impedisce la fruizione del servizio.

12. Modifiche all'informativa

Il titolare si riserva di aggiornare l'informativa per riflettere modifiche normative o organizzative. La data di ultima revisione è indicata in apertura del documento.